移动警务平台技术方案.docx
《移动警务平台技术方案.docx》由会员分享,可在线阅读,更多相关《移动警务平台技术方案.docx(6页珍藏版)》请在冰豆网上搜索。
移动警务平台技术方案
1.项目背景
随着公安信息化的深入和第三代移动通信(3G)网络技术的发展,以笔记本电脑为代表的移动终端基于WEB浏览器通过公网访问公安信息网资源(移动警务B/S应用模式)成为可能。
但是,移动警务B/S应用模式在应用授权管理、终端安全管理和网络访问控制等方面面临更多新的安全威胁。
鉴于此,公安部科技信息化局组织有关单位对移动警务B/S应用安全接入模式进行了研究,制定了切实可行的方案,并于2011年1月初下发了《移动警务B/S应用安全接入规范》(以下简称《规范》)。
《规范》在《指导书》要求的信道加密、认证接入、网闸隔离和安全管理等防护措施基础上,增加了终端加固、访问控制和级联监控等安全措施,用于增强移动警务安全接入特别是B/S应用模式的安全防护。
目前,一方面由于湖南省公安各警种人员队伍的壮大,另一方面随着《规范》的发布,为了使湖南省公安厅移动警务系统能够满足公安部的建设要求,进一步提升湖南省公安厅移动信息化水平,更好地满足一线民警移动办公的需求,需要接入一套安全隔离与交换系统(简称“网闸”)对现有移动警务系统进行升级、改造。
2.方案设计
网闸功能丰富,可根据具体网络情况适当开启需要的功能。
2.1.访问控制
系统支持强大的访问控制策略,支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。
2.2.地址绑定
提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP和MAC地址进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方便网络IP资源管理。
2.3.内容检查
网闸提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。
网闸的内容检查机制主要针对HTTP、FTP、邮件及文件交换等应用,包括URL过滤、关键字过滤、Cookie过滤、文件类型检查、病毒查杀及入侵检测等操作。
⏹URL/域名过滤
网闸可对用户访问的Web站点的域名及URL等进行基于正则表达式的过滤,禁止用户访问暴力、色情、反动的主页或站点中的特定目录或文件。
⏹黑/白名单关键字过滤
网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤,进行单词及短句的智能匹配,禁止包含特定关键字的敏感信息泄漏,或只允许包含相应关键字的文件通过网闸传递。
⏹COOKIE过滤
网闸可对COOKIE进行过滤。
通过对COOKIE进行过滤,可以防止敏感信息的泄漏。
同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。
⏹文件类型检查
网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递。
避免传输二进制文件可能带来的病毒和敏感信息泄露等问题。
⏹病毒及恶意代码检查
系统可内嵌杀病毒引擎,针对文件交换模块、FTP访问模块、安全浏览模块、邮件访问模块防病毒功能。
对允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒及Java/JavaScript/ActiveX等恶意代码,支持本地升级及远程升级。
⏹入侵检测
可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。
2.4.高安全的文件交换
网闸提供基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。
不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。
2.5.内置的数据库同步模块
网闸的数据库同步模块,独立自主开发完成,完全内置于网闸内部,所有的同步操作由网闸自己独立完成。
不在用户数据库中安装任何客户端软件,不需要在用户网络中部署专用服务器,对用户数据库不作任何改变。
该模块支持Oracle和SqlServer等流行数据库版本,同时预留开发接口,定制支持各种数据库系统。
在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要。
由于是网闸自身发起的动作,所以网闸两侧不开放任何基于数据库访问或者定制TCP的网络服务端口,避免网络安全漏洞。
2.6.融合加密、认证、授权多安全技术于一身
网闸通过专用SSL通道客户端拨入,拨入链路通过SSL协议进行加密,认证通过后,结合拨入终端应有的权限,对拨入用户进行授权,即为此终端用户应具有的访问权限,通过授权防止方法用户的非法访问。
认证保证终端用户访问身份的合法性、加密保证数据传输的安全性、授权保证终端用户访问业务系统的合法性、加之网闸固有的协议转换、双通道结构等众多安全特性,最大程度保证高安全域网络的安全性。
2.7.高可用设计
网闸遵循高可用性设计,支持网络口、HA多种高可用实现模式,最多支持32台设备进行负载均衡,全面解决设备故障与链路故障造成的业务中断,保证系统7X24小时不间断服务。
2.8.轻松的管理
网闸配备专门的管理端口,通过数字证书认证与管理信息的加密传输实现网闸设备的集中管理。
系统采用全中文的Web方式进行远程网络管理,界面友好,操作方便。
系统管理员和审计员实现分权管理,使得对网闸的管理更加安全可控,避免人为因素带来的安全风险。
2.9.传输方向控制
网闸采用双通道通信机制,从可信网到非可信网的数据流与从非可信网到可信网的数据流采用不同的数据通道,对通道的分离控制保证各通道的传输方向可控。
在特殊应用环境中可实现数据的单向传送,以避免信息的泄漏。
2.10.协议分析能力
系统支持HTTP/HTTPS、POP3、SMTP、FTP、SAMBA、NFS、DNS等多种应用层协议,可对常见协议的命令和参数进行分析和过滤。
应用数据以“原始”的形态在内外主机模块中传递,数据包经过预处理、安全决策、RFC校验、协议分析、数据提取、格式化等多个处理模块的检查,充分保证了交换信息内容的安全。
2.11.完善的安全审计
网闸提供管理员多种手段了解网络运行状况及可疑事件的发生。
用户可根据特定的需要进行日志审计(包括系统日志、访问控制策略日志、应用层协议分析日志、应用层内容检查日志等)。
系统支持本地日志缓存,可实现本地日志的浏览查询等操作。
日志依据事件的重要程度分为错误/警告/通知三级,支持Syslog日志存储,可实现日志的分级发送。
网闸提供管理员多种手段了解网络运行状况及可疑事件的发生。
主要方式如下:
控制台方式:
通过管理控制台可以实时监控日志告警信息。
Syslog:
以Syslog方式向管理工作站发送告警信息。
电子邮件:
通过向管理员指定的电子邮件帐号发送电子邮件来发送报警信息。
2.12.强大的抗攻击能力
网闸具备强大的抗攻击能力,内外网主机模块采用专用的安全操作系统,内核经过特殊定制,实现强制性访问控制,保护自身进程及文件不被非法篡改和破坏。
2.13.多样化的身份认证
网闸支持多样灵活的身份认证方式,包括:
本地用户名及口令认证、基于数字证书的认证、RADIUS远程访问认证及LDAP认证等。
●本地认证
系统内置认证数据库提供本地的用户名、口令认证,支持HTTP/HTTPS方式实现认证信息的获取。
●数字证书认证
网闸支持数字证书认证,允许客户端通过HTTP连接向服务器发送访问请求。
网闸可导入根证书,通过检查用户证书格式、证书的过期时间、签发者等信息以确认访问者身份的合法性,还可依据用户身份属性判断其是否具有适当的访问权限。
●RADIUS远程访问认证及LDAP认证
网闸向第三方认证服务器发送用户名和口令,一旦认证服务器认证成功,则网闸允许用户访问。
2.14.负载均衡解决方案
网闸支持负载均衡解决方案。
网闸群集可实现动态管理和维护,根据实际响应时间制定优先响应策略,从而提高系统总体性能、优化流量管理、提高群集性能,保证系统正常运行的高可用性和高可靠性。
如果访问量超出了网闸的响应能力,只需增加服务器数目即可实现系统的平滑升级,无需第三方软件支持。
3.方案优势
3.1.安全高效的硬件交换系统
网闸具有自主研发的内外主机系统间的安全检测与控制处理单元,采用专有电路设计的双通道高速数据交换卡,实现了独立的硬件交换控制逻辑,无操作系统及任何“软”控制,自主完成数据的交换,系统只负责把数据写到隔离交换卡中的缓冲区,由隔离交换卡根据硬件控制逻辑自动完成数据交换,自动同步两侧控制逻辑,进行互斥的读写操作,同时还具有自动数据完成性校验,当发现数据错误时,自动重传,保证数据的完全正确。
在保证安全性的同时,提供更好的处理性能,能够适应各种复杂网络环境对隔离应用的需求。
网闸在内外主机系统间采用专有协议,阻断网络连接,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
3.2.可靠的冗余和负载均衡架构
网闸基于可靠性的考虑,通过双机热备等技术保证了在网络或设备故障时,业务的不间断运行。
在网络流量较大时,也可能会造成业务不可用和响应速度下降,网闸支持多台设备的负载均衡(最多支持32台),最大限度的提升了网络的可用性。
3.3.先进的数据库同步技术
网闸常会应用在数据库服务器的环境中,为了实现数据库同步,一般情况下都需要在内、外网数据库服务器上安装数据库同步软件,这不仅会占用数据库服务器的资源、增加部署和实施的难度,同时不可避免会有漏洞。
网闸采用先进的同步技术,无需在内、外网数据库服务器上安装第三方同步软件,减少因安装第三方同步软件造成对数据库影响的可能性,还可提供对数据库用户的细粒度控制。
同时由于不用开放监听端口,更具安全性,为用户提供了性价比极高的数据库同步解决方案。
3.4.核心应用的安全最大化
从安全实现的角度来讲,越接近应用层,则安全问题越复杂,解决问题也越困难。
安全隔离与信息交换系统将应用层的数据转换成专有的数据格式进行处理,只允许安全的、可靠的信息在网络中传递。
信息的格式、内容、交流对象等因素可依据企业安全策略指定,简化了核心应用面临的安全问题,确保了核心应用的安全最大化。
传统的安全检测产品只能发现利用已知安全漏洞发起的攻击。
如果一种攻击手法还没有公布,则凭借现有的技术无法了解其攻击特征,也就无法识别攻击行为。
网闸对数据的交换不依赖于任何通用协议,没有数据包的处理及连接会话的建立,而是以静态的专有格式化数据块的形式在内/外网间传递,因此不会受到任何已知或未知漏洞的威胁。
3.5.强大的定制扩展能力
网闸不但提供标准的信息交流服务,如文件交换、安全浏览、邮件交换、数据库同步等,还提供二次开发接口,以满足众多专业应用系统的安全数据交换需要。
还可依据用户应用系统特征,定制相应的协议检查模块,对行业专有应用协议及相应数据格式进行定制分析,确保只有符合组织安全策略的数据可通过网闸进行传递,真正实现按需通过的安全目标,提升公安厅移动警务平台的整体安全水平。
升级会员 