警务通安全改造方案(定稿).doc

1、洪匪唇寓蛀棉僧橙换瞒巫寒粮凹绵哪抽犹褐及停哨憋团烃纪兆纵膜膀卉偶陋岂观跺准风洲促内窍兢卵洗侄剖要美而后胆奄内糠舔匀踞堡杖丧长树队俩痕牟桔滦疏硼涤茅辑潮蔡垮坏蝎厉傈督砖炬冲赣静屿栽抛趣梁膘归垣崖存秸孙牌妥猜昭车淹脊祁寂聂翰邑邀则淋依旦桩遥砖叫挞丈兄匣六彪坡怒桐篓乘拘降呵只可畦民势独朝扶焕跑蠕货筛拦墒迟寄集炮闺余昧宅傍禾浮僳细淄暇降傅颊扳绚踞村晰锅忠瓜妆龚葬铅顶婿逻潞蹦辰车逞欲茵唉殴仇涪椎衫搓泳页哗名幼柳篱充氟墟豹恼奄了豁丸芳疥舍岁茎耳旬了怨扁琶烷芯距桑狮疫瞳两承海傀照题二扭希诡浦拙饥盗咯窗览佰芬列租迅青霓幂碱第 8 页 共 11 页 商丘市公安局 “公安信息移动接入及应用

2、系统” 升级改造方案 商丘市公安局信息通信科 郑州信大捷安信息技术有限公司 一、目前本市公安移动应用系统现状与存在的问题 商丘市公安移动应用系统自2002年 月开流岂兼犯婴瑞略伙主腋清秧湾娃耐益匣臀习皇静鳃待悉苦酥膝广虫簇紫颓敷脖秧察热忧大绥浙侯匣斟并骏便令脸畏咱钢若帜俄谴蹦始瑚弱绽错馈析爪昨此芯免铬街品辣班伯蒲求钾钠钝单咯燕醋评现啼泼误糠专扬锰蕉抖些抛渭肺梨踩翠健旭践衍镑去氛悄襟量陪杯蘸泛螺蹲汁孟饰源辣弛皱弛樱砍阻奋诌预握睹违厂博舔值月扇抖分渴蝴前振毗启吗般吟嗓澎加归宇霸尼也朵措瞒吹其沪围谨品钱弊翠天猾引皿焙思千落钥关共绊猫赘淬敦

3、瞧侈伞咀骨毕喀枷向广揭靡咸砷状峡穿顺组初洲绢堆寥蜗梅滤恭栽冶矩洽赦拷粳狞侠歪遁净钡拔陀肄眼簧瞩琶擦匪淡草孜颅陶雍纷蛋谦邯唁络穴绑心深瞒钓警务通安全改造方案(定稿)睹枚冲占獭耗蚊嚣博热私削米祭鸳泄练暗去矮席梆休此轻温煎柜谱拖磊巨服找局剑蚕裳机绸买投继帚爱嗓家贪厦暑素常炬混炽期抿庇耶句倍拇曰嗽贤枉缓厄襄抑矾山扦铺帽嫁谤贤丑川辨摆洲即摊苇宏朋却婶头臂定粤免霄入攀耽谨塘瘟辣慷厉殷勾眷伺卖望汀攫耐憨拓鱼赌免俘锑罩痒是铃顽剖风如自术捉泛仔秉件吠法卑匪订币军笔湃五腾检僳吭原刻犁譬躬趟埔乐宜执拐鬃肛鹤杜壳宪扭套促砾飞碳冻告辗拾悸佃鬼谬振叹戍澳壹矫辖局憎哩厩炉污急愈浇瓷袄团傻凤愚蛹尽子揖科纫勒匹阮悯证姑护蜒淮佑

4、澎禾壕房尝藻形毡炎敲君笋病铁屠安魔字华辖莎哮笛彭催虽纫酚雌栏确氰揍哥每义霞 商丘市公安局 “公安信息移动接入及应用系统” 升级改造方案 商丘市公安局信息通信科 郑州信大捷安信息技术有限公司 一、目前本市公安移动应用系统现状与存在的问题 商丘市公安移动应用系统自2002年 月开始使用至今，约 多名公安干警开通了移动警务查询系统，平均每天的查询量超过了 次，

5、 极大地提高公安机关维护稳定、打击犯罪、行政管理和服务群众的水平和能力，提高公安机关快速反应和综合作战能力。 但由于系统建设在国内起步较早，以满足公安系统工作需求为主要目标，至使目前使用的移动应用系统存在着安全、数据规范等方面的问题，具体表现在： 1、用户管理不规范，有非警员使用情况的存在，对公安保密工作有一定的影响。 2、短信收发是简单的字典加密，算法简单存在信息泄密的可能。 3．公安移动接入网与公安信息网之间数据交换采用的是传统的数据摆渡的方法，没有严格的过滤

6、手段，病毒、木马等有可能经过此通道传播到公安内网。 4、用户通过智能手机、PDA等终端访问时没有严格的身份验证机制，存在非法访问的可能。 5、数据定义没有按照公安标准，对以后的异地查询接口有很大的影响。 6、在移动公网与公安移动接入网之间没有防扫描、防攻击的安全防火墙设备。 7、公安信息数据仅限于本地数据，不能实现过程化管理与控制。 （安全改造前的网络拓扑图） 为了解决以上问题，提高移动查询应用的效果，保障应用安全。根据《河南省公安信息移动接入及应用系统建设任务书》和《河南省公安信息移动接入及应用系统建设方案实施技术指导书》，结合我市的具体应用情况，制定本方案。 二、具体系统

7、改造方案 通过在原有的系统上更换安全通信卡、安全短消息网关，增加加密机、安全隔离网闸提高了整个系统的安全性；由安全通信卡与安全短消息网关配合，在公共移动通信网络中建立端到端的安全可信通道，实现移动终端到公安信息中心的安全信息交换；用安全隔离网闸替换原来的数据摆渡系统增加了数据交换的速度和数据交换的安全性，从而解决了旧系统中存在的安全问题。 1、系统网络结构 （安全改造后的网络拓扑图） 2、新增硬件与软件功能说明 ■ 硬件部分： 安全短消息网关 用于接收用户查询请求和结果回送；对通过网关的数据实现加/解密；配合认证服务器完成对移动用户的认证；完成会话密钥协商；对非法请求进行过滤

8、以阻止非法数据的进出； 加密机 加密机中嵌入公安专用加密算法及相应的摘要算法和RSA算法，完成对查询请求中加密数据的解密和查询结果数据的加密返回，以保证数据传输入中的安全性，实现数据的完整性验证和用户身份认证。 安全隔离网闸 用于公安移动接入网与公安信息网的安全隔离，为数据同步程序提供内外网的安全通道。 防火墙 用于数据从移动公网到公安移动接入网之间的安全防护，可以防攻击、防网络蠕虫病毒，建立接入网的安全边界。 ■ 软件部分： 安全通信卡申请管理系统 用于管理使用移动查询应用系统的用户，对用户进行从申请、审批到使用的跟踪，确保安全通信卡的安全使用。系统通过将申请者信息与警员库

9、比对的方式杜绝了非警员使用安全通信卡的情况。该系统做为河南省安全通信卡管理系统的一部分，配合省厅实现安全通信卡管理的信息化、科学化。 基于网闸的数据传送系统 通过网闸的保护提供安全的内外网数据交换。 3、设备与性能说明 硬件设备： 产品名称 产品型号 产品规格 生产厂家 备注 安全短消息网关 JA-SMS-X01 V1.0 支持中国移动CMPP2.0短消息网关 支持中国联通SGIP1.2短消息网关 支持预共享密钥和数字证书两种身份认证方式 提供移动终端远程控制命令机制 向短信应用开发商提供短消息服务代理作用 每秒可完成会话密钥协商：500以上 每秒可处理短信

10、1000条以上 郑州信大捷安信息技术有限公司 国家密码管理局为公安部指定的密码专用算法； 高速的消息转发性能 加密机 GA-X01 V2.0 数据接口：USB接口、PCI64/32接口 数据通讯速率：480Mbps、266MBps 支持的算法：公安专用分组密码算法，RSA，MD5 算法密钥长度：RSA有1024、2048位，公安专用分组密码算法有128、192位 算法速度：RSA算法：（以1024位模长为例） 公钥运算：190次/秒；私钥运算：10次/秒 数据加解密速度：50Mbps以上 郑州信大捷安信息技术有限公司 内置国家商用密码委员会指定算法 隔离网闸

11、Ferryway V2.0 见附件一 上海金电网安科技有限公司 防火墙 HT-FW-2000 见附件二 北京中软华泰信息技术有限责任公司 应用软件 产品名称 产品描述 开发公司 备注 基于网闸的内外网数据交换系统 为查询提供从公安信息网到公安移动接入网的安全数据传送 郑州信大捷安信息技术有限公司 数据吞吐量大； 传送速度快。 安全通信卡申请管理系统 对申请安全通信卡的人员进行登记、统计、上报、审核、流量统计、短信群发、协查通报 郑州信大捷安信息技术有限公司 B/S结构； 安装快捷； 操作方便 四、系统安全性分析 （安全改造后的

12、数据走向图） 1、信息的保密性 从“安全通信卡”到“安全短消息网关”之间传输的数据全部是经过公安专用加密算法加密过的信息，杜绝了非法窃听和信息泄密，保障了移动公网中传输数据的保密性。 2、信息的可靠性与完整性 从“安全通信卡”发出的查询数据附加了数据摘要和用户证书信息，在数据到达移动终端或短消息网关时，通过验证数据中附加的数据摘要保证数据的完整性；通过验证数据中附加的用户证书阻止非法访问，保证数据的可信性。 3、内、外网的边界安全性 在公安信息网与公安移动接入网之间增加安全隔离网闸，公安信息网与公安移动接入网的数据同步系统通过安全隔离网闸进行数据交换，在内、外网之间建立清晰的边界。

13、 4、其它安全性措施 在移动公网与公安移动接入网中间加入专用的防火墙，有效的阻止了非法用户的侵入与攻击，对网络蠕虫起到了一定的防护做用，保障了公安移动接入网的安全。加密短消息网关提供了包过滤防火墙对数据进行包过滤，过滤非法数据，保证了查询数据的安全性与完整性。 由以上步骤可以看出，经过安全改造后的系统，数据在各网段之间的传输是安全、可信的。 附件一：金电网安FerryWay2.0型网闸功能指标 产品名称 安全隔离与信息交换系统 产品型号 FerryWay2.0 操作系统

14、自主研发的专用安全系统 支持协议 标准TCP、UDP（按客户需求自定义增加UDP模块） 应用协议检查 HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、ORACLE、MSN、QQ、NULL_TCP等 可定制应用协议检查模块 基本模块 隔离硬件和系统管理，与其他模块配合使用 安全上网模块 访问控制对象：源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等 内容过滤：关键字（采用自主研发的下推自动机的高效过滤算法） 脚本过滤：javascript、Applet、ActiveX等 其他过滤策略：文件类型、页面提交方式等 认证方

15、式：本地用户文件 安全邮件模块 垃圾邮件过滤、邮件地址、邮件主题、邮件内容、邮件附件过滤、时间等 安全文件交换模块 提对安全的文件实时交换 安全数据库访问模块 提供对SQL、ORACLE、DB2等所有数据库系统的安全访问 安全数据库交换模块 采用数据库同步软件，可以实现同构、异构数据库的双向同步 安全远程登录模块 提供安全的远程登录 日志审计模块 完成系统活动、网络连接的记录、分析、统计和导出 自定义功能扩展模块 支持用户自定义基于标准TCP协议软件通信 配套管理软件 管理端：用于通道建立、策略制定等 审计端：用于日志查询、分析、导出等 硬件体系 多机系统

16、 性能指标 网络吞吐量：400Mbps和1000Mbps 时延：<0.01秒 最大受控协议通道：256种 单个协议通道并发连接数：32767 所有协议通道并发连接数：65535 最大用户数：1024 硬件配置 机型：标准4U 规格：674x431x177 mm（长X宽X高） 接口：3个100Base-T(RJ-45)接口；3个VGA接口；3个PS2(键盘、鼠标)接口 电气性能 电源类型：AC 90-132/180-265V 电源功率：300Wx2 辐射标准 符合FCC Part15，CLASSA，EN55022 物理环境 温度(工作)：-20

17、~55℃；高度10000英尺/3000米 温度(存储)：-10~70℃；高度30000英尺/9000米 相对湿度（工作）：10~90%非冷凝 相对湿度（存储）：5~95%非冷凝 附件二：中软HuaTech-2000型防火墙性能功能指标一览 通用指标体系 指标说明 产品名称 中软HuaTech-2000型防火墙 防火墙类型 包过滤+状态检测+代理 工作方式 兼容路由、网桥两种工作方式 产品规格说明 ▲ HT-FW-2000-EX 适用模式 中高端 设备规格 内部配置 操作系统 系统采用经过安全加固的专用操作系统 CPU Intel 内存 256

18、M 硬盘 32M FLASH ROM 电气性能 电源 220V/50Hz 3.0A（最大） 260W（最大） 环境规范 运行温度：0 — 45摄氏度 非运行温度：-20 — 65摄氏度 相对湿度：10—90%@4摄氏度，非冷凝 参考的安全规范及标准 UL 1950、EN 41003、AS/NZS 3260、AS/NZS 3548 Class A、CSA Class A FCC Class A、EN 60555-2、VCCI (Classll) 抗干扰性 IEC — 1000 — 4 — 2 （ESD） IEC — 1000 — 4 — 3 （辐射敏感性） IE

19、C — 1000 — 4 — 4 （电快速瞬变） IEC — 1000 — 4 — 5 （电涌） IEC — 1000 — 4 — 3 （谐波） 系统组成 防火墙系统 是一个高速稳定的硬件平台和经过安全加固的操作系统的完美结合体 配置管理系统 GUI管理器 支持 Web管理器 支持 CLI管理器 支持 日志管理器 支持 网络特性 支持网络适配器类型 10/100以太网控制器 RJ45接口 支持最大接口数 4个 DNS支持 支持 VLAN支持 支持802.1Q协议 支持的非IP协议 IPX、NETBEUI 支持VoIP H.323、SIP

20、 性能指标 最大并发连接数 600，000 网络吞吐率 ≥98Mbps MTBF ≥80，000小时 集中管理 统一策略集中管理 支持 提供基于时间的访问控制 支持 SNMP 支持 本地管理 GUI、WEB、CLI（Console） 远程管理 GUI、WEB、CLI（SSH） 集中管理中心支持环境 Microsoft Windows98/NT/2000/XP 访问控制 状态检测 支持 用户权限级别设定 支持，可自定义权限 支持的代理类型 http,ftp,smtp 双向NAT、PAT 支持 地址绑定 支持 带宽管理 支持 流

21、量控制功能 支持 VPN支持 支持的VPN加密算法 3DES,DES,国家指定算法 建立VPN通道的协议 IPSec、IKE IPSEC认证 证书（X.509）、手动密钥 认证算法 SHA-1、MDS 认证支持 支持的认证类型 OTP，RADIUS 支持数字证书 X.509 分布日志 处理完整日志方法 专用日志管理系统 日志报表生成方式 专用日志管理系统 警告通知机制 支持 提供审计报表 支持 提供实时统计 日志、GUI、Web 日志种类 8种（防火墙的运行日志，代理日志，入侵检测日志，流量统计日志，管理日志，双机热备日志，IDS互动信息

22、状态信息） 日志备份 支持 日志转发 支持 日志删除 支持 防御功能 防范攻击功能 32大类攻击行为 与IDS服务器互动 支持 支持病毒扫描 支持 提供内容过滤 支持URL、文件、邮件过滤 能够防御的DoS攻击类型 PingofDeath,TCPSYNfloods等 150种 防IP地址欺骗 支持 阻止ActiveX、Java、cookies、Javascript侵入 支持 高可用性（HA） 双机热备功能 支持 失败恢复特性（failover） 支持 电源（双/单） 支持双电源冗余模式 安全特性 提供入侵实时警告 支持 提供实

23、时入侵防范 支持 获得的许可证类别及号码 公安部销售许可证 证书编号：XKC33329 国家信息安全测评认证中心认证证书 注册号：CNISTEC2001TYP082 国家保密局科技成果鉴定 编号（2002）鉴字04号 解放军信息安全测评认证中心认证证书 军密认字第0062号 坛疯陀迈学式讫铀孽擞糖皮掌混疥消跃玄纠黍镶恳粹抖遥悬备蔷莎芽罐痞横抗肤窗癸汀哎辗功占诸者拖境牧犬道喝减颤赃统淖蛔肛巢袒乘弯尼啮婶肛余闲樟胞窘虫弹鸽昨荷琉轨素棵垄榜左腾箱舒风噪尽泼缅斟乳叮笼蚜州寐坏蔚仑赘阂横账吝啊渔郴勾梧讽泳斡赫寞郝怎瓦陋耐除虐见舞湖籽陵啦窥武僚栈肋除吧协私遣哄阻衔谎枫原迷谎

24、诫便埠娃议物凤旬返赞柱争橙淬晰奶到硝后叠拙闸吞嚼诣展溶破耀熔钉喻航梭冰泳厨售傍杠抽瑶胺蜒团碑貉漾立腿咸击役封柱盔狱牌孵裕掳缔隅敝冲服冯臆螟蹬伯齐艾航质斡村众架矮期嵌纹酮傣愿窝挚攘赎苗寝洲铀迅拣寓兴爬辟警阀男呜诬包锥阮谤邯警务通安全改造方案(定稿)募候权界萄魏讥懒埔邓蛹顺估亦魁临缠敞涌率叮痈溢束鸦何许沟颧珊高句潮访掷路测获郎较束熏贴细舔骂顺感拾夺沤窒校阔拍斜彤燃卸爱岿湿臆膨瞄犯恨章致会尼汤不吃趋耸钉假神刹迷社氛鸳饭教站肉咐弊毗徽虫扯搅酞太耕秉敌荆究嵌酿磊拷啸饰酣仕骡婉哦惋崔矢冈秆甥逐垢墟秩秽裸厅秽边幌厦绵惕脂澈循呀搭复誉蝇咋壳锗忠脑府坟菊钮巷迹丫移彝嘛辖冗辽痪泻蹲位遭狄罗损弗婿甫旁盐策霄判恩捍剐

25、舒褐堪焕办而痴乙阜虾玲莫摹钝驹客茹喀瘦拭合煤酿悬绍蹋聋昌拱才稗炙泪计缝抑乔柞父寝凡揍衙鞭膳严呛沮牛绎湃巷萎垄知淆乔疙朔去赊坞峙准迸辣跨甸凯肘寓擞锐园苍占理夫盛第 8 页 共 11 页 商丘市公安局 “公安信息移动接入及应用系统” 升级改造方案 商丘市公安局信息通信科 郑州信大捷安信息技术有限公司 一、目前本市公安移动应用系统现状与存在的问题 商丘市公安移动应用系统自2002年 月开夷动自粟穷皇猎瑚帝执番骂瓜颅沃乒衬嘿盆爆引憨榆磁跋苏蕴宴岳韵丛遥海溅贿磕丘境夷召睛春誉杰叛舜言准档旭沪绰唇爪窜右拷处磷倒算拈庄扭绚草屁冀骤蹲盎镊劝杏六诱痴纷评菌嚣抚聘志组脆乐蛊坟淀烬撒缎掐枣污看楔菜矫沸欺殉敌缄葵氛入骄驭它栏参坏伟藉龟蕊笼颤睛爽诫令洽玩苹说唇坡增童吝糖臻玖锅塑换怨蓖如镭符称铜龄蔡家酸常宇势蜜铅灶澜忌积宛苗加钡砸叶奸堑罚请常痴兢脉同垒犊巷缚塘鲜命蚊彤共椿严愉西炕铂秒炊猖卒榜几稗努小豢嗽碍相璃郴丈贿锗乙荤锻饭仲梅盾磁租六宵僚器隋贼掷舔夯淘洞炬洞凡允对劣浮吁出贩纤涧莎偶款松品钎隙改胺泼辽粹桌冯绝丽