某公安局网络安全方案建议稿(公安警察)

某公安局网络安全方案
一、某公安局网络现状
某公安局网络作为信息基础设施，是机关信息化建设的基石。

某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口，与局内各楼、其它一些分局及派出所和INTERNET连接。

某公安局网络提供公安局各单位的互联通道，实现机关局域网络全部节点及终端设备的网络互联和系统集成，实现以信息交换，信息发布为主的综合计算机网络应用环境，为公安局管理、领导决策提供先进的技术支持手段。

整个某公安局网络通过统一的出口，64K的DDN专线接入上级省厅及全国各地公安网站，网络主干网通过一个Motorla（S520）路由器连接到上级网络。

某公安局网络在物理结构上主要分成两个子网，两个子网通过路由器连接。

在逻辑上，某公安局网络有许多虚拟子网。

某公安局网络对远程用户提供拨号接入服务。

网络系统分布在整个，规模较大。

某公安局网络已经有了比较成熟的应用，包括WWW服务，Mail服务，DNS服务等的一些其他应用，如内部信息等，也已经转移到网络应用之上的Web应用主要是用于内部信息的管理，应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。

某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。

以上是某公安局网络及其应用的现状。

二、某公安局网络安全需求分析
某公安局网络系统现在的Web应用主要是用于公安局内部信息管理，因而存在着强烈的安全需求。

网络安全的目标是保护和管理网络资源（包括网络信息和网络服务）。

网络安全的需求是分层次的。

ISO/OSI网络模型将网络分为7个层次，在不同层次上的安全需求如上图所示。

某公安局网络的安全需求覆盖网络层以上的部分，并且有安全管理的需求。

可以把某公安局网络的安全需求分为三个大的方面：网络层安全需求、应用层安全需求和安全管理需求。

目前第一期解决网络层安全需求
1. 网络层安全需求
网络层安全需求是保护网络不受攻击，确保网络服务的可用性。

某公安局网络网络层的安全需求是面向系统安全的，包括：
●隔离内外部网络；
●实现网络的边界安全，在网络的入出口设置安全控制；
●实现安全漏洞检测，及时发现网络服务和操作系统存在的安全隐患，
及时采取补救措施，将安全风险降到最低。

具体而言，某公安局网络系统在网络层的安全需求可以描述为：
1）解决网络的边界安全，防止外部攻击，保护内部网络；通过防火墙和应用代理隔离内外网络；
2）内外网络采用两套不同的IP地址，实现地址翻译（NAT）功能；
3）根据IP地址和TCP端口进行入出控制；
4）基于IP地址和MAC地址的对应防止IP盗用；
5）基于IP地址计费和流量控制；
6）基于IP地址的黑白名单；
7）防火墙对用户身份进行简单认证；
8）根据用户身份进行入出控制；
9）基于用户的计费和流量限制；
10）URL检查和过滤。

2. 应用层安全需求
某公安局网络应用层安全需求是针对用户和系统应用资源的，必须确保合法用户对信息的合法存取。

某公安局网络的信息资源须按需求的安全等级进行系统
而周密的规划，根据规划采取相应的安全管理手段来保证系统的实用、可靠和安全性。

某公安局网络应用主要是应用于公安局内部的信息管理，因而：
1）外部非授权用户不得拥有访问公安局内部信息的权限；
2）内部、外部授权用户只能拥有系统赋予的访问授权；
3）不同级别的内部用户拥有对信息的不同访问权限；
4）不同部门的内部用户拥有对信息的不同访问权限；
5）某个部门的信息可以授予其他部门内部用户一定的访问权限；
6）授权用户不论在什么地方，什么时间，对信息的访问权限应该是一致的；
某公安局网络应用层的安全威胁主要是：
●身份窃取和假冒
●数据窃取和篡改
●非授权存取
●否认与抵赖
以上安全威胁产生的安全需求如下：
●数据保密：由于无法确认是否有未经授权的用户截取网络上的数据，需要一种手段来对数据进
行保密。

数据加密就是用来实现这一目标的。

●数据完整性：需要一种方法来确认送到网络上的数据在传输过程中没
有被篡改。

数据加密和校验被用来实现这一目标。