基金经理张丹华:公安局网络安全解决方案

1 公安局网络概述

1.1 公安局网络系统现状概述

    公安局的关键业务由指挥中心接处警系统、业务信息系统、办公自动化信息系统组成，这些系统都是运行在四年前购买的小型机服务器或PC服务器上。
原有系统结构示意图如下所示：

    目前，使用两台Digital Alpha 4100组成双机运行oracle处理指挥中心接处警系统的数据，数据储存在一台RA7000的磁盘阵列上；一台Digital Alpha 4100和一台ES 40组成双机运行oracle处理出入境、刑侦业务系统、公安综合业务系统和综合查询、比对系统的数据，数据储存在一台RA8000的磁盘阵列上；一台IBMＸ２５０服务器运行办公自动化系统；户籍科使用一台IBM PC服务器运行和储存户籍业务系统的数据。这些系统目前都比较稳定。

1.2 公安局网络的复杂性

    通常情况下，网络系统安全与性能、功能是一对矛盾的关系。如果某个系统不对外界提供任何服务（断开），外界是不可能对其构成安全威胁的。但是，公安信息网络结构复杂，内联网不仅连接着省、市、县等公安厅、局及公安分局，而且还连接酒店登记网络、交警网络，等于将一个内部封闭的网络建成了一个开放的网络环境（具有多个外部出口），各种安全包括系统级的安全问题也随之产生。另外将来公安网接入国际互连网络，提供公开信息服务，安全问题更加复杂。
 
2 公安局网络安全风险分析

    对于公安系统专用网络而言，我们认为在指导思想上，首先应在对公安网安全风险分析的基础上，做到统一规划，全面考虑；其次，应积极采用各种先进技术，如虚拟交换网络（VLAN）、防火墙技术、加密技术、虚拟专用网络(VPN)技术、PKI技术等，并实现集中统一的配置、监控、管理；最后，应加强有关网络安全保密的各项制度和规范的制定，并予以严格实行。

    为了便于分析网络安全风险和设计网络安全解决方案，我们采取对网络分层的方法，并且在每个层面上进行细致的分析，根据风险分析的结果设计出符合具体实际的、可行的网络安全整体解决方案。
正由于公安局行业性质及应用的特殊性，容易被不怀好意的入侵者列为破坏对象。在没有采用任何安全防范措施的情况下，公安局网络系统存在安全问题主要表现在如下几个方面：

2.1 物理层的安全风险分析

    网络的物理安全风险主要指网络周边环境和物理特性引起的网络设备和线路的不可用,而造成网络系统的不可用。它是整个网络系统安全的前提。如：

        设备被盗、被毁坏
        链路老化或被有意或者无意的破坏
        因电子辐射造成信息泄露
        设备意外故障、停电
        地震、火灾、水灾等自然灾害

    因此，公安专网在网络安全考虑时，首先要考虑物理安全。例如：设备被盗、被毁坏；设备老化、意外故障；计算机系统通过无线电辐射泄露秘密信息等。

2.2 网络层安全风险分析

2.2.1  数据传输风险分析

2.2.1.1  重要数据业务数据泄漏

    由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁，同时局域网络内部也存在着内部攻击行为，其中包括登录通行字和一些敏感信息，可能被侵袭者搭线窃取和篡改，造成泄密。
 
    如果没有专门的软件或硬件对数据进行控制，所有的广域网通信都将不受限制地进行传输，因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的，只要使用现在可以很容易得到的“包检测”软件即可。

2.2.1.2 重要数据被破坏

    由于目前尚无安全的数据库及个人终端安全保护措施，还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据作出伪造、删除、窃取、窜改等攻击，都将造成十分严重的影响和损失。存储数据对于政府机关来说极为重要，如果由于通信线路的质量原因或者人为的恶意篡改，都将导致难以想象的后果，这也是网络犯罪的最大特征。

    公安系统的数据传输安全包括与省厅、各业务科室、公安分局传输的内部业务数据以及办公自动化数据的安全；与相关单位传输的业务数据的安全保护

2.2.2   网络边界风险分析

    各级公安局都会连接INTERNET国际互联网，并有公开服务器（WWW、DNS、FTP等服务器），对外提供公开信息服务。一些公开服务器和网上业务系统通过Internet公网为各企业及客户提供访问服务。由于国际互联网的开放性、自由性以及无国界性，使得公安网的安全性大大降低。

    公安系统的网络边界安全还包括与省公安厅、县公安分局、业务科室，特别是与相关业务单位网络连接的安全问题。

2.2.3 网络设备安全性分析

    由于公安专用网络系统中使用大量的网络设备，如交换机、路由器等。使得这些设备的自身安全性也会直接关系到公安系统和各种网络应用的正常运转。例如，路由设备存在路由信息泄漏、交换机和路由器设备配置风险等。

2.3 系统层的安全风险分析

    系统级的安全风险分析主要针对公安网采用的操作系统、数据库、及相关商用产品的安全漏洞和病毒威胁进行分析。公安网络通常采用的操作系统(主要为UNIX、Windows 2000server/professional，Windows NT/Workstation，Windows ME，Windows 95/98)本身在安全方面考虑较少，服务器、数据库的安全级别较低，存在一些安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。
 
2.4 应用层安全风险分析

    公安专用网络应用系统中主要存在以下安全风险：用户提交的业务信息被监听或修改；用户对成功提交的业务进行事后抵赖；由于公安网络对外提供网上WWW服务，因此存在外网非法用户对内部网和服务器的攻击。

2.4.1 身份认证漏洞

    服务系统登录和主机登录使用的是静态口令，口令在一定时间内是不变的，且在数据库中有存储记录，可重复使用。这样非法用户通过网络窃听，非法数据库访问，穷举攻击，重放攻击等手段很容易得到这种静态口令，然后，利用口令，可对资源非法访问和越权操作。
 
    对公安系统的网上公安服务平台，必须加强用户的身份认证，防止对公安网络资源的非授权访问以及越权操作。

2.4.2 www服务漏洞

    Web Server目前正在成为公安系统对外宣传、开展业务的基地，但公开服务器本身不能保证没有漏洞，不法分子可能利用服务的漏洞修改页面甚至破坏服务器。系统中的BUG，使得黑客可以远程对公开服务器发出指令，从而导致对系统进行修改和损坏，包括无限制地向服务器发出大量指令，以至于服务器“拒绝服务”，最终引起整个系统的崩溃。这就要求我们必须提高服务器的抗破坏能力，防止拒绝服务（DOS）或分布式拒绝服务（DDOS）之类的恶意攻击，提高服务器备份与恢复、防篡改与自动修复能力。
 
2.4.3 电子邮件系统漏洞

    电子邮件为网络系统用户提供电子邮件应用。内部网用户进行电子邮件发送和接收时存在被黑客跟踪或收到一些恶意程序（如，特洛伊木马、蠕虫等）、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因素。

2.5 管理层安全风险分析

    再安全的网络设备离不开人的管理，再好的安全策略最终要靠人来实现，因此管理是整个网络安全中最为重要的一环，尤其是对于一个比较庞大和复杂的网络，更是如此。因此我们有必要认真的分析管理所带来的安全风险，并采取相应的安全措施。

    公安系统应按照国家关于计算机和网络的一些安全管理条例，如《计算站场地安全要求》、《中华人民共和国计算机信息系统安全保护条例》等，制订安全管理制度。

    责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。责权不明，管理混乱，使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。

    当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。建立全新网络安全机制，必须深刻理解网络并能提供直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。

3 公安局网络安全方案设计

3.1 网络安全方案设计原则

    网络安全建设是一个系统工程，公安网络系统安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。

在进行网络系统安全方案设计、规划时，应遵循以下原则：

       需求、风险、代价平衡的原则
       综合性、整体性原则
       一致性原则
       易操作性原则
       适应性、灵活性原则
       多重保护原则
       可评价性原则

3.2 公安系统网络安全解决方案

3.2.1 物理层安全解决方案

    保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全、设备安全、线路安全。
 
1. 环境安全

    对系统所在环境的安全保护，如区域保护和灾难保护。（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》）

2. 设备安全

    设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；设备冗余备份；通过严格管理及提高员工的整体安全意识来实现。

3. 媒体安全

    包括媒体数据的安全及媒体本身的安全。显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。

4. 隔离技术

隔离技术要达到以下几点关键技术：

物理隔断：可信网和不可信网要物理隔断，不可信网络上的计算机不能访问可信网络。
可选择数据交换：两个网络能够有选择的交换数据，好像它们直接相连一样。
数据是静态的：在交换数据过程中，数据是静态的（被动的），不能被执行。
在DMZ进行内容检测：所有交换数据在允许通过之前在一个独立的DMZ区域进行检测。
独立决策：所有决策要求数据在一个安全的环境中处理，与不可信的网络隔断。
支持文件和命令：交换数据能够包含文件和命令。
高性能：上述所有工作实时进行，最大通过量和最小延时。

3.2.2 网络层安全解决方案

3.2.2.1 防火墙安全技术建议

    公安网络系统是一个由省、市、各区县公安网络组成的三级网络体系结构，从网络安全角度上讲，他们属于不同的网络安全域，因此在各中心的网络边界，以及公安网和Internet边界都应安装防火墙，并需要实施相应的安全策略控制。另外，根据对外提供信息查询等服务的要求，为了控制对关键服务器的授权访问控制，建议把对外公开服务器集合起来划分为一个专门的服务器子网，设置防火墙策略来保护对它们的访问。
 
    我们有必要将整个公安网以及各种公开服务器与INTERNET进行必要的隔离，避免网络结构信息外泄；同时还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相应主机，其它的请求服务在到达主机之前就应该遭到拒绝；另外，还要对内部用户访问INTERNET而引入的安全风险加以防范，加强内部的审计管理。

    公安系统专用网中还与各酒店连接，公安局和酒店之间是不完全信任关系。所以在公安局提供与酒店连接的接入服务器与内网之间应安装防火墙系统，对公安和酒店这两个不信任域进行隔离，同时严格控制两者之间的访问行为。防范酒店端或者通过它们之间的网络桥梁带来对公安系统专网的攻击。
 
    网络边界安全一般是采用防火墙等成熟产品和技术实现网络的访问控制，采用安全检测手段防范非法用户的主动入侵。

3.2.2.2  入侵检测安全技术建议

    在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统的探测器，通过中心控制台对各节点所有探测器进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。入侵检测系统在重要保护网络系统中是访问控制设备防火墙最有利用的补充。

    入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如发现违规访问、阻断网络连接、内部越权访问等，发现更为隐蔽的攻击。

    公安专用网络系统安全体系必须建立一个智能化的实时攻击识别和响应系统，管理和降低网络安全风险，保证网络安全防护能力能够不断增强。

    目前网络入侵安全问题主要采用网络入侵监测系统等成熟产品和技术来解决。网络入侵检测系统应能满足以下要求：

    能在网络环境下实现实时地分布协同地入侵检测，全面检测可能的入侵行为。能及时识别各种黑客攻击行为，发现攻击时，阻断弱化攻击行为、并能详细记录，生成入侵检测报告，及时向管理员报警。

    能够按照管理者需要进行多个层次的扫描，按照特定的时间、广度和细度的需求配置多个扫描。

    能够支持大规模并行检测，能够方便地对大的网络同时执行多个检测。

    所采用的入侵检测产品和技术不能被绕过或旁路。

    检测和扫描行为不能影响正常的网络连接服务和网络的效率。

    检测的特征库要全面并能够及时更新。

    安全检测策略可由用户自行设定，对检测强度和风险程度进行等级管理，用户可根据不同需求选择相应的检测策略。

    能够帮助建立安全策略，具有详细的帮助数据库，帮助管理员实现网络的安全，并且制定实际的、可强制执行的网络安全策略。

3.2.2.3 网络设备安全增强技术建议

    通过漏洞扫描与风险评估的基础上对网络设备进行安全性增强配置，下面以CISCO路由器的几个安全增强配置为例说明网络设备的安全性也是不容忽视的。

    Login Banner配置：修改login banner，隐藏路由器系统真实信息，防止真实信息的泄露。

    Enable secret配置：使用enable secret来加密secret口令。

    Ident配置：通过ident配置来增加路由器安全性。
 
    超时配置：配置VTY，Console的超时来增加系统访问安全性。

    访问控制配置：通过配置VTY端口的Access List来增加系统访问的安全性。

    VTY访问配置：配置VTY的访问方式，如SSH来增加系统访问的安全性。

    用户验证配置：配置用户验证方式以增强系统访问的安全性。

    AAA方式配置：配置AAA方式来增加用户访问安全性。

    路由命令审计配置：配置AAA命令记账来增强系统访问安全性。

3.2.2.4 数据传输安全建议

    为保证数据传输的机密性和完整性，建议在公安专用网络中采用安全VPN系统，统一安装VPN设备，对于移动用户安装VPN客户端软件。

    由于在省厅与市局以及各分局之间传输的是公安系统行业秘密或敏感信息，所以在广域网传输线路上，可采用国家许可的网络层加密设备，在基于IPSEC国际标准协议基础上，采用VPN技术构建安全保密的虚拟专用网络。通过网络层加密设备之间的加解密机制、身份认证机制、数字签名机制，将公安局专用网构造成一个安全封闭的网络，保证公安系统数据在广域网传输过程中的机密性、真实性和完整性。

3.2.3   系统层安全解决方案

3.2.3.1 操作系统安全技术

1.  操作系统安全要求：

    操作系统是所有计算机终端、工作站和服务器等正常运行的基础，操作系统的安全十分重要。目前的商用操作系统主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000、OS/2、NOVELL Netware等。针对操作系统应用环境对安全要求的不同，公安系统对操作系统的不同适用范围作如下要求：

    关键的服务器和工作站（如数据库服务器、WWW服务器、代理服务器、Email服务器、病毒服务器、DHCP主域服务器、备份服务器和网管工作站）应该采用服务器版本的操作系统。典型的有：SUN Solaris、HP Unix、Windows NT Server、Windows 2000 Server。网管终端、办公终端可以采用通用图形窗口操作系统，如Windows/3x、Windows 95/98、Windows NT Workstation/Server、Windows 2000等。

2.  操作系统安全管理

    操作系统因为设计和版本的问题，存在许多的安全漏洞；同时因为在使用中安全设置不当，也会增加安全漏洞，带来安全隐患。在没有其它更高安全级别的商用操作系统可供选择的情况下，安全关键在于操作系统的安全管理。

    为了加强操作系统的安全管理，要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。

3.2.3.2 数据库安全技术

    目前的商用数据库管理系统主要有MS SQL Sever、Oracal、Sybase、Infomix等。

数据库管理系统应具有如下能力：

自主访问控制（DAC）：DAC用来决定用户是否有权访问数据库对象。
验证：保证只有授权的合法用户才能注册和访问。
授权：对不同的用户访问数据库授予不同的权限。
审计：监视各用户对数据库施加的动作。

    数据库管理系统应能够提供与安全相关事件的审计能力：试图改变访问控制许可权；试图创建、拷贝、清除或执行数据库。

    系统应提供在数据库级和纪录级标识数据库信息的能力。

3.2.4   应用层安全技术方案

    根据公安专用网络的业务和服务，我们采用身份认证技术、防病毒技术、以及对WWW应用服务的安全性增强配置服务来保障网络系统在应用层的安全。

3.2.4.1  身份认证技术

    “公钥基础设施”对于实现电子的或网上的“业务处理”，使电子公安达到其成熟阶段具有不可或缺的、极为重要的意义。同时，“公钥基础设施”也是信息时代所有社会经济活动中所不可缺少的一项基础设施。

    公钥基础设施是由硬件、软件、各种产品、过程、标准和人构成的一个一体化的结构，正是由于它的存在，才能在电子事务处理中建立信任和信心。

公钥基础设施可以做到：

       确认发送方的身份
       保证发送方所发信息的机密性
       保证发送方所发信息不被篡改
       发送方无法否认已发该信息的事实

    公开密钥基础设施(PKI)是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这五大系统来构建。

    因此有必要在国、省、地市公安中心建立CA中心，为应用系统的可靠运行提供支持，保证非接触性网上报税业务的可靠性。作为可信任的第三方对所有网上交易的实体提供强身份认证，防止对报税网络资源的非授权访问以及报税人员的越权操作，同时实现网上传输信息的机密性保护、完整性保护，并防止对信息内容的抵赖。

3.2.4.2 防病毒技术

    病毒是系统中最常见、威胁最大的安全来源，建立一个全方位的病毒防范系统是我国公安网络系统安全体系建设的重要任务。

    目前主要采用病毒防范系统解决病毒查找、清杀问题。

    根据公安系统网络结构和计算机分布情况，病毒防范系统的安装实施要求为：能够配置成分布式运行和集中管理，由防病毒代理和防病毒服务器端组成。

    防病毒客户端安装在系统的关键主机中，如关键服务器、工作站和网管终端。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀，设定病毒防范策略。能够从多层次进行病毒防范，第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。

1) 网关防病毒系统：利用网关在网络中的特殊位置，使得电脑病毒在进入内部网之前即被阻截。
2) 服务器防病毒系统：选用服务器防病毒系统，实时检测并清除各种病毒、自动更新及传送病毒码文件、提供详细病毒事件报告；还提供集中式安装及管理。为内部服务器的病毒防护提供强有力的保障。
3) 工作站防病毒系统：通过C/S结构模式，服务端防病毒系统将自动检测各工作站上防病毒软件安装情况，服务端将自动分发并远程安装各工作站病毒防护系统。保证工作站免受病毒侵害的同时，也大减轻安全管理员的工作强度。
4) 邮件服务器防病毒系统：通过检测进出邮件服务器的邮件及其所带附件中的病毒程序，专门保护邮件服务器系统的安全。

3.2.4.3  公开服务器安全性增强方案

    各级公安局连接INTERNET国际互联网对外提供公开信息服务，这使得公安系统的公开服务器的安全性大大降低，因此，要对公安局公开服务器重点保护。

(1)在公安网与连接国际互联网的边界路由器之间配置防火墙，通过防火墙的隔离和访问控制技术，开放必要的、有限的服务，最大程度上降低对服务器非法访问、非授权访问的安全风险。
(2)利用页面保护系统对WWW服务器进行实时监控，确保万一WWW服务器受到黑客入侵，主页面或图片被修改，能够做到快速恢复。
(3)安装入侵检测系统，实时检测进出公开服务器网络的数据流，对违规的网络访问做出有效反应。
(4)对重要服务器系统配置备份与灾难恢复系统，确保了一旦服务器系统被破坏无法修复时，通过灾难恢复系统快速恢复以提供正常的服务。

    我们必须提高服务器的抗破坏能力，防止拒绝服务（DOS）或分布式拒绝服务（DDOS）之类的恶意攻击，提高服务器备份与恢复、防篡改与自动修复能力。采用服务器灾难恢复系统，一旦服务器上的数据被非法修改，安全系统能够迅速发现，并自动地对数据进行恢复。

    Web系统安全配置服务，目的通过系统安全配置，提高主机系统的安全。在进行Web安全配置的安全服务中，将根据客户的基本需求，结合实际情况，制定切实可行、安全高效的Web安全配置方案，并最终实施。

       Web服务器自身安全
       Web服务器参数配置
       Web服务器权限配置
       Web服务器配置安全
       网络信息加密配置
       WWW应用代码审计

3.2.5 安全管理方案建议

3.2.5.1 安全体系建设规范

    公安网络系统建设整网安全需要一套统一的安全体系建设规范，此规范应结合公安专用网络的实际情况制定，然后在全网统一实施。

1.1.1.1. 安全组织体系建设

    实施安全应管理先行，安全组织体系的建设势在必行。应在省中心和各地市建立网络安全建设领导委员会，该委员会应由一个主管领导，网络管理员，安全操作员等人员组成。省中心的安全委员会负责安全系统的总体实施。

    主管领导应领导安全体系的建设实施，在安全实施过程中取得相关部门的配合。领导整个部门不断提高系统的安全等级。

    网络管理员应具有丰富的网络知识和实际经验，熟悉本地网络结构，能够制定技术实施策略。

    安全操作员负责安全系统的具体实施。

    另外，应建立安全专家小组，负责安全问题的重大决策。

3.2.5.2 安全管理制度建设

    面对网络安全的脆弱性，除在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理。

制定安全管理制度，实施安全管理的原则为：

1) 多人负责原则。每项与安全有关的活动都必须有两人或多人在场。这些人应是系统主管领导指派的，应忠诚可靠，能胜任此项工作。
2) 任期有限原则。一般地讲，任何人最好不要长期担任与安全有关的职务，以免误认为这个职务是专有的或永久性的。
3) 职责分离原则。除非系统主管领导批准，在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

其具体工作为：

    确定该系统的安全等级。

    根据确定的安全等级，确定安全管理的范围。

    制定安全管理制度。

3.2.5.3  安全管理手段

    安全技术管理体系是实施安全管理制度的技术手段，是安全管理智能化、程序化、自动化的技术保障。安全技术管理对OSI的各层进行综合技术管理。

    网络安全管理，主要对国家公安网络安全体系的防火墙、入侵检测系统等网络安全设备进行管理；

    应用安全管理，主要对国家公安网络安全体系的应用安全系统进行管理，如用户认证系统的管理、病毒防范系统的管理。
 
下面详细描述安全管理技术：

1.  网络安全管理

    在网管平台、网管应用软件的控制下，网管控制台通过SNMP、RMON协议与被管设备、主机、服务进行通信，实现有关的安全管理。

    维护并识别被管设备、主机、服务的身份，防止非法设备、主机、服务的接入，防止设备、主机、服务之间的非法操作。

实时监视被管设备、主机、服务的运行，发生异常时向管理员报警。
维护被管设备、主机、服务的配置信息，防止非授权修改，配置遭到破坏时可自动恢复。
维护网络的安全拓扑，确保交换、路由、虚网的正常运行。
配置网络的安全策略，设置网络边界安全设备的访问控制规则和数据包加解密处理方式。
审计、分析网络安全事件日志，形成安全决策报告。
实现网络安全风险集中统一管理，如入侵检测系统、漏洞扫描系统的管理。
 
2. 应用安全管理
 
    在应用安全管理平台的支持下，安全管理员使用安全控制台实施应用安全管理策略。安全管理员可以：

建立和维护用户账号。
建立和维护被管资源的连接和目录。
建立和维护访问控制列表。
统计、分析审计记录信息。
配置、维护安全平台。
设置会话密钥生命期等。
扫描和防杀病毒。

4 公安局安全解决方案

    根据第三章网络安全方案建议，我们针对公安局提出了科达S&T sec安全解决方案。

4.1 科先达S&T8341安全网关产品

4.1.1 真正意义上的硬件设计

    以发挥硬件最高效能，提高系统自身安全性。一般软件防火墙需要昂贵的高档工作站或高档微机支持，同时系统安全性受操作系统本身安全问题的影响。即：使用软件防火墙不仅会要求用户提供硬件平台支持，且防火墙的安全性还要依赖于操作系统基于奔腾III的硬件平台符合高速网络大流量的要求，紧凑的形式更简化安装。独特的ASIC协处理器，以及专门研制的BIOS和操作系统更符合网络实时反应的需求。S&T 8341为网络安全问题提供了最好及最高性能的解决方案。

4.1.2 高保密、高速的VPN

    科先达S&T8341安全网关使用了国际标准的IPSec来提供虚拟专网功能，使两个或距离更远的专网能够通过互联网联合起来，而且不需要付出不安全的代价。

    科先达S&T8341的VPN技术允许防火墙作为IPSec网关，在两个网络中建立一条安全的通信链接（通道）。通过通道的数据都被加密以保证数据的机密性，而认证系统保证数据来自源发送者而且在传输中没被破坏。

    VPN功能支持56位的DES和168位的3DES加密，以及HMAC 、MD5和HMAC SHA-1认证算法。

    实际中，加密和解密过程由FortiAsic进行加速。

4.1.3 内置的防病毒技术

    科先达S&T8341是第一家将防火墙和防病毒集成在一起的安全产品，用户不用再花费大量的费用和时间在购置和管理安全产品上。病毒扫描引擎包含三种最有效的病毒检查技术（特征码扫描、启发式、模拟执行），扫描通过防火墙的HTTP和邮件服务的内容。防火墙可按用户实际需求，提供高、中、低三级的防病毒安全扫描等级。

4.1.4 内容过滤

    完全支持双字节大编码的中文词语的内容过滤，防火墙可按URL、关键词进行过滤。当有符合条件的数据通过防火墙时，系统根据一定逻辑（如关键字组合）检查内容，然后根据策略处理该数据，如拒绝进入、记录等，有效地帮助管理人员控制网页内容。

4.1.5 支持各种标准服务

    可以支持哪些传输标准是评价一个防火墙系统的重要指标之一。科先达S&T8341安全网关支持多种通信协议和应用服务，包括HTTP、POP3、多媒体服务等等。用户不必担心使用了防火墙后出现某些服务失效的副作用。

4.1.6 针对性的入侵检测

    对于特定的攻击，防火墙设有对应的防御措施。常见的DDOS、IP SPOOFING和其它具有潜在危害的网络弱点都可以由系统保护。

4.1.7 多语言多界面风格

    安全网关设有基于WWW的管理界面，管理员可以通过图形界面对系统进行管理，把复杂繁多的系统功能设置变为直观易用的页面形式，提高了系统的易用性。为了符合用户不同的要求，系统还提供英语、中文两种语言选择，每种语言都配有三种版面形式让管理员选择自己喜欢的风格。将枯燥的管理变成简单的选择。

4.1.8 高可靠性功能

    提供高可靠性的功能，其中一台机器因电源或其它意外原因而停止工作时，另一台机器马上可以自动接管原来的连接，保持通信的连续性。而且，高可靠性还提供负载均衡的功能，使通信数据自动分配到两台防火墙中，以达到更高的带宽和数据冗余。

4.1.9 物理断开功能

    防火墙具有独特的物理断开功能。必要情况下，系统管理员可以强行断开网络接口的连接，中止接口数据传输。

4.1.10 自动报警功能

    防火墙对受到的攻击设有完备的纪录功能。当防火墙受到攻击时，可自动向三个管理员发送报警邮件，让管理员第一时间采取应对手段。

4.2 科先达KSS安全漏洞扫描器

4.2.1 主要功能

4.2.1.1 漏洞扫描功能

    漏洞扫描是做好安全防护的第一步，其作用是在黑客攻击之前，找出网络中存在的漏洞，防患于未然。科先达KSS安全漏洞扫描器作为自动化的网络安全风险评估工具，侧重发生安全事故前这一阶段。通过模拟黑客的进攻手法,对被检系统进行攻击性的安全漏洞和隐患扫描，提交风险评估报告，并提供相应的整改措施。先于黑客发现并弥补漏洞，防患与未然。预防性的安全检查最大限度地暴露了现存网络系统中存在的安全隐患，配合行之有效的整改措施，可以将网络系统的运行风险降至最低。

    针对国际互联网上网络系统中存在的主要弱点和漏洞，科先达KSS安全漏洞扫描器集成了十几大类实践性方法，能全方位，多侧面的对网络安全隐患进行扫描分析，基本上覆盖了目前网络和操作系统存在的主要弱点和漏洞，具有强大的扫描分析能力。在网络漏洞检测中，科先达KSS安全漏洞扫描器将漏洞主要分为下列类别：

                  CGI攻击测试
                  Finger攻击测试
                  FTP测试
                  NIS测试
                  RPC测试
                  SMTP问题测试
                  Windows测试
                  端口扫描
                  防火墙测试
                  毫无用处的服务
                  后门测试
                  拒绝服务
                  一般测试
                  远程获取shell
                  远程获取根权限
                  远程文件访问
                  SNMP测试
                  杂项测试

4.2.1.2 安全管理功能

    科先达KSS安全漏洞扫描器将所发现的隐患和漏洞依照风险等级进行分类，向用户发出不同的警告提示，提交风险评估报告，并给出详细的解决办法。

    例如当我们使用KSS选择扫描CGI攻击测试 “IIS存在的Unicode解析错误漏洞”，如果被测主机存在这项漏洞，KSS将告知用户该漏洞的风险级别为高风险。对于高风险的漏洞，一旦被攻击者利用，有可能对系统造成严重的破坏，用户必须及时的参照提供的解决方法进行修补，防止攻击。

    当我们使用KSS选择扫描一般测试“通过Telnet检查服务器类型和版本”，如果被测主机存在这项漏洞，KSS将告知用户该漏洞的风险级别为低风险。对于低风险的漏洞，虽然未能被攻击者直接利用攻击用户，但是该漏洞提供了过多的信息给攻击者，节省了攻击者的时间，方便了攻击者的攻击。对于这类漏洞需要屏蔽掉能够被攻击者利用的信息，尽可能的降低被攻击的风险。

    同时，科先达KSS安全漏洞扫描器对可扫描IP地址进行了严格地限定，能有效地防止产品被滥用和盗用。

4.2.1.3 策略管理功能

    科先达KSS安全漏洞扫描器针对不同用户的需求，对扫描项进行合理的组合，更快、更有效地帮助不同用户构建自己专用的安全策略。

    科先达KSS安全漏洞扫描器中预装了多种常见的策略，您可以根据不同的安全需求，选取或自定义不同的扫描策略，对相应的网络设施进行扫描分析。当然，您也可以构造您自己的策略。例如您管理的服务器包括子网A的WinNT、Unix和子网B的WinNT、Unix，这时您需要的策略名可能为AwinNT、AUnix、BWinNT、BUnix等。

4.2.1.4 在线升级功能

    科先达KSS安全漏洞扫描器利用程序内置的产品升级模块，通过互联网络，可以随时随地通过网络对漏洞库、程序、可扫描IP和策略进行升级，实现与国际最新标准同步，保持科先达KSS安全漏洞扫描器的功能的完整性，使您能够检测到被保护对象的新的安全隐患，在黑客发起攻击之前帮您堵住漏洞。例如，我们将及时的跟踪国际上最新的漏洞公告，将最新的漏洞库和策略在网站上发布，供用户在线升级。
 
4.2.1.5 统计报表功能

    科先达KSS安全漏洞扫描器采用报表和图形的形式对扫描结果进行分析，可以方便直观地对用户进行安全性能评估和检查。科先达KSS安全漏洞扫描器不仅能发现系统存在的弱点和漏洞，还能给用户提出修补这些弱点和漏洞的建议和措施，能给用户建议保证系统安全的安全策略，最大限度地保证用户信息系统的安全。这时候为方便用户的使用，在对目的网络进行扫描分析后，将为您生成一份完整的安全分析报告。报告将系统地对目的网络系统的安全性进行详细描述，为用户确保安全提供依据。

    扫描结束后用户可以保存生成的扫描结果，方便用户在一段时间后对扫描结果的查询和比较，通过比较用户可以发现这段时间内网络隐患和漏洞的变化情况，用户就能根据这些情况制定出更适合自身的网络安全管理制度。对于有些用户，例如公安、保密等国家授权的网络安全监察部门，就可以通过对下属单位的网络进行全面的扫描，通过分析和比较扫描结果，制定整体网络安全策略和计划。
 
4.2.2 技术优势

    科先达安全漏洞扫描器是专门针对网络安全薄弱环节和漏洞问题设计的强有力的工具，它主要用于评估用户整个网络系统的安全状况，透过应用程序漏洞攻击(Application Exploits)、隐藏式扫描(Stealth Scanning)、阻断服务测试(Denial Of Service)等测试方式考察系统的安全性。

    科先达安全漏洞扫描器有能力扫描各种类型的操作系统，包括全部的windows系统、绝大多数的 Unix 操作系统的所有类型(Solaris, Linux,*BSD 及其他) 和网络设备 (路由器, 防火墙、主干交换机及其他)的操作系统。

    基于国际CVE标准建立的安全漏洞库，丰富的漏洞检查列表，共计5大类1500多种漏洞检测，并将及时发现最新的漏洞加入到科先达安全漏洞库中。

    广泛的系统和服务安全漏洞的审核， 这些包括: NetBIOS、HTTP、CGI、WinCGI、ftp、 DNS、拒绝攻击漏洞、POP3、SMTP、LDAP、TCP/IP、UDP、注册表、服务、用户、帐户、密码缺陷、发布扩展、MSSQL、IBM BD2、ORACLE、MySQL、Interbase 、MiniSQL等等。

4.3 McAfee企业防病毒软件

4.3.1 多层次、多入口的立体病毒防范体系

    随着分布式网络计算、文档驻留宏、群件等新技术的出现以及Internet 的广泛采用，网络的脆弱性成倍增加，保护计算机网络已不再是简单的在客户机上安装桌面病毒扫描程序就可以解决的问题了，建立一套完善多级的病毒防护系统非常必要。TVD提供了桌面、服务器和Internet网关的单一集成的防病毒系统 ，对所有潜在的病毒进入点实行全面保护。

4.3.2 完善的管理体系

    中央控制台集中配置与管理模式，使企业更加高效，更易管理。简化了管理人员的负担，同时保证企业防病毒系统的一致性。

4.3.3 100％的病毒检测率

    包括多达57,000多种的病毒样本特征库加上获奖产品――Hunter扫描引擎使得TVD及其组件在VSUM、 Virus Bulletin 、Secure Computing 、NCSA等多所独立测试机构的重复检测中获得100％测试率，启发式技术迅速检测新病毒。

4.3.4 独特的病毒更新技术

    通过自动更新（AutoUpdate），桌面PC和服务器按计划从指定的中央服务器上提取更新信息使自己保持为更新状态。

4.3.5 整个企业防病毒系统的一致性

    通过中央控制台集中分发防病毒软件和病毒样本更新数据，保证整个企业内防病毒能力永远是最新的；同时集中收集域管理机器的病毒扫描状态和病毒事件报告，一目了然地可以看到企业内所有机器的防病毒软件的安装情况、运行情况，保证整个企业防病毒系统的一致性。
 
4.3.6 强大的报告能力

    NAI的防病毒系统采用数据库技术进行事件统计、汇总，具有功能强大的报告能力。支持图形化报告，并可由用户定制报告模板和内容。

    用户利用NAI的报告功能，可对企业内部的病毒分布、感染情况有全面、直观的了解，快速地找出病毒源头，并制定出更加有效的防病毒策略。

4.3.7 防病毒软件的分发、管理

    在防病毒系统的实施过程中，防病毒软件的分发、管理是非常重要的一个方面。NAI公司的EPO管理平台提供了灵活的、形式多样的软件分发及管理方法。
 
4.4 配置和集中管理

    从管理台上可以集中对病毒软件库中的防病毒软件组件进行配置，通过配置可以简化客户端的管理和提高运行效率。

4.5 病毒自动更新和升级

    病毒防护系统的升级包括.DAT文件的自动更新(autoupdate)和引擎的自动升级(auoupgrade)。NAI提供了企业用户的.DAT文件的升级方式。

    对于企业用户，病毒样本文件的更新分为两个阶段：

    企业病毒样本服务器同NAI公司FTP服务器进行同步

    企业内的各种用户(包括桌面，服务器等)从本地网络中得到更新的.DAT文件；  

5 公安局解决方案详细情况

5.1 公安局解决方案示意图

5.2 产品选型和报价

类型 型号 单价 数量 小计
安全网关 科先达8341安全网关 89000 3 267000
漏洞扫描 科先达kss安全漏洞扫描器 25000 1 25000
防病毒 McAfee网络版        
合计