基于安全監測的公安信息網應用服務系統設計分析

◆肖佳朋

(四川警察學院 四川 646000)

基于安全監測的公安信息網應用服務系統設計分析

◆肖佳朋

(四川警察學院 四川 646000)

隨著信息網絡的不斷普及，以及網絡信息技術在各領域中的深入開展，社會對網絡的依賴性越來越強。對于公安部門而言，公安信息網絡在日常工作中發揮著重要的作用。公安信息網上關鍵應用系統的安全、可靠、穩定運行是公安信息化部門管理工作的重要內容。本文從公安信息網應用服務安全監測系統出發，對系統的安全監測、報警處置等進行設計研究，以全面提高公安網安全監測與防護水平。

公安信息網；安全監測；應用服務

0 引言

隨著網絡信息技術的不斷發展和普及，為信息安全提出了更高的要求，甚至從國家宏觀層面來看，網絡信息安全已經成為關乎社會穩定和國家安全的重要因素。公安信息網絡應用服務系統作為面向社會公眾的網絡服務平臺，其安全性至關重要，因此為保障公安信息網絡應用服務系統安全、穩定、可靠地運行，本文采用了當前最為流行的三層架構體系來開發安全監測系統，從而保障公安信息網絡應用服務系統的安全性。

1 系統業務分析及需求分析

1.1 系統業務分析

結合我國當前公安系統的信息網絡應用服務系統的整體構架來看，安全監測系統的業務結構以公安部為信息中心，連接16個省級公安機關信息中心，并在服務器前部署網絡流量安全監測系統。網絡安全監測系統以鏡像方式采集省廳信息中心的網絡流量信息，并實現對各應用服務平臺的監測，比如交管、情報、綜合查詢、出入境等應用服務系統。安全檢測系統主要布置在信息中心，提供異常行為報警、處置和信息發布功能。

整個安全監測系統以公安部信息中心為管理區域，以16個省廳信息中心為監測區域，由3個子系統構成，即網絡流量安全監測系統、集中監管系統和報警處置系統。安全監測系統通過幾個主要接口來實現統一管理，其中網絡流量安全監測系統提供級聯上報、策略統計、基礎指標繼承等接口，集中監管系統提供策略制定下發、遠程訪問、報警上報、報警采集等接口，報警處置系統提供報警采集接口。

1.2 系統功能需求

在本安全系統設計中，為實現系統的整體安全控制管理，采用B/S結構進行設計，且以業務流程為設計核心進行功能設計與開發。本系統由三個子系統構成，其中網絡流量安全監測子系統包括監管中心和系統管理兩個功能模塊，監管中心需實現系統監測、節點檢測、安全態勢分析和應用檢測等功能，系統管理則需實現系統狀態、系統工具、輸出接口配置、級聯上報、日志查詢等功能。網絡流量安全監測系統通過對各省廳信息中心流量信息的24小時不間斷檢測來評價設備運行狀況，一旦發現網絡異常，需及時記錄并報警。

集中監管子系統包含權限管理、授權訪問和報表管理功能模塊，實現對省廳網絡進行統一監測與管理。從功能模塊設計來看，需要實現用戶管理（包括添加、刪除、注冊、修改、角色等）、用戶查詢、授權訪問、設備統計、應用統計、報警統計、策略統計等功能。

報警處理子系統包含報警處置和統計分析兩個功能模塊，需要實現申請協助、申請核實、事件簽收、事件分發、事件處置、事件類型統計、事件狀態統計、考核統計等功能。

1.3 系統非功能需求

公安信息網絡應用服務安全監測系統設計中不僅需要對功能需求進行分析，而且還需對非功能需求進行分析。在系統的性能層面，保證系統運行的可靠性，支持分級權限管理，實現與公安PKI/PMI系統掛接。應用系統資源占用合理、能及時釋放內存用與新任務。系統本身要確保安全性，而且還要考慮到應用對象的特點，需具備易用性特征。此外，系統需要滿足漢字處理能力需求，以及數據批量導入/導出要求。

2 系統框架設計

2.1 系統設計思想

與傳統系統相比，在本系統設計中安全性是被高度關注的，因此針對信息安全而采用統一的認證、授權和審計，并且對必要的信息采用數字加密，對關鍵用戶采用數字證書認證其身份。為了保持安全的一致性，在傳統安全系統的基礎上，采用多層、松散的耦合方式來處理各子系統、各層次之間的邏輯關系，并且將子系統進一步劃分為遵循統一規則的集合，且考慮到各種數據入口的一致性，進而提升系統建設、維護和升級的便捷性。在系統安全保障方面，打破傳統系統的便準分散模式，而采用唯一尋列編號，實現端點驗證。此外，在設計思想上，要具有前瞻性，保障系統的可擴充性。

2.2 系統數據庫設計

根據安全監測系統的設計目的和要求，系統數據庫在傳統系統的基礎上，增加了流量統計表、流量節點表、角色表、新策略分類表等。優化設計后的ASM系統數據庫框架如下所示：

圖1 ASM數據庫框架

在ASM數據庫框架下共包含27類數據表，以其中的角色表為例實現實體對象映射介紹對象設計，角色表的描述內容包含唯一標識、角色名稱、角色級別、角色描述、用戶名、密碼、身份證號、用戶類型、城市以及信息處理權限（0表示只讀，1表示可修改）；又比如信息表的描述內容包含設備編號、設備名稱、ASM 版本、策略版本、網卡、網段、上報主機、單位名稱、聯系人、設備編號、聯系電話、所屬省市、備注等。

2.3 關鍵接口設計

從當前公安信息網絡系統的接口形式來看，各地之間存在標準不一的接口，給系統的整體安全保障和維護帶了難題，在本系統的設計中，關鍵接口具有易于改動和易于擴展的特性，而且接口之間相互隔離，保證系統整體的穩定性。在本系統中的諸多功能模塊均存在關鍵接口，比如外部數據導入接口、內部數據錄入接口、檢測環路網絡接口、級聯上報接口、策略下發接口等，本文以級聯上報接口為例進行設計介紹。

在本系統中，級聯上報接口共實現三項功能，即系統信息查詢（包含配置、運行、尚未上報的行為策略報警及所有策略），查詢出來的數據序列化為xml文件，并通過ftp上傳到制定服務器。級聯上報接口周期性地上報，其整個流程包含定時統計、文件上報、文件解析。

3 系統詳細設計與實現

在用戶登錄頁面，根據用戶權限，將用戶分為兩類，一是普通用戶，只需驗證用戶名與密碼，均正確匹配后即可登錄，另一是證書用戶，先對這類用戶進行用戶名和密碼的前端校驗，然后驗證有效證書登錄。用戶登錄校驗的流程為：開始→輸入用戶名與密碼→用戶名前端校驗（校驗成功）→密碼前端校驗（校驗成功）→數據庫校驗（校驗成功）→獲取資源列表（校驗成功）→進入系統首頁面→結束，當某一環節校驗失敗后將返回上一環節重新校驗。

在用戶登錄校檢結束之后，直接進入系統安全監測中心，根據權限實現對安全監測中心的操作控制。監測中心的主要實現方式包括：Jfreecbart實現頁面曲線圖的展現，S2SH實現功能的實現，在頁面配置設備的參數并發出請求保存到數據庫中，將監聽網卡配置好的信息請求修改在服務器中的文件中，之后重啟監聽服務。應用管理模塊則結合網絡流量安全監測系統上報來的各省廳應用信息進行匯總統計，并對信息進行反饋和處理。這些信息主要包含流量信息、應用報警信息、應用系統信息三類。

在優化設計的公安信息網應用服務安全監測系統運行過程中，能夠對整個公安信息網絡進行實時連續的信息采集，對數據流量實現24小時監測，通過對流量異常的分析與計算，及時報警并故障處理，這是相對傳統安全系統更為實用的一項功能。

[1]楊靖玲.公安信息資源共享服務管理平臺設計與實現[D].四川師范大學，2014.

[2]吳建國.公安信息網安全保障技術建設分析[J].云南警官學院學報，2012.

[3]周奕紅.大數據背景下地市級公安信息網安全對策思考[J].網絡安全技術與應用，2016.

[4]郭峰.公安專用網安全風險管理問題研究[D].吉林大學，2012.