单向传输光闸在公安网络中的应用解决方案

第1页/共16页单向传输光闸在“网上警局”网络解决方案北京以利天诚科技有限公司2014年1月第2页/共16页目录1建设目标和参考依据..............................................................................................................31.1建设目标......................................................................................................................31.2参考依据......................................................................................................................32总体设计..................................................................................................................................42.1总体架构......................................................................................................................42.2安全设计......................................................................................................................52.2.1物理安全设计...................................................................................................52.2.2网络安全设计...................................................................................................52.2.3主机安全设计...................................................................................................62.2.4应用安全设计...................................................................................................72.2.5数据安全设计...................................................................................................72.3管理设计......................................................................................................................82.3.1安全管理制度...................................................................................................82.3.2系统建设管理...................................................................................................82.3.3系统运维管理...................................................................................................83建设方案..................................................................................................................................93.1部署方案......................................................................................................................93.2逻辑隔离......................................................................................................................93.3边界保护区................................................................................................................103.4应用服务区................................................................................................................103.5安全隔离区................................................................................................................113.5.1数据导入........................................................................................................113.5.2数据导出........................................................................................................133.6与等级保护三级的对应.............................................................................................144方案总结................................................................................................................................14第3页/共16页1建设目标和参考依据1.1建设目标针对“网上警局”系统的业务需求，设计一个技术先进、安全可靠、切实可行、管理方便的安全技术方案，建设公安信息通信网与互联网安全接入平台体系，保证公安网的保密性、完整性、可用性，以及“网上警局”业务的可管理性、可控性，提高公安机关社会管理、政务公开的公安职能的效率和水平。1.2参考依据国家保密局发布并自2000年1月1日开始执行的《计算机信息系统国际互联网保密管理规定》要求：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相联接，必须实行物理隔离”。公安信息网不属涉密信息系统，但其安全管理上参照涉密信息系统执行。国家保密局于2007年下发的《电子政务保密管理指南（国保发[2007]5号）》要求：“秘密级电子政务涉密信息系统（或安全域）和与互联网络逻辑隔离的电子政务非涉密信息系统（或安全域），在全部满足下列条件的情况下，经过国家保密局批准，可以采用所批准的方案和‘安全隔离与信息单向导入系统’进行连接”。且要求确保数据只能从低密级网络传入，而不能从高密级网络传出。公安部现有制定的《公安信息通信网边界接入平台安全规范（试行）》主要针对专线接入方式、拨号接入方式制定，用于解决专网数据和图像信息与公安信息网之间的交换、独立的终端通过拨号方式与公安信息网之间建立点对点数据交换通道。对于使用公共网络接入方式不适用。本方案设计主要参考如下政策、规范文件：1、《计算机信息系统国际互联网保密管理规定》；2、《电子政务保密管理指南（国保发[2007]5号）》；3、《公安信息通信网边界接入平台安全规范（试行）》；第4页/共16页4、《信息安全等级保护管理办法(公通字[2007]43号)》；5、《涉及国家秘密的信息系统分级保护管理办法》。6、《公安信息通信网边界接入平台安全规范——公网采集部分》7、《公安信息通信网互联网信息采集与导出总体技术方案》2总体设计2.1总体架构图1总体架构设计边界接入平台整体架设在互联网与公安信息通信网之间，分为路由接入区、边界保护区、应用服务区、安全隔离区及安全监测管理区5个区域。路由接入区负责线路接入，此区域内设备一般为原有设备，如接入路由器。本方案中，接入链路为互联网链路。边界保护区负责对网络边界的保护，主要设备有防火墙、防毒墙、三层交换机、入侵检测/防御系统（IDS/IPS）、可信边界网关等，负责实现网络身份认证、访问控制和权限管理、数据机密性和完整性保护、防御网络攻击和嗅探等。第5页/共16页应用服务区内主要处理各类与应用相关的操作，是公安内网对外信息服务、信息采集、数据交换的中间区域。区域内的服务器设备一般由业务应用系统承建商提供，为用户主要的应用系统。该区域主要安全功能为：作为接入终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能；防止对公安内网的非法访问和信息泄露。对此区域，应加强对服务器等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。安全隔离区实现公安信息通信网与应用服务区的安全隔离与信息交换。该区域主要功能是实现公安内网与应用服务区的安全网络隔离。根据安全策略，对出入公安内网的数据分别进行协议剥离、格式检查和内容过滤，实现公安内网和应用服务区之间的安全数据交换。主要设备为安全数据交换系统，由导入前置机、单向隔离光闸、导入服务器串行连接组成。安全监测管理区实现整个接入平台的安全监测，管理与维护。该区域主要安全功能为：对接入平台运行情况进行安全监测与审计；对接入平台及业务信息进行注册管理，各种安全策略管理，流量监测，统计分析，安全审计等；接入平台中网络设备、安全设备的配置管理及日常运行维护；补丁升级，漏洞扫描与病毒防范。2.2安全设计2.2.1物理安全设计“网上警局”所依托的公网信息采集链路的设备部署于公安部门的信息中心。各级公安机关的信息中心在物理安全上一直尤为注重，对等级保护第三级所要求的物理位置、物理访问控制、防盗窃和防破坏、防雷击、防火、水、潮、静电、温湿度，电力供应，电磁防护等技术上均有严格的标准和制度，故在本方案设计中，仅需要遵循公安信息中心有关物理安全的已有设计即可。2.2.2网络安全设计结构安全：根据业务实际需要并考虑扩展，选用业务处理能力比实际需求较高的产品。访问控制：在网络边界可选部署集网闸类、防火墙类、网关类产品，可对第6页/共16页进行细粒度的访问控制。可对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；拥有细粒度为端口级，并根据会话状态信息为数据流提供明确的允许/拒绝访问处理，可将会话处于非