XX公安局公安信通网边界接入平台解决方案
来源:澳大利亚 发布时间:2020-11-14 点击:
X XX 公安局
边界接入平台解决方案
X XX 技术有限公司
20X XX 年 年 X XX 月
XX市公安局边界接入平台解决方案 1 杭州合众数据技术有限公司 目
录
第 第 1 1 章
项目背景
................................ ................................ ................................ ...................
4 4
第 第 2 2 章
需求分析
................................ ................................ ................................ ...................
5 5
2.1
业务需求 ........................................................................................................................ 5
2.1.1
社会企/事业单位接入 ............................................................................................. 5
2.1.2
党/政/军机关接入 ................................................................................................... 5
2.1.3
公安驻地外接入 ..................................................................................................... 5
2.1.4
视频专网接入 ......................................................................................................... 6
2.1.5
公网信息采集链路 ................................................................................................. 6
2.2
安全需求 ........................................................................................................................ 7
2.2.1
终端安全需求 ......................................................................................................... 7
2.2.2
链路安全需求 ......................................................................................................... 7
2.2.3
传输安全需求 ......................................................................................................... 8
2.2.4
身份认证需求 ......................................................................................................... 8
2.2.5
访问控制需求 ......................................................................................................... 9
2.2.6
设备安全需求 ......................................................................................................... 9
2.2.7
应用安全需求 ......................................................................................................... 9
2.3
监管需求 ...................................................................................................................... 11
第 第 3 3 章
解决方案
................................ ................................ ................................ .................
12
3.1
设计依据 ...................................................................................................................... 12
3.2
总体拓扑图 .................................................................................................................. 13
3.3
方案描述 ...................................................................................................................... 14
3.4
社会企事业单位接入链路 ............................................................................................ 15
3.4.1
路由接入区 .......................................................................................................... 16
3.4.2
边界保护区 .......................................................................................................... 17
XX市公安局边界接入平台解决方案 2 杭州合众数据技术有限公司 3.4.3
应用服务区 .......................................................................................................... 18
3.4.4
安全隔离区 .......................................................................................................... 19
3.4.5
安全监测与管理区 ............................................................................................... 22
3.5
党政军机关接入链路 ................................................................................................... 24
3.5.1
路由接入区 .......................................................................................................... 25
3.5.2
边界保护区 .......................................................................................................... 26
3.5.3
应用服务区 .......................................................................................................... 27
3.5.4
安全隔离区 .......................................................................................................... 27
3.5.5
安全监测与管理区 ............................................................................................... 27
3.6
公安机关驻地外接入链路 ............................................................................................ 28
3.6.1
路由接入区 .......................................................................................................... 29
3.6.2
边界保护区 .......................................................................................................... 30
3.6.3
安全监测与管理区 ............................................................................................... 30
3.7
视频安全接入链路 ....................................................................................................... 31
3.7.1
业务操作方法 ....................................................................................................... 32
3.7.2
路由接入区 .......................................................................................................... 32
3.7.3
边界保护区 .......................................................................................................... 33
3.7.4
应用服务和安全隔离区 ........................................................................................ 34
3.7.5
安全监测与管理区 ............................................................................................... 35
3.8
公网信息采集链路 ....................................................................................................... 37
3.8.1
平台区域划分 ....................................................................................................... 38
3.8.2
边界保护区 .......................................................................................................... 38
3.8.3
应用服务区 .......................................................................................................... 39
3.8.4
安全隔离区 .......................................................................................................... 39
3.8.5
安全监测管理区 ................................................................................................... 42
第 第 4 4 章
设备清单及预算
................................ ................................ ................................ .......
43
XX市公安局边界接入平台解决方案 3 杭州合众数据技术有限公司 4.1
社会企事业链路设备清单及预算 ................................................................................. 43
4.2
党政军机关单位链路设备清单及预算 .......................................................................... 48
4.3
公安机关驻地外链路设备清单及预算 .......................................................................... 52
4.4
视频接入链路设备清单及预算 ..................................................................................... 54
4.5
公网信息采集链路设备清单及预算 .............................................................................. 56
4.6
全链路总预算 .............................................................................................................. 60
XX市公安局边界接入平台解决方案 4 杭州合众数据技术有限公司 第1 1 章
项目背景
随着公安信息化建设的不断深入开展,公安机关对外交换和共享信息的接入业务需求日益强烈。结合公安信息化建设现状和发展需要,减少重复投资,在县公安局建设一个边界接入平台,实现各类业务的安全接入与信息交换,并对边界接入业务进行管理。
公安信息化资源不但要服务于公安机关本身,还必须为整个社会提供及时有效的信息服务,与其他政法部门、政府机关、社会单位实现安全、有效的信息共享。为解决目前公安信息网边界接入出现的安全问题,确保公安信息网的边界安全,实现公安信息网与其他网络的安全、有效的数据交换,按照公安部统一要求,在公安信息中心建立统一的公安信息通信网边界接入平台,统一身份认证,集中授权管理,规范接入方式,实现公安信息网外部信息的采集、交换和共享,为一线民警、公安驻外单位、其他政府部门和社会提供信息支持与服务。
公安部分别于 2007 年、2011 年制订了《公安信息通信网边界接入平台安全规范(试行)》、 《公安信息通信网边界接入平台安全规范(试行)--视频接入部分》,规范了公安信息通信网的边界接入方式,明确了安全技术要求和安全管理要求,并对符合《公安信息通信网边界接入平台安全规范》的产品进行专门的检测认证。
此外,公安部为了解决边界接入平台建设中公网与公安信息通信网的信息交换问题,科技信息化局于 2013 年 11 月制定了《公安信息通信网边界接入平台安全规范——公网信息采集部分》(以下简称《规范》)规范了公安机关通过公网采集社会信息的安全接入建设。
XX市公安局边界接入平台解决方案 5 杭州合众数据技术有限公司 第2 2 章
需求分析
以下分别从业务需求、安全需求和监管需求三个方面进行具体分析。
2.1 业务需求 根据接入对象不同,XX 公安局边界接入业务主要划分为 社会企/ 事业单位接入、党政军单位接入、公安机关驻地外接入、视频专网接入、公网信息采集链路。
2.1.1 社会企/ 事业单位接入 接入对象为社会企/事业单位用户。例如:旅店业、印章业、机动车修理业、报废车拆解业、印刷业、爆炸物管理业等为公安机关提供信息的社会有关单位;同时也包括银行、保险、电信运营商等与公安机关共享信息的社会行业单位。
此类接入对象的特点如下:
只能采用数据交换方式与公安信息通信网进行信息交换,即采用文件、数据库形式交换。
除了少数采用专线接入外,大量采用 VPDN 等公共通信网接入。
2.1.2 党 党/ 政/ 军机关接入 接入对象为党/政/军机用户。例如:党委、法院、检察院、安全部、司法部、海关、军队等部门。
此类接入对象的特点如下:
除了采用数据交换方式外,还可以采用授权访问方式访问公安信息通信网。
只能采用专线连接。
2.1.3 公安驻地外接入 公安机关驻地外接入。即公安机关及派出机构以外,公安办公场所的接入。
接入对象为公安内部用户。例如:社区警务室、农村警务室,政府办证大厅、卡点等。
XX市公安局边界接入平台解决方案 6 杭州合众数据技术有限公司 此类接入对象的特点如下:
主要采用授权访问方式,身份认证采用民警数字证书。
除了少数采用专线接入外,大量采用 VPDN 等公共通信网接入。
2.1.4 视频专网接入 这里说的视频专网是指采用专线方式或非公共网络基础上的 VPN 虚拟专网方式建设的、专用于支撑视频监控服务或汇接视频监控系统的网络。社会治安监控系统绝大多数在视频专网上运行,社会治安监控系统是指在城区主要街道、交叉路口、治安防范重点巷道、新村楼院、重要场所、商场等地方安装监控摄像机,而构建的网络化监控系统。
上述视频专网主要通过运营商的 VPN 网组建,由于采用 VPN 技术组建的视频专网可以大大节省系统建设投资和管理维护费用,因此视频专网系统已越来越多地被各地公安机关采用。但是,出于对公安内网的安全性考虑,视频专网图像不能直接联入公安内网,视频监控图像通常只能在监控中心调看。如果能将视频专网图像传入内网,就能实现在内网随时随地调看,大大提高监控力度。
此类接入对象的特点如下:
视频流单向接入,即视频流从视频专网单向接入至公安网。
采用光纤专线或公共运营商提供的 VPN 专线接入。
公安内网同时查看视频图像的终端众多、并发量大。
2.1.5 公网信息采集链路 公共网络(简称公网),是指互联网及与互联网逻辑隔离的网络。公安信息通信网目前与公网保持物理隔离。个别业务部门由于业务开展需要,通过单向传输技术从公网单向采集大量数据信息,这些数据信息首先在各地公安外网落地存储,然后再传输进入内部网络。
公网信息采集是指公安机关通过公网采集社会信息,以格式化数据文件的方式,采用物理单向传输技术(专指光单向导入技术),将采集到的公网信息单向传输至公安信息通信网,且不存在公安信息通信网内数据向外传输至公网情况。
XX市公安局边界接入平台解决方案 7 杭州合众数据技术有限公司 2.2 安全需求 2.2.1 终端安全需求 由于平台接入用户类型多,场所物理环境不安全,人员复杂,所以终端安全的风险较大;接入终端存在非法使用、非授权访问,甚至存在伪造终端接入,并有可能发展为木马、病毒的传播来源。
终端安全需要做到如下几点:
除公网信息采集链路外,其他各条链路接入终端在联接接入平台同时不得连接互联网或其他网络,建议采用专用终端并进行安全加固; 对接入平台的终端设备进行注册,只有注册过的终端设备才可以与平台进行通信。确定接入终端的合法性。
2.2.2 链路安全需求 边界接入平台的外部接入链路分为两类,分别是专线和拨号。
专线是指采用公安自建的或公共通信网运营商提供的专用通信线路、带宽接入,其端点物理位置固定,电路专用,例如专用光缆、公安专用 ADSL 虚电路等。
拨号是指有线拨号,例如固定电话拨号(PSTN)、ADSL 等。其特点为通过公共通信网进行,中间链路存在共享。
链路安全需要做到如下几点:
社会企事业单位外部接入链路采用运营商提供的 ADSL 拨号接入方式,在外部通信链路上采用 VPDN 链路安全机制保证链路安全。
党政军机关单位外部接入链路采用专线(裸光纤)与边界接入平台进行连接。
视频链路外部接入链路采用专线的方式与边界接入平台进行连接。
公网信息采集链路外部接入链路采用互联网的方式 采用拨号类接入的在外部通信链路上必须采用专用 VPDN 或者电话拨号回拨认证等链路安全机制保证链路安全。
接入平台内部为不同接入对象提供服务的链路必须根据接入对象安全级别和业务操作方式(数据交换或授权访问)加以区分。社会企事业单位接入链路、党政军机关单位接入链路、公网信息采集链路物理隔离。
XX市公安局边界接入平台解决方案 8 杭州合众数据技术有限公司 接入平台内用于入侵保护或者集中监控的各种检测设备不能造成平台内部链路的旁路。
2.2.3 传输安全需求 如果数据传输的机密性、完整性缺乏保障机制,敏感信息在传输过程中就存在被泄露或篡改的风险。
传输安全需要做到如下几点:
在网络传输过程中,外部终端与接入平台间通信内容必须实现机密性保护。
在网络传输过程中,必须保证传输过程中报文的完整性,并具备防止重发攻击、篡改和伪造等功能。
2.2.4 身份认证需求 对于各类接入用户,如果没有实现身份认证,则权限管理和访问控制就没有了基础,也无法保证接入用户的合法性。
平台的身份认证需要做到如下几点:
对社会企事业单位终端的身份认证,可以采用用户名/口令、动态令牌、数字证书等多种形式。
对党政军单位终端的身份认证,基于专用的数字身份证书,认证协议基于 SSL 双向认证协议。
对公安机关驻地外终端的身份认证,基于公安数字身份证书,认证协议基于 SSL 双向认证协议。
对视频专网内向公安信息通信网提供视频信息服务的硬件设备进行身份确认,禁止未经认证的设备进行接入;对公安信息通信网内使用视频接入业务的用户进行身份认证,必须采用公安数字身份证书作为授权用户的唯一凭证。
对于公网信息采集链路接入终端的身份认证,可以采用 IP/MAC 地址、用户名/口令等多种形式
XX市公安局边界接入平台解决方案 9 杭州合众数据技术有限公司 2.2.5 访问控制需求 即便是接入终端通过了身份认证,也不是公安信息通信网内的所有信息资源都能被它访问,还是需要根据接入终端具体权限进行访问控制,否则很容易造成越权访问、信息泄密。
平台的访问控制需要做到如下几点:
未通过身份认证的外部终端不能进入平台访问。
外部终端的网络连接终止于接入平台内,无法直接访问公安信息通信网或与公安信息通信网交换信息。
通过身份认证的外部终端只能访问平台内的指定设备,并且只能进行允许的操作,非授权的访问应被阻断。
2.2.6 设备安全需求 接入平台内所有的安全设备都应满足国家或公安行业相关的技术标准和要求,具备国家相应权威部门出具的产品证书和安全检测报告,并在检测报告允许的范围内使用,关键安全设备必须接受监管系统的监管和审计。
2.2.7 应用安全需求 2.2.7.1 数据交换应用安全要求 在与公安信息通信网进行数据交换之前,接入平台必须对接入业务的数据流量先实现通信协议的剥离,并按照业务预先注册的数据格式要求,对数据的类型、格式进行严格检查,对数据内容进行过滤,限制不符合要求的数据传入接入平台。
公安信息通信网内及接入平台内接入业务应用信息系统应完善自身的安全性和健壮性,尽量确保通过接入平台的业务信息数据的机密性、完整性。
必须实现应用级日志记录,并报送集中监控与管理系统。
2.2.7.2 授权访问应用安全要求 必须实现应用级身份认证、访问控制和授权管理,并能依据安全策略细粒度控制访问范围、应用类型和内容,防止敏感信息的泄漏,使用可信边界安全网关实现以上功能。
XX市公安局边界接入平台解决方案 10 杭州合众数据技术有限公司 必须不影响公安信息通信网内信息资源及应用系统基于公安 PKI/PMI 系统的认证、授权、审计等工作的正常运行。并且,公安信息通信网内及通过接入平台的接入业务应用信息系统应完善自身的安全性和健壮性。
必须实现应用级日志记录,并报送集中监控与管理系统。
2.2.7.3 视频专网接入应用安全要求 视频数据与视频控制信令分别处理和传输 视频数据与视频控制信令必须按照不同的安全策略严格区分,分别进行处理和传输,其中视频数据采用单向传输。
视频数据传输方向 视频接入链路必须严格控制视频数据的传输方向,禁止公安信息通信网内数据资源通过视频接入链路向外传出,防止敏感数据外泄。
视频控制信令格式检测 在与公安信息通信网进行视频单向传输前,要按照预先注册的视频控制信令的类型、格式和内容,对控制信令进行“白名单”方式的格式检查和内容过滤,仅允许符合格式要求的控制信令数据通过,对不符合格式的数据进行阻断和报警。
视频数据格式检测 视频数据格式检测按照预先注册的视频数据格式,对所传输的视频数据进行实时分析和过滤,对不符合格式的视频数据进行阻断和报警。
视频数据病毒木马检测 采取必要的安全技术防范措施,防止视频数据夹杂恶意代码进入公安信息通信网。
2.2.7.4 公网接入应用安全要求 相对于 ADSL VPDN、专线等联网方式,互联网等公共网络具有用户类型复杂、联网设备种类繁多、应用程序多样等特点,因此连接到公网中的信息系统极易遭受黑客攻击、木马入侵、病毒传播、信息篡改和数据窃取等不同程度的安全威胁。因此,公网信息采集链路需实现外部公共网络与公安网的物理单向隔离,必须采用物理单向传输技术(专指光单向导入技术)建立物理单向通道,并在通道上只允许外网格式化的数据单向导入公安网,不存在任何反向数据通道。
XX市公安局边界接入平台解决方案 11 杭州合众数据技术有限公司 2.3 监管需求 为保障边界接入平台的安全和稳定运行,需要对网络系统中的安全设备、网络设备、应用系统及其运行状况进行全面的监测、分析、评估,及时掌握平台的流量情况,追溯历史记录,需对整个数据采集和交换平台进行管理。主要需满足如下要求。
对接入的业务情况进行管理、审计; 对平台的安全问题进行监测、报警; 对平台的日志信息进行分析、处理。
为满足以上监管需求,需要在每级边界接入平台内建设集中监控与管理系统,通过部/省/三级监管系统的建立,集中监控管理,为部级与省级提供管理下级接入平台的功能,监控在线用户情况;实现全网访问流量集中监控,提供统计分析工具,提供各种形式报表,异常流量自动报警等功能。
XX市公安局边界接入平台解决方案 12
第3 3 章
解决方案
3.1 设计依据 本方案设计主要依据以下规定的相关要求:
《公安信息通信网边界接入平台安全规范(试行)》(公信通[2007]191 号,2007 年 10 月)
《公安信息通信网边界接入平台安全规范(试行)——视频接入部分》(公科信[2011]5 号,2011 年 1 月》
《城市报警与监控系统建设、管理、应用规范性文件汇编》(公安部科技信息化局, 2009 年)
《公安信息通信网联网设备及应用系统注册管理办法》 (公信通[2007]139 号,2007 年 5 月)
《公安信息通信网边界接入平台安全规范——公网信息采集部分》(公科信[2013]130 号,2013 年 11 月)
《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)
《公安信息通信网联网设备及应用系统注册管理办法》 (公信通[2007]139 号,2007 年 5 月);
《信息安全等级保护管理办法》(公通字[2007]43 号〕
XX 市公安局边界接入平台解决方案 13
3.2 总体拓扑图 标红 部分为本项目新购设备,标黑部分为另行采购或利旧。
安全隔离与单向传输系统安全数据交换系统安全数据交换系统数据交换内网服务器企事业单位接入终端网闸内网业务系统路由接入区 边界保护区 应用服务区 安全隔离区集中监控管理系统安全监测与管理区ADSL VPDN接入网入侵检测系统杀毒软件控管服务器集控探针外网业务前置机终端计算机党政军机关专线终端计算机数据交换前置机入侵防御系统数据交换内网服务器网闸内网WEB服务器公安机关驻地外接入终端专线终端计算机入侵防御系统视频安全接入系统视频安全隔离设备视频用户认证服务器公安内网视频终端视频流单向导入视频服务器管理服务器存储服务器视频监控点视频专网视频监控平台防火墙视频接入认证服务器数据交换数据交换外网服务器数据单向导入导入前置机 单向光闸(单向导入)数据资源前置机网上办事大厅等业务系统入侵防御系统导入前置机 单向光闸(单向导入)三层交换机防火墙集控探针授权访问入侵检测系统数据交换三层交换机数据交换外网服务器防火墙防火墙公网终端数据采集对象授权访问公网导入服务器导入服务器防火墙专线/ADSL VPDN公安信息网可信边界安全网关可信边界安全网关可信边界安全网关三层交换机三层交换机可信边界安全网关三层交换机集控探针外网业务前置机
XX市公安局边界接入平台解决方案 14
3.3 方案描述 根据公安部《公安信息通信网边界接入平台安全规范(试行)》规定的公安信息网安全边界接入平台建设要求,结合实际业务需要,建设公安信息通信网边界接入平台。
具体包括以下接入链路:
社会企事业单位接入链路 党政军机关单位接入链路 公安机关驻地外接入链路 视频接入链路 公网信息采集链路 边界接入平台的总体拓扑图和每条链路的拓扑分别如下:
XX 市公安局边界接入平台解决方案 15
3.4 社会企事业单位接入链路 安全数据交换系统数据交换内网服务器企事业单位接入终端网闸内网业务系统路由接入区 边界保护区 应用服务区 安全隔离区集中监控管理系统安全监测与管理区ADSL VPDN接入网入侵检测系统杀毒软件控管服务器集控探针外网业务前置机终端计算机内网WEB服务器公安内网视频终端数据交换数据交换外网服务器三层交换机防火墙公安信息网可信边界安全网关三层交换机
XX市公安局边界接入平台解决方案 16
3.4.1 路由接入区 3.4.1.1 通信链路 社会企事业单位外部接入链路采用运营商提供的 ADSL 拨号接入方式,在外部通信链路上采用 VPDN 链路安全机制保证链路安全。
VPDN 用户拨号 NSP (运营商)的网络访问服务器 NAS (Network Access Server),该网络访问服务器是没有互联网出口,也就是说,该 VPDN 与互联网没有访问出口。
3.4.1.2 终端安全 终端安全主要体现在如下几个方面:终端用户身份识别(用户名/口令或数字证书方式)、终端设备认证、终端访问控制、传输保护。
3.4.1.2.1 终端身份识别 终端身份识别包括两项安全机制:终端认证与用户认证。用户认证两种方式:一是采用用户名/口令;另一种采用硬件数字证书,只有通过身份认证的用户才能与平台连接,保证接入用户身份的合法性。
3.4.1.2.2 终端设备识别 客户端收集终端硬件信息,并提交给可信边界网关,可信边界网关根据终端软硬件特征确保只有经过注册的合法终端才能与平台连接,保证接入设备的合法性。
3.4.1.2.3 终端访问控制 在终端与平台完成连接认证时,通过设置细粒度访问控制策略,确保非法用户不能访问,合法用户不能越权访问。
XX市公安局边界接入平台解决方案 17
3.4.1.2.4 传输保护 终端客户端与可信边界网关之间使用 SSL 协议对通信过程进行加密和完整性保护,保证数据传输的安全性。
3.4.2 边界保护区 边界保护区主要设备包括:防火墙、可信边界安全网关、三层交换机、入侵检测系统、集控探针等。
3.4.2.1 防火墙的作用 防火墙的首要功能是根据数据包的源地址、目标地址、协议类型、源端口、目标端口以及网络协议等对数据包进行访问控制。防火墙还保证了边界接入平台内部的主机地址不被外部终端直接获得。
3.4.2.2 三层交换机的作用 利用三层网络交换机的 IP 路由和虚网功能,根据接入应用进行路由选择和虚网划分,保证不同业务应用通道之间的相互隔离。三层交换机根据不同业务设置不同的 VLAN,每个 VLAN 连接这个业务的前置机、数据库或者文件服务器,每个 VLAN 之间不能互相访问。这样的配置即能保证每个业务之间相对独立,一旦某个业务的前置机感染病毒木马不能通过内部局域网迅速传播,又能实现所有业务的数据交换。
3.4.2.3 可信边界安全网关的作用 可信边界安全网关对社会企事业单位接入终端进行身份认证,保证未通过身份认证的接入终端不能进入平台访问,还保证在网络传输过程中,接入终端与边界接入平台之间的通信内容全程加密。
3.4.2.4 入侵检测系统的作用 入侵检测系统(IDS)是实时对网络入侵行为自动识别和响应的系统。它通
XX市公安局边界接入平台解决方案 18
过实时监听网络数据流,识别和记录入侵行为,该系统安装于防火墙后,可以对穿透防火墙进行攻击的数据流进行响应。
3.4.2.5 设备安全 登录边界保护区内的关键设备都必须通过用户身份认证,一般登录交换机、防火墙、IDS 等设备都采用用户名/口令方式,口令设置长度不小于 8 位。登录可信边界网关必须采用民警专用数字证书。
所有边界保护区内的关键设备都必须开启审计功能,通过接口将每个设备的日志抄送给集控探针。审计内容包括这些设备的登录事件、配置更改事件、报警事件、故障信息等。
3.4.3 应用服务区 根据实际业务需求,应用服务区放置了相应业务应用的前置服务器(包括应用服务器、WEB 服务器、数据库服务器、文件服务器等)。作为外部终端网络连接的终点,提供给终端用户应用代理、数据暂存等功能服务。
3.4.3.1 主机安全加强 根据前置机所安装的操作系统不同分别进行处理。目前,主要的操作系统有两类:Linux 和 Windows 系统。在实施的过程中,实施人员需根据不同情况分别对系统进行安全加固。主要措施如下。
尽可能采用经过国家权威部门检测认可的安全操作系统(如红旗 LINUX等)
屏蔽超级用户、guest 用户等,加强登录用户的密码强度 关闭所有不安全的远程控制端口 屏蔽所有不用的低端端口 安装防病毒软件 安装防火墙软件 应用软件最小安装原则
XX市公安局边界接入平台解决方案 19
3.4.3.2 主机防病毒 为提高应用服务区内各个主机的安全性,在应用服务区内安装网络防病毒软件。通过杀毒软件在应用服务区内构建统一的网络病毒防范体系,并在内部建立统一的病毒防范策略,从而达到病毒防范效果。
通过杀毒软件自带的漏洞扫描和补丁分发功能,可以随时扫描网络中各主机的系统漏洞,及时统一分发补丁,预防利用系统漏洞传播的各种网络蠕虫病毒。
3.4.3.3 主机审计 开启应用服务区内主机的审计功能,通过接口将日志抄送给集控探针,日志内容包括启停事件、系统命令使用事件、应用程序使用事件等等。
3.4.4 安全隔离区 该区域主要实现公安信息通信网与应用服务区网络隔离和数据的安全交换, 它通过高可信的方式,实现异构系统、数据源之间安全、灵活、有效、快速的数据交换。
该区域主要实现以下安全功能:
网络隔离:切断外网与公安信息通信网的网络连接,剥离所有通过本系统交换的通信协议,保证在内外网之间只能通过裸数据进行有限交换。
格式过滤:数据交换系统可根据用户自定义的源数据规则对经数据交换系统交换的数据进行深度格式过滤,与源数据格式不匹配的数据过滤掉,只交换与源数据格式匹配的数据。
内容检查:数据交换系统可根据用户自定义的源数据规则对经数据交换系统交换的数据进行深度内容检查,与源数据内容不匹配的数据过滤掉,只交换与源数据内容匹配的数据。
信息安全:采用标准的 SSL 协议进行数据的加密传输。
单道访问:数据交换系统对前置机/后置机采用单道访问设计,数据交换系统主动从前置机获取数据,不接受前置机主动向数据交换系统发送数据。
XX市公安局边界接入平台解决方案 20
数据对象认证:通过设备证书方式对数据交换对象进行双向身份认证。
安全审计:对经数据交换系统进行交换的所有行为安全审计,保证数据交换行为事后可追溯。
该区域的主要设备包括:网闸、安全数据交换系统。
3.4.4.1 网闸的作用 通过网闸切断所有基于网络协议的连接,使外部终端无法直接访问公安信息通信网,确保公安信息通信网与外部网络隔离。该设备采用了三部件架构,采用专用的硬件和安全芯片,采用专用通信协议进行数据摆渡。并且保证对所有过往的流量都剥离了通信协议,保证所有协议剥离和再生过程都接受安全审计,并且具有防范各种网络协议攻击的能力(如 DDOS、LAND、滴泪攻击等)。
3.4.4.2 安全数据交换系统的作用 安全数据交换系统由两台专用的数据交换服务器组成,系统硬件内部采用高可靠性设计,硬件设备内部采用特殊的认证机制,保证基于硬件的可信任计算体系。安全数据交换系统根据业务配置建立业务数据通道,并对业务数据通道上传输的数据进行过滤和审计。只允许符合安全策略的业务数据进行交换,不允许任何其它的数据传输。
安全数据交换系统具备如下安全功能:
系统能够实现对数据交换对象的身份认证 系统能够保证数据交换内容的机密性和完整性 系统能够区分连接内外网链路的接口 系统根据安全策略主动获取来自前置机群的数据 系统能够验证数据源和数据完整性 系统能够根据业务规则检查数据类型、格式、内容,过滤不符合安全策略的数据。
系统能够保证非法数据交换行为可追溯 具体描述如下:
XX市公安局边界接入平台解决方案 21
身份认证 系统内部通过硬件数字证书进行双向身份认证,如果一旦系统内部的硬件数字证书被拔走,则数据交换过程马上终止。如果外网端其他服务器冒用地址向内网发送数据交换请求,则直接会被系统拒绝。
数据加密 系统根据认证产生的会话密钥对传输数据进行加密。
区分内外网链路 系统能够自动区分连接内外网链路的不同接口,外网接口保证数据源的合法性和数据的完整性,内网接口对数据进行检查、过滤、审计和分发等处理。
单向通道主动获取数据 安全数据交换系统采用了特有的单向通道技术,确保除了所配置的接入业务以外,没有任何其它软件能够利用数据通道传输数据,也没有任何其它软件能够自行建立数据传输通道。
系统主动获取前置机上数据,所有数据请求都由内网交换服务器主动发起,根据用户事先定义的业务调度策略进行调度,每个业务在配置完成后即形成该业务的隧道,系统不接受前置机向系统发起的主动数据提交请求。
验证数据源 系统支持对前置机硬件设备证书双向认证。系统可以兼容各种证书体系所颁发的标准 X.509 证书。
数据过滤 系统能够根据用户事先定义业务规则对数据进行全面过滤,支持对每个业务单独设置过滤规则,过滤规则粒度细化到每个字段,包括类型、范围、长度、枚举、缺省值、特殊字段、字符编码、图像字段许可等等。
系统集成了世界上首屈一指的流杀毒引擎,可以节省您在防病毒、木马上的投资。系统能够识别数据交换内容中SQL语句,能够有效防范所有SQL提交攻击,保护用户内网的数据库和业务应用系统,保证不泄露内网数据结构。系统能够根据用户事先设置的黑名单过滤所有交换的数据,如果出现黑名单中的内容则阻断数据交换行为并报警通知用户。
XX市公安局边界接入平台解决方案 22
审计与行为追溯 系统提供对整个数据交换行为的完整审计,包括数据来源、交换发生时间、数据交换的目标、数据交换的内容、是否得到了授权、是否遵守交换规则、交换行为是否成功、交换结束时间等等。
系统能够提供应用级日志,并且支持日志服务器功能,将日志信息以标准格式(SYSLOG 格式)导出给集控系统或其他第三方存储备份,并结合集控系统对系统日志进行分析。
3.4.5 安全监测与管理区 安全监测与管理区内包括:集中监控与管理系统(简称集控系统),集中监控与管理系统由集控系统服务器和集控探针组成。
3.4.5.1 集控探针的作用 由于处于公安信息网内的集控服务器无法直接监管处于公安外网的各种设备,所以需要在边界保护区安装集控探针。
集控探针是专用硬件设备,采集外网各种设备(如防火墙、三层交换机、可信边界安全网关、IDS、外网交换服务器、各种业务前置机)的日志信息,同时监听外网设备的使用状态、流量、异常报警事件等。
3.4.5.2 集控服务器的作用 集控系统功能包括:
注册信息管理功能 根据安全规范要求提供信息注册和管理功能。包括对平台的基础信息、建设情况、运维情况、链路情况、设备情况进行注册;对接入业务的基础信息、扩展信息、协议信息、使用单位信息、终端设备信息进行注册。
运行监控管理功能 集控系统能够实时查看业务当前状态、当日流量、总流量等;能够根据链路、归属单位、操作方式、接入对象来统计任意时间段内的流量、交换次数、审计次
XX市公安局边界接入平台解决方案 23
数、报警次数等重要信息;能够实时监控各种设备当前运行状况;能够提供用户行为监控,对用户的登录状态、操作行为、访问资源进行监控并提供查询统计。
报警管理功能 集控系统的报警分为三种:设备报警、业务报警和事件报警。设备报警是对设备故障状态的报警;业务报警是对业务异常运行状态的报警;事件报警是对各种设备产生的安全事件的报警。系统支持短信报警和邮件报警。
安全审计功能 系统提供用户行为审计,即用户信息、用户访问的资源、访问的时间等信息;系统提供业务应用审计,即业务应用系统信息、数据传输流量、传输时间、传输具体内容等等;系统提供设备状态审计:即设备的启停时间、次数、流入流出流量、设备资源使用状况等等;系统提供异常行为审计:即异常发生时间、业务信息、设备信息、异常具体内容等等。
XX 市公安局边界接入平台解决方案 24
3.5 党政军机关接入链路 安全数据交换系统内网业务系统路由接入区 边界保护区 应用服务区 安全隔离区集中监控管理系统安全监测与管理区党政军机关专线终端计算机数据交换前置机入侵防御系统数据交换内网服务器网闸内网WEB服务器公安内网视频终端集控探针授权访问数据交换入侵检测系统三层交换机数据交换外网服务器防火墙公安信息网三层交换机可信边界安全网关外网业务前置机
XX市公安局边界接入平台解决方案 25
3.5.1 路由接入区 3.5.1.1 通信链路 党政军机关单位外部通信链路采用专线(裸光纤)与边界接入平台连接。
3.5.1.2 终端安全 党政军机关接入终端安全主要体现在如下几个方面:终端用户身份识别(必须采用数字证书方式)、终端设备认证、终端访问控制、传输保护。
3.5.1.3 终端身份识别 党政军机关单位用户只能通过公安定制的数字证书来标识用户身份,可信边界安全网关对用户持有的数字身份进行完整认证,包括验证数字证书的信任域、有效期、证书状态。
3.5.1.3.1 终端设备识别 客户端收集终端硬件信息,并提交给可信边界网关,可信边界网关根据终端软硬件特征确保只有经过注册的合法终端才能与平台连接,保证接入设备的合法性。
3.5.1.3.2 终端访问控制 在终端与平台完成连接认证时,通过设置细粒度访问控制策略,确保非法用户不能访问,合法用户不能越权访问。
3.5.1.3.3 传输保护 终端客户端与可信边界网关之间使用 SSL 协议对通信过程进行加密和完整性保护,保证数据传输的安全性。
XX市公安局边界接入平台解决方案 26
3.5.2 边界保护区 边界保护区主要设备包括:防火墙、可信边界安全网关、三层交换机、入侵防御设备、集控探针等。
3.5.2.1 可信边界安全网关的作用 党政军机关单位的用户通过公安颁发的定制类型数字证书来访问公安内网,这个证书由谁来认证其合法性,又通过那种设备对访问进行授权控制。在这里,公安部安全规范要求采用可信边界安全网关来实现对客户端身份认证、访问控制、授权管理的作用。
可信边界安全网关基于 SSL 安全通信协议,支持 PKI 证书认证和数字签名机制,为接入点授权访问业务提供基于公安 PKI/PMI 体系的数字证书身份认证、应用授权和细粒度访问控制、数据加密和完整性保护、抗否认等安全服务。
身份认证:网关对用户持有的数字身份进行完整认证,包括验证数字证书的信任域、有效期、证书状态。
策略服务:网关通过地域属性服务和资源服务控制对用户开放资源,从而实现细粒度访问控制。
应用授权与访问控制:网关采用了基于角色的应用授权和访问控制机制,依据“最小授权”的原则,对用户的应用服务访问权限进行严格控制,有效避免了发生超越权限的访问行为。
应用数据安全传输:一旦客户端与网关之间建立了 SSL 安全通道,所有应用数据的传输都在 SSL 记录协议的安全保护下进行。
安全审计:网关对管理员维护网关操作进行详细记录,对用户身份请求进行详细记录。网关支持标准日志输出,可将日志信息发送到集控系统,进行集中、统一审计管理,为事后鉴定提供有效数据。
3.5.2.2 入侵防御系统的作用 入侵防御系统(IPS)部署在可信边界安全网关之后,其目标旨在准确监测网络异常流量,自动对各类攻击进行实时阻断。即 IPS 接收到外部数据流量时,如
...
推荐访问:边界 接入 公安局