公安系统“一机多网”安全行为防范
时间:09-25
来源:51CTO
点击:
近年来,信息技术的飞速发展让人们获取、交流和处理信息的手段发生变化,信息化进程的推进也为公安系统开展工作带来新的挑战。为应对新形势下对公安执法提出的新要求,国家提出了以"公安信息化工作"为核心,以"科技强警"为目标的国家公安信息化工程--"金盾工程"。该工程自1998年开启立项以来,我国公安信息化建设获得突破性进展,特别是全局应用系统框架的部署和实施,使得各公安系统网络信息系统发生了重大变化,通信速度更高效、业务的信息化程度更深入、应用与业务结合的更紧密、基层应用更为普及,极大提升了公安系统机关维稳处突、便民服务的工作水平,但不容忽视的是,对公安网络安全可靠运行提出了更高的要求。针对公安系统在网络安全方面存在的问题,国内领先的内网安全解决方案提供商明朝万达公司历经多年研发推出了Chinasec可信网络安全平台,为"金盾工程"的精细建设提供更完整的安全技术保障。
背景概述:
毫无疑问,公安系统的信息化在促进公安系统各项工作顺利开展、提高工作效率的同时,因其网络应用扩大导致安全风险也变得更为严重。由于公安系统重要业务系统都处于涉密网络,其内部网络承载的数据非常重要,安全保密性要求非常高,所以各地公安系统网络除了与公安专网连接之外,与其它网络的连接将被严格禁止,按照保密要求,必须达到物理隔离。然而从实际运营情况分析,各地分局普遍存在私自通过ADSL、无线等方式接入互联网或者其他网络的情况,此种方式在公安系统内称为"一机多网"行为。"一机多网"现象的存在,为公安系统保密工作带来了很大隐患,也引起公安部和各省厅从技术到管理角度采取了系列措施以有效规避类似行为发生。
物理断开造成了应用与数据的脱节,影响了公安系统的工作效率;"一机多网"则让公安系统信息网络面临着严重的泄密威胁。无论是公安部信息化建设的主管,还是致力于网络安全防护的厂商都意识到,物理断开、杜绝"一机多网"只是一种手段,保护公安系统涉密网络的安全才是最终目的。作为致力于内网安全管理的安全厂商,明朝万达公司组织科研团队、依托Chinasec可信网络安全平台,面向公安系统提出了完善的内网安全解决方案。
存在问题:
明朝万达科技人员在对公安信息网络进行综合评估分析之后发现,目前各地公安局在公安专网的安全性上还存在着多方面的问题:
(1)全网安全系统建设没有整体规划,无法形成符合公安系统网络和应用系统现状 的全局网络安全体系架构;
(2)安全系统建设思路还比较陈旧,网络安全防预停留在部门防预的层面上,网络核心资源得不到有效保护;
(3)还缺乏网络准入控制、终端安全防御、用户行为审计等技术措施,对网络安全事件的源头无法全面控制;
(4)对公安系统骨干网络的安全审计检测不全面,无法全程监控安全事件传播轨迹;
(5)还存在安全孤岛问题,未对公安系统各单位的网络安全设备产生的运行日志和安全报警信息实现前面采集和整合,无法及时、准确的掌控全网安全情况;
(6)未形成一套有效的网络安全管理机制,安全管理与网络管理、应用管理脱节,未形成功能互补、流程清晰、职责明确的运维管理工作局面。
Chinasec的解决方案
针对公安系统网络应用及网络安全存在的问题,明朝万达整体一致内网安全解决方案依托Chinasec可信网络安全平台,同时提供数据保密、身份认证、授权管理、终端安全管理和监控审计,形成一个完整互动的内网安全策略。
安装了Chinasec软件的计算机终端发出的所有数据包均进行了加密处理。加密在网络层进行,IP头以下的数据均被加密,非IP数据包受到禁止(ARP包除外)。Chinasec软件目前版本软件采用AES加密算法进行网络加密,密钥256位,密钥由服务器统一生成和下发,每小时更换一次。同时,同一安全域(VCN)内的计算机采用相同的加密密钥,两两通讯时接受方能够自动识别发送方的数据包并解密。加密密钥不用协商,而是由服务器自动生成并下发,由于服务器和客户端之间的通道已经加过密了,所以这个密钥下发过程是安全的。不同安全域密钥不同,无法通讯。安全域外的计算机不能识别安全域内计算机发出的数据包,无法进行通讯,从根本上杜绝了非法外连和非法接入。
除此之外,适用于公安系统的Chinasec可信网络安全平台可根据各地公安系统自身安全体系建设的需要规划增加基于数字证书的统一计算机登陆授权管理体系、基于数字证书的个人保密磁盘、移动存储介质管理、中断监控管理系统以及内网安全域划分等扩展性应用,从根本上解决了公安系统网络在网络安全、访问安全、应用安全、内容安全和案例安全方面存在的系列问题。
背景概述:
毫无疑问,公安系统的信息化在促进公安系统各项工作顺利开展、提高工作效率的同时,因其网络应用扩大导致安全风险也变得更为严重。由于公安系统重要业务系统都处于涉密网络,其内部网络承载的数据非常重要,安全保密性要求非常高,所以各地公安系统网络除了与公安专网连接之外,与其它网络的连接将被严格禁止,按照保密要求,必须达到物理隔离。然而从实际运营情况分析,各地分局普遍存在私自通过ADSL、无线等方式接入互联网或者其他网络的情况,此种方式在公安系统内称为"一机多网"行为。"一机多网"现象的存在,为公安系统保密工作带来了很大隐患,也引起公安部和各省厅从技术到管理角度采取了系列措施以有效规避类似行为发生。
物理断开造成了应用与数据的脱节,影响了公安系统的工作效率;"一机多网"则让公安系统信息网络面临着严重的泄密威胁。无论是公安部信息化建设的主管,还是致力于网络安全防护的厂商都意识到,物理断开、杜绝"一机多网"只是一种手段,保护公安系统涉密网络的安全才是最终目的。作为致力于内网安全管理的安全厂商,明朝万达公司组织科研团队、依托Chinasec可信网络安全平台,面向公安系统提出了完善的内网安全解决方案。
存在问题:
明朝万达科技人员在对公安信息网络进行综合评估分析之后发现,目前各地公安局在公安专网的安全性上还存在着多方面的问题:
(1)全网安全系统建设没有整体规划,无法形成符合公安系统网络和应用系统现状 的全局网络安全体系架构;
(2)安全系统建设思路还比较陈旧,网络安全防预停留在部门防预的层面上,网络核心资源得不到有效保护;
(3)还缺乏网络准入控制、终端安全防御、用户行为审计等技术措施,对网络安全事件的源头无法全面控制;
(4)对公安系统骨干网络的安全审计检测不全面,无法全程监控安全事件传播轨迹;
(5)还存在安全孤岛问题,未对公安系统各单位的网络安全设备产生的运行日志和安全报警信息实现前面采集和整合,无法及时、准确的掌控全网安全情况;
(6)未形成一套有效的网络安全管理机制,安全管理与网络管理、应用管理脱节,未形成功能互补、流程清晰、职责明确的运维管理工作局面。
Chinasec的解决方案
针对公安系统网络应用及网络安全存在的问题,明朝万达整体一致内网安全解决方案依托Chinasec可信网络安全平台,同时提供数据保密、身份认证、授权管理、终端安全管理和监控审计,形成一个完整互动的内网安全策略。
安装了Chinasec软件的计算机终端发出的所有数据包均进行了加密处理。加密在网络层进行,IP头以下的数据均被加密,非IP数据包受到禁止(ARP包除外)。Chinasec软件目前版本软件采用AES加密算法进行网络加密,密钥256位,密钥由服务器统一生成和下发,每小时更换一次。同时,同一安全域(VCN)内的计算机采用相同的加密密钥,两两通讯时接受方能够自动识别发送方的数据包并解密。加密密钥不用协商,而是由服务器自动生成并下发,由于服务器和客户端之间的通道已经加过密了,所以这个密钥下发过程是安全的。不同安全域密钥不同,无法通讯。安全域外的计算机不能识别安全域内计算机发出的数据包,无法进行通讯,从根本上杜绝了非法外连和非法接入。
除此之外,适用于公安系统的Chinasec可信网络安全平台可根据各地公安系统自身安全体系建设的需要规划增加基于数字证书的统一计算机登陆授权管理体系、基于数字证书的个人保密磁盘、移动存储介质管理、中断监控管理系统以及内网安全域划分等扩展性应用,从根本上解决了公安系统网络在网络安全、访问安全、应用安全、内容安全和案例安全方面存在的系列问题。