公安专网系统安全解决方案

公安专网系统安全解决 公安专网系统安全解决方案 由于应用环境的特殊性，公安专网建设强调与其他计算 机网络的隔离，即需要建立独立的公安系统专用计算机网 络。 公安三级网建设(县和县级市公安局联网)过程中，大 多数都采用光纤线路将各个县局联入公安专网，其特点是安 全性很高，但线路租用成本也比较高，在经济比较发达的地 区，这种方式已经普遍采用，而在经济比较落后的地区，许 多县局还没有或正在考虑怎样联入公安专网，有没有比较经 济实用而且又满足安全性需求的接入方式呢,在下面的描述 中，我们将展示我们在黑龙江省某地区公安三级网的联网方 图1 三级网接入平台拓扑图 案。 公安四级网建设(即派出所级网点联网)过程中，常见 (2)四级网框架结构的接入技术包括: 光纤、DDN、FR 帧中继、ATM、E1 数字 案例一 在黑龙江上述地区，由于其经济发展相对比较 专线等专线接入方式和PSTN、ADSL、ISDN等拨号接入方式。 落后，地域广阔，有些派出所采用 DDN 直接联到政务网中， 目前，通过地方电信的专网服务，利用电信提供的专线链路 而有些派出所到县局很遥远，翻山越岭，这些地方有国家重 接入公安专网的方式是比较理想和安全的四级网接入方式， 点保护的森林资源，又恰恰是犯罪分子首选的藏身之地，在 也符合国家建设公安专网的基本要求，虽然线路租用成本较 该项目实施之前，由于不能及时地了解全国公安相关的数据 高，但在经济比较发达的地区是可以被广泛采用的。而对于 信息，许多案子都不能破获，成为打击各种犯罪行为的盲 经济比较落后的地区，或受客观因素限制只能采用拨号接入 区，因此非常急需联入公安网络。电信的光纤、DDN 或FR 帧 方式的用户，由于依靠公共数据交换网络提供接入链路和传 中继由于线路遥远根本无法联入，只能通过电话线路采用 输资源， 因此无法满足公安专网关于隔离性和独立性的要 PSTN、ADSL 接入进行数据传输，如果能解决其安全性问题， 求，需要引入网络安全技术手段来解决公网传输带来的安全 将是非常经济实用的接入方案。 隐患。 案例二 四川省某市是全国最早组建公安城域网的城市 之一，从1997 年开始便构建了从派出所,分局,市局,公 安内网的完善的信息化网络。该网络在后来的网上追逃工作 中起到了巨大的作用。随着公安系统信息化建设的不断发 展，越来越多的业务需要通过网络来进行，导致数据流量剧 一、公安专网介绍 增，同时，基层派出所的局域网规模也不断扩大，因此，以 前的线路已远远不能满足要求，需要对基层网络进行改造和 1、用户网络架构 扩容。 (1)三级网框架结构 对于基层网络改造扩容方案，市局最初决定全部采用光 黑龙江省某地区公安下属 12 个县局，由于该地区的政 纤宽带这一专线接入方式来建设本地的公安四级网。然而， 务网建设比较早，每个县的政府、人大、工商等部门都利用 由于该方案初期建设规模庞大，资金上难以保障，因此，市 该网络进行联网，如果公安也通过该网络联网，线路租用费 将很低，是比较理想的接入平台，其网络拓扑图如图1所 示。 2004?3 计算机安全 45 市场?应用案例 Network&Computer Security 公安局决定，在条件许可的地区采用光纤专线接入方式将基科所队各部门网络采用各种接入方式通过共用网络与公层派出所和分局接入公安专网，而在其他地区则通过公用的 安内网进行数据通讯时，所有的数据包都是通过明文方式进 ADSL 网络，采用 ADSL 拨号方式将基层派出所接入公安专 行传输，数据包很容易被非法侦听、窃取、篡改，所以有必 网。 要采取安全措施，如引入加/解密技术和数据校验技术来保 证传输数据的保密性和完整性。 公安四级专网组网的基本架构如图2 所示。 二、网络接入安全解决方案 1、安全技术路线 在客观条件限制了专线方式建设公安网的前提下，采用 IPSec VPN技术，通过公共网络资源建设虚拟专用网络的方 案就成为一个不错的系统安全解决方案。该方案能够提供简 单、廉价、安全、可靠的网络访问通道，可以满足公安网络 建设的独立性和安全性要求。 2、安全方案说明图2 四川省某市公安四级网的拓扑结构 (1)黑龙江省某地区公安三、四级网安全方案说明 安全设备配置拓扑图如图3 所示。 2、安全隐患 在三级网接入方案中，政务网只是一个提供接入的网络 基础平台，可供很多国家机关、部门共享，相当于一个局部 的开放性网络，只有在路由上进行控制，没有其他认证和数 据保护措施，而且，所有联网用户的IP 地址容易暴露。由于 公安系统的特殊性，因此需要在政务网中与其他网络用户进 行隔离。 拨号网络系统(ADSL、PSTN 拨号)是一个简单易用但 安全性相对脆弱的系统。拨号用户的身份(常见的诸如:用 户名 + 密码的方式)很容易被窃取并遭遇假冒接入。而且， 数据以明文形式在公共网络上传输，难以保证不被搭线窃听 和截取重放。此外，公安网络内部IP地址很容易被外部用户 图3 黑龙江某市安全方案拓扑图 查到，这样就为外部攻击提供了条件。 3、安全需求 网络安全设备配置说明:(1)接入网络和用户的身份认证 对于公安专网而言，1)在地区公安局中心与政务网接口处配置一台SJW01- 实现基层接入设备和用户的正确认 VPN/AS10 安全网关，内置SecMC 安全管理中心服务器，局 证是一个极其重要的。对此，应该采用安全性较高的认 域网内配置一台 Win2000 系统的 PC 机兼做控制台，管理下 证技术替代常用的静态口令与密码认证方式，以提高接入认 属的 VPN 网关和 VPN 客户端用户; 证的可扩展性、灵活性和安全性。 2)在各县局中心的政务网入口处分别配置一台SJW01- (2)内部 IP 地址保护 公安内部科、所、队部门网络的VPN/AS02 安全网关设备; 接入是通过电信或其它 3)在各派出所分别配置一套SJW01-VPN Client客户端 公共网络连接到上级公安网络的。为了保护公安内部IP地址 软件，并配置一个管理中心分发的 USB 令牌。 不被泄露或遭受IP地址假冒，同时还要实现向上级公安网上述方案中，在各县局VPN网关私口都按照公安内部分 络 的正常连接，必须对公安内部的 IP 地址采取一定的保护配的IP地址进行配置，而外口则采用政务网上分配的IP进机 制。目的是在实现基层单位以公安内部IP地址连接到公行 配置，互不影响。对于各派出所，在管理中心分发USB 安专 网的同时，保障公安内部IP 地址对外不可见。 令牌 时，在每个USB令牌中都设置了公安内部分配的IP地(3)网络传输数据的保密性和完整性 址，VPN Client安全套件都工作在内部IP模式，即派出所虽 然获取的 是政务网上的IP 或PSTN 动态分配的IP 地址，但 派出所的数 46 计算机安全 2004?3 应用案例?市场 Network&Computer Security 据到达地区中心解密后，都恢复为USB令牌中设定的公安内派出所的SJW01-VPN Client 客户端与市局的SJW01- 部IP。具体的安全实现将在下面进行描述。 VPN/AS10 网关建立连接时必须使用USB 令牌。 SJW01-VPN (2)四川某市四级网安全方案说明 客户端从读取 USB 令牌中提取用户的各种信息，包括 CA 证 书、IPSec隧道策略等。 ADSL 接入方式属于拨号方式的一种，所以四川省该市 四级网建设涉及两方面的问题: 可以保证 只有持有由市局SecMC 颁发的USB 令牌的 用 户才可以通过电信的ADSL 网络接入到市局网络中心，1)网络地址规划。在该市，中国电信的ADSL 网络按照 从而 实现对公安内网的访问。 公网分配各节点的IP地址;而按照公安部的统一规划，公安 内网的IP 地址统一为10.X.X.X。各派出所必须以公安部(2)IP 地址转换和隐藏 公安专网系统安全解决方案允规 定的合法IP地址接入到公安内网。 许在建立IPSec隧道时， 2)网络安全。基于前面的安全性，由于采用公用 可以同时实现对内部IP地址的转换和隐藏(下面以四川公安 的IP 网络，必然面临网络安全问题。 四级网案例进行描述)。 安全网络设备配置说明: 市局的SecMC 在向每个派出所颁发USB 令牌时，可以 设 定一个“内部IP地址”。该内部IP地址根据某市公安1)在市网络中心与电信 IP 网络的接口处配置 SJW01- VPN/AS10 安全网关; 内网的 IP 地址规划进行设置，属于10.X..X..X 网段。 2)在市网络中心配置SecMC For SJW01安全管理中派出所的SJW01-VPN Client 客户端与市局的心， 负责系统内所有设备和用户的安全管理; SJW01- VPN/AS10 建立IPSec 隧道后，SJW01-VPN 系统将 对所有的 IP 报进行如图5所示的封装。 3)对于基于代理服务器上网的派出所，在代理服务器 上安装 SJW01-VPN Client 客户端软件，并配置 USB 令牌， 对派出所内所有上网PC(包括代理服务器本身)进行地址转 换并实现安全保护; 4)对于仅有一台 PC 的派出所，直接安装 SJW01-VPN Client客户端软件并配置USB令牌，对PC地址进行转换并 实 现安全保护,公安专网安全系统构架如图4 所示。 图5 IP报的安全封装 从图5 可以看出，内部IP 地址被加密传送。在公用IP网 络中(市局SJW01-VPN/AS10安全网关与SJW01-VPN Client 客户端之间)，IP报的传递使用电信分配的IP地 址，即172. X.X.X 网段地址。 当IP 报被解密后， 172.X.X.X 地址将被 丢弃，SJW01-VPN 系统将解密出内网图4 公安专网安全系统构架 IP 地址， 从而使内网 的信息访问基于内部IP地址进行。 在中心服务器上，可以根据IP报的源IP地址，非常准确 3、安全性的技术实现地了解到目前正在访问的派出所和该所正在进行何种操作。 (1)接入用户的身份认证和访问控制 公安专网系统安全公安专网系统安全解决方案同时提供事后审计分析功能，方 解决方案支持移动用户的安全接入， 便用户进行现场监测和事后分析。 对于移动用户的认证使用USB 令牌来实现。 (3)数据的保密性和完整性 系统中的 SecMC 安全管理中心生成一个令牌文件并写 对于县局联网，VPN/AS02 与中心 VPN/AS10 之间，建 入USB令牌中。该文件含有建立IPSec连接所需要的信息立IPSec 加密隧道;对于派出所，派出所用户使用USB 令和 针对特定用户随机产生的密钥。读取USB令牌信息时必牌 完成身份认证后，市局的VPN/AS10 安全网关将与派出须输 入保护口令。 所的 2004?3 计算机安全 47 市场?应用案例 Network&Computer Security VPN Client建立IPSec加密隧道，该隧道对所有的原始IP这一问题的思路，并结合公安系统的实际情况总结了这一解 报决方案的优势。 进行以下处理: 报头认证:利用密码算法对IP报头进行完(1)具体应用无关 IPSec VPN技术可以为所有的基于 整性保护，保 IP的上层应用提供安全隔离保护，实现四级网与公共网 证IP报头在公网传输时不被非法修改，从而防止攻击者通络之间的安全隔离。 过 修改IP地址、协议号等方式对网络发起攻击。报头认证(2)方便部署 IPSec VPN技术实现对基层所、队的技 同时 可以实现抗重放攻击和无连接完整性鉴别等安全功术要求和设备要求很低。 能。 (3)高强度的身份认证机制 基层所、队接入公安专网 报文认证:利用密码算法对 IP 数据报文进行完整性保 时的身份认证方式不再基于用户名与密码方式，而是基于 护，保证IP 报文在公网传输时不被非法修改。 PKI 体系，更加安全可靠。 报文加密:利用密码算法对IP数据报文进行加密处(4)IP地址的转换和隐藏 系统通过对原公安内部的 理， 保证IP报文的内容在公网传输时不被非法窃取。报文IP 地址采取二次封装、加密及校验等保护措施，实现了基层 加密同 时可实现抗流量分析。 单位以公安内部IP地址连接到公安专网的要求，同时，保障 公安内部IP地址对外部保密。 目前，公安专网的三、四级网建设过程中，各地建设现(5)传输数据的加密 通过公用网络传输的数据现在全 状与国家要求之间存在一定的差距。在受客观因素限制，无 部以加密后的密文形式传输，杜绝了被非法侦听、窃取、篡 法建设专线实现网络接入时，可以变通采用现有的网络基础 改的可能性，保证了传输数据的保密性和完整性。(北京清 平台或拨号接入方式。但是，必须采取一定的技术手段满足 华紫光顺风信息安全有限公司提供) 公安专网关于隔离性和独立性的要求。 北京清华紫光顺风公司提出了利用IPSec VPN技术解 决 WatchGuard 推出重新定义的安全设备 Firebox X 2004 年 3 月 2 日，安全方案供应商WatchGuard 在京召开新闻发布会，面向发展中企业和中小型企业(SME)，隆重推 出新一代的Firebox X 整合式安全设备系列。 WatchGuard Firebox X 是为成长型企业量身定制的安全设备，它首开行业之先河，用户只需使用一个软件许可证密钥， 就能将设备升级到产品系列中的任何一个更高级的型号。Firebox X 系列产品集防火墙、VPN、应用层检测、入侵防御功能、 垃圾邮件阻挡、Web 内容过滤以及身份验证功能于一体，以4 年为期，其总体拥有成本(TCO)相较于市场上的同类产品下 降了高达 80% 。 Firebox X 设备的设计宗旨是伴随企业的成长，满足其不断扩展的性能及容量需求，避免了代价高昂的、需要耗费大量 时间的硬件更换。客户只需使用一个许可证密钥，就能在同一台设备上激活大量先进的安全特性，比如内容过滤和防病毒保 护等等。Firebox X整合的所有安全功能都能通过WatchGuard System Manager来控制，这是一种的、操作简便的管理 控制台。 Firebox X 的特色之一，WatchGuard“智能分层安全引擎(”Intelligent Layered Security，ILS)架构，它的设计宗旨是 在不妨碍性能的同时，尽可能地提高安全保护力度。ILS 核心的引擎透过协作式的、多层防御体系，有效地利用硬件处理能 力，从而有力地抵御安全威胁WatchGuard还计划进一步扩展ILS架构，以有效地集成其他安全服务，比如网关防病毒和基于 签名的入侵防御等等。除此之外，Firebox X ILS构架还集成了入侵防御功能，它能在应用层检查和阻挡恶意数据。WatchGuard 于1997 年率先在安全设备中集成应用层安全性，目前仍是唯一一家在面向SME 市场这一级别的安全设备中，集成入侵防御 功能的厂商。 WatchGuard亚太区常务董事长Jeff Hurmuses表示:“客户最终获得了令他们高枕无忧的安全性。我们的SME客户曾告 诉我们，随着他们公司规模的扩大，面临的最大安全挑战就是如何在有限的预算、时间和资源下，有效地抵御数量及复杂性 都在不断增大的安全威胁。而这正是我们推出这款整合式设备的目的所在。该设备的问世，将建立 SME 市场的安全设备新 标准。它提供了多层的、企业级安全性，同时不会增大管理上的复杂性。相反，假如采用传统方案来达到相同的目的，则通 常需要多个设备，管理上的难度将会大幅增加。另外，Firebox X 还支持加载服务管理，提供全面的报表功能，支持实时监 视，甚至支持多设备管理，而所有这一切都无需额外的费用。” 48 计算机安全 2004?3