某公安局網絡安全方案

1、某公安局網絡安全方案 （建議稿） 一、 某公安局網絡現狀某公安局網絡作為信息基礎設施，是機關信息化建設的基石。某公安局網絡開通到上級省廳及全國各地公安網站的數字專線出口，與局內各樓、其它一些分局及派出所和internet連接。某公安局網絡提供公安局各單位的互聯通道，實現機關局域網絡全部節(jié)點及終端設備的網絡互聯和系統(tǒng)集成，實現以信息交換，信息發(fā)布為主的綜合計算機網絡應用環(huán)境，為公安局管理、領導決策提供先進的技術支持手段。整個某公安局網絡通過統(tǒng)一的出口，64k的ddn專線接入上級省廳及全國各地公安網站，網絡主干網通過一個motorla（s520）路由器連接到上級網絡。某公安局網絡在物理結構上主要分

2、成兩個子網，兩個子網通過路由器連接。在邏輯上，某公安局網絡有許多虛擬子網。某公安局網絡對遠程用戶提供撥號接入服務。網絡系統(tǒng)分布在整個，規(guī)模較大。某公安局現有網絡的拓撲結構見圖一所示。 某公安局網絡已經有了比較成熟的應用，包括www服務，mail服務，dns服務等的一些其他應用，如內部信息等，也已經轉移到網絡應用之上的web應用主要是用于內部信息的管理，應用模式主要包括數據庫客戶/服務器模式、客戶/服務器模式與瀏覽器/www服務器模式。某公安局網絡還沒有采取安全措施以保證信息的安全不受到侵犯。以上是某公安局網絡及其應用的現狀。 二、 某公安局網絡安全需求分析某公安局網絡系統(tǒng)現在的web應用主要是

3、用于公安局內部信息管理，因而存在著強烈的安全需求。網絡安全的目標是保護和管理網絡資源（包括網絡信息和網絡服務）。網絡安全的需求是分層次的。iso/osi網絡模型將網絡分為7個層次，在不同層次上的安全需求如上圖所示。某公安局網絡的安全需求覆蓋網絡層以上的部分，并且有安全管理的需求。可以把某公安局網絡的安全需求分為三個大的方面：網絡層安全需求、應用層安全需求和安全管理需求。目前第一期解決網絡層安全需求1. 網絡層安全需求網絡層安全需求是保護網絡不受攻擊，確保網絡服務的可用性。某公安局網絡網絡層的安全需求是面向系統(tǒng)安全的，包括：l 隔離內外部網絡；l 實現網絡的邊界安全，在網絡的入出口設置安全控制；

4、l 實現安全漏洞檢測，及時發(fā)現網絡服務和操作系統(tǒng)存在的安全隱患，及時采取補救措施，將安全風險降到最低。具體而言，某公安局網絡系統(tǒng)在網絡層的安全需求可以描述為：1） 解決網絡的邊界安全，防止外部攻擊，保護內部網絡；通過防火墻和應用代理隔離內外網絡；2） 內外網絡采用兩套不同的ip地址，實現地址翻譯（nat）功能；3） 根據ip地址和tcp端口進行入出控制；4） 基于ip地址和mac地址的對應防止ip盜用；5） 基于ip地址計費和流量控制；6） 基于ip地址的黑白名單；7） 防火墻對用戶身份進行簡單認證；8） 根據用戶身份進行入出控制；9） 基于用戶的計費和流量限制；10） url檢查和過濾。2.

5、 應用層安全需求某公安局網絡應用層安全需求是針對用戶和系統(tǒng)應用資源的，必須確保合法用戶對信息的合法存取。某公安局網絡的信息資源須按需求的安全等級進行系統(tǒng)而周密的規(guī)劃，根據規(guī)劃采取相應的安全管理手段來保證系統(tǒng)的實用、可靠和安全性。某公安局網絡應用主要是應用于公安局內部的信息管理，因而：1） 外部非授權用戶不得擁有訪問公安局內部信息的權限；2） 內部、外部授權用戶只能擁有系統(tǒng)賦予的訪問授權；3） 不同級別的內部用戶擁有對信息的不同訪問權限；4） 不同部門的內部用戶擁有對信息的不同訪問權限；5） 某個部門的信息可以授予其他部門內部用戶一定的訪問權限；6） 授權用戶不論在什么地方，什么時間，對信息的訪

6、問權限應該是一致的；某公安局網絡應用層的安全威脅主要是：l 身份竊取和假冒l(fā) 數據竊取和篡改l 非授權存取l 否認與抵賴以上安全威脅產生的安全需求如下：l 數據保密：由于無法確認是否有未經授權的用戶截取網絡上的數據，需要一種手段來對數據進行保密。數據加密就是用來實現這一目標的。l 數據完整性：需要一種方法來確認送到網絡上的數據在傳輸過程中沒有被篡改。數據加密和校驗被用來實現這一目標。l 身份認證：需要對網絡上的用戶進行識別，以確認對方的真實身份，保證身份不被竊取與假冒。l 訪問授權：需要控制誰能夠訪問網絡上的信息，并且他們能夠對信息進行何種操作。訪問授權能夠防止對系統(tǒng)資源的非授權存取。l 審計

7、記錄：所有網絡活動應該有記錄，這種記錄要針對用戶來進行，可以實現統(tǒng)計、計費等功能；還可以防止否認，確保用戶不能抵賴自己的行為，同時提供公證的手段來解決可能出現的爭議。通過應用層的安全管理，最終要使某公安局網絡系統(tǒng)達到下面的目標：1） 面向所有服務的粗粒度的安全控制：l 解決網絡的整體安全，內外兼防，保護數據和信息安全；l 用戶和服務器之間實現嚴格的身份認證；l 基于嚴格身份認證的統(tǒng)一授權管理；l 訪問控制粒度要求達到tcp端口一級；l 數據傳輸時加密以實現數據保密和不可抵賴等；l 實現審計記錄功能。2） 面向web服務的細粒度的安全控制：l 要求解決web應用的整體安全，內外兼防，保護數據和信

8、息安全；l 解決http的安全問題；l 解決cgi的安全問題；l 用戶和web應用服務器之間實現嚴格的身份認證；l 根據用戶身份實現web空間的統(tǒng)一授權管理；l 訪問控制粒度要求達到文件和頁面一級；l 實現web空間的安全單點登錄；l 實現web空間的目錄服務；l 實現信息訪問頻率和用戶訪問頻率統(tǒng)計。3） 由于某公安局客戶端的地理分布廣泛，要求系統(tǒng)的安全控制支持公鑰系統(tǒng)，支持ssl協議； 3. 安全管理需求3.1 網絡層安全管理網絡層的安全管理主要結合網管系統(tǒng)進行，主要內容如下：l 完成對路由器、交換機、訪問服務器的安全配置，具體包括：設備配置授權、路由配置、vlan配置（根據端口或mac地址

9、）、ip過濾配置、tcp端口訪問控制、撥號認證（如radius。tacacs等）配置、路由器加密配置等。l 完成防火墻的配置，具體包括：防火墻操作系統(tǒng)配置、基于規(guī)則的ip過濾配置、安全tcp端口及訪問授權配置、內容過濾配置、nat地址翻譯配置等；l 堡壘主機配置，包括各應用代理或應用網關的配置。l 安全檢測軟件配置：包括網絡服務漏洞檢測和操作系統(tǒng)漏洞檢測。3.2 應用層安全管理l 完成用戶注冊，建立用戶檔案，完成用戶分組，形成全網統(tǒng)一一致的用戶空間；l 完成網絡資源的統(tǒng)一配置，形成全網統(tǒng)一的資源空間；l 根據用戶身份完成訪問授權配置，形成全網統(tǒng)一一致的授權管理；l 支持單點登錄，實現基于單一口

10、令的訪問控制；l 形成訪問記錄，為統(tǒng)計和分析提供事實依據，并且防止抵賴，為事故責任分析奠定基礎；l 通過實用的安全管理軟件實現安全管理。4. 信息資源的安全分類某公安局網絡的信息資源的安全分類如下：l 公眾信息 - 不需要身份認證和訪問控制；l 內部信息 - 需要身份驗證并根據身份進行相應的訪問控制；l 敏感信息 - 需要驗證身份、根據身份進行相應的訪問控制而且在信息傳輸過程中采取加密措施。某公安局網絡的服務類型的安全分類如下：l 內部服務 - 面向內部的授權注冊用戶，管理和控制內部用戶對信息資源的訪問。根據用戶的身份或角色，對用戶可使用的服務進行授權，包括對外的訪問。l 公眾服務資源 - 面

11、向互聯網絡，防止和抵御外來的攻擊。 三、 某公安局網絡安全解決方案某公安局網絡安全系統(tǒng)的總體目標是根據前面提到的所有的安全需求，解決某公安局網絡系統(tǒng)的安全問題。采用昊普創(chuàng)業(yè)安全防范技術公司擁有的從網絡層到應用層的一整套網絡安全技術和產品，我們?yōu)槟彻簿志W絡系統(tǒng)設計了包括網絡層、應用層安全控制、網絡安全管理和安全監(jiān)測的一套立體的、全方位的安全解決方案?？紤]到的實際情況，我們設計了一個兩期的方案，可以逐步實現某公安局的完全的安全防范措施。1一期解決方案不論什么情況，考慮網絡安全問題必須同時注意到網絡層和應用層兩方面的安全問題。在某公安局網絡安全一期解決方案中也是這樣考慮的。1.1 安全網絡拓撲結構

12、某公安局網絡安全系統(tǒng)一期解決方案需要實現網絡層和應用層的基本安全配置，包括邊界防火墻的配置，應用層安全服務器的基本配置。一期解決方案的安全網絡拓撲結構見圖三所示。內部網絡通過路由器連接到省廳網絡和internet。在路由器后面設置了一個帶三網卡的hottiger硬件防火墻，實現網絡層的安全控制。其他在3com1500路由器后面設置了一個帶雙網卡的hotdog計費型防火墻，實現網絡層的安全控制防火墻后面連接昊普公司的hotcat安全認證計費系統(tǒng)，實現應用層的安全訪問控制和安全管理。 1.2 邊界防火墻hotdog的配置邊界防火墻采用昊普創(chuàng)業(yè)hottiger硬件防火墻。其他采用hotdog該產品運

13、行在具有安全核心的操作系統(tǒng)的基礎上，保證防火墻的平臺安全。在某公安局網絡安全系統(tǒng)一期建設中，將使用帶雙網卡的hotdog，并啟動其ip包過濾、ip計費、地址翻譯nat、ip和mac地址對應功能以及應用代理服務squid。邊界防火墻hotdog上面有兩塊網卡，可以配置兩個不同的ip地址，其中一塊使用合法的ip地址，另一塊使用內部保留地址，如192.168.0.x，實現地址翻譯nat功能，達到隱藏網絡內部地址的作用。通過hotdog，可以隔離內外網絡，解決網絡的邊界安全問題。hotdog具有基于規(guī)則的包過濾功能，可以根據ip地址和tcp端口進行入出控制。同時hotdog可以把ip地址和網卡的mac

14、地址對應起來，防止ip被盜用的危險。hotdog同時是一個應用代理防火墻，可以通過應用代理隔離內外網絡。hotdog支持簡單的用戶身份認證，可以根據用戶身份進行入出控制。hotdog具有比較全面的計費功能。hotdog的計費是可以根據ip和用戶進行雙向計費的，就是說可以針對內部網絡的ip進行流出和流入的計費，也可以針對外部網絡ip到我們的防火墻的流量對其進行計費，而且對于要求用戶驗證方式的firewall/proxy ，hotdog還可以提供基于用戶的流量計費。 1.3 應用層安全撥號認證計費服務器hotcat的配置在邊界防火墻hotdog之后，設置了一個應用層的安全服務器，采用昊普創(chuàng)業(yè)hot

15、cat撥號認證計費系統(tǒng) 。一期建設使用一個帶100，000用戶的hotcat撥號認證計費安全服務器軟件。某公安局網絡運行的應用很多，解決應用層的安全問題是這次網絡安全解決方案的重點。在傳統(tǒng)的觀念中，配置防火墻就是解決安全的全部。事實上，網絡建設中網絡部分僅僅是一個基礎，更重要的是建立公安局的網絡應用，就如我們不是為修路而修路，而是為了跑車才修路。前面我們分析了某公安局網絡系統(tǒng)的應用層安全需求，通過hotcat撥號認證計費安全服務器軟件，將解決這些問題 hotcat-網貓系統(tǒng)是專門為設計的撥號上網用戶身份認證和計費系統(tǒng)。它采用目前國際通用的radius(remote authentication

16、 dial in user service)認證和計費標準，具有良好的擴展性和兼容性。該系統(tǒng)運行于unix和linux系統(tǒng)環(huán)境下，與hotcat-網貓2.1計費系統(tǒng)結合可以完成對撥號上網用戶的身份認證和計費全過程。此系統(tǒng)包括三個模塊：用戶身份認證模塊,實時記錄模塊和計費模塊。hotcat-網貓系統(tǒng)可運行在各種常見的unix平臺上。目前經過實際測試的有以下操作系統(tǒng)：sun公司的solaris 2.5.1（以上）操作系統(tǒng)；linux redhat 5.0（以上）操作系統(tǒng)。二、用戶身份認證模塊(radius模塊)用戶身份認證模塊提供對撥號用戶的身份認證和屬性設置，它能實現以下功能：用戶身份認證 用戶

17、權限設置1、限制用戶的同時上線數目2、限制用戶的上線時間3、禁止用戶上線三、費用計錄模塊（builddbm模塊）hotcat-網貓2.1計費系統(tǒng)將從該文件中讀取信息并進行費用計算。四、費用計算模塊（hotcat-網貓2.1模塊）五、系統(tǒng)支撐環(huán)境及其運行5.1 系統(tǒng)運行環(huán)境hotcat-網貓撥號上網認證及計費系統(tǒng)運行在unix環(huán)境下，目前經過測試的系統(tǒng)平臺有：sun公司的solaris 2.5.1（以上）操作系統(tǒng)linux redhat 5.0（以上）由于我們同時支持solaris和linux操作系統(tǒng)，因此hotcat-網貓2.1計費系統(tǒng)可以運行在sun服務器和低檔pc服務器上。但對計費系統(tǒng)這樣

18、需要大計算量和高可靠性的系統(tǒng)而言，我們并不推薦使用低檔pc服務器，另一方面，低檔服務器所能容納的用戶數量也較少。5.2 系統(tǒng)性能評價到目前為止，已經有兩家中等規(guī)模（用戶數在一到兩萬人之間）的isp公司購買了hotcat-網貓2.1系統(tǒng)，并使用了近兩年。使用的硬件設備是sun ultra 2服務器，運行環(huán)境為sun solaris 2.5.1操作系統(tǒng)。經統(tǒng)計分析，每臺sun ultra 2服務器大約能支持8,000到10,000左右的用戶，能支持大約600-800個同時上線用戶；在容納10,000用戶的情況下，計費系統(tǒng)每天運算時間大概為3至6分鐘不等，運算期間占用處理器95%以上的資源，計算時間

19、選擇在凌晨兩點進行5.3 系統(tǒng)的運行利用unix crontab可以在每天定時運行hotcat-網貓2.1系統(tǒng)，對前一天的用戶信息進行統(tǒng)計分析。由于運算要占用大量的系統(tǒng)資源，因此通常選在凌晨02:00:00到05:00:00之間進行，這時的網絡和服務器都接近空載運行，因此對系統(tǒng)的影響最小。除了report32在月底結算時運行外，其余ss32、day32、month32程序都是由unix crontab激活，每天凌晨定時運行。在特殊情況下，系統(tǒng)管理員也可以手工運行hotcat-網貓2.1系統(tǒng)進行計費運算，除非系統(tǒng)突然崩潰，造成當天的計費系統(tǒng)沒有正常運行，否則不需要手工運行系統(tǒng)。1.4 某公安局網

20、絡安全管理某公安局網絡安全管理包括網絡層和應用層兩方面，網絡層主要是通過網管軟件的配置來完成的。下面我們重點介紹應用層的安全管理。應用層的安全管理以用戶身份認證和授權管理為重點。使用網絡安全技術中的安全管理控制臺軟件。1.6 小結通過一期建設，將使某公安局網絡系統(tǒng)具有一個基本的安全保障系統(tǒng)，即在網絡層和應用層都有相應的安全措施，網絡層防火墻的基本功能基本實現，應用層的基本需求也滿足了。但是還存在不足的地方，需要在二期建設中解決，包括：1）網絡層的安全管理并不是很完善，需要增加安全檢測；2）需要解決應用層對除web服務之外所有服務的安全控制；3）在應用層，需要解決可靠性和負載平衡問題。2 二期解決方案二