公安系統“一機多網(wǎng)”安全行為防范

近年來(lái)，信息技術(shù)的飛速發(fā)展讓人們獲取、交流和處理信息的手段發(fā)生變化，信息化進(jìn)程的推進(jìn)也為公安系統開(kāi)展工作帶來(lái)新的挑戰。為應對新形勢下對公安執法提出的新要求，國家提出了以“公安信息化工作”為核心，以“科技強警”為目標的國家公安信息化工程——“金盾工程”。該工程自1998年開(kāi)啟立項以來(lái)，我國公安信息化建設獲得突破性進(jìn)展，特別是全局應用系統框架的部署和實(shí)施，使得各公安系統網(wǎng)絡(luò )信息系統發(fā)生了重大變化，通信速度更高效、業(yè)務(wù)的信息化程度更深入、應用與業(yè)務(wù)結合的更緊密、基層應用更為普及，極大提升了公安系統機關(guān)維穩處突、便民服務(wù)的工作水平，但不容忽視的是，對公安網(wǎng)絡(luò )安全可靠運行提出了更高的要求。針對公安系統在網(wǎng)絡(luò )安全方面存在的問(wèn)題，國內領(lǐng)先的內網(wǎng)安全解決方案提供商明朝萬(wàn)達公司歷經(jīng)多年研發(fā)推出了Chinasec可信網(wǎng)絡(luò )安全平臺，為“金盾工程”的精細建設提供更完整的安全技術(shù)保障。

背景概述：

毫無(wú)疑問(wèn)，公安系統的信息化在促進(jìn)公安系統各項工作順利開(kāi)展、提高工作效率的同時(shí)，因其網(wǎng)絡(luò )應用擴大導致安全風(fēng)險也變得更為嚴重。由于公安系統重要業(yè)務(wù)系統都處于涉密網(wǎng)絡(luò )，其內部網(wǎng)絡(luò )承載的數據非常重要，安全保密性要求非常高，所以各地公安系統網(wǎng)絡(luò )除了與公安專(zhuān)網(wǎng)連接之外，與其它網(wǎng)絡(luò )的連接將被嚴格禁止，按照保密要求，必須達到物理隔離。然而從實(shí)際運營(yíng)情況分析，各地分局普遍存在私自通過(guò)ADSL、無(wú)線(xiàn)等方式接入互聯(lián)網(wǎng)或者其他網(wǎng)絡(luò )的情況，此種方式在公安系統內稱(chēng)為“一機多網(wǎng)”行為。“一機多網(wǎng)”現象的存在，為公安系統保密工作帶來(lái)了很大隱患，也引起公安部和各省廳從技術(shù)到管理角度采取了系列措施以有效規避類(lèi)似行為發(fā)生。

物理斷開(kāi)造成了應用與數據的脫節，影響了公安系統的工作效率；“一機多網(wǎng)”則讓公安系統信息網(wǎng)絡(luò )面臨著(zhù)嚴重的泄密威脅。無(wú)論是公安部信息化建設的主管，還是致力于網(wǎng)絡(luò )安全防護的廠(chǎng)商都意識到，物理斷開(kāi)、杜絕“一機多網(wǎng)”只是一種手段，保護公安系統涉密網(wǎng)絡(luò )的安全才是最終目的。作為致力于內網(wǎng)安全管理的安全廠(chǎng)商，明朝萬(wàn)達公司組織科研團隊、依托Chinasec可信網(wǎng)絡(luò )安全平臺，面向公安系統提出了完善的內網(wǎng)安全解決方案。

存在問(wèn)題：

明朝萬(wàn)達科技人員在對公安信息網(wǎng)絡(luò )進(jìn)行綜合評估分析之后發(fā)現，目前各地公安局在公安專(zhuān)網(wǎng)的安全性上還存在著(zhù)多方面的問(wèn)題：

（1）全網(wǎng)安全系統建設沒(méi)有整體規劃，無(wú)法形成符合公安系統網(wǎng)絡(luò )和應用系統現狀 的全局網(wǎng)絡(luò )安全體系架構；

（2）安全系統建設思路還比較陳舊，網(wǎng)絡(luò )安全防預停留在部門(mén)防預的層面上，網(wǎng)絡(luò )核心資源得不到有效保護；

（3）還缺乏網(wǎng)絡(luò )準入控制、終端安全防御、用戶(hù)行為審計等技術(shù)措施，對網(wǎng)絡(luò )安全事件的源頭無(wú)法全面控制；

（4）對公安系統骨干網(wǎng)絡(luò )的安全審計檢測不全面，無(wú)法全程監控安全事件傳播軌跡；

（5）還存在安全孤島問(wèn)題，未對公安系統各單位的網(wǎng)絡(luò )安全設備產(chǎn)生的運行日志和安全報警信息實(shí)現前面采集和整合，無(wú)法及時(shí)、準確的掌控全網(wǎng)安全情況；

（6）未形成一套有效的網(wǎng)絡(luò )安全管理機制，安全管理與網(wǎng)絡(luò )管理、應用管理脫節，未形成功能互補、流程清晰、職責明確的運維管理工作局面。

Chinasec的解決方案

針對公安系統網(wǎng)絡(luò )應用及網(wǎng)絡(luò )安全存在的問(wèn)題，明朝萬(wàn)達整體一致內網(wǎng)安全解決方案依托Chinasec可信網(wǎng)絡(luò )安全平臺，同時(shí)提供數據保密、身份認證、授權管理、終端安全管理和監控審計，形成一個(gè)完整互動(dòng)的內網(wǎng)安全策略。

安裝了Chinasec軟件的計算機終端發(fā)出的所有數據包均進(jìn)行了加密處理。加密在網(wǎng)絡(luò )層進(jìn)行，IP頭以下的數據均被加密，非IP數據包受到禁止（ARP包除外）。Chinasec軟件目前版本軟件采用AES加密算法進(jìn)行網(wǎng)絡(luò )加密，密鑰256位，密鑰由服務(wù)器統一生成和下發(fā)，每小時(shí)更換一次。同時(shí)，同一安全域（VCN）內的計算機采用相同的加密密鑰，兩兩通訊時(shí)接受方能夠自動(dòng)識別發(fā)送方的數據包并解密。加密密鑰不用協(xié)商，而是由服務(wù)器自動(dòng)生成并下發(fā)，由于服務(wù)器和客戶(hù)端之間的通道已經(jīng)加過(guò)密了，所以這個(gè)密鑰下發(fā)過(guò)程是安全的。不同安全域密鑰不同，無(wú)法通訊。安全域外的計算機不能識別安全域內計算機發(fā)出的數據包，無(wú)法進(jìn)行通訊，從根本上杜絕了非法外連和非法接入。

除此之外，適用于公安系統的Chinasec可信網(wǎng)絡(luò )安全平臺可根據各地公安系統自身安全體系建設的需要規劃增加基于數字證書(shū)的統一計算機登陸授權管理體系、基于數字證書(shū)的個(gè)人保密磁盤(pán)、移動(dòng)存儲介質(zhì)管理、中斷監控管理系統以及內網(wǎng)安全域劃分等擴展性應用，從根本上解決了公安系統網(wǎng)絡(luò )在網(wǎng)絡(luò )安全、訪(fǎng)問(wèn)安全、應用安全、內容安全和案例安全方面存在的系列問(wèn)題。

案例實(shí)施

2007年底，北京公安局A分局為了杜絕“一機多網(wǎng)”行為的發(fā)生，維護公安系統信息安全、可靠的運行，公開(kāi)招標尋求最佳的內網(wǎng)安全解決方案。經(jīng)過(guò)嚴格的產(chǎn)品測試和多次甄選，明朝萬(wàn)達公司憑借Chinasec可信網(wǎng)絡(luò )安全平臺從眾多同行中脫穎而出，成功與北京市公安局A分局簽署并部署實(shí)施。一期終端點(diǎn)數約為2000點(diǎn)；在A(yíng)公安局的內網(wǎng)安全項目中，最重要的就是實(shí)現對“一機多網(wǎng)”行為的控制，很好的保障A公安局內終端的違法外聯(lián)行為，其他還結合了Chinasec可信網(wǎng)絡(luò )安全平臺中的保密系統中的移動(dòng)存儲介質(zhì)管理、監控系統中行為監控和相關(guān)操作審計等功能來(lái)完善了局內終端的安全。

方案特點(diǎn)：

上述的方案具有以下特點(diǎn)：

1、完全基于明朝萬(wàn)達Chinasec可信網(wǎng)絡(luò )安全平臺實(shí)現，上述的所有功能可以實(shí)現一個(gè)平臺的統一管理和策略聯(lián)動(dòng)，管理方便簡(jiǎn)單；

2、完全兼容現有的公安數字證書(shū)，是數字證書(shū)應用的有力擴展，提高了數字證書(shū)的利用率，并實(shí)現了用戶(hù)標識的統一管理；

3、系統具備大用戶(hù)數管理模式支持，可以實(shí)現負載均衡、熱備和多級管理模式等；

4、支持多級管理機制，可以在實(shí)現公安系統所有計算機集中管理的前提下，結合實(shí)際管理需要，部分安全策略進(jìn)行逐級授權管理，實(shí)現統一和效率的有機結合；

5、方案基于Chinasec（安元）可信網(wǎng)絡(luò )安全平臺，具有高度的模塊化和擴展性，可以根據公安系統發(fā)展的需要，在同一個(gè)平臺上進(jìn)行打印監控審計等功能的擴展，大大提高公安系統內網(wǎng)安全管理的統一性和效率。

效益分析

該內網(wǎng)安全項目建成后，將具有以下效益：

1、解決公安系統信息化辦公中的主要安全隱患。主要包括計算機使用管理、設備丟失導致的數據泄密、非法外聯(lián)等違規行為導致的數據泄密和安全隱患、移動(dòng)存儲介質(zhì)濫用導致的病毒感染或者數據泄密。

2、使公安系統在信息安全建設中走在全國領(lǐng)先地位。該內網(wǎng)安全項目的建成，特別是基于用戶(hù)數字證書(shū)功能的擴展，是1203工程的有力延伸，進(jìn)一步體現和加強了1203工程的價(jià)值，將使公安系統在信息安全保密和信息安全管理方面成為公安系統的典范和先進(jìn)。