公安高校網(wǎng)安全問題對策研究

曾　旋

[摘要]對公安高校網(wǎng)的技術(shù)策略進行研究，確地選擇多級分布式檢測模型作為公安高校網(wǎng)的一種內(nèi)網(wǎng)外聯(lián)監(jiān)控模型。根據(jù)該模型的設(shè)計，可以很好的實現(xiàn)對公安高校網(wǎng)中的內(nèi)網(wǎng)外聯(lián)情況進行監(jiān)控。

[關(guān)鍵詞]公安高校網(wǎng) 網(wǎng)絡(luò)安全 對策

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0420046－01

一、引言

公安內(nèi)部網(wǎng)，簡稱公安網(wǎng)，采用了Internet的組網(wǎng)技術(shù)和應(yīng)用技術(shù)，也同樣存在著當(dāng)今互聯(lián)網(wǎng)絡(luò)共通的安全問題。公安網(wǎng)絡(luò)和信息安全保障體系是實現(xiàn)公安工作信息共享、快速反應(yīng)和高效運行的重要保證。安全保障體系首先要保證網(wǎng)絡(luò)的安全、可靠運行，在此基礎(chǔ)上保證應(yīng)用系統(tǒng)和業(yè)務(wù)的保密性、完整性和高度的可用性，同時為將來的應(yīng)用提供可擴展的空間。公安大學(xué)作為集公安部門教學(xué)、培訓(xùn)和科研于一體的高等院校，又有著不同于一般公安網(wǎng)絡(luò)的特殊安全需求。本文將基于此對公安高校網(wǎng)的安全對策問題進行研究。

二、公安高校網(wǎng)的安全策略

保障網(wǎng)絡(luò)安全，關(guān)鍵要靠人、技術(shù)、管理三者的有機結(jié)合。公安高校網(wǎng)的安全策略應(yīng)該由安全標準、管理制度、安全技術(shù)三部分組成。本文主要研究網(wǎng)絡(luò)安全技術(shù)，如防火墻、網(wǎng)絡(luò)防病毒、PKFPMI身份認證、物理隔離、加密VPN子網(wǎng)等，在公安高校網(wǎng)中的部署。

（一）防火墻

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件（包括計算機和路由器）的組合。它執(zhí)行預(yù)先制定訪問控制策略（允許、拒絕、監(jiān)測），決定網(wǎng)絡(luò)外部（含外地區(qū)、外部門或外單位的網(wǎng)絡(luò)）與網(wǎng)絡(luò)內(nèi)部（指局域網(wǎng)或內(nèi)部網(wǎng)范圍內(nèi)）的訪問方式。在網(wǎng)絡(luò)中，防火墻實際是一種隔離技術(shù)，它所執(zhí)行的隔離措施包括：（1）拒絕未經(jīng)授權(quán)的用戶訪問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)；（2）允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。常見的網(wǎng)絡(luò)防火墻部署如圖1所示：

（二）網(wǎng)絡(luò)防病毒

計算機病毒，特別是它借助信息網(wǎng)絡(luò)快速地傳播和破壞，已成為當(dāng)今社會的一大公害。比如，2003年春季，Nimda病毒在公安內(nèi)部網(wǎng)上大規(guī)模蔓延和爆發(fā)，給公安工作造成很大的影響。正確運用網(wǎng)絡(luò)防病毒技術(shù)和策略，可把損失降到最低程度。

病毒防治的主要策略有：局域網(wǎng)預(yù)防；安裝正版的、最好是國產(chǎn)的網(wǎng)絡(luò)版防病毒軟件；在網(wǎng)絡(luò)上運行一個新軟件之前，斷開網(wǎng)絡(luò)，在單獨的計算機上運行測試，如果確認沒有病毒，再到網(wǎng)絡(luò)上運行；周期性備份工作文件；建立健全網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴格操作規(guī)程。

集中式管理是網(wǎng)絡(luò)病毒防護最可靠、最經(jīng)濟的方法。多層次防御病毒軟件把病毒檢測、多層數(shù)據(jù)保護和集中式管理的功能集成在同一產(chǎn)品內(nèi)，因而極大地減輕了反病毒管理的負擔(dān)，而且提供了全面的病毒防治功能。

（三）PKI/PMI身份認證

PKI（Public Key Infrastructure）/PMI（Privilege Management Infrastructure）身份認證和訪問控制技術(shù)，在單點登錄、全網(wǎng)漫游，訪問控制，電子政務(wù)，無紙辦公以及身份鑒別和授權(quán)等方面都有廣泛的應(yīng)用。PKI即公開密鑰基礎(chǔ)設(shè)施，是一個包括硬件、軟件、人員、策略和規(guī)程的集合，用來實現(xiàn)基于公鑰密碼體制密鑰和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。PMI即權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施，是屬性證書（AC）、屬性權(quán)威（AA）、屬性證書庫等部件的集合體。

（四）物理隔離

“物理隔離”是指內(nèi)部網(wǎng)不直接通過有線或無線等任何手段連接到公共網(wǎng)，從而使內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)在物理上處于隔離狀態(tài)的一種物理安全技術(shù)。從這個概念上看，物理隔離是保證網(wǎng)絡(luò)物理安全的一個有效手段，即保護路由器、工作站、各種網(wǎng)絡(luò)服務(wù)器等硬件實體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊；只有使內(nèi)部網(wǎng)和公共網(wǎng)“物理隔離”，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，“物理隔離”也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強，便于管理。

物理隔離可以有效地解決數(shù)據(jù)隔離和計算機終端的網(wǎng)絡(luò)隔離問題。物理隔離產(chǎn)品在建好兩個網(wǎng)絡(luò)的前提下，使一臺計算機能連接兩個網(wǎng)絡(luò)，并且在同一時間上，用戶在裝有物理隔離產(chǎn)品的計算機中只能使用其中的一個網(wǎng)絡(luò)系統(tǒng)。物理隔離實現(xiàn)主要分為物理隔離卡和安全隔離網(wǎng)閘。

（五）加密VPN子網(wǎng)

涉密子網(wǎng)是內(nèi)部虛擬專網(wǎng)（Intranet VPN），它利用公安高校網(wǎng)的線路保證網(wǎng)絡(luò)的互連性，融合了隧道技術(shù)、密碼技術(shù)、身份認證技術(shù)、存取控制技術(shù)等。Intranet VPN擁有與專用網(wǎng)絡(luò)相同的安全、服務(wù)質(zhì)量（QoS）、可管理性和可靠性。公安機關(guān)部門涉密子網(wǎng)的構(gòu)建應(yīng)該基于IPSec的VPN技術(shù)。基于IPSec的加密VPN子網(wǎng)，它的側(cè)重點在于安全保密，還有以下優(yōu)點：一是成本低。二是易于擴展。三是保證安全。

三、公安高校網(wǎng)內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)設(shè)計

內(nèi)網(wǎng)外聯(lián)屬于“一機兩用”行為，是指公安機關(guān)使用的計算機及網(wǎng)絡(luò)設(shè)備同時連接公安信息網(wǎng)和國際互聯(lián)網(wǎng)等其它外部網(wǎng)絡(luò)，也包括斷開公安信息網(wǎng)后接入國際互聯(lián)網(wǎng)或外部網(wǎng)絡(luò)。內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)主要是及時發(fā)現(xiàn)、及時阻止這種“一機兩用”的違規(guī)行為，盡可能地減少公安內(nèi)部網(wǎng)的安全隱患。系統(tǒng)在滿足內(nèi)網(wǎng)外聯(lián)監(jiān)控的基礎(chǔ)上，附帶一些實用的設(shè)備管理和統(tǒng)計功能。

（一）技術(shù)路線及方法

通過將網(wǎng)卡設(shè)置為混雜模式，可以利用以太網(wǎng)載波偵聽與多路訪問/控制的特點，在內(nèi)網(wǎng)的任意一個節(jié)點采用Ping掃描、ICMP掃描、UDP掃描等探測技術(shù)能夠獲取其它節(jié)點的信息，從而完成整個共享式以太網(wǎng)的監(jiān)測。而在交換型網(wǎng)絡(luò)中，交換設(shè)備限制了各種掃描所能達到范圍，通過對交換機監(jiān)控端口的接入獲取與所有端口的通信權(quán)限，解決交換網(wǎng)絡(luò)中網(wǎng)絡(luò)監(jiān)測范圍受限的問題。針對子網(wǎng)內(nèi)的探測，采用ICMP探測技術(shù)、TCP掃描技術(shù)、UDP探測、Trace route探測可以完成內(nèi)網(wǎng)拓撲探測和在線主機信息采集。這些從技術(shù)上保證了內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)實現(xiàn)的可行性。

（二）內(nèi)網(wǎng)外聯(lián)監(jiān)控模型設(shè)計

內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)采用改進的多級分布式違規(guī)外聯(lián)監(jiān)控模型，如圖2所。

該模型包括四部分，探測端、偵聽端、外聯(lián)探測服務(wù)器、隔離器。偵聽端，負責(zé)連接互聯(lián)網(wǎng)以及收集回送外聯(lián)探測包；探測端，從外聯(lián)探測服務(wù)中獨立出來，實現(xiàn)子網(wǎng)內(nèi)違規(guī)探側(cè)，以及子網(wǎng)內(nèi)的探測參數(shù)配置管理、違規(guī)外聯(lián)阻斷邏輯；外聯(lián)探測服務(wù)器，負責(zé)內(nèi)部網(wǎng)絡(luò)整體的探測參數(shù)配置管理、違規(guī)外聯(lián)阻斷邏輯以及探測區(qū)域劃分管理，外聯(lián)服務(wù)器對于內(nèi)部網(wǎng)絡(luò)整體探測的管理體現(xiàn)在對各自網(wǎng)探測端的管理及控制中，通過配置及命令實現(xiàn)；隔離器，保證該監(jiān)控系統(tǒng)在內(nèi)網(wǎng)部分和在外網(wǎng)的部分之間保持網(wǎng)絡(luò)隔離和數(shù)據(jù)隔離。

四、結(jié)束語

本文對公安高校網(wǎng)的技術(shù)策略進行研究，基于研究內(nèi)容，明確地選擇多級分布式檢測模型作為公安高校網(wǎng)的一種內(nèi)網(wǎng)外聯(lián)監(jiān)控模型。根據(jù)該模型的設(shè)計，可以很好的實現(xiàn)對公安高校網(wǎng)中的內(nèi)網(wǎng)外聯(lián)情況進行監(jiān)控。

參考文獻：

[1]潘明惠著，信息化工程原理與應(yīng)用，北京：清華大學(xué)出版社，2004.

[2]謝毅平土編，公安信息通信技術(shù)教程（下冊），北京：中國人民公安大學(xué)出版社，2001.

[3]楊富國土編，網(wǎng)絡(luò)設(shè)備安全與防火墻，北京：清華人學(xué)北京交大版，2005.

[4]萬國平編，網(wǎng)絡(luò)隔離與網(wǎng)閘，北京：機械工業(yè)出版社，2004.

[5]熊華等編，網(wǎng)絡(luò)安全一取證與密罐，北京：郵電出版社，2003.