某公安局网络安全方案

某公安局网络安全方案

（建议稿）

一、某公安局网络现状

某公安局网络作为信息基础设施，是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口，与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道，实现机关局域网络全部节点及终端设备的网络互联和系统集成，实现以信息交换，信息发布为主的综合计算机网络应用环境，为公安局管理、领导决策提供先进的技术支持手段。

整个某公安局网络通过统一的出口，64K的DDN专线接入上级省厅及全国各地公安网站，网络主干网通过一个Motorla（S520）路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网，两个子网通过路由器连接。在逻辑上，某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个，规模较大。

某公安局现有网络的拓扑结构见图一所示。

某公安局网络已经有了比较成熟的应用，包括WWW服务，Mail服务，DNS服务等的一些其他应用，如内部信息等，也已经转移到网络应用之上的Web应用主要是用于内部信息的管理，应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。

某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。

以上是某公安局网络及其应用的现状。

二、某公安局网络安全需求分析

某公安局网络系统现在的Web应用主要是用于公安局内部信息管理，因而存在着强烈的安全需求。

网络安全的目标是保护和管理网络资源（包括网络信息和网络服务）。

网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次，在不同层次上的安全需求如上图所示。

某公安局网络的安全需求覆盖网络层以上的部分，并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面：网络层安全需求、应用层安全需求和安全管理需求。

目前第一期解决网络层安全需求

1. 网络层安全需求

网络层安全需求是保护网络不受攻击，确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的，包括：

●隔离内外部网络；

●实现网络的边界安全，在网络的入出口设置安全控制；

●实现安全漏洞检测，及时发现网络服务和操作系统存在的安全隐患，

及时采取补救措施，将安全风险降到最低。

具体而言，某公安局网络系统在网络层的安全需求可以描述为：

1）解决网络的边界安全，防止外部攻击，保护内部网络；通过防火墙和应用代理隔离内外网络；

2）内外网络采用两套不同的IP地址，实现地址翻译（NAT）功能；

3）根据IP地址和TCP端口进行入出控制；

4）基于IP地址和MAC地址的对应防止IP盗用；

5）基于IP地址计费和流量控制；

6）基于IP地址的黑白名单；

7）防火墙对用户身份进行简单认证；

8）根据用户身份进行入出控制；

9）基于用户的计费和流量限制；

10）URL检查和过滤。

2. 应用层安全需求

某公安局网络应用层安全需求是针对用户和系统应用资源的，必须确保合法用户对信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行系统而周密的规划，根据规划采取相应的安全管理手段来保证系统的实用、可靠和安全性。

某公安局网络应用主要是应用于公安局内部的信息管理，因而：

1）外部非授权用户不得拥有访问公安局内部信息的权限；

2）内部、外部授权用户只能拥有系统赋予的访问授权；

3）不同级别的内部用户拥有对信息的不同访问权限；

4）不同部门的内部用户拥有对信息的不同访问权限；

5）某个部门的信息可以授予其他部门内部用户一定的访问权限；

6）授权用户不论在什么地方，什么时间，对信息的访问权限应该是一致的；

某公安局网络应用层的安全威胁主要是：

●身份窃取和假冒

●数据窃取和篡改

●非授权存取

●否认与抵赖

以上安全威胁产生的安全需求如下：

●数据保密：由于无法确认是否有未经授权的用户截取网络上的数据，需要一种手段来对数据进

行保密。数据加密就是用来实现这一目标的。

●数据完整性：需要一种方法来确认送到网络上的数据在传输过程中没

有被篡改。数据加密和校验被用来实现这一目标。

●身份认证：需要对网络上的用户进行识别，以确认对方的真实身份，

保证身份不被窃取与假冒。

●访问授权：需要控制谁能够访问网络上的信息，并且他们能够对信息

进行何种操作。访问授权能够防止对系统资源的非授权存取。

●审计记录：所有网络活动应该有记录，这种记录要针对用户来进行，

可以实现统计、计费等功能；还可以防止否认，确保用户不能抵赖自己的行为，同时提供公证的手段来解决可能出现的争议。

通过应用层的安全管理，最终要使某公安局网络系统达到下面的目标：

1）面向所有服务的粗粒度的安全控制：

●解决网络的整体安全，内外兼防，保护数据和信息安全；

●用户和服务器之间实现严格的身份认证；

●基于严格身份认证的统一授权管理；

●访问控制粒度要求达到TCP端口一级；

●数据传输时加密以实现数据保密和不可抵赖等；

●实现审计记录功能。

2）面向Web服务的细粒度的安全控制：

●要求解决WEB应用的整体安全，内外兼防，保护数据和信息安全；

●解决HTTP的安全问题；

●解决CGI的安全问题；

●用户和WEB应用服务器之间实现严格的身份认证；

●根据用户身份实现WEB空间的统一授权管理；

●访问控制粒度要求达到文件和页面一级；

●实现WEB空间的安全单点登录；

●实现WEB空间的目录服务；

●实现信息访问频率和用户访问频率统计。

3）由于某公安局客户端的地理分布广泛，要求系统的安全控制支持公钥系统，支持SSL协议；

3. 安全管理需求

3.1 网络层安全管理

网络层的安全管理主要结合网管系统进行，主要内容如下：

●完成对路由器、交换机、访问服务器的安全配置，具体包括：设备配置授权、路由配置、VLAN

配置（根据端口或MAC地址）、IP过滤配置、TCP端口访问控制、拨号认证（如RADIUS。TACACS

＋等）配置、路由器加密配置等。

●完成防火墙的配置，具体包括：防火墙操作系统配置、基于规则的IP过滤配置、安全TCP端

口及访问授权配置、内容过滤配置、NAT地址翻译配置等；

●堡垒主机配置，包括各应用代理或应用网关的配置。

●安全检测软件配置：包括网络服务漏洞检测和操作系统漏洞检测。

3.2 应用层安全管理

●完成用户注册，建立用户档案，完成用户分组，形成全网统一一致的用户空间；

●完成网络资源的统一配置，形成全网统一的资源空间；

●根据用户身份完成访问授权配置，形成全网统一一致的授权管理；