移动警务安全管理平台建设方案.docx
《移动警务安全管理平台建设方案.docx》由会员分享,可在线阅读,更多相关《移动警务安全管理平台建设方案.docx(20页珍藏版)》请在冰豆网上搜索。
移动警务安全管理平台建设方案
移动警务安全管理平台
建设方案
第一章系统概述
1.1建设背景
目前,我省省厅和各地市公安局已先后建成5个移动警务平台,并分别建设了各自移动警务业务应用系统,主要是实现手机终端查询比对等应用。
按照公安部下发的移动警务系统安全技术规范,各地的移动警务业务应用系统(前置机)均部署在外网,只能满足本地接入用户应用需要,难以达到省厅党委提出的“大集中,大整合,高共享”的信息化建设思路。
我省现有的移动警务平台安全解决方案,主要是通过USBKEY或安全TF卡配合移动警务安全接入平台,实现用户身份认证、数据加密、专用网络通道等多重手段保障移动通信的安全,但对于移动警务终端设备的使用管理仍然存在缺陷,根据公安部下发的《移动警务安全管理规定》要求,移动警务终端设备必须专机专用,且不允许借给他人使用,但目前安全接入平台不具备对于移动警务终端的管理功能。
1.2建设目标
通过本项目将各地移动警务业务应用系统通过专线进行区域互联,以实现各地业务应用系统资源共享。
同时开发全省统一安全管理平台,实现各地移动警务业务集中管理、终端接入安全管理、终端统一策略下发,全省移动警务应用统一接入客户端等安全管理功能。
1.3总体要求
●安全性:
严格依照《移动警务B/S应用安全接入规范》和《公安信息移动接入应用系统建设技术指导书》要求进行移动警务应用系统及安全平台升级建设。
●可靠性:
本系统的应用更关系到各地已建移动警务系统是否能够正常使用,必须能保证24小时不间断正常运行。
●实用性:
应用系统设计开发应尽量考虑一线民警户外工作的实际情况,客户端软件设计应尽可能简化用户操作,终端信息收集、安全策略下发通过后台进行,尽量不需要通过用户进行操作;安全平台软件设计应尽可能让民警在操作不受影响的情况下对用户行为进行监督和管理。
●经济型:
在满足本方案各种要求的前提下,尽可能保留原系统的各种投入,特别是安全设备应最大程度地与原有设备兼容配合使用。
●无缝接入:
本平台设计中涉及的安全技术与产品均遵循无缝接入原则,系统设计上要求不改变已建的移动警务部署网络结构和系统配置。
1.4建设标准和依据
●《移动警务B/S应用安全接入规范》
●《公安信息公网移动接入及应用系统建设技术指导书》
●《公安无线接入系统安全管理暂行办法》
●《公安信息移动接入及应用系统建设技术指导书管理暂行规定》
●《移动警务安全管理规定》
●《公安信息通信网边界接入平台安全规范(试行)》
●《关于进一步加强公安信息通信网日常安全管理工作机制建设的通知》
●《关于公安信息通信网边界接入平台集中管理系统升级有关工作的通知》
1.5技术要求
针对目前存在的问题,对全省各地市移动警务终端接入公安网的请求进行统一的入网请求控制管理和应用管理,通过统一客户端统一所有移动警务终端设备的入网请求,后台系统统一审核、管理全省统一应用、特色应用并自动推送至前端移动警务终端设备上。
该平台是以安全策略为驱动,以统一平台的方式将接入公安内网的移动警务设备进行统一监控、配置和管理,按照PDR安全模型的“保护-检测-响应”工作流程循环检测,采用多种安全技术实现了对内网全方位、多层次的安全防护。
按照“保护-检测-响应”的工作流程逐步完善终端安全防护策略,确定系统安全、有效的一系列信息及相互逻辑关系,并进行相关知识库的管理。
本平台的使用,可以提高信息网络的安全管理水平,极大地增强网络安全整体防范和预警能力,使信息系统更好地位社会服务。
1.6建设内容
本项目为系统集成项目。
●软件:
统一客户端(移动警务终端设备):
统一客户端均安装在前端移动警务终端设备上,统一管理网络接入,按指定策略安装应用等。
移动警务安全管理平台(应用服务器):
统一检测移动警务终端设备运行状况,制定应用策略、依据制定的策略下发应用等。
●硬件:
省厅应用服务器(外网)
省级应用服务器(内网)
省级管理平台服务器
省级缓存服务器
省级数据库服务器
第二章系统设计
2.1系统拓扑结构设计
2.1.1拓扑结构图
移动警务安全管理平台的拓扑结构如下图2.1所示。
图2.1拓扑结构图
在公安外网,由各地市的VPN身份认证服务器和地市警务通前置服务器、省级应用服务器组成,负责警员身份认证、地级市特色应用下发、地级市特色请求外网处理等功能。
业务流程简介:
1.各地市移动警务终端利用网络运营商的专用APN接入点接入VPN网络;
2.统一客户端开机启动则自动连接省厅应用服务器认证终端设备,只有终端设备自带的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI、警员身份通过应用服务器认证成功后才能正常登入移动警务终端设备的统一客户端。
3.通过身份认证后,关于各地级市的特色应用相关交互信息请求发送至各地市移动警务应用前置服务器,统一客户端的交互信息请求发送至省级应用服务器;
4.请求信息通过各地移动警务平台的边界网关的代理后,到达各地市应用服务器,由地市应用服务器统一响应处理。
2.1.2系统设计要点
1.身份认证机制
移动警务终端接入平台时需遵循严格的身份验证机制,终端在每次接入平台需要警员身份认证(包括警员编号、密码),警员身份认证通过后终端会自动跟后台系统匹配终端设备的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI,只有三号匹配成功,即三号均为后台系统授权的终端设备才能正常启动登入界面。
2.PDR安全策略
PDR即Protection(保护)、Detection(检测)、Response(响应),是入侵检测的一种模型,具有体系完整,功能清晰的特点。
(1)保护
●安全规则的制定:
在安全策略规则的基础上再做细则;
●系统安全的配置:
针对现有的网络环境的系统配置,安装各种必要的补丁,提高安全策略级别;
●安全措施的采用:
安装防毒软件、防火墙(软/硬)。
(2)检测
采取各式各样的安全防护措施并不意味着网络系统的安全性就得到了100%的保障,网络状况是变化无常的,面临这样的问题更多的是要采取有效的手段对网络进行实时监控。
●异常临视:
系统发生不正常情况。
如:
服务停止,无法正常登陆,服务状态不稳定等;
●模式发现:
对已知攻击的模式进行发现。
(3)响应
在发现了攻击企图或者攻击之后,需要系统及时地进行反应:
●报告:
无论系统的自动化程度多高,都需要管理员知道是否有入侵事件发生;
●记录:
必须将所有的情况记录下来,包括入侵的各个细节以及系统的反映;
●反应:
进行相应的处理以阻止进一步的入侵;
●恢复:
清除入侵造成的影响,使系统正常运行。
响应所包含的报告与取证等非技术因素删除,实际上的响应就意味着进一步防护。
3.事件数据库加密保护机制
移动警务终端安全管理平台采用PKI机制进一步确保系统安全性。
平台采用数字签名的加密技术PKI机制保护系统的主要执行文件、数据文件、配置文件、日志文件。
平台通过建立严格的日志记录机制,记录系统启动与关闭情况和系统工作情况,实现对系统的配置文件、临时文件、工作数据文件、日志文件的加密处理,增强系统的安全性。
2.2系统流程
图2.2系统流程
●移动终端启动统一客户端,统一客户端会通过三所提供的VPN拨号SDK(首次拨号需要APN设置),统一客户端会把该SDK集成进来,实现公安网统一客户端内部拨号;
●拨号成功的话,统一客户端会弹出警员登入对话框,要求输入警员编号、密码;
●如果统一客户端的VPN拨号不成功,则无法正常启动统一客户端;
●如果警员输入正确的警员编号及密码,则统一客户端会根据警员编号自动到后台系统匹配当前终端设备的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI(三码);
●如果警员首次登入统一客户端,则系统在判断警员编号首次登入时,会自动记录下该警员的三码、保存在省级应用服务器上;
●如果警员编号非首次登陆,系统在匹配完警员编号后会自动匹配终端设备三码信息,如果三码不匹配,则无法正常启动统一客户端;
●如果三码匹配成功,则完成了统一客户端的认证过程,登入统一客户端系统界面;
●省级应用服务器将根据制定的下发策略、对相应的请求终端设备依据警员权限配置相应的应用,如:
外设管理、互联网禁用、WiFi禁用、警务统一应用、数据推送、定位、首启动抓拍、应用商城等;
●各地级市的终端可以依据权限访问相应的特色应用;
●特色应用通过各地级市TBSG接入各地级市的应用服务器,完成应用的数据交互。
2.3系统层次结构图
图2.4系统层次结构图
●前置服务层:
各地市有自己的前置服务层,每个前置服务层的接口、标准可能各不相同,但是功能都是主要用于逻辑层业务,实现终端页面展现处理结果;
●移动警务安全管理平台:
各地市各厂家部署移动警务应用之前,必须使用统一客户端,经过在管理平台注册、审核通过后方可使用。
移动警务安全管理平台需要统一VPN拨号服务为支撑,以实现安全管理、运行管理、统一终端界面和系统管理等功能,最终达到统一综合管理移动警务应用的目标;
●省级应用服务层:
省级应用服务层针对各地级市终端设备发送过来的VPN登入请求做统一认证处理,检测终端设备的用户认证、三码认证,按照严格的认证机制响应用户请求认证;
●应用服务层:
应用服务器主要用于数据处理与分析;
●数据层:
主要包括了应用数据库、设备数据库、注册信息数据库以及备份数据库。
其中应用数据库用于对系统中各种安全性的一系列数据信息的存储管理;设备数据库用于存储系统中所涉及的所有设备数据;注册信息数据库用于存储用户信息以及用户注册等相关信息;备份数据库用来防止发生故障或者其他异常事件时备份数据层里面的各种数据信息。
第三章系统功能
移动警务安全管理平台功能主要包括用户管理、终端管理、统一客户端、系统运行管理及数据统计分析。
用户管理包括准入管理、权限管理和操作日记等,通过注册管理、用户身份认证、终端接入认证实现安全性管理;终端管理包括策略检测、应用审核以及信息自动推送等功能,实现对不同厂商移动警务终端管理;整合所有现有客户端,通过权限划分,参数设置、一键拨号以及设备管理,实现统一的客户端。
移动警务安全管理平台可对用户注册申请、业务操作请求进行审核与控制,实时监控各地市移动警务的使用情况并进行数据统计分析,支持不同形式图表的展示与数据导出。
系统功能结构图:
图3.1系统功能结构
3.1移动警务安全管理平台
●PGIS实时更新终端设备定位信息:
确定当前移动终端设备在PGIS地图上的具体经纬度信息。
●制定终端设备策略:
后台系统根据警员权限等级制定相应的应用策略,并实现统一下发策略到各地级市前端移动警务终端。
●权限管理:
对警员查询数据的范围、数据的录入、修改、删除等权限进行控制,做到每个警员只能查询到自己职责范围内允许查看到的信息数据。
●信息推送:
实现后台系统实时对前端警务终端设备推送信息。
3.1.1用户管理
3.1.1.1准入管理
本系统采用了PKI技术,支持可公开验证并无法仿冒的数字签名,从而在支持可追究的服务上具有不可替代的优势。
这种可追究的服务也为原发数据完整性提供了更高级别的担保,增加系统的安全管理。
因此进入系统需要验证信息包含警员编号和密码、终端设备的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI。
这些信息填写需要时间较多,可以设置绑定这些信息的一键功能外加身份证确认,减少用户确认时间。
准入管理包括了注册管理、警员身份认证管理和移动警务终端接入认证管理。
●注册管理
各地级市的移动警务终端在对公安内网服务平台进行信息发布、信息查询反馈等服务请求时,都需在移动警务安全管理平台进行申请注册。
注册申请信息包括警员编号、警员相关信息(单位、联系方式等)、终端设备的TF卡证书编号、SIM卡IMSI编号、手机串号IMEI以及有关业务系统的一些属性信息,除了警员编号和部分业务系统的属性信息需要手动填写以外,其他的信息都由系统自动获取。
只有注册成功的认证警员,才能通过身份认证证书进行下一步的功能操作。
服务管理平台可以对注册申请的业务系统的信息进行新增、修改、查询和删除等功能。
平台支持分级审核制度,可由各地市管理员审核各自地市的注册申请
●用户身份认证管理
已注册成功的警员,通过注册的警员认证证书和终端设备信息,即可登录移动警务安全管理平台统一客户端。
若系统验证通过,则可进入进行下一步的功能操作。
●终端接入认证管理
由于该平台业务操作涉及到机密数据,需要实行严格的终端接入验证,只有指定的硬件终端设备,才能通过注册成功的警员编号和密码登陆该平台进行移动执法工作。
3.1.1.2权限管理
平台对移动警务终端警员的权限进行统一管理,对警员在统一客户端上使用警务通用应用进行权限控制,对警员访问的接口进行权限控制。
做到每个警员只能操作自己职责范围内允许操作的数据。
同时,在平台上,也对登陆用户进行权限控制,省厅管理员统一审核所有应用,对统计分析等数据的查看也进行权限控制。
1、管理平台用户权限可配置:
新应用审核,消息推送,统计数据查看,操作日志,设备管理等平台功能都进行统一管理,不同用户登陆平台,有不同的平台功能。
2、警员可安装的通用应用可配置:
应用商城中的警务通用应用,依据警员配置权限,具备权限的才能访问应用商城中相应的应用。
3、接口访问可配置:
对警员安装的应用访问的接口(如全国八大库、六合一接口等)也进行管理,也就是说,对于一个完整的应用,警员要同时拥有安装该应用的权限和访问该应用接口的权限,才能正常的使用这个应用。
4、客户端功能可配置:
开机首启动,默认启用;启动抓拍,默认启用;定位,默认不启用;一键拨号,默认启用;联网状态实时监控,默认启用;
3.1.1.3操作日志
系统记录警员访问过系统的业务或者内网地址,生成操作日志并存档。
平台通过建立严格的日志记录机制,记录系统启动与关闭情况和系统工作情况,实现对系统的配置文件、临时文件、工作数据文件、日志文件的加密处理,增强系统的安全性。
通过该功能可以设置平台操作的相关参数,包括基础数据、服务器IP、警员数等,并能对系统日志进行管理。
警员登录系统后进行的日常操作、非法操作以及系统出现的异常问题会记录在数据库中。
通过查看系统后台日志,可以查询到设备终端接入内网数据库的时间。
3.1.2业务注册与管理
3.1.3终端管理
3.1.3.1策略管理
省厅可对地级市不同的移动警务终端用户安装何种应用、外设管理、互联网禁用、WiFi禁用、警务统一应用、数据推送、定位、首启动抓拍、应用商城进行规定,本系统支持省级应用服务器审核前端终端设备是否按照策略使用警务终端。
3.1.3.2应用审核
省厅需要专门的审核人员针对第三方提交的APK应用进行统一审核,审核的条件包含:
检测应用是否有警员认证、VPN拨号、应用必须注册到统一客户端由统一客户端启动应用等。
3.1.3.3信息自动推送
系统可以实现对相关的警务通知信息、群发信息、紧急信息的统一自动推送至各地级市移动警务终端中,便于第一时间统一通知以及发布警务信息。
3.1.4数据统计分析
3.1.4.1警务终端系统使用数量统计
统计各地市移动警务终端在用数量及日常使用情况,并支持不同形式图表的展示与数据导出。
3.1.4.2警务终端系统业务请求统计
统计各地市移动警务终端业务请求情况,主要包括信息录入、信息查询等不同操作情况。
3.2统一客户端
3.2.1开机首启动
Android系统启动后,系统会发出“Android.Intent.Action.BOOT_COMPLETED”广播,统一客户端通过接收这个广播,并把优先级设置为最高,即可实现开机首启动,并且比其他程序先收到这个广播消息。
客户端软件启动后,屏蔽操作系统桌面,使用只能使用统一客户端提供的桌面进行操作,避免警员直接进入移动警务终端操作系统桌面,进行其他非公安业务的操作。
3.2.2启动抓拍
登入统一客户端时,系统会自动判断移动警务终端是否带内置前置摄像设备,具备前置摄像功能的移动警务终端则自动启动摄像头对启动统一客户端的警员抓拍,并连同登入日志上传至服务器备份。
3.2.3定位
统一客户端提供了两种定位机制:
GPS定位:
GPS定位功能前提是警务终端设备具备内置GPS设备或者外置GPS设备方可使用该GPS定位功能,可通过平台软件实时查看终端设备具体方位,并在平台PGIS地图上实时展现出来。
基站定位:
需要运营商的支持,警务终端设备随机SIM卡结合运营商基站定位实现定位功能。
3.2.3.1基站定位
基站定位方式有多种不同的定位技术包括Cell-Id、AOA、TOA、DTOA、AFLT、E-OTD、ODTOA等。
其中Cell-Id定位技术(也称COO小区定位技术)应用最广,且对终端和网络几乎没有要求,实现起来简单容易,国内三大运营商均支持此种方式,故基站定位采用Cell-Id定位技术。
另外电信运营商除了提供Cell-Id方式外还提供精度更高的AFLT定位方式。
3.2.3.2GPS定位
GPS定位是目前定位精确、应用最为广泛的定位技术,但是使用GPS定位存在三个问题:
一是硬件初始化(首次搜索卫星)时间较长,需要几分钟至十几分钟;二是GPS卫星信号穿透力弱,容易受到建筑物、树木等的阻挡而影响定位精度;三是终端设备开启GPS设备接收位置信息会加快消耗终端电量。
3.2.4参数设置
通过该功能可以设置用户的接入点等参数,设置移动警务终端设备上网的一系列参数,可以导入默认的上网参数等。
3.2.5一键拨号
由于终端设备接入公安内网需经过专用网络通道拨号,再经过VPN身份认证、TBSG网关认证、终端安全管理平台服务器认证等各道关卡,操作步骤繁琐,导致警员体验较差。
同时,整个接入内网过程中,所涉及的厂商、硬件设备等各种因素复杂,不利于问题排除。
因此,实现一键拨号功能,既能更进一步保障安全,又能够极大的减少移动警务终端设备操作麻烦。
图3.3VPN拨号流程图
1:
警务终端设备开机,自动启动统一客户端后台服务;
2:
警务终端设备启动统一客户端应用界面,输入警员编号及密码;
3:
警员输入警员编号及密码,点击登入统一客户端,终端设备开始VPN拨号流程;
4:
根据APN设置,开启专网拨号,如果拨号失败则统一客户端启动失败;
5:
如果拨号成功,初始化完成,程序加载网卡,加载失败则统一客户端启动失败;
6:
网卡加载成功,统一客户端自动读取配置文件,获取IP地址和端口信息,获取配置如果失败则统一客户端启动失败;
7:
统一客户端把数字证书发送到VPN认证服务器认证,认证不通过则统一客户端启动失败;
8:
数字证书合法,建立加密通道,此时拨号尚未成功,进入移动警务终端设备信息认证,并开始计时;
9:
把警员编号密码、警务终端设备TF卡编号、警务终端设备SIM卡IMSI编号、警务终端手机串号IMEI发送到应用服务器器认证,认证不通过则统一客户端启动失败;
10:
认证成功,计时时间小于设置的延时时间,则系统认为拨号成功、认证通过,如果认证失败或者超过延时时间,则系统断开VPN拨号,拨号失败。
3.2.6联网实时监测
为了保障警员在使用移动警务终端设备过程中,均能够在终端安全管理平台的监管之下,系统需实时检测其联网状态。
若非正常情况下断开联网,则系统自动重拨。
同时,系统将在服务器端完成联网日志记录管理。
3.2.6.1联网状态检测
系统从两个方面来保证终端不会连接到外网:
●心跳机制:
通过客户端与公安内网的服务器端定时进行信息交互的方式实时检测,即当信息交互连续失败三次时,系统则将其认定为非公安网连接状态。
●实时侦测:
监听Android系统的网络改变,一旦接收到网络改变通知,且改变后的网络不是公安网,则自动关闭当前网络,并切换到公安网
3.2.6.2自动重拨
在用户未做断开网络连接操作的情况下,设备由于3G信号较弱等其他原因,被检测为处于断网状态。
此时,系统将根据参数设置自动重新拨号。
3.2.6.3联网日志
服务器端根据联网状态检测中,统一客户端与后台应用服务器之间的交互响应情况,获取该设备的上线时间、下线时间等信息,并将该信息与终端设备的证书编号绑定,作为一条完整的日志信息记录保存至数据库中。
3.2.7应用商城
图3.4应用商城结构模式
1.终端设备初始状态主要包含了统一业务、认证管理、外设管理、网络管理、应用管理、定位管理、开机首启动、启动拍照等功能应用;
2.省厅应用管理服务器包含了旧的APK应用统一升级改造,以及遵照新制定的协议开发新的应用;
3.移动警务终端由统一客户端访问省厅应用管理服务器,可按警务通用、本地特色应用、应用更新等形式依据用户认证信息不同获取相应应用。
图3.5应用商城注册流程
●第三方应用开发商需要依据统一规范对现有程序改造,对新开发的应用也必须严格遵照统一规范开发;
●开发或改造好的应用APK需要管理人员对此审核并发布到应用商城,审核包括用户认证审核、VPN拨号审核、应用必须注册到统一客户端由统一客户端启动应用;
●审核通过的应用通过省级边界网关,依据下发策略将应用下发到各移动警务终端设备上。
3.2.8设备管理
●设备统计
通过该功能可以对移动警务设备进行登记备案、设备管理等功能,详细记录在用移动警务终端设备的使用情况等。
●蓝牙打印机、二代身份证阅读器等设备参数设置功能
通过该功能可以进行蓝牙打印机、二代身份证阅读器参数设置功能,参数初始化功能,实现对打印机、阅读器等设备管理功能。
●WiFi、文件传输
通过该功能可以关闭WiFi、禁止文件传输、禁止互联网访问权限等,加强终端设备对信息的保密。
第四章与现有系统对接要求
4.1对接要求
依据系统安全性需要,本对接方案以警务终端所有应用均需要由统一客户端启动的原则,需要对第三方提交的所有移动警务终端应用APK做统一审核及启动接口改造,以此提出以下两点对接要求:
对接要求一:
为移动警务终端所有应用提供一个统一登录认证的入口,避免前端移动警务终端访问多个应用时重复登录。
对接要求二:
避免Android系统存在绕开统一客户端直接进入应用的接口,删除系统快捷方式,所有应用均注册到统一客户端,由统一客户端统一启动应用。
第五章系统性能指标
表5.1系统性能指标
项目
指标
安全保障措施
身份认证、证书绑定
权限控制原则
注册认证才可进入
系统故障恢复时间
5小时内
负荷性能
负荷时不出现明显性能下降
接口
XML标准协议
系统工作温度
无加热、散热装置时,-10℃~+60℃
系统工作湿度
<95%@+40℃,无凝结
第六章主要设备清单及配置
6.1应用服务器
参考某一市警员4000人,一天按24小时、8小时一班计算,按照1500人同时使用率30%、使用中并发请求未返回15%计算,并发请求数65-70;参考应用系统使用2倍峰值,最大并发请求数130-140;
全省9地市所有警员应用4万人范围,并发请求数650-700左右;参考应用系统使用2倍峰值,最大并发请求数1300-1400;
通过Web负载均衡方式,并采用轮询云计算扩展,在一地市部署,可以使用2台PC服务器完成应用系统WebService构建,并支持未来32台服务器负载均衡。
6.2数据库服务器
参考应用系统警员一地市、全省上线考虑,采用国际顶级数据库软件提供商甲骨文公司Oracle11GR2企业版、并部署到LinuxRedhat企业版,在保证365*24小时不间断工作情况下,也为未来数据库动态负载均衡扩展进行前驱性考虑。
在1300-1400并发请求下,保持数据库服务器CPU50%低水位,以便对2倍峰值的请求进行预先性预留。
6.3配置列表
名称
终端数/数量
说明
认证服务器
40
升级会员 