公安网络工程建设设计文档格式.docx
《公安网络工程建设设计文档格式.docx》由会员分享,可在线阅读,更多相关《公安网络工程建设设计文档格式.docx(63页珍藏版)》请在冰豆网上搜索。
2、公安部对省市公共网络安全的监察工作;
1.1.1公安信息系统自身的安全建设
不同的行业和用户对信息系统安全建设的要求是有差别的,建设的重点可能不同。
公安全信息系统的安全技术概念:
即承认信息系统安全的脆弱性,正视对信息系统安
全的威胁,在尽可能的加强防护的能力的同时,要加强信息系统安全的检测、管理、监控和处理能力,落实对信息系统安全事件的快速反应能力,建立对信息犯罪的打击的威慑力量。
信息系统安全不仅是定性的,同时还是定量的,使之在日常业务工作中是可测评的。
我们称这种安全模型为PDR安全模型(P:
Protection,D:
Detection,R:
Reaction)。
从防护的角度看,强调公安信息系统安全的可生存性、行为和信息数据的完整性、信息的保密性,实施公共密钥基础设施(PKI)。
实施本地可信备份和异地可信恢复系统建设。
从检测的角度看,消除系统和管理漏洞、实施对非法入侵和黑客攻击的安全监控。
从安全处理看,强化应急处理和快速反应能力。
这显然比一般政府和企业只注重信息的完整性和保密性的安全概念要高得多。
1.1.2公安部对省市公共网络安全的监察工作
为了提高整个省市信息系统安全的在一体化公安信息化平台或公共操作环境COE上实施全局和局域的PDR的快速反应的综合能力,建立公安信息系统的两极(部、省)网络监
控中心是十分必要的。
网络监控中心负责处理整个信息系统网络范围内的安全问题及网络对外连接、通信等方面的安全问题,打击信息安全犯罪。
在自主和可控的原则指导下,开发公安信息安全监控和攻击报警系统,具有与国内外信息犯罪组织进行软件对抗的能力。
另外,对公安信息系统的安全性、可生存性、服务完整性实施全局管理。
信息系统安全监察工作主要处理、打击信息犯罪,如:
非法侵入通讯和计算机网络、传播计算机病毒、对计算机设施发起拒绝服务攻击、发布和传播非法的反动、色情信息等等。
信息系统安全监察工作的建设,在“金盾工程”实施期间,其内容应当包括:
建立全省连网的统一部署的各级信息安全监控中心、建设信息系统安全监控系统和攻击发现报警系统、培养一支政治合格、技术过硬的信息系统安全警察部队等等。
1.2设计目标
宏观上讲,“金盾工程”安全保障体系的设计目标体现在两个方面:
能够抵御业务信息化所带来的各种威胁,具备一定的容错、容灾能力,有效地防止内部人员的故意犯罪,抵御来自内部与外部、针对各种对象的各种方式的攻击,防止有害信息的传播。
能够提供严格的控制能力和高效的查证等手段,实现比现有工作模式更加安全的工作与管理机制。
具体地说,“金盾工程”安全保障体系的设计能够满足上述安全需求,抵御上述风险:
适应公安系统分级、多管理域的管理模式,针对种类繁多、多种密级的信息保密需求,提供全网统一的身份认证和访问控制手段,防止内部人员(合法用户)滥用权力,有意犯罪。
抵御来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击,保证网络和系统服务的可用性,保证信息的保密性、完整性。
提供一定的容错能力,在系统软硬件故障时提供数据恢复手段,保证系统的可用性。
防止有害信息(如病毒)的传播等。
提供一定的容灾能力,在自然灾害或人为的物理破坏(如战争)发生时,提供有效的灾难恢复机制,保证网络的可用性。
1.3设计原则
“金盾工程”安全保障体系涉及到整个工程的各个层次,网络和信息安全方案的设计因该遵循以下原则:
整体安全。
公安系统信息化是一个复杂的系统工程,对安全的需求是任何一种单元技术都
无法解决的,而是必须从一个完整的安全体系结构出发,综合考虑信息网络的各种实体和各个环节,综合使用各层次的各种安全手段,为信息网络和公安业务系统提供全方位安全服务。
有效管理。
没有有效的安全管理(如密钥定期更新、防火墙监控、审计日志的分析等等),
就很难保证各种安全机制的有效性。
“金盾工程”网络信息系统所提供的各种安全服务涉及到各个层次、多个实体和各种安全技术,只有有效的安全管理才能保证这些安全控制机制真正有效地发挥作用。
合理折衷。
在“金盾工程”中,单纯考虑安全而不惜一切代价是不合理的。
安全与花费、
系统性能、易用性、管理的复杂性是存在矛盾内容的,安全保障体系的设计应该在以上四个方面找到一个合理的折衷点,在可接受的风险范围内,以最小的投资换取最大的安全性,同时不因性能开销和使用、管理的复杂而影响整个“金盾工程”的快速反应和高效运行的总体目标。
适应一致。
安全管理模式应该尽量与公安业务需求相一致,以便于实施和管理。
既要保证
公安系统上下级之间的统一领导、统一管理,同时又给基层单位以足够的灵活性,以保障公安业务系统的高效运行。
责权分明。
采用分层、分级管理的模式:
一方面,公安的各级系统可以分为三层:
信息网
络、计算机系统和应用系统;
另一方面,网络和应用系统都有部、省、市等的分级结构。
各级网络管理中心负责网络的安全可靠运行,为应用信息系统提供安全可靠的网络服务,各级信息中心负责计算机系统和应用系统的安全管理,为公安系统具体的业务服务。
综合治理。
“金盾工程”是社会大环境下的一个系统工程,信息网络的安全同样也绝不仅仅
是一个技术问题,各种安全技术应该与运行管理机制、人员的思想教育与技术培训、
安全法律法规建设相结合,从社会系统工程的角度综合考虑。
2安全需求
识别出公安系统的安全需求是很重要的。
安全需求有三个主要来源。
第一个来源是对公安系统面临的风险的评估。
经过评估风险后,便可以找出对资产安全的威胁,对漏洞及其出现的可能性以及造成多大损失有个估计。
第二个来源是公安系统与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规定及合约条文的要求。
第三个来源是公安系统为业务正常运作所特别制定的原则、目标及信息处理的规定。
2.1风险评估
2.1.1漏洞分析
由于公安系统肩负省市安全和社会稳定的重要职责,另外由于存在政治体制、意识形态等方面的因素,很容易成为国内外敌对分子攻击的对象。
根据公用互联网络和某些行业专用网(如银行系统)风险现状的调查结果,结合公安系统业务的多种信息种类、不同开放程度和安全级别等情况,“金盾工程”的网络和信息系统面临的威胁有以下几个方面:
公安系统信息量大,种类繁多,应用复杂,不同种类(如治安、交管、刑侦等)、不同级别(如部、省、市)的信息对不同的用户有不同程度的保密需求(无密级、秘密、机密、绝密)。
数据分布于全国四百多个市级管理域内,使得保障信息保密性的设计与实现变得异常复杂。
要求系统具有统一的身份认证机制,适应公安系统分级、多管理域的管理模式。
内部人员(合法用户)滥用权力,有意犯罪,越权访问机密信息,或者恶意篡改数据。
来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击,造成网络或系统服务不可用、信息泄密、数据被篡改等破坏。
有害信息(如病毒)的传播等。
系统软硬件故障造成的服务不可用或者数据丢失。
自然灾害或战争的物理破坏。
漏洞分析可以采用静态扫描和动态渗透两种方法。
2.1.2法律和合同
国家对公安系统的法律要求,如涉密部门的网络必须实现物理隔离等,与信息产品厂商签订的保密合同等。
2.1.3系统规定
公安系统的内部规定,如密码系统只能使用具有自主知识产权的产品、不能使用自己的计算机处理秘密资料等。
2.2需求总结
通过以上分析可以总结出如下安全需求:
物理安全:
主要指无线、卫星、网络和计算机相关设备、线路等硬件所处的物理环境方面的安全水平需要进一步提高,如防高低温、防潮湿、防火、防水、防电磁干扰(电磁干扰、脉冲炸弹等)、防尘、防震、防电磁辐射、防窃听(搭线、接收电磁波)等;
通信和计算机网络安全:
网络系统的协议、应用和数据的机密性、完整性和可用性容易受到来源于网络的攻击,如DDOS攻击等需要进一步提高安全保护的水平;
系统安全:
操作系统的安全等级不够,配置不当,漏洞很多;
应用安全:
数据和应用系统没有或者很少考虑安全方面,安全问题很多;
信息安全:
网络上的非法信息很多,没有得到很好控制。
3安全体系
“金盾工程”对安全的需求是多方面的,任何一种单独的安全技术都无法解决。
安全方案的设计必须以科学的全方位的安全体系模型为依据,保障“金盾工程”整个安全体系的完备性和合理性。
信息网络安全体系结构的研究表明,要想从一个角度得出整个信息系统完整的安全模型是很困难的。
我们采用COE+PDR的安全框架是个比较合理的计算机网络安全模型,我们在此基础上提出更加适合“金盾工程”的信息安全体系结构模型。
该模型由安全服务、协议层次和系统、单元三个层面描述,在每个层面上,都包含有关保障方面的内容。
安全服务取自于国际标准化组织制订的安全体系结构模型[ISO7498-2],我们在
[ISO7498-2]基础上增加了审计性、可用性、生存性服务。
系统层次的划分给出了信息系统结构的层次模型,添加了用户层,即用户开发的应用。
系统、单元给出了信息网络的系统或者单元。
系统是指通信系统(如电话系统、会议电视系统、无线系统、卫星系统等)、计算机网络系统和人员系统。
单元是指通讯卫星、光纤、网卡、交换机、路由器等。
保障包括所有协议层次、所有系统、单元和安全服务的保障,涉及两方面的内容:
各种技术的保障(如密钥管理)和制度保障,制度保障主要是针对人员系统的。
3.1安全服务
国际标准化组织所定义的安全体系结构中包括五组重要的安全服务,这些安全服务反映了信息系统的安全需求。
这五种服务并不是相互独立的,而且不同的应用环境有不同的程度的要求,我们在图6.2中给出了主要安全服务之间的逻辑关系。
在“金盾工程”中,最为重要的安全服务是实体标识、认证、访问控制。
标识和认证
客
体
访问控制
授权数据库
审计/抗抵赖
完整和保密存储与传输
主 体
图6.2 各种安全服务之间的逻辑关系
在不同的协议层次,实体都有主体和客体之分:
在网络层,对主体和资源的识别以主机或协议端口为粒度,认证服务主要指主机地址的认证,网络层的访问控制主要指防火墙等过滤机制;
在应用系统中,主体的识别以用户为粒度,客体是业务信息资源,认证是指用户身份认证和应用服务的认证,访问控制的粒度可以具体到某种操作,如对数据项的追加、修改和删除。
在开放式应用环境中,主体与客体的双向认证非常重要。
从这一模型可以得出如下结论:
对客体的访问控制是安全保密的核心,而对实体的
(用户、主机、服务)认证是访问控制的前提。
“金盾工程”应用系统中对实体的认证和访问控制有更高的要求。
“金盾工程”中,不同的应用对上述安全服务需求不同。
可以分成以下几类:
向社会发布信息的应用系统。
首先要求保证数据的完整性,防止非授权用户篡改数据;
其次要保证系统的高度可用性,提供持续的、有效的服务;
全社会都可以访问,无需认