近年来,信息技能的飞速开展让人们获取、沟通和处理信息的手法产生改变,信息化进程的推动也为公安体系开展作业带来新的应战。为应对新形势下对公安法律提出的新要求,国家提出了以“公安信息化作业”为中心,以“科技强警”为方针的国家公安信息化工程——“金盾工程”。该工程自1998年敞开立项以来,我国公安信息化建造取得突破性开展,特别是大局运用体系结构的布置和施行,使得各公安体系网络信息体系产生了严峻改变,通讯速度更高效、事务的信息化程度更深化、运用与事务结合的更严密、底层运用更为遍及,极大提升了公安体系机关维稳处突、便民服务的作业水平,但不容忽视的是,对公安网络安全牢靠运转提出了更高的要求。针对公安体系在网络安全方面存在的问题,国内抢先的内网安全处理计划供给商明朝万达公司历经多年研制推出了Chinasec可信网络安全渠道,为“金盾工程”的精密建造供给更完好的安全技能保证。
布景概述:
毫无疑问,公安体系的信息化在促进公安体系各项作业顺利开展、进步作业功率的一起,因其网络运用扩展导致安全危险也变得更为严峻。因为公安体系重要事务体系都处于涉密网络,其内部网络承载的数据十分重要,安全保密性要求十分高,所以各地公安体系网络除了与公安专网衔接之外,与其它网络的衔接将被严厉制止,依照保密要求,有必要到达物理阻隔。但是从实践运营状况剖析,各地分局普遍存在私自通过ADSL、无线等方法接入互联网或许其他网络的状况,此种方法在公安体系内称为“一机多网”行为。“一机多网”现象的存在,为公安体系保密作业带来了很大危险,也引起公安部和各省厅从技能到办理视点采取了系列措施以有用躲避相似行为产生。
物理断开造成了运用与数据的脱节,影响了公安体系的作业功率;“一机多网”则让公安体系信息网络面临着严峻的泄密要挟。无论是公安部信息化建造的主管,仍是致力于网络安全防护的厂商都意识到,物理断开、根绝“一机多网”仅仅一种手法,保护公安体系涉密网络的安全才是终究意图。作为致力于内网安全办理的安全厂商,明朝万达公司安排科研团队、依托Chinasec可信网络安全渠道,面向公安体系提出了完善的内网安全处理计划。
存在问题:
明朝万达科技人员在对公安信息网络进行归纳评价剖析之后发现,现在各地公安局在公安专网的安全性上还存在着多方面的问题:
(1)全网安全体系建造没有全体规划,无法构成契合公安体系网络和运用体系现状 的大局网络安全体系架构;
(2)安全体系建造思路还比较陈腐,网络安全防预停留在部分防预的层面上,网络中心资源得不到有用保护;
(3)还缺少网络准入操控、终端安全防护、用户行为审计等技能措施,对网络安全事情的源头无法全面操控;
(4)对公安体系主干网络的安全审计检测不全面,无法全程监控安全事情传达轨道;
(5)还存在安全孤岛问题,未对公安体系各单位的网络安全设备产生的运转日志和安全报警信息完成前面收集和整合,无法及时、精确的掌控全网安全状况;
(6)未构成一套有用的网络安全办理机制,安全办理与网络办理、运用办理脱节,未构成功用互补、流程明晰、责任清晰的运维办理作业局势。
Chinasec的处理计划
针对公安体系网络运用及网络安全存在的问题,明朝万达全体共同内网安全处理计划依托Chinasec可信网络安全渠道,一起供给数据保密、身份认证、授权办理、终端安全办理和监控审计,构成一个完好互动的内网安全战略。
安装了Chinasec软件的计算机终端宣布的一切数据包均进行了加密处理。加密在网络层进行,IP头以下的数据均被加密,非IP数据包遭到制止(ARP包在外)。Chinasec软件现在版别软件选用AES加密算法进行网络加密,密钥256位,密钥由服务器一致生成和下发,每小时替换一次。一起,同一安全域(VCN)内的计算机选用相同的加密密钥,两两通讯时接受方能够主动辨认发送方的数据包并解密。加密密钥不必洽谈,而是由服务器主动生成并下发,因为服务器和客户端之间的通道现已加过密了,所以这个密钥下发进程是安全的。不同安全域密钥不同,无法通讯。安全域外的计算机不能辨认安全域内计算机宣布的数据包,无法进行通讯,从根本上根绝了不合法外连和不合法接入。
除此之外,适用于公安体系的Chinasec可信网络安全渠道可依据各地公安体系本身安全体系建造的需求规划添加依据数字证书的一致计算机登陆授权办理体系、依据数字证书的个人保密磁盘、移动存储介质办理、中止监控办理体系以及内网安全域划分等扩展性运用,从根本上处理了公安体系网络在网络安全、拜访安全、运用安全、内容安全和事例安全方面存在的系列问题。
事例施行
2007年末,北京公安局A分局为了根绝“一机多网”行为的产生,保护公安体系信息安全、牢靠的运转,公开招标寻求最佳的内网安全处理计划。通过严厉的产品测验和屡次甄选,明朝万达公司凭仗Chinasec可信网络安全渠道从很多同行中锋芒毕露,成功与北京市公安局A分局签署并布置施行。一期终端点数约为2000点;在A公安局的内网安全项目中,最重要的便是完成对“一机多网”行为的操控,很好的保证A公安局内终端的违法外联行为,其他还结合了Chinasec可信网络安全渠道中的保密体系中的移动存储介质办理、监控体系中行为监控和相关操作审计等功用来完善了局内终端的安全。
计划特色:
上述的计划具有以下特色:
1、彻底依据明朝万达Chinasec可信网络安全渠道完成,上述的一切功用能够完成一个渠道的一致办理和战略联动,办理便利简略;
2、彻底兼容现有的公安数字证书,是数字证书运用的有力扩展,进步了数字证书的利用率,并完成了用户标识的一致办理;
3、体系具有大用户数办理模式支撑,能够完成负载均衡、热备和多级办理模式等;
4、支撑多级办理机制,能够在完成公安系一致切计算机会集办理的前提下,结合实践办理需求,部分安全战略进行逐级授权办理,完成一致和功率的有机结合;
5、计划依据Chinasec(安元)可信网络安全渠道,具有高度的模块化和扩展性,能够依据公安体系开展的需求,在同一个渠道上进行打印监控审计等功用的扩展,大大进步公安体系内网安全办理的一致性和功率。
效益剖析
该内网安全项目建成后,将具有以下效益:
1、处理公安体系信息化工作中的首要安全危险。首要包含计算机运用办理、设备丢掉导致的数据泄密、不合法外联等违规行为导致的数据泄密和安全危险、移动存储介质乱用导致的病毒感染或许数据泄密。
2、使公安体系在信息安全建造中走在全国抢先地位。该内网安全项意图建成,特别是依据用户数字证书功用的扩展,是1203工程的有力延伸,进一步表现和加强了1203工程的价值,将使公安体系在信息安全保密和信息安全办理方面成为公安体系的模范和先进。
