某公安局网络安全方案.docx

1、某公安局网络安全方案某公安局网络安全方案（建议稿）一、 某公安局网络现状某公安局网络作为信息基础设施，是机关信息化建设的基石。某公安局网络 开通到上级省厅及全国各地公安网站的数字专线出口， 与局内各楼、其它一些分 局及派出所和INTERNE连接。某公安局网络提供公安局各单位的互联通道，实 现机关局域网络全部节点及终端设备的网络互联和系统集成，实现以信息交换， 信息发布为主的综合计算机网络应用环境，为公安局管理、领导决策提供先进的 技术支持手段。整个某公安局网络通过统一的出口， 64K的DDN专线接入上级省厅及全国各 地公安网站，网络主干网通过一个 Motorla （S520）路由器连接到上级网

2、络。某 公安局网络在物理结构上主要分成两个子网， 两个子网通过路由器连接。在逻辑 上，某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。 网络系统分布在整个，规模较大。某公安局现有网络的拓扑结构见图一所示。某公安局网络已经有了比较成熟的应用，包括 WWW务，Mail服务，DNS服 务等的一些其他应用，如内部信息等，也已经转移到网络应用之上的 Web应用主 要是用于内部信息的管理，应用模式主要包括数据库客户 /服务器模式、客户/ 服务器模式与浏览器/WW服务器模式某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯以上是某公安局网络及其应用的现状某公安局网络安全需求分析互蔓

3、的嵋團州贞 -某公安局网络系统现在的 Web应用主要是用于公安局内部信息管理，因而存在着强烈的安全需求。网络安全的目标是保护和管理网络资源（包括网络信息和网络服务）网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次，在不 同层次上的安全需求如上图所示。某公安局网络的安全需求覆盖网络层以上的部分，并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面： 网络层安全需求、应用层安全需求和安全管理需求。目前第一期解决网络层安全需求1.网络层安全需求网络层安全需求是保护网络不受攻击，确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的，包括：隔离内外部网络；实

4、现网络的边界安全，在网络的入出口设置安全控制； 实现安全漏洞检测，及时发现网络服务和操作系统存在的安全隐患，及时采取补救措施，将安全风险降到最低。 具体而言，某公安局网络系统在网络层的安全需求可以描述为：解决网络的边界安全，防止外部攻击，保护内部网络；通过防火墙和应 用代理隔离内外网络； 内外网络采用两套不同的IP地址，实现地址翻译(NAT功能；根据IP地址和TCP端口进行入出控制；基于IP地址和MAC地址的对应防止IP盗用；基于 IP 地址计费和流量控制；基于 IP 地址的黑白名单；防火墙对用户身份进行简单认证；根据用户身份进行入出控制；基于用户的计费和流量限制；10) URL检查和过滤。2

5、.应用层安全需求某公安局网络应用层安全需求是针对用户和系统应用资源的， 必须确保合法 用户对信息的合法存取。 某公安局网络的信息资源须按需求的安全等级进行系统 而周密的规划， 根据规划采取相应的安全管理手段来保证系统的实用、 可靠和安 全性。某公安局网络应用主要是应用于公安局内部的信息管理，因而：外部非授权用户不得拥有访问公安局内部信息的权限；内部、外部授权用户只能拥有系统赋予的访问授权；不同级别的内部用户拥有对信息的不同访问权限；不同部门的内部用户拥有对信息的不同访问权限；某个部门的信息可以授予其他部门内部用户一定的访问权限；授权用户不论在什么地方， 什么时间， 对信息的访问权限应该是一致的

6、；某公安局网络应用层的安全威胁主要是：身份窃取和假冒数据窃取和篡改非授权存取否认与抵赖以上安全威胁产生的安全需求如下：数据保密：由于无法确认是否有XX的用户截取网络上的数据，需要一种手段来对数据进 行保密。数据加密就是用来实现这一目标的。数据完整性：需要一种方法来确认送到网络上的数据在传输过程中没 有被篡改。数据加密和校验被用来实现这一目标。身份认证：需要对网络上的用户进行识别，以确认对方的真实身份， 保证身份不被窃取与假冒。访问授权：需要控制谁能够访问网络上的信息，并且他们能够对信息 进行何种操作。访问授权能够防止对系统资源的非授权存取。审计记录：所有网络活动应该有记录，这种记录要针对用户来

7、进行， 可以实现统计、计费等功能；还可以防止否认，确保用户不能抵赖自己 的行为，同时提供公证的手段来解决可能出现的争议。通过应用层的安全管理，最终要使某公安局网络系统达到下面的目标：1963d-Numbered_b67586b3-4bcd-4a面向所有服务的粗粒度的安全控制：解决网络的整体安全，内外兼防，保护数据和信息安全；用户和服务器之间实现严格的身份认证；基于严格身份认证的统一授权管理；访问控制粒度要求达到TCP端 口一级；数据传输时加密以实现数据保密和不可抵赖等；实现审计记录功能。1963d-Numbered_b67586b3-4bcd-4a面向Web服务的细粒度的安全控制：要求解决WE

8、腕用的整体安全，内外兼防，保护数据和信息安全；解决HTTP的安全问题；解决CGI的安全问题；用户和WEB应用服务器之间实现严格的身份认证;根据用户身份实现 WEE空间的统一授权管理；访问控制粒度要求达到文件和页面一级;实现WEB空可的安全单点登录；实现WEB空可的目录服务；实现信息访问频率和用户访问频率统计。3） 由于某公安局客户端的地理分布广泛， 要求系统的安全控制支持公钥系 统，支持SSL协议；3.安全管理需求3.1网络层安全管理网络层的安全管理主要结合网管系统进行，主要内容如下：完成对路由器、交换机、访问服务器的安全配置，具体包括：设备配置授权、路由配置、 VLAN配置（根据端口或 MA

9、C地址）、IP过滤配置、TCP端口访问控制、拨号认证（如RADIUS TACACS 等）配置、路由器加密配置等。完成防火墙的配置，具体包括：防火墙操作系统配置、基于规则的 IP过滤配置、安全TCP端口及访问授权配置、内容过滤配置、 NAT地址翻译配置等；堡垒主机配置，包括各应用代理或应用网关的配置。 安全检测软件配置：包括网络服务漏洞检测和操作系统漏洞检测。3.2应用层安全管理完成用户注册，建立用户档案，完成用户分组，形成全网统一一致的用户空间；完成网络资源的统一配置，形成全网统一的资源空间； 根据用户身份完成访问授权配置，形成全网统一一致的授权管理； 支持单点登录，实现基于单一口令的访问控制

10、；形成访问记录，为统计和分析提供事实依据，并且防止抵赖，为事故责任分析奠定基础； 通过实用的安全管理软件实现安全管理。4.信息资源的安全分类某公安局网络的信息资源的安全分类如下：公众信息 - 不需要身份认证和访问控制；内部信息 - 需要身份验证并根据身份进行相应的访问控制；敏感信息 - 需要验证身份、根据身份进行相应的访问控制而且在信息 传输过程中采取加密措施。某公安局网络的服务类型的安全分类如下：内部服务 - 面向内部的授权注册用户，管理和控制内部用户对信息资 源的访问。根据用户的身份或角色，对用户可使用的服务进行授权，包 括对外的访问。公众服务资源 - 面向互联网络，防止和抵御外来的攻击。

11、三、 某公安局网络安全解决方案某公安局网络安全系统的总体目标是根据前面提到的所有的安全需求， 解决某公安局网络系统的安全问题采用昊普创业安全防范技术公司拥有的从网络层到应用层的一整套网络安全技术和产品，我们为某公安局 网络系统设计了包括网络层、应用层安全控制、网络安全管理和安全监测的一套立体的、全方位的安全解 决方案。考虑到的实际情况，我们设计了一个两期的方案，可以逐步实现某公安局的完全的安全防范措施。1一期解决方案 不论什么情况，考虑网络安全问题必须同时注意到网络层和应用层两方面的安全问题。在某公安局网络安 全一期解决方案中也是这样考虑的。安全网络拓扑结构某公安局网络安全系统一期解决方案需要

12、实现网络层和应用层的基本安全配置，包括边界防火墙的配置， 应用层安全服务器的基本配置。一期解决方案的安全网络拓扑结构见图三所示。内部网络通过路由器连接到省厅网络和 Internet 。在路由 器后面设置了一个带三网卡的 HotTiger硬件防火墙，实现网络层的安全控制。其他在 3COM15O0各由器后面设置了一个带双网卡的 HotDog计费型防火墙，实现网络层的安全控制防火墙后面连接昊普公司的 HotCat安全认证计费系统，实现应用层的安全访问控制和安全管理。边界防火墙 HotDog 的配置边界防火墙采用昊普创业 HotTiger硬件防火墙。其他采用 HotDog该产品运行在具有安全核心的操作

13、系统 的基础上，保证防火墙的平台安全。在某公安局网络安全系统一期建设中，将使用带双网卡的 HotDog，并启动其IP包过滤、IP计费、地址翻译NAT IP和MAC地址对应功能以及应用代理服务 SQUID边界防火墙 HotDog 上面有两块网卡， 可以配置两个不同的 IP 地址，其中一块使用合法的 IP 地址， 另一块 使用内部保留地址，如 192.168.0.x ，实现地址翻译 NAT功能，达到隐藏网络内部地址的作用。通过HotDog,可以隔离内外网络，解决网络的边界安全问题。 HotDog具有基于规则的包过滤功能，可以根据IP地址和TCP端口进行入出控制。同时 HotDog可以把IP地址和网

14、卡的 MAC!址对应起来，防止IP被 盗用的危险。HotDog同时是一个应用代理防火墙，可以通过应用代理隔离内外网络。 HotDog支持简单的用户身份认证，可以根据用户身份进行入出控制。HotDog具有比较全面的计费功能。HotDog的计费是可以根据IP和用户进行 双向计费的，就是说可以针对内部网络的 IP 进行流出和流入的计费，也可以针 对外部网络 IP 到我们的防火墙的流量对其进行计费，而且对于要求用户验证方 式的Firewall/Proxy ，HotDog还可以提供基于用户的流量计费。应用层安全拨号认证计费服务器 HotCat 的配置在边界防火墙 HotDog 之后，设置了一个应用层的安

15、全服务器，采用昊普创业 HotCat 拨号认证计费系统 。一期建设使用一个带100，000用户的HotCat拨号认证计费安全服务器软件。某公安局网络运行的应用很多， 解决应用层的安全问题是这次网络安全解决方案的重点。 在传统的观念中， 配置防火墙就是解决安全的全部。事实上，网络建设中网络部分仅仅是一个基础，更重要的是建立公安局 的网络应用，就如我们不是为修路而修路，而是为了跑车才修路。前面我们分析了某公安局网络系统的应用层安全需求， 通过 HotCat 拨号认证计费安全服务器软件， 将解决 这些问题HotCat- 网猫系统是专门为设计的拨号上网用户身份认证和计费系统。它采用目前国际通用的Rad

16、ius（Remote Authentication Dial In User Service） 认证和计费标准，具有良好的扩展性和兼容性。该系统运行于 Unix 和 Linux 系统环境下，与 HOTCAT-网猫 2.1 计费系统结合可以完成对拨号上网用户的 身份认证和计费全过程。此系统包括三个模块：用户身份认证模块 , 实时记录模块和计费模块。HotCat- 网猫系统可运行在各种常见的 UNIX 平台上。目前经过实际测试的有以下操作系统：Sun 公司的 Solaris 2.5.1 （以上）操作系统；Linux Redhat 5.0 （以上）操作系统。二、用户身份认证模块 （Radius 模块

17、 ）用户身份认证模块提供对拨号用户的身份认证和属性设置，它能实现以下功能：用户身份认证用户权限设置1、限制用户的同时上线数目2、限制用户的上线时间3、禁止用户上线三、费用计录模块（ Builddbm 模块）HOTCAT-网猫 2.1 计费系统将从该文件中读取信息并进行费用计算。四、费用计算模块（ HotCat- 网猫 2.1 模块）五、系统支撑环境及其运行5.1 系统运行环境HotCat- 网猫拨号上网认证及计费系统运行在 UNIX 环境下，目前经过测试的系统平台有：Sun 公司的 Solaris 2.5.1 （以上）操作系统Linux Redhat 5.0 （以上）由于我们同时支持 Sola

18、ris 和 Linux 操作系统，因此 HOTCAT-网猫 2.1 计费系统可以运行在 Sun 服务器和 低档PC服务器上。但对计费系统这样需要大计算量和高可靠性的系统而言，我们并不推荐使用低档 PC服务器，另一方面，低档服务器所能容纳的用户数量也较少。系统性能评价到目前为止， 已经有两家中等规模 （用户数在一到两万人之间） 的 ISP 公司购买了 HOTCAT-网猫 2.1 系统， 并使用了近两年。使用的硬件设备是 Sun Ultra 2 服务器，运行环境为 Sun Solaris 2.5.1 操作系统。经 统计分析，每台 Sun Ultra 2 服务器大约能支持 8,000 到 10,00

19、0 左右的用户，能支持大约 600-800 个同时 上线用户；在容纳 10,000 用户的情况下， 计费系统每天运算时间大概为 3至6分钟不等， 运算期间占用处 理器 95%以上的资源，计算时间选择在凌晨两点进行系统的运行利用 Unix Crontab 可以在每天定时运行 HOTCAT-网猫 2.1 系统，对前一天的用户信息进行统计分析。由 于运算要占用大量的系统资源，因此通常选在凌晨 02:00:00 到 05:00:00 之间进行，这时的网络和服务器 都接近空载运行， 因此对系统的影响最小。 除了 report32 在月底结算时运行外， 其余 ss32、day32、month32 程序都是

20、由 UNIX Crontab 激活， 每天凌晨定时运行。在特殊情况下， 系统管理员也可以手工运行 HOTCAT-网猫 2.1 系统进行计费运算，除非系统突然崩溃，造成当天的计费系统没有正常运行，否则不需要手工运 行系统。某公安局网络安全管理 某公安局网络安全管理包括网络层和应用层两方面，网络层主要是通过网管软件的配置来完成的。下面我 们重点介绍应用层的安全管理。应用层的安全管理以用户身份认证和授权管理为重点。使用网络安全技术中的安全管理控制台软件。1.6 小结通过一期建设，将使某公安局网络系统具有一个基本的安全保障系统，即在网络层和应用层都有相应的安 全措施，网络层防火墙的基本功能基本实现，应

21、用层的基本需求也满足了。但是还存在不足的地方，需要 在二期建设中解决，包括：1） 网络层的安全管理并不是很完善，需要增加安全检测；2） 需要解决应用层对除 Web服务之外所有服务的安全控制；3） 在应用层，需要解决可靠性和负载平衡问题。2 二期解决方案二期建设主要是解决上面提到的三个问题。安全网络拓扑结构二期建设完成之后，某公安局的安全网络拓扑结构如图所示。与一期建设的安全拓扑结构相比， 二期结构使用一个带三网卡的 HotDog 防火墙，并启动安全检测功能。 增 加了一个 HotContorl 安全认证服务器作为 CA。使用带三网卡的HotDog防火墙，可以直接连接HotContorl安全认证

22、服务器作为 CA组成一个非军事化区， 以便更好地隔离内外网络。网络安全检测系统采用 HotEagie 网鹰安全检测软件包， 可以及时发现某公安局网络内部存在 的安全漏洞。 HotEagie 网鹰安全检测软件包可以检测网络服务、 操作系统存在 的安全漏洞， 模仿多种黑客的攻击方法， 不断测试安全漏洞， 并将测出的安全漏 洞按照危害程度列表。 在安全漏洞检测软件的支持下， 通过网管软件或人工配置 的方法，可以完备系统配置，消除多数人为的系统管理安全漏洞（如：必须禁止 超级用户的远程登录，不能使用早期的 SENDMAI版本）。安全检测是网络日常 管理的重要内容，是网络安全可靠运行的重要保证。安全检测

23、是一支“矛”，测出了网络存在的安全漏洞，针对这些漏洞采用安 全防护措施，架设必要的“盾”，是系统安全管理的关键内容。3总结结合网络的层次结构和管理需求，某公安局网络的安全解决方案包括网络层安全方案、应用层安全方案和 安全管理三个方面。整个安全方案以安全管理为导向，实现了覆盖网络层、应用层的立体安全解决方案。 整个方案既保证了网络的边界安全，又保证了网络的内部安全，同时实现了系统安全和数据安全，是一个 全面解决方案。某公安局拓扑图仅供个人用于学习、研究；不得用于商业用途For personal use only in study and research; not for commercial

24、use.Nur f u r den pers?nlichen f u r Studien, Forschung, zu kommerziellen Zwecken verwendet werden.Pour l e tude et la recherche uniquement a des fins personnelles; pas a des fins commerciales.to员bko gA.nrogeHKO TOpMenob3ymrnflCH6yHeHuac egoB u HHuefigoHM仅供个人用于学习、研究；不得用于商业用途For personal use only in

25、study and research; not for commercial use.Nur f u r den pers?nlichen f u r Studien, Forschung, zu kommerziellen Zwecken verwendet werden.Pour l e tude et la recherche uniquement a des fins personnelles; pas a des fins commerciales.to员bko gA.nrogeHKO TOpiuenob3ymTflCH6yHeHMac egoB u HHue肉go 员冶hbiUCnO 员 B30BaTbCEb KOMMepqeckuxue 贝 ex.