国恒联合科技：公安系统网络安全解决方案

　　一、背景介绍

　　近年来，信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化，随着信息时代的到来，信息化发展也为公安工作带来了新的挑战和机遇。

　　为适应我国改革开放和社会主义现代化建设的新形势对公安执法提出的新要求，国家提出了以“公安信息化工作”为核心，以“科技强警”为目标的国家公安信息化工程-“金盾工程”的建设要求。

　　“金盾工程”即全国公安信息化工程,主要是利用现代的信息通信技术，增强我国公安机关的统一指挥、快速反应、协同作战、打击犯罪的能力，以适应公安机关动态管理和打击犯罪的需要。随着金盾工程在全国的展开，从公安部到各个厅、局都成立了相应的金盾办公室。许多省市也将其列入政府的规划中，并投入了大量的资金。因此，抓住机会尽快实现公安系统的信息化是各级公安机关面临的一个重要问题。

　　二、需求分析

　　从计算机网络技术发展和公安网络的未来发展两个方面考虑，公安网络应该以高速、宽带、综合为目标，最大限度地集成传统数据业务、数字音频、视频通讯、多路视频监控、有线/无线通讯等多种业务。

　　经过多年的发展，公安系统已形成了自己的一些信息系统，如110、120报警台和服务台等，这些都已经处于稳定的使用中。但是，由于信息量的增加，网络规模的扩大，广大群众迫切地希望能够有一个统一的服务台提供多元化的服务。与此同时，由于传统网络的复杂性(电话网、数据网、视频网的各自相互独立)，迫切需要将原有的网络简单化，并增加其可管理性，从而提高网络的服务质量。随着IP网络的迅速发展，使三网合一成为可能，同时迅速地使其发展成熟，成为网络解决方案中最有吸引力的方式。网络的发展表明传统通信网络向IP的融合已成为今后网络发展的方向。

　　三、网络安全方案设计

　　根据现有网络结构和应用情况，可能面对的安全风险有：

　　当前出于政治目的和商业竞争目的的网络攻击日益增多。网络攻击和入侵对于获取其它目标国家或机构的机密信息是一种非常重要的手段。对于一个重要的部门，信息的安全尤为重要。具有优秀功能的防火墙也是网络安全防护体系的非常重要的一部分。

　　鉴于当今的网络性质十分复杂，对于防止网络入侵、非法访问和防病毒来说，动态的防护体系是一个非常优秀的、安全系数最高的安全网路，所以，拥有入侵检测系统是使网络的安全性达到质的飞跃的必要手段。

　　由于入侵者不仅可以对企业内部网上进行攻击、窃取或其它破坏，而且完全有可能在传输线路上安装窃听装置，窃取网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性；以上种种不安全因素都对网络构成严重的安全威胁。因此，对于政府这样带有重要信息传输的网络，数据在链路上传输必须加密，并通过数字签名及认证技术来保数据在网上传输的真实性、机密性、可靠性及完整性。

　　了解了攻击手段和安全隐患之后，国恒联合科技结合现有的网络技术，设计了如下图所示的动态安全防护体系。通过这样的设计可以尽可能地阻止来着外部的攻击、监控和管理内部的访问，尽量杜绝现存的安全隐患。

　　速通防火墙在这里起到以下几个作用：

　　1、在各网络出口处安装速通防火墙。速通防火墙在这里首先起到网络隔离、划分不同安全域，进行访问控制的功能。通过防火墙的多网口结构设计，控制授权合法用户可以访问到授权服务，而限制非授权的访问。同时速通防火墙自带的认证功能，可以实现内部用户认证，同时可以结合用户原有的域用户认证或者radius认证，实现用户级的访问控制。速通防火墙分为A和B两个系列，可以根据各局内部网规模的大小选择适合自己的产品。

　　2、速通防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵御目前已知的各种攻击方法，并通过升级入侵检测库的方法，不断抵御新的攻击方法。速通防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，并防火墙模块实现联动，自动调整控制规则，为整个网络提供动态的网络保护。速通防火墙入侵检测模块中包含了对网络上传输病毒和蠕虫的检测，可以在计算机病毒和蠕虫传输到宿主机之前检测出来，在网关上防止网络病毒的传播，防患于未然。真正实现了少花钱多办事的效果。

　　3、随着公安系统三网合一的进程，公安网络将上流动大量的H.323数据。H.323数据流的特点是同一个数据流在不同的时间使用不同的UDP端口，而这种端口的变化通常是靠分析数据流的内容得到的。速通防火墙采用特殊技术对实际数据流情况做出判断，以判别数据的合法性，在保证网络安全的前提下支持H.323数据合法通过。同时，速通防火墙支持多播路由技术，对以后IPTV的应用可以提供很好的支持。

　　4、利用速通防火墙自带的VPN功能，实现多级VPN系统。虚拟专用网技术(VPN，Virtual Private Network)是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定，政府网络可以通过现有公有平台搭建自己的内部网络，但必须通过认证和加密技术，保证数据传输的安全性。速通防火墙VPN模块支持两种用户模式：远程访问虚拟网(AccessVPN)和企业内部虚拟网(IntranetVPN)。

　　本方案的特点在于：根据公安网络的实际需要，充分利用了速通防火墙的各功能模块，实现了各功能模块(防火墙模块、入侵检测模块、用户认证模块、VPN模块)的协同工作，构建了一个动态安全门户，实现了对公安网络的整体安全防护，同时为今后的网络扩展提供了空间。