某公安局网络安全方案.doc

某公安局网络安全方案   （建议稿）   一、      某公安局网络现状 某公安局网络作为信息基础设施，是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口，与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道，实现机关局域网络全部节点及终端设备的网络互联和系统集成，实现以信息交换，信息发布为主的综合计算机网络应用环境，为公安局管理、领导决策提供先进的技术支持手段。 整个某公安局网络通过统一的出口，64K的DDN专线接入上级省厅及全国各地公安网站，网络主干网通过一个Motorla（S520）路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网，两个子网通过路由器连接。在逻辑上，某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个，规模较大。 某公安局现有网络的拓扑结构见图一所示。   某公安局网络已经有了比较成熟的应用，包括WWW服务，Mail服务，DNS服务等的一些其他应用，如内部信息等，也已经转移到网络应用之上的Web应用主要是用于内部信息的管理，应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。 某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。 以上是某公安局网络及其应用的现状。   二、      某公安局网络安全需求分析 某公安局网络系统现在的Web应用主要是用于公安局内部信息管理，因而存在着强烈的安全需求。 网络安全的目标是保护和管理网络资源（包括网络信息和网络服务）。 网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次，在不同层次上的安全需求如上图所示。 某公安局网络的安全需求覆盖网络层以上的部分，并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面：网络层安全需求、应用层安全需求和安全管理需求。 目前第一期解决网络层安全需求 1. 网络层安全需求 网络层安全需求是保护网络不受攻击，确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的，包括： l         隔离内外部网络； l         实现网络的边界安全，在网络的入出口设置安全控制； l         实现安全漏洞检测，及时发现网络服务和操作系统存在的安全隐患，及时采取补救措施，将安全风险降到最低。 具体而言，某公安局网络系统在网络层的安全需求可以描述为： 1）   解决网络的边界安全，防止外部攻击，保护内部网络；通过防火墙和应用代理隔离内外网络； 2）   内外网络采用两套不同的IP地址，实现地址翻译（NAT）功能； 3）   根据IP地址和TCP端口进行入出控制； 4）   基于IP地址和MAC地址的对应防止IP盗用； 5）   基于IP地址计费和流量控制； 6）   基于IP地址的黑白名单； 7）   防火墙对用户身份进行简单认证； 8）   根据用户身份进行入出控制； 9）   基于用户的计费和流量限制； 10） URL检查和过滤。 2. 应用层安全需求 某公安局网络应用层安全需求是针对用户和系统应用资源的，必须确保合法用户对信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行系统而周密的规划，根据规划采取相应的安全管理手段来保证系统的实用、可靠和安全性。 某公安局网络应用主要是应用于公安局内部的信息管理，因而： 1）   外部非授权用户不得拥有访问公安局内部信息的权限； 2）   内部、外部授权用户只能拥有系统赋予的访问授权； 3）   不同级别的内部用户拥有对信息的不同访问权限； 4）   不同部门的内部用户拥有对信息的不同访问权限； 5）   某个部门的信息可以授予其他部门内部用户一定的访问权限； 6）   授权用户不论在什么地方，什么时间，对信息的访问权限应该是一致的； 某公安局网络应用层的安全威胁主要是： l         身份窃取和假冒 l         数据窃取和篡改 l         非授权存取 l         否认与抵赖 以上安全威胁产生的安全需求如下： l        数据保密：由于无法确认是否有未经授权的用户截取网络上的数据，需要一种手段来对数据进行保密。数据加密就是用来实现这一目标的。 l         数据完整性：需要一种方法来确认送到网络上的数据在传输过程中没有被篡改。数据加密和校验被用来实现这一目标。 l         身份认证：需要对网络上的用户进行识别，以确认对方的真实身份，保证身份不被窃取与假冒。 l         访问授权：需要控制谁能够访问网络上的信息，并且他们能够对信息进行何种操作。访问授权能够防止对系统资源的非授权存取。 l         审计记录：所有网络活动应该有记录，这种记录要针对用户来进行，可以实现统计、计费等功能；还可以防止否认，确保用户不能抵赖自己的行为，同时提供公证的手段来解决可能出现的争议。 通过应用层的安全管理，最终要使某公安局网络系统达到下面的目标： 1）   面向所有服务的粗粒度的安全控制： l         解决网络的整体安全，内外兼防，保护数据和信息安全； l         用户和服务器之间实现严格的身份认证； l         基于严格身份认证的统一授权管理； l         访问控制粒度要求达到TCP端口一级； l         数据传输时加密以实现数据保密和不可抵赖等； l         实现审计记录功能。 2）   面向Web服务的细粒度的安全控制： l         要求解决WEB应用的整体安全，内外兼防，保护数据和信息安全； l         解决HTTP的安全问题； l         解决CGI的安全问题； l         用户和WEB应用服务器之间实现严格的身份认证； l         根据用户身份实现WEB空间的统一授权管理； l         访问控制粒度要求达到文件和页面一级； l         实现WEB空间的安全单点登录； l         实现WEB空间的目录服务； l         实现信息访问频率和用户访问频率统计。 3）   由于某公安局客户端的地理分布广泛，要求系统的安全控制支持公钥系统，支持SSL协议；   3. 安全管理需求 3.1 网络层安全管理 网络层的安全管理主要结合网管系统进行，主要内容如下： l        完成对路由器、交换机、访问服务器的安全配置，具体包括：设备配置授权、路由配置、VLAN配置（根据端口或MAC地址）、IP过滤配置、TCP端口访问控制、拨号认证（如RADIUS。TACACS＋等）配置、路由器加密配置等。 l        完成防火墙的配置，具体包括：防火墙操作系统配置、基于规则的IP过滤配置、安全TCP端口及访问授权配置、内容过滤配置、NAT地址翻译配置等； l        堡垒主机配置，包括各应用代理或应用网关的配置。 l        安全检测软件配置：包括网络服务漏洞检测和操作系统漏洞检测。 3.2 应用层安全管理 l        完成用户注册，建立用户档案，完成用户分组，形成全网统一一致的用户空间； l        完成网络资源的统一配置，形成全网统一的资源空间； l        根据用户身份完成访问授权配置，形成全网统一一致的授权管理； l        支持单点登录，实现基于单一口令的访问控制； l        形成访问记录，为统计和分析提供事实依据，并且防止抵赖，为事故责任分析奠定基础； l        通过实用的安全管理软件实现安全管理。 4. 信息资源的安全分类 某公安局网络的信息资源的安全分类如下： l         公众信息 - 不需要身份认证和访问控制； l         内部信息 - 需要身份验证并根据身份进行相应的访问控制； l         敏感信息 - 需要验证身份、根据身份进行相应的访问控制而且在信息传输过程中采取加密措施。 某公安局网络的服务类型的安全分类如下： l         内部服务 - 面向内部的授权注册用户，管理和控制内部用户对信息资源的访问。根据用户的身份或角色，对用户可使用的服务进行授权，包括对外的访问。 l         公众服务资源 - 面向互联网络，防止和抵御外来的攻击。   三、      某公安局网络安全解决方案 某公安局网络安全系统的总体目标是根据前面提到的所有的安全需求，解决某公安局网络系统的安全问题。 采用昊普创业安全防范技术公司拥有的从网络层到应用层的一整套网络安全技术和产品，我们为某公安局网络系统设计了包括网络层、应用层安全控制、网络安全管理和安全监测的一套立体的、全方位的安全解决方案。 考虑到的实际情况，我们设计了一个两期的方案，可以逐步实现某公安局的完全的安全防范措施。 1．一期解决方案 不论什么情况，考虑网络安全问题必须同时注意到网络层和应用层两方面的安全问题。在某公安局网络安全一期解决方案中也是这样考虑的。 1.1 安全网络拓扑结构 某公安局网络安全系统一期解决方案需要实现网络层和应用层的基本安全配置，包括边界防火墙的配置，应用层安全服务器的基本配置。 一期解决方案的安全网络拓扑结构见图三所示。内部网络通过路由器连接到省厅网络和Internet。在路由器后面设置了一个带三网卡的HotTiger硬件防火墙，实现网络层的安全控制。其他在3COM1500路由器后面设置了一个带双网卡的HotDog计费型防火墙，实现网络层的安全控制防火墙后面连接昊普公司的HotCat安全认证计费系统，实现应用层的安全访问控制和安全管理。     1.2 边界防火墙HotDog的配置 边界防火墙采用昊普创业HotTiger硬件防火墙。其他采用HotDog该产品运行在具有安全核心的操作系统的基础上，保证防火墙的平台安全。 在某公安局网络安全系统一期建设中，将使用带双网卡的HotDog，并启动其IP包过滤、IP计费、地址翻译NAT、IP和MAC地址对应功能以及应用代理服务SQUID。 边界防火墙HotDog上面有两块网卡，可以配置两个不同的IP地址，其中一块使用合法的IP地址，另一块使用内部保留地址，如192.168.0.x，实现地址翻译NAT功能，达到隐藏网络内部地址的作用。 通过HotDog，可以隔离内外网络，解决网络的边界安全问题。HotDog具有基于规则的包过滤功能，可以根据IP地址和TCP端口进行入出控制。同时HotDog可以把IP地址和网卡的MAC地址对应起来，防止IP被盗用的危险。 HotDog同时是一个应用代理防火墙，可以通过应用代理隔离内外网络。HotDog支持简单的用户身份认证，可以根据用户身份进行入出控制。 HotDog具有比较全面的计费功能。HotDog的计费是可以根据IP和用户进行双向计费的，就是说可以针对内部网络的IP进行流出和流入的计费，也可以针对外部网络IP到我们的防火墙的流量对其进行计费，而且对于要求用户验证方式的Firewall/Proxy ，HotDog还可以提供基于用户的流量计费。 1.3 应用层安全拨号认证计费服务器HotCat的配置 在边界防火墙HotDog之后，设置了一个应用层的安全服务器，采用昊普创业HotCat拨号认证计费系统 。一期建设使用一个带100，000用户的HotCat拨号认证计费安全服务器软件。 某公安局网络运行的应用很多，解决应用层的安全问题是这次网络安全解决方案的重点。在传统的观念中，配置防火墙就是解决安全的全部。事实上，网络建设中网络部分仅仅是一个基础，更重要的是建立公安局的网络应用，就如我们不是为修路而修路，而是为了跑车才修路。 前面我们分析了某公安局网络系统的应用层安全需求，通过HotCat拨号认证计费安全服务器软件，将解决这些问题 HotCat--网猫系统是专门为设计的拨号上网用户身份认证和计费系统。它采用目前国际通用的Radius(Remote Authentication Dial In User Service)认证和计费标准，具有良好的扩展性和兼容性。该系统运行于Unix和Linux系统环境下，与HOTCAT--网猫2.1计费系统结合可以完成对拨号上网用户的身份认证和计费全过程。 此系统包括三个模块：用户身份认证模块,实时记录模块和计费模块。 HotCat--网猫系统可运行在各种常见的UNIX平台上。目前经过实际测试的有以下操作系统： Sun公司的Solaris 2.5.1（以上）操作系统； Linux Redhat 5.0（以上）操作系统。 二、用户身份认证模块(Radius模块) 用户身份认证模块提供对拨号用户的身份认证和属性设置，它能实现以下功能： 用户身份认证 用户权限设置 1、限制用户的同时上线数目 2、限制用户的上线时间 3、禁止用户上线 三、费用计录模块（Builddbm模块） HOTCAT--网猫2.1计费系统将从该文件中读取信息并进行费用计算。 四、费用计算模块（HotCat--网猫2.1模块） 五、系统支撑环境及其运行 5.1 系统运行环境 HotCat--网猫拨号上网认证及计费系统运行在UNIX环境下，目前经过测试的系统平台有： Sun公司的 Solaris 2.5.1（以上）操作系统 Linux Redhat 5.0（以上） 由于我们同时支持Solaris和Linux操作系统，因此HOTCAT--网猫2.1计费系统可以运行在Sun服务器和低档PC服务器上。但对计费系统这样需要大计算量和高可靠性的系统而言，我们并不推荐使用低档PC服务器，另一方面，低档服务器所能容纳的用户数量也较少。 5.2 系统性能评价 到目前为止，已经有两家中等规模（用户数在一到两万人之间）的ISP公司购买了HOTCAT--网猫2.1系统，并使用了近两年。使用的硬件设备是Sun Ultra 2服务器，运行环境为Sun Solaris 2.5.1操作系统。经统计分析，每台Sun Ultra 2服务器大约能支持8,000到10,000左右的用户，能支持大约600-800个同时上线用户；在容纳10,000用户的情况下，计费系统每天运算时间大概为3至6分钟不等，运算期间占用处理器95%以上的资源，计算时间选择在凌晨两点进行 5.3 系统的运行 利用Unix Crontab可以在每天定时运行HOTCAT--网猫2.1系统，对前一天的用户信息进行统计分析。由于运算要占用大量的系统资源，因此通常选在凌晨02:00:00到05:00:00之间进行，这时的网络和服务器都接近空载运行，因此对系统的影响最小。除了report32在月底结算时运行外，其余ss32、day32、month32程序都是由UNIX Crontab激活，每天凌晨定时运行。在特殊情况下，系统管理员也可以手工运行HOTCAT--网猫2.1系统进行计费运算，除非系统突然崩溃，造成当天的计费系统没有正常运行，否则不需要手工运行系统。 1.4 某公安局网络安全管理 某公安局网络安全管理包括网络层和应用层两方面，网络层主要是通过网管软件的配置来完成的。下面我们重点介绍应用层的安全管理。 应用层的安全管理以用户身份认证和授权管理为重点。使用网络安全技术中的安全管理控制台软件。 1.6 小结 通过一期建设，将使某公安局网络系统具有一个基本的安全保障系统，即在网络层和应用层都有相应的安全措施，网络层防火墙的基本功能基本实现，应用层的基本需求也满足了。但是还存在不足的地方，需要在二期建设中解决，包括： 1）网络层的安全管理并不是很完善，需要增加安全检测； 2）需要解决应用层对除Web服务之外所有服务的安全控制； 3）在应用层，需要解决可靠性和负载平衡问题。 2． 二期解决方案 二期建设主要是解决上面提到的三个问题。 2.1 安全网络拓扑结构 二期建设完成之后，某公安局的安全网络拓扑结构如图所示。 与一期建设的安全拓扑结构相比，二期结构使用一个带三网卡的HotDog防火墙，并启动安全检测功能。增加了一个HotContorl安全认证服务器作为CA。 使用带三网卡的HotDog防火墙，可以直接连接HotContorl安全认证服务器作为CA。组成一个非军事化区，以便更好地隔离内外网络。 2.2 网络安全检测系统 采用HotEagie—网鹰安全检测软件包，可以及时发现某公安局网络内部存在的安全漏洞。HotEagie—网鹰安全检测软件包可以检测网络服务、操作系统存在的安全漏洞，模仿多种黑客的攻击方法，不断测试安全漏洞，并将测出的安全漏洞按照危害程度列表。在安全漏洞检测软件的支持下，通过网管软件或人工配置的方法，可以完备系统配置，消除多数人为的系统管理安全漏洞（如：必须禁止超级用户的远程登录，不能使用早期的SENDMAIL版本）。安全检测是网络日常管理的重要内容，是网络安全可靠运行的重要保证。 安全检测是一支“矛”，测出了网络存在的安全漏洞，针对这些漏洞采用安全防护措施，架设必要的“盾”，是系统安全管理的关键内容。 3．总结 结合网络的层次结构和管理需求，某公安局网络的安全解决方案包括网络层安全方案、应用层安全方案和安全管理三个方面。整个安全方案以安全管理为导向，实现了覆盖网络层、应用层的立体安全解决方案。整个方案既保证了网络的边界安全，又保证了网络的内部安全，同时实现了系统安全和数据安全，是一个全面解决方案。 某公安局拓扑图 物业安保培训方案 为规范保安工作，使保安工作系统化/规范化,最终使保安具备满足工作需要的知识和技能，特制定本教学教材大纲。 一、课程设置及内容全部课程分为专业理论知识和技能训练两大科目。 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 1）保安人员培训应以保安理论知识、消防知识、法律常识教学为主，在教学过程中，应要求学员全面熟知保安理论知识及消防专业知识，在工作中的操作与运用，并基本掌握现场保护及处理知识2）职业道德课程的教学应根据不同的岗位元而予以不同的内容，使保安在各自不同的工作岗位上都能养成具有本职业特点的良好职业道德和行为规范）法律常识教学是理论课的主要内容之一，要求所有保安都应熟知国家有关法律、法规，成为懂法、知法、守法的公民，运用法律这一有力武器与违法犯罪分子作斗争。工作入口门卫守护，定点守卫及区域巡逻为主要内容，在日常管理和发生突发事件时能够运用所学的技能保护公司财产以及自身安全。 2、培训要求 1）保安理论培训 通过培训使保安熟知保安工作性质、地位、任务、及工作职责权限，同时全面掌握保安专业知识以及在具体工作中应注意的事项及一般情况处置的原则和方法。 2）消防知识及消防器材的使用 通过培训使保安熟知掌握消防工作的方针任务和意义，熟知各种防火的措施和消防器材设施的操作及使用方法，做到防患于未燃，保护公司财产和员工生命财产的安全。 3) 法律常识及职业道德教育 通过法律常识及职业道德教育，使保安树立法律意识和良好的职业道德观念，能够运用法律知识正确处理工作中发生的各种问题；增强保安人员爱岗敬业、无私奉献更好的为公司服务的精神。 4) 工作技能培训 其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。 二．培训的及要求培训目的 安全生产目标责任书 为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015年度安全生产目标的内容，现与财务部签订如下安全生产目标： 一、目标值： 1、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。 2、现金安全保管，不发生盗窃事故。 3、每月足额提取安全生产费用，保障安全生产投入资金的到位。 4、安全培训合格率为100%。 二、本单位安全工作上必须做到以下内容： 1、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。 2、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。 3、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。 4、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。 5、在公司及政府的安全检查中杜绝各类违章现象。 6、组织本部门积极参加安全检查，做到有检查、有整改，记录全。 7、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。 8、虚心接受员工提出的问题，杜绝不接受或盲目指挥； 9、发生事故，应立即报告主管领导，按照“四不放过”的原则召开事故分析会，提出整改措施和对责任者的处理意见，并填写事故登记表，严禁隐瞒不报或降低对责任者的处罚标准。 10、必须按规定对单位员工进行培训和新员工上岗教育； 11、严格执行公司安全生产十六项禁令，保证本单位所有人员不违章作业。 三、 安全奖惩： 1、对于全年实现安全目标的按照公司生产现场管理规定和工作说明书进行考核奖励；对于未实现安全目标的按照公司规定进行处罚。 2、每月接受主管领导指派人员对安全生产责任状的落