某公安局网络安全方案.doc
《某公安局网络安全方案.doc》由会员分享,可在线阅读,更多相关《某公安局网络安全方案.doc(14页珍藏版)》请在咨信网上搜索。
1、某公安局网络安全方案 (建议稿) 一、 某公安局网络现状某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道,实现机关局域网络全部节点及终端设备的网络互联和系统集成,实现以信息交换,信息发布为主的综合计算机网络应用环境,为公安局管理、领导决策提供先进的技术支持手段。整个某公安局网络通过统一的出口,64K的DDN专线接入上级省厅及全国各地公安网站,网络主干网通过一个Motorla(S520)路由器连接到上级网络。某公安局网络在物理结构上主要分
2、成两个子网,两个子网通过路由器连接。在逻辑上,某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个,规模较大。某公安局现有网络的拓扑结构见图一所示。 某公安局网络已经有了比较成熟的应用,包括WWW服务,Mail服务,DNS服务等的一些其他应用,如内部信息等,也已经转移到网络应用之上的Web应用主要是用于内部信息的管理,应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。以上是某公安局网络及其应用的现状。 二、 某公安局网络安全需求分析某公安局网络系统现在的Web应用主要是
3、用于公安局内部信息管理,因而存在着强烈的安全需求。网络安全的目标是保护和管理网络资源(包括网络信息和网络服务)。网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次,在不同层次上的安全需求如上图所示。某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面:网络层安全需求、应用层安全需求和安全管理需求。目前第一期解决网络层安全需求1. 网络层安全需求网络层安全需求是保护网络不受攻击,确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的,包括:l 隔离内外部网络;l 实现网络的边界安全,在网络的入出口设置安全控制;
4、l 实现安全漏洞检测,及时发现网络服务和操作系统存在的安全隐患,及时采取补救措施,将安全风险降到最低。具体而言,某公安局网络系统在网络层的安全需求可以描述为:1) 解决网络的边界安全,防止外部攻击,保护内部网络;通过防火墙和应用代理隔离内外网络;2) 内外网络采用两套不同的IP地址,实现地址翻译(NAT)功能;3) 根据IP地址和TCP端口进行入出控制;4) 基于IP地址和MAC地址的对应防止IP盗用;5) 基于IP地址计费和流量控制;6) 基于IP地址的黑白名单;7) 防火墙对用户身份进行简单认证;8) 根据用户身份进行入出控制;9) 基于用户的计费和流量限制;10) URL检查和过滤。2.
5、 应用层安全需求某公安局网络应用层安全需求是针对用户和系统应用资源的,必须确保合法用户对信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行系统而周密的规划,根据规划采取相应的安全管理手段来保证系统的实用、可靠和安全性。某公安局网络应用主要是应用于公安局内部的信息管理,因而:1) 外部非授权用户不得拥有访问公安局内部信息的权限;2) 内部、外部授权用户只能拥有系统赋予的访问授权;3) 不同级别的内部用户拥有对信息的不同访问权限;4) 不同部门的内部用户拥有对信息的不同访问权限;5) 某个部门的信息可以授予其他部门内部用户一定的访问权限;6) 授权用户不论在什么地方,什么时间,对信息的访
6、问权限应该是一致的;某公安局网络应用层的安全威胁主要是:l 身份窃取和假冒l 数据窃取和篡改l 非授权存取l 否认与抵赖以上安全威胁产生的安全需求如下:l 数据保密:由于无法确认是否有未经授权的用户截取网络上的数据,需要一种手段来对数据进行保密。数据加密就是用来实现这一目标的。l 数据完整性:需要一种方法来确认送到网络上的数据在传输过程中没有被篡改。数据加密和校验被用来实现这一目标。l 身份认证:需要对网络上的用户进行识别,以确认对方的真实身份,保证身份不被窃取与假冒。l 访问授权:需要控制谁能够访问网络上的信息,并且他们能够对信息进行何种操作。访问授权能够防止对系统资源的非授权存取。l 审计
7、记录:所有网络活动应该有记录,这种记录要针对用户来进行,可以实现统计、计费等功能;还可以防止否认,确保用户不能抵赖自己的行为,同时提供公证的手段来解决可能出现的争议。通过应用层的安全管理,最终要使某公安局网络系统达到下面的目标:1) 面向所有服务的粗粒度的安全控制:l 解决网络的整体安全,内外兼防,保护数据和信息安全;l 用户和服务器之间实现严格的身份认证;l 基于严格身份认证的统一授权管理;l 访问控制粒度要求达到TCP端口一级;l 数据传输时加密以实现数据保密和不可抵赖等;l 实现审计记录功能。2) 面向Web服务的细粒度的安全控制:l 要求解决WEB应用的整体安全,内外兼防,保护数据和信
8、息安全;l 解决HTTP的安全问题;l 解决CGI的安全问题;l 用户和WEB应用服务器之间实现严格的身份认证;l 根据用户身份实现WEB空间的统一授权管理;l 访问控制粒度要求达到文件和页面一级;l 实现WEB空间的安全单点登录;l 实现WEB空间的目录服务;l 实现信息访问频率和用户访问频率统计。3) 由于某公安局客户端的地理分布广泛,要求系统的安全控制支持公钥系统,支持SSL协议; 3. 安全管理需求3.1 网络层安全管理网络层的安全管理主要结合网管系统进行,主要内容如下:l 完成对路由器、交换机、访问服务器的安全配置,具体包括:设备配置授权、路由配置、VLAN配置(根据端口或MAC地址
9、)、IP过滤配置、TCP端口访问控制、拨号认证(如RADIUS。TACACS等)配置、路由器加密配置等。l 完成防火墙的配置,具体包括:防火墙操作系统配置、基于规则的IP过滤配置、安全TCP端口及访问授权配置、内容过滤配置、NAT地址翻译配置等;l 堡垒主机配置,包括各应用代理或应用网关的配置。l 安全检测软件配置:包括网络服务漏洞检测和操作系统漏洞检测。3.2 应用层安全管理l 完成用户注册,建立用户档案,完成用户分组,形成全网统一一致的用户空间;l 完成网络资源的统一配置,形成全网统一的资源空间;l 根据用户身份完成访问授权配置,形成全网统一一致的授权管理;l 支持单点登录,实现基于单一口
10、令的访问控制;l 形成访问记录,为统计和分析提供事实依据,并且防止抵赖,为事故责任分析奠定基础;l 通过实用的安全管理软件实现安全管理。4. 信息资源的安全分类某公安局网络的信息资源的安全分类如下:l 公众信息 - 不需要身份认证和访问控制;l 内部信息 - 需要身份验证并根据身份进行相应的访问控制;l 敏感信息 - 需要验证身份、根据身份进行相应的访问控制而且在信息传输过程中采取加密措施。某公安局网络的服务类型的安全分类如下:l 内部服务 - 面向内部的授权注册用户,管理和控制内部用户对信息资源的访问。根据用户的身份或角色,对用户可使用的服务进行授权,包括对外的访问。l 公众服务资源 - 面
11、向互联网络,防止和抵御外来的攻击。 三、 某公安局网络安全解决方案某公安局网络安全系统的总体目标是根据前面提到的所有的安全需求,解决某公安局网络系统的安全问题。采用昊普创业安全防范技术公司拥有的从网络层到应用层的一整套网络安全技术和产品,我们为某公安局网络系统设计了包括网络层、应用层安全控制、网络安全管理和安全监测的一套立体的、全方位的安全解决方案。考虑到的实际情况,我们设计了一个两期的方案,可以逐步实现某公安局的完全的安全防范措施。1一期解决方案不论什么情况,考虑网络安全问题必须同时注意到网络层和应用层两方面的安全问题。在某公安局网络安全一期解决方案中也是这样考虑的。1.1 安全网络拓扑结构
12、某公安局网络安全系统一期解决方案需要实现网络层和应用层的基本安全配置,包括边界防火墙的配置,应用层安全服务器的基本配置。一期解决方案的安全网络拓扑结构见图三所示。内部网络通过路由器连接到省厅网络和Internet。在路由器后面设置了一个带三网卡的HotTiger硬件防火墙,实现网络层的安全控制。其他在3COM1500路由器后面设置了一个带双网卡的HotDog计费型防火墙,实现网络层的安全控制防火墙后面连接昊普公司的HotCat安全认证计费系统,实现应用层的安全访问控制和安全管理。 1.2 边界防火墙HotDog的配置边界防火墙采用昊普创业HotTiger硬件防火墙。其他采用HotDog该产品运
13、行在具有安全核心的操作系统的基础上,保证防火墙的平台安全。在某公安局网络安全系统一期建设中,将使用带双网卡的HotDog,并启动其IP包过滤、IP计费、地址翻译NAT、IP和MAC地址对应功能以及应用代理服务SQUID。边界防火墙HotDog上面有两块网卡,可以配置两个不同的IP地址,其中一块使用合法的IP地址,另一块使用内部保留地址,如192.168.0.x,实现地址翻译NAT功能,达到隐藏网络内部地址的作用。通过HotDog,可以隔离内外网络,解决网络的边界安全问题。HotDog具有基于规则的包过滤功能,可以根据IP地址和TCP端口进行入出控制。同时HotDog可以把IP地址和网卡的MAC
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 公安局 网络安全 方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【快乐****生活】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【快乐****生活】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。