消防安全方案

第1页共9页安阳市消防支队“消防信息移动接入及应用系统”技术安全方案中国移动通信集团河南有限公司安阳分公司第2页共9页安阳市公安消防支队是一支实行军事化管理的现役制部队，担负着全市的火灾预防，火灾扑救，紧急救援任务。同时又是安阳市公安机关依法实施消防监督的职能部门。在消防监督工作方面，我们的主要职责是：依据国家消防法规和规范，对各部门各单位的消防工作进行监督检查；对新建，扩建，改建，装修等工作项目进行防火审核；开展防火宣传，向市民传播消防知识，提供消防咨询，接受群众投诉，处罚违反消防法规的行为；调查火灾原因，处理火灾事故。安阳市公安消防支队办公自动化系统自应用以来，极大的方便了消防支队的系统化办公，提高了消防监督和服务群众的水平和能力，提高快速反应和综合作战能力。但由于系统建设较早，办公系统尚未移动化，以满足公安消防系统工作需求为目标，保障信息安全为前提，根据《河南省公安信息移动接入及应用系统建设任务书》和《河南省公安信息移动接入及应用系统建设方案实施技术指导书》，结合我市的具体应用情况，制定本方案现提公安消防办公自动化技术安全方案供其参考。一、具体系统安全方案在公安消防原有的系统上增加安全通信卡、安全短消息网关，增加加密机、安全隔离网闸提高了整个系统的安全性；由安全通信卡与安全短消息网关配合，在公共移动通信网络中建立端到端的安全可信通道，实现移动终端到消防信息中心的安全信息交换；用安全隔离网闸替换原来的数据摆渡系统增加了数据交换的速度和数据交换的安全性，从而解决了旧系统中存在的安全问题。1、系统网络结构第3页共9页GSM/GPRSCDMA1XGGSNPSDN路由器专用防火墙包过滤防火墙加密短消息网关用户管理安全隔离网闸交换机交换机移动应用服务综合数据库异地查询服务器数据同步服务器综合数据服务器安全SIM卡SSL/IPSec客户端移动公网密码机公安移动接入网WEB管理服务器公安信息网（安全网络拓扑图）2、硬件与软件功能说明■硬件部分：安全短消息网关用于接收用户查询请求和结果回送；对通过网关的数据实现加/解密；配合认证服务器完成对移动用户的认证；完成会话密钥协商；对非法请求进行过滤以阻止非法数据的进出；加密机加密机中嵌入公安专用加密算法及相应的摘要算法和RSA算法，完成对查询请求中加密数据的解密和查询结果数据的加密返回，以保证数据传输入中的安全性，实现数据的完整性验证和用户身份认证。安全隔离网闸用于公安移动接入网与公安信息网的安全隔离，为数据同步程序提供内外网的安全通道。防火墙用于数据从移动公网到公安移动接入网之间的安全防护，可以防攻击、防网络蠕虫病毒，建立接入网的安全边界。第4页共9页■软件部分：安全通信卡申请管理系统用于管理使用移动查询应用系统的用户，对用户进行从申请、审批到使用的跟踪，确保安全通信卡的安全使用。系统通过将申请者信息与消防人员库比对的方式杜绝了消防人员使用安全通信卡的情况。该系统做为河南省安全通信卡管理系统的一部分，配合省厅实现安全通信卡管理的信息化、科学化。基于网闸的数据传送系统通过网闸的保护提供安全的内外网数据交换。3、设备与性能说明硬件设备：产品名称产品型号产品规格生产厂家备注安全短消息网关JA-SMS-X01V1.0支持中国移动CMPP2.0短消息网关支持预共享密钥和数字证书两种身份认证方式提供移动终端远程控制命令机制向短信应用开发商提供短消息服务代理作用每秒可完成会话密钥协商：500以上每秒可处理短信：1000条以上国家密码管理局为公安部指定的密码专用算法；高速的消息转发性能加密机GA-X01V2.0数据接口：USB接口、PCI64/32接口数据通讯速率：480Mbps、266MBps支持的算法：公安专用分组密码算法，RSA，MD5算法密钥长度：RSA有1024、2048位，公安专用分组密码算法有128、192位算法速度：RSA算法：（以1024位模长为例）公钥运算：190次/秒；私钥运算：10次/秒数据加解密速度：50Mbps以上内置国家商用密码委员会指定算法第5页共9页隔离网闸FerrywayV2.0见附件一上海金电网安科技有限公司防火墙HT-FW-2000见附件二北京中软华泰信息技术有限责任公司应用软件产品名称产品描述开发公司备注基于网闸的内外网数据交换系统为查询提供从公安信息网到公安移动接入网的安全数据传送数据吞吐量大；传送速度快。安全通信卡申请管理系统对申请安全通信卡的人员进行登记、统计、上报、审核、流量统计、短信群发、协查通报B/S结构；安装快捷；操作方便四、系统安全性分析中国移动/联通网络SMS/GPRS/CDMA防火墙本地安全短消息网关省厅Ipsec/SSLVPN(GPRS)应用服务器安全隔离网闸公安信息专网手机终端（SMS/GPRS/CDMA方式）或笔记本终端在通信运营商网络之中信息以密文形式传输主业务处理和资源信息采集安全阻隔公安内网和公用网络内部数据采集GPRSGSM省厅资源库第6页共9页（安全数据走向图）1、信息的保密性从“安全通信卡”到“安全短消息网关”之间传输的数据全部是经过公安专用加密算法加密过的信息，杜绝了非法窃听和信息泄密，保障了移动公网中传输数据的保密性。2、信息的可靠性与完整性从“安全通信卡”发出的查询数据附加了数据摘要和用户证书信息，在数据到达移动终端或短消息网关时，通过验证数据中附加的数据摘要保证数据的完整性；通过验证数据中附加的用户证书阻止非法访问，保证数据的可信性。3、内、外网的边界安全性在公安信息网与公安移动接入网之间增加安全隔离网闸，公安信息网与公安移动接入网的数据同步系统通过安全隔离网闸进行数据交换，在内、外网之间建立清晰的边界。4、其它安全性措施在移动公网与公安移动接入网中间加入专用的防火墙，有效的阻止了非法用户的侵入与攻击，对网络蠕虫起到了一定的防护做用，保障了公安移动接入网的安全。加密短消息网关提供了包过滤防火墙对数据进行包过滤，过滤非法数据，保证了查询数据的安全性与完整性。由以上步骤可以看出，经过安全改造后的系统，数据在各网段之间的传输是安全、可信的。第7页共9页附件一：金电网安FerryWay2.0型网闸功能指标产品名称安全隔离与信息交换系统产品型号FerryWay2.0操作系统自主研发的专用安全系统支持协议标准TCP、UDP（按客户需求自定义增加UDP模块）应用协议检查HTTP、HTTPS、SMTP、POP3、FTP、TELNET、SQL、ORACLE、MSN、QQ、NULL_TCP等可定制应用协议检查模块基本模块隔离硬件和系统管理，与其他模块配合使用安全上网模块访问控制对象：源地址、目标地址、源端口、目的端目、域名、URL、访问方式、时间等内容过滤：关键字（采用自主研发的下推自动机的高效过滤算法）脚本过滤：javascript、Applet、ActiveX等其他过滤策略：文件类型、页面提交方式等认证方式：本地用户文件安全邮件模块垃圾邮件过滤、邮件地址、邮件主题、邮件内容、邮件附件过滤、时间等安全文件交换模块提对安全的文件实时交换安全数据库访问模块提供对SQL、ORACLE、DB2等所有数据库系统的安全访问安全数据库交换模块采用数据库同步软件，可以实现同构、异构数据库的双向同步安全远程登录模块提供安全的远程登录日志审计模块完成系统活动、网络连接的记录、分析、统计和导出自定义功能扩展模块支持用户自定义基于标准TCP协议软件通信配套管理软件管理端：用于通道建立、策略制定等审计端：用于日志查询、分析、导出等硬件体系多机系统性能指标网络吞吐量：400Mbps和1000Mbps时延：0.01秒最大受控协议通道：256种单个协议通道并发连接数：32767所有协议通道并发连接数：65535最大用户数：1024硬件配置机型：标准4U规格：674x431x177mm（长X宽X高）接口：3个100Base-T(RJ-45)接口；3个VGA接口；3个PS2(键盘、鼠标)接口电气性能电源类型：AC90-132/180-265V电源功率：300Wx2辐射标准符合FCCPart15，CLASSA，EN55022物理环境温度(工作)：-20~55℃；高度10000英尺/3000米温度(存储)：-10~70℃；高度30000英尺/9000米相对湿度（工作）：10~90%非冷凝相对湿度（存储）：5~95%非冷凝第8页共9页附件二：中软HuaTech-2000型防火墙性能功能指标一览通用指标体系指标说明产品名称中软HuaTech-2000型防火墙防火墙类型包过滤+状态检测+代理工作方式兼容路由、网桥两种工作方式产品规格说明▲HT-FW-2000-EX适用模式中高端设备规格内部配置操作系统系统采用经过安全加固的专用操作系统CPUIntel内存256M硬盘32MFLASHROM电气性能电源220V/50Hz3.0A（最大）260W（最大）环境规范运行温度：0—45摄氏度非运行温度：-20—65摄氏度相对湿度：10—90%@4摄氏度，非冷凝参考的安全规范及标准UL1950、EN41003、AS/NZS3260、AS/NZS3548ClassA、CSAClassAFCCClassA、EN60555-2、VCCI(Classll)抗干扰性IEC—1000—4—2（ESD）IEC—1000—4—3（辐射敏感性）IEC—1000—4—4（电快速瞬变）IEC—1000—4—5（电涌）IEC—1000—4—3（谐波）系统组成防火墙系统是一个高速稳定的硬件平台和经过安全加固的操作系统的完美结合体配置管理系统GUI管理器支持Web管理器支持CLI管理器支持日志管理器支持网络特性支持网络适配器类型10/100以太网控制器RJ45接口支持最大接口数4个DNS支持支持VLAN支持支持802.1Q协议支持的非IP协议IPX、NETBEUI支持VoIPH.323、SIP性能指标最大并发连接数600，000网络吞吐率≥98MbpsMTBF≥80，000小时集中管理统一策略集中管理支持提供基于时间的访问控制支持SNMP支持本地管理GUI、WEB、CLI（Console）远程管理GUI、WEB、CLI（SSH）集中管理中心支持环境MicrosoftWindows98/NT/2000/XP访问控制状态检测支持第9页共9页用户权限级别设定支持，可自定义权限支持的代理类型http,ftp,smtp双向NAT、PAT支持地址绑定支持带宽管理支持流量控制功能支持VPN支持支持的VPN加密算法3DES,DES,国家指定算法建立VPN通道的协议IPSec、IKEIPSEC认证证书（X.509）、手动密钥认证算法SHA-1、MDS认证支持支持的认证类型OTP，RADIUS支持数字证书X.509分布日志处理完整日志方法专用日志管理系统日志报表生成方式专用日志管理系统警告通知机制支持提供审计报表支持提供实时统计日志、GUI、Web日志种类8种（防火墙的运行日志，代理日志，入侵检测日志，流量统计日志，管理日志，双机热备日志，IDS互动信息，状态信息）日志备份支持日志转发支持日志删除支持防御功能防范攻击功能32大类攻击行为与IDS服务器互动支持支持病毒扫描支持提供内容过滤支持URL、文件、邮件过滤能够防御的DoS攻击类型PingofDeath,TCPSYNfloods等150种防IP地址欺骗支持阻止ActiveX、Java、cookies、Javascript侵入支持高可用性（HA）双机热备功能支持失败恢复特性（failover）支持电源（双/单）支持双电源冗余模式安全特性提供入侵实时警告支持提供实时入侵防范支持获得的许可证类别及号码公安部销售许可证证书编号：XKC33329国家信息安全测评认证中心认证证书注册号：CNISTEC2001TYP082国家保密局科技成果鉴定编号（2002）鉴字04号解放军信息安全测评认证中心认证证书军密认字第0062号