公安高校網(wǎng)安全問題對策研究

曾　旋

[摘要]對公安高校網(wǎng)的技術策略進行研究，確地選擇多級分布式檢測模型作為公安高校網(wǎng)的一種內(nèi)網(wǎng)外聯(lián)監(jiān)控模型。根據(jù)該模型的設計，可以很好的實現(xiàn)對公安高校網(wǎng)中的內(nèi)網(wǎng)外聯(lián)情況進行監(jiān)控。

[關鍵詞]公安高校網(wǎng) 網(wǎng)絡安全 對策

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0420046－01

一、引言

公安內(nèi)部網(wǎng)，簡稱公安網(wǎng)，采用了Internet的組網(wǎng)技術和應用技術，也同樣存在著當今互聯(lián)網(wǎng)絡共通的安全問題。公安網(wǎng)絡和信息安全保障體系是實現(xiàn)公安工作信息共享、快速反應和高效運行的重要保證。安全保障體系首先要保證網(wǎng)絡的安全、可靠運行，在此基礎上保證應用系統(tǒng)和業(yè)務的保密性、完整性和高度的可用性，同時為將來的應用提供可擴展的空間。公安大學作為集公安部門教學、培訓和科研于一體的高等院校，又有著不同于一般公安網(wǎng)絡的特殊安全需求。本文將基于此對公安高校網(wǎng)的安全對策問題進行研究。

二、公安高校網(wǎng)的安全策略

保障網(wǎng)絡安全，關鍵要靠人、技術、管理三者的有機結合。公安高校網(wǎng)的安全策略應該由安全標準、管理制度、安全技術三部分組成。本文主要研究網(wǎng)絡安全技術，如防火墻、網(wǎng)絡防病毒、PKFPMI身份認證、物理隔離、加密VPN子網(wǎng)等，在公安高校網(wǎng)中的部署。

（一）防火墻

防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件（包括計算機和路由器）的組合。它執(zhí)行預先制定訪問控制策略（允許、拒絕、監(jiān)測），決定網(wǎng)絡外部（含外地區(qū)、外部門或外單位的網(wǎng)絡）與網(wǎng)絡內(nèi)部（指局域網(wǎng)或內(nèi)部網(wǎng)范圍內(nèi)）的訪問方式。在網(wǎng)絡中，防火墻實際是一種隔離技術，它所執(zhí)行的隔離措施包括：（1）拒絕未經(jīng)授權的用戶訪問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)；（2）允許合法用戶不受妨礙地訪問網(wǎng)絡資源。常見的網(wǎng)絡防火墻部署如圖1所示：

（二）網(wǎng)絡防病毒

計算機病毒，特別是它借助信息網(wǎng)絡快速地傳播和破壞，已成為當今社會的一大公害。比如，2003年春季，Nimda病毒在公安內(nèi)部網(wǎng)上大規(guī)模蔓延和爆發(fā)，給公安工作造成很大的影響。正確運用網(wǎng)絡防病毒技術和策略，可把損失降到最低程度。

病毒防治的主要策略有：局域網(wǎng)預防；安裝正版的、最好是國產(chǎn)的網(wǎng)絡版防病毒軟件；在網(wǎng)絡上運行一個新軟件之前，斷開網(wǎng)絡，在單獨的計算機上運行測試，如果確認沒有病毒，再到網(wǎng)絡上運行；周期性備份工作文件；建立健全網(wǎng)絡系統(tǒng)安全管理制度，嚴格操作規(guī)程。

集中式管理是網(wǎng)絡病毒防護最可靠、最經(jīng)濟的方法。多層次防御病毒軟件把病毒檢測、多層數(shù)據(jù)保護和集中式管理的功能集成在同一產(chǎn)品內(nèi)，因而極大地減輕了反病毒管理的負擔，而且提供了全面的病毒防治功能。

（三）PKI/PMI身份認證

PKI（Public Key Infrastructure）/PMI（Privilege Management Infrastructure）身份認證和訪問控制技術，在單點登錄、全網(wǎng)漫游，訪問控制，電子政務，無紙辦公以及身份鑒別和授權等方面都有廣泛的應用。PKI即公開密鑰基礎設施，是一個包括硬件、軟件、人員、策略和規(guī)程的集合，用來實現(xiàn)基于公鑰密碼體制密鑰和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能。PMI即權限管理基礎設施或授權管理基礎設施，是屬性證書（AC）、屬性權威（AA）、屬性證書庫等部件的集合體。

（四）物理隔離

“物理隔離”是指內(nèi)部網(wǎng)不直接通過有線或無線等任何手段連接到公共網(wǎng)，從而使內(nèi)部網(wǎng)絡和外部公共網(wǎng)絡在物理上處于隔離狀態(tài)的一種物理安全技術。從這個概念上看，物理隔離是保證網(wǎng)絡物理安全的一個有效手段，即保護路由器、工作站、各種網(wǎng)絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊；只有使內(nèi)部網(wǎng)和公共網(wǎng)“物理隔離”，才能真正保證內(nèi)部信息網(wǎng)絡不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，“物理隔離”也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡的可控性增強，便于管理。

物理隔離可以有效地解決數(shù)據(jù)隔離和計算機終端的網(wǎng)絡隔離問題。物理隔離產(chǎn)品在建好兩個網(wǎng)絡的前提下，使一臺計算機能連接兩個網(wǎng)絡，并且在同一時間上，用戶在裝有物理隔離產(chǎn)品的計算機中只能使用其中的一個網(wǎng)絡系統(tǒng)。物理隔離實現(xiàn)主要分為物理隔離卡和安全隔離網(wǎng)閘。

（五）加密VPN子網(wǎng)

涉密子網(wǎng)是內(nèi)部虛擬專網(wǎng)（Intranet VPN），它利用公安高校網(wǎng)的線路保證網(wǎng)絡的互連性，融合了隧道技術、密碼技術、身份認證技術、存取控制技術等。Intranet VPN擁有與專用網(wǎng)絡相同的安全、服務質(zhì)量（QoS）、可管理性和可靠性。公安機關部門涉密子網(wǎng)的構建應該基于IPSec的VPN技術?；贗PSec的加密VPN子網(wǎng)，它的側重點在于安全保密，還有以下優(yōu)點：一是成本低。二是易于擴展。三是保證安全。

三、公安高校網(wǎng)內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)設計

內(nèi)網(wǎng)外聯(lián)屬于“一機兩用”行為，是指公安機關使用的計算機及網(wǎng)絡設備同時連接公安信息網(wǎng)和國際互聯(lián)網(wǎng)等其它外部網(wǎng)絡，也包括斷開公安信息網(wǎng)后接入國際互聯(lián)網(wǎng)或外部網(wǎng)絡。內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)主要是及時發(fā)現(xiàn)、及時阻止這種“一機兩用”的違規(guī)行為，盡可能地減少公安內(nèi)部網(wǎng)的安全隱患。系統(tǒng)在滿足內(nèi)網(wǎng)外聯(lián)監(jiān)控的基礎上，附帶一些實用的設備管理和統(tǒng)計功能。

（一）技術路線及方法

通過將網(wǎng)卡設置為混雜模式，可以利用以太網(wǎng)載波偵聽與多路訪問/控制的特點，在內(nèi)網(wǎng)的任意一個節(jié)點采用Ping掃描、ICMP掃描、UDP掃描等探測技術能夠獲取其它節(jié)點的信息，從而完成整個共享式以太網(wǎng)的監(jiān)測。而在交換型網(wǎng)絡中，交換設備限制了各種掃描所能達到范圍，通過對交換機監(jiān)控端口的接入獲取與所有端口的通信權限，解決交換網(wǎng)絡中網(wǎng)絡監(jiān)測范圍受限的問題。針對子網(wǎng)內(nèi)的探測，采用ICMP探測技術、TCP掃描技術、UDP探測、Trace route探測可以完成內(nèi)網(wǎng)拓撲探測和在線主機信息采集。這些從技術上保證了內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)實現(xiàn)的可行性。

（二）內(nèi)網(wǎng)外聯(lián)監(jiān)控模型設計

內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)采用改進的多級分布式違規(guī)外聯(lián)監(jiān)控模型，如圖2所。

該模型包括四部分，探測端、偵聽端、外聯(lián)探測服務器、隔離器。偵聽端，負責連接互聯(lián)網(wǎng)以及收集回送外聯(lián)探測包；探測端，從外聯(lián)探測服務中獨立出來，實現(xiàn)子網(wǎng)內(nèi)違規(guī)探側，以及子網(wǎng)內(nèi)的探測參數(shù)配置管理、違規(guī)外聯(lián)阻斷邏輯；外聯(lián)探測服務器，負責內(nèi)部網(wǎng)絡整體的探測參數(shù)配置管理、違規(guī)外聯(lián)阻斷邏輯以及探測區(qū)域劃分管理，外聯(lián)服務器對于內(nèi)部網(wǎng)絡整體探測的管理體現(xiàn)在對各自網(wǎng)探測端的管理及控制中，通過配置及命令實現(xiàn)；隔離器，保證該監(jiān)控系統(tǒng)在內(nèi)網(wǎng)部分和在外網(wǎng)的部分之間保持網(wǎng)絡隔離和數(shù)據(jù)隔離。

四、結束語

本文對公安高校網(wǎng)的技術策略進行研究，基于研究內(nèi)容，明確地選擇多級分布式檢測模型作為公安高校網(wǎng)的一種內(nèi)網(wǎng)外聯(lián)監(jiān)控模型。根據(jù)該模型的設計，可以很好的實現(xiàn)對公安高校網(wǎng)中的內(nèi)網(wǎng)外聯(lián)情況進行監(jiān)控。

參考文獻：

[1]潘明惠著，信息化工程原理與應用，北京：清華大學出版社，2004.

[2]謝毅平土編，公安信息通信技術教程（下冊），北京：中國人民公安大學出版社，2001.

[3]楊富國土編，網(wǎng)絡設備安全與防火墻，北京：清華人學北京交大版，2005.

[4]萬國平編，網(wǎng)絡隔離與網(wǎng)閘，北京：機械工業(yè)出版社，2004.

[5]熊華等編，網(wǎng)絡安全一取證與密罐，北京：郵電出版社，2003.