某公安局網(wǎng)絡安全系統(tǒng)方案設計

1/121/12某公安局網(wǎng)絡安全方案〔建議稿〕一、某公安局網(wǎng)絡現(xiàn)狀INTERNET整個某公安局網(wǎng)絡通過統(tǒng)一的出口，64KDDNMotorla〔S520〕路由器連接到上級網(wǎng)絡。某公安某公安局現(xiàn)有網(wǎng)絡的拓撲結構見圖一所示。Web//模式與瀏覽器/服務器模式。word以上是某公安局網(wǎng)絡與其應用的現(xiàn)狀。二、某公安局網(wǎng)絡安全需求分析某公安局網(wǎng)絡系統(tǒng)現(xiàn)在的Web應用主要是用于公安局內(nèi)部信息管理，因而存在著強烈的安全需求。網(wǎng)絡安全的目標是保護和管理網(wǎng)絡資源〔包括網(wǎng)絡信息和網(wǎng)絡服務〕。網(wǎng)絡安全的需求是分層次的。ISO/OSI7同層次上的安全需求如上圖所示。2/12PAGEPAGE8/12目前第一期解決網(wǎng)絡層安全需求網(wǎng)絡層安全需求網(wǎng)絡層安全需求是保護網(wǎng)絡不受攻擊，確保網(wǎng)絡服務的可用性。某公安局網(wǎng)絡網(wǎng)絡層的安全需求是面向系統(tǒng)安全的，包括：隔離內(nèi)外部網(wǎng)絡；實現(xiàn)網(wǎng)絡的邊界安全，在網(wǎng)絡的入出口設置安全控制； 與時采取補救措施，將安全風險降到最低。具體而言，某公安局網(wǎng)絡系統(tǒng)在網(wǎng)絡層的安全需求可以描述為：1〕解決網(wǎng)絡的邊界安全，防止外部攻擊，保護內(nèi)部網(wǎng)絡；通過防火墻和應用代理隔離內(nèi)外網(wǎng)絡；2〕內(nèi)外網(wǎng)絡采用兩套不同的IP地址，實現(xiàn)地址翻譯〔NAT〕功能；3〕根據(jù)IP地址和TCP端口進展入出控制；4〕基于IP地址和MAC地址的對應防止IP盜用；5〕基于IP地址計費和流量控制；6〕基于IP地址的黑白；7〕防火墻對用戶身份進展簡單認證；8〕根據(jù)用戶身份進展入出控制；9〕基于用戶的計費和流量限制；10〕URL檢查和過濾。應用層安全需求全性。某公安局網(wǎng)絡應用主要是應用于公安局內(nèi)部的信息管理，因而：1〕外部非授權用戶不得擁有訪問公安局內(nèi)部信息的權限；2〕內(nèi)部、外部授權用戶只能擁有系統(tǒng)賦予的訪問授權；3〕不同級別的內(nèi)部用戶擁有對信息的不同訪問權限；4〕不同部門的內(nèi)部用戶擁有對信息的不同訪問權限；5〕某個部門的信息可以授予其他部門內(nèi)部用戶一定的訪問權限；6某公安局網(wǎng)絡應用層的安全威脅主要是：身份竊取和假冒數(shù)據(jù)竊取和篡改非授權存取否認與抵賴以上安全威脅產(chǎn)生的安全需求如下：展某某。數(shù)據(jù)加密就是用來實現(xiàn)這一目標的。 有被篡改。數(shù)據(jù)加密和校驗被用來實現(xiàn)這一目標。 保證身份不被竊取與假冒。 進展何種操作。訪問授權能夠防止對系統(tǒng)資源的非授權存取。 審計記錄：所有網(wǎng)絡活動應該有記錄，這種記錄要針對用戶來進展，的行為，同時提供公證的手段來解決可能出現(xiàn)的爭議。通過應用層的安全管理，最終要使某公安局網(wǎng)絡系統(tǒng)達到下面的目標：1〕面向所有服務的粗粒度的安全控制：解決網(wǎng)絡的整體安全，內(nèi)外兼防，保護數(shù)據(jù)和信息安全；用戶和服務器之間實現(xiàn)嚴格的身份認證；基于嚴格身份認證的統(tǒng)一授權管理；訪問控制粒度要求達到TCP數(shù)據(jù)傳輸時加密以實現(xiàn)數(shù)據(jù)某某和不可抵賴等；實現(xiàn)審計記錄功能。2〕面向Web服務的細粒度的安全控制：WEBHTTPCGIWEB根據(jù)用戶身份實現(xiàn)WEB訪問控制粒度要求達到文件和頁面一級；WEBWEB實現(xiàn)信息訪問頻率和用戶訪問頻率統(tǒng)計。3〕由于某公安局客戶端的地理分布廣泛，要求系統(tǒng)的安全控制支持公鑰系統(tǒng)，支持SSL協(xié)議；安全管理需求網(wǎng)絡層安全管理網(wǎng)絡層的安全管理主要結合網(wǎng)管系統(tǒng)進展，主要內(nèi)容如下：完成對路由器、交換機、訪問服務器的安全配置，具體包括：設備配置授權、路由配置、MACIPTCPRADIUS＋等〕配置、路由器加密配置等。完成防火墻的配置，具體包括：防火墻操作系統(tǒng)配置、基于規(guī)如此的IP端口與訪問授權配置、內(nèi)容過濾配置、NAT堡壘主機配置，包括各應用代理或應用網(wǎng)關的配置。安全檢測軟件配置：包括網(wǎng)絡服務漏洞檢測和操作系統(tǒng)漏洞檢測。應用層安全管理完成用戶注冊，建立用戶檔案，完成用戶分組，形成全網(wǎng)統(tǒng)一一致的用戶空間；完成網(wǎng)絡資源的統(tǒng)一配置，形成全網(wǎng)統(tǒng)一的資源空間；根據(jù)用戶身份完成訪問授權配置，形成全網(wǎng)統(tǒng)一一致的授權管理；支持單點登錄，實現(xiàn)基于單一口令的訪問控制；形成訪問記錄，為統(tǒng)計和分析提供事實依據(jù)，并且防止抵賴，為事故責任分析奠定根底；通過實用的安全管理軟件實現(xiàn)安全管理。信息資源的安全分類某公安局網(wǎng)絡的信息資源的安全分類如下：公眾信息-不需要身份認證和訪問控制；內(nèi)部信息-需要身份驗證并根據(jù)身份進展相應的訪問控制； 傳輸過程中采取加密措施。某公安局網(wǎng)絡的服務類型的安全分類如下： 內(nèi)部服務-面向內(nèi)部的授權注冊用戶，管理和控制內(nèi)部用戶對信息資括對外的訪問。三、某公安局網(wǎng)絡安全解決方案某公安局網(wǎng)絡安全系統(tǒng)的總體目標是根據(jù)前面提到的所有的安全需求，解決某公安局網(wǎng)絡系統(tǒng)的安全問題。X網(wǎng)絡系統(tǒng)設計了包括網(wǎng)絡層、應用層安全控制、網(wǎng)絡安全管理和安全監(jiān)測的一套立體的、全方位的安全解決方案。考慮到的實際情況，我們設計了一個兩期的方案，可以逐步實現(xiàn)某公安局的完全的安全防X措施。一期解決方案不論什么情況，考慮網(wǎng)絡安全問題必須同時注意到網(wǎng)絡層和應用層兩方面的安全問題。在某公安局網(wǎng)絡安全一期解決方案中也是這樣考慮的。安全網(wǎng)絡拓撲結構某公安局網(wǎng)絡安全系統(tǒng)一期解決方案需要實現(xiàn)網(wǎng)絡層和應用層的根本安全配置，包括邊界防火墻的配置，應用層安全服務器的根本配置。一期解決方案的安全網(wǎng)絡拓撲結構見圖三所示。內(nèi)部網(wǎng)絡通過路由器連接到省廳網(wǎng)絡和InternetHotTiger31500HotDogHotCatHotDog的配置HotTigerHotDog的根底上，保證防火墻的平臺安全。HotDog，并啟動其IPIPNAT、IPMACSQUID。HotDogIPIPNATHotDogHotDogIPTCPHotDog可以把IPMACIP被盜用的危險。HotDogHotDog可以根據(jù)用戶身份進展入出控制。HotDogHotDogIPIPIPFirewall/Proxy，HotDogHotCat的配置HotDogHotCat100，000HotCatPAGEPAGE9/12配置防火墻就是解決安全的全部。事實上，網(wǎng)絡建設中網(wǎng)絡局部僅僅是一個根底，更重要的是建立公安局的網(wǎng)絡應用，就如我們不是為修路而修路，而是為了跑車才修路。HotCat這些問題HotCat--網(wǎng)貓系統(tǒng)是專門為設計的撥號上網(wǎng)用戶身份認證和計費系統(tǒng)。它采用目前國際通用的Radius(RemoteAuthenticationDialInUserService)認證和計費標準，具有良好的擴展性和兼容性。該系統(tǒng)運行于Unix和Linux系統(tǒng)環(huán)境下，與HOTCAT--網(wǎng)貓計費系統(tǒng)結合可以完成對撥號上網(wǎng)用戶的身份認證和計費全過程。此系統(tǒng)包括三個模塊：用戶身份認證模塊,實時記錄模塊和計費模塊。HotCat--網(wǎng)貓系統(tǒng)可運行在各種常見的UNIX平臺上。目前經(jīng)過實際測試的有以下操作系統(tǒng)：Sun公司的〔以上〕操作系統(tǒng)；〔以上〕操作系統(tǒng)。二、用戶身份認證模塊(Radius模塊)用戶身份認證模塊提供對撥號用戶的身份認證和屬性設置，它能實現(xiàn)以下功能：用戶身份認證用戶權限設置1、限制用戶的同時上線數(shù)目2、限制用戶的上線時間3、禁止用戶上線三、費用計錄模塊〔Builddbm模塊〕HOTCAT--網(wǎng)貓計費系統(tǒng)將從該文件中讀取信息并進展費用計算。四、費用計算模塊〔HotCat--網(wǎng)貓模塊〕五、系統(tǒng)支撐環(huán)境與其運行系統(tǒng)運行環(huán)境HotCat--網(wǎng)貓撥號上網(wǎng)認證與計費系統(tǒng)運行在UNIX環(huán)境下，目前經(jīng)過測試的系統(tǒng)平臺有：Sun公司的〔以上〕操作系統(tǒng)wordwordPAGEPAGE11/12〔以上〕Solaris和LinuxHOTCAT--SunPC另一方面，低檔服務器所能容納的用戶數(shù)量也較少。系統(tǒng)性能評價到目前為止，已經(jīng)有兩家中等規(guī)?！灿脩魯?shù)在一到兩萬人之間〕的ISPHOTCAT-SunUltra2SunUltra28,00010,000600-80010,0003695算時間選擇在凌晨兩點進展系統(tǒng)的運行UnixCrontabHOTCAT--網(wǎng)貓系統(tǒng)，對前一天的用戶信息進展統(tǒng)計分析。由于運02:00:0005:00:00report32ss32day32month32UNIXCrontabHOTCAT--網(wǎng)貓系統(tǒng)進展計費運算，除非系統(tǒng)突然崩潰，造成當天的計費系統(tǒng)沒有正常運行，否如此不需要手工運行系統(tǒng)。1.4某公安局網(wǎng)絡安全管理某公安局網(wǎng)絡安全管理包括網(wǎng)絡層和應用層兩方面，網(wǎng)絡層主要是通過網(wǎng)管軟件的配置來完成的。下面我們重點介紹應用層的安全管理。應用層的安全管理以用戶身份認證和授權管理為重點。使用網(wǎng)絡安全技術中的安全管理控制臺軟件。1.6小結通過一期建設，將使某公安局網(wǎng)絡系統(tǒng)具有一個根本的安全保障系統(tǒng)，即在網(wǎng)絡層和應用層都有相應的安全措施，網(wǎng)絡層防火墻的根本功能根本實現(xiàn)，應用層的根本需求也滿足了。但是還存在不足的地方，需要在二期建設中解決，包括：1〕網(wǎng)絡層的安全管理并不是很完善，需要增加安全檢測；2〕需要解決應用層對除Web服務之外所有服務的安全控制；3〕在應用層，需要解決可靠性和負載平衡問題。二期解決方案二期建設主要是解決上面提到的三個問題。安全網(wǎng)絡拓撲結構二期建設完成之后，某公安局的安全網(wǎng)絡拓撲結構如下列圖。HotDogHotContorlCA。HotDogHotContorlCA以便更好地隔離內(nèi)外網(wǎng)絡。網(wǎng)絡安全檢測系統(tǒng)HotEagie—HotEagie—SENDMAIL安全檢測是一支“矛〞，測出了網(wǎng)絡存在的安全漏洞，針對這些漏洞采用安全防護措施，架設必要的“盾〞，