利用異構轉接方案有效破解專網安全—以公安內網管理為例

◆王京智

利用異構轉接方案有效破解專網安全—以公安內網管理為例

◆王京智

（浙江省杭州市公安局蕭山區分局 浙江 311200）

本文以公安內網管理為例，針對公安網與非公安網之間容易“雙網”混插造成“一機兩用”違規外聯，存在信息泄露安全隱患的問題，探討利用異構轉接方案，研發防“雙網”混插網絡安全套件，有效解決專網安全問題，以較低經濟成本從結構上杜絕無意識“雙網”混插造成“一機兩用”違規外聯事件的發生，大力提升公安網網絡安全管理能力，確保公安網信息安全，解決網絡安全實際大問題。該解決方案可以拓展到軍網、銀行等其他專網，對于提升專網安全有重要參考價值。

專網；異構；轉接；安全；公安網

0 引言

在中國軍網、銀行、保密等領域的專網日常管理過程中，為確保專網信息安全，都會有專網物理隔離的要求，如何防止專網網絡終端設備的混插，杜絕信息泄露隱患，成為網絡管理過程中值得研究的課題。本文將以公安內網管理為例，針對公安網與非公安網之間容易“雙網”混插造成“一機兩用”違規外聯，存在信息泄露安全隱患的問題，探討利用異構轉接方案，研發防“雙網”混插網絡安全套件，有效解決專網安全問題，以較低經濟成本從結構上杜絕無意識“雙網”混插造成“一機兩用”違規外聯事件的發生，大力提升公安網網絡安全管理能力，確保公安網信息安全，解決網絡安全實際大問題。

1 研究背景

公安內網是公安系統內部的專用網絡，是鏈接全國所有公安部門、辦事窗口等并承載著公民戶籍以及車輛、場所等管理信息和管理系統的專用廣域網。《公安信息網安全管理規定》明確規定，“未經公安部批準，任何單位和個人不得建立公安信息網與其他網絡的連接，不得將公安信息網延伸到公安機關以外單位?！钡趯嶋H管理過程中，經常會發生公安內網專用電腦隨意鏈接至互聯網上（簡稱 “一機兩用”）從而發生違規外聯安全事件，造成信息泄露安全隱患。盡管“一機兩用”違規外聯事件屬公安部明令禁止的公安信息網安全事件之一，但各地卻屢禁不止，成為疑難雜癥。經統計，近兩年浙江省公安機關共發生66起違規外聯事件， 11個地市公安機關無一幸免，給工作帶來很大被動。究其主要原因有兩種，一是互聯網網線接入公安網電腦等IP設備；二是把公安信息網網線接入互聯網電腦等IP設備。

分析其原因，一是安全意識不高，對違規外聯認識不清。大部分違規者不明白什么情況屬于違規外聯，或在操作網絡時，疏忽大意；二是公安網絡環境復雜，客觀的隱患沒有杜絕。以浙江杭州蕭山分局為例，現有電腦、服務器、交換機等網絡設備3500余臺，公安網、政務網、互聯網、視頻專網、辦公樓局域網等多種網絡并存。由于網絡設備使用量大、使用頻率高，僅靠人為督促、提醒，要杜絕 “一機兩用”違規外聯行為發生，根本不可能；三是管理教育效果不佳。公安部于2005年4月頒布的《公安機關人民警察使用公安信息網違規行為行政處分暫行規定》第四條規定：違反“一機兩用”規定，給予通報批評或者警告處分；造成嚴重后果的，給予記過以上處分?！逗贾菔泄矙C關民警日常違規行為記分辦法》也有明確規定：造成“一機兩用”的，記8分。這些規定能100%覆蓋全警，但很難從根本上杜絕民輔警、維護單位因主觀上疏忽大意導致的違規事件發生。

因此，筆者大膽創新，從改善網線、設備兩端著手，通過改善客觀條件，尋求對策、方法，經過近兩年的探索研究，逐步形成以異構轉接方式有效破解專網安全的思路。

2 技術解決思路

簡單地講，利用異構轉接方案的核心思路就是：針對公安網與非公安網之間容易“雙網”混插造成“一機兩用”違規外聯的問題，通過改變原有傳統水晶頭前探頭長度和主體兩側寬度，增加轉換套接件陰槽兩側對應卡位，截短套接件水晶頭彈片長度并增加彈片硬度，從而實現公安網專用水晶頭無法插入到非公安網接口、非公安網水晶頭也無法插入到公安網專用接口上，同時防“雙網”混插安全套件（即：異構轉接件）一旦接入到標準接口便無法拔出（除非利用專用拆卸工具）等目的，從而以較低經濟成本從結構上杜絕由于無意識“雙網”混插造成“一機兩用”違規外聯安全事件的發生。

該解決方案中所涉及的研究成果從創意設想到圖紙設計、模具制作以及樣品測試，筆者團隊始終以“咬定青山不放松，任爾東西南北風”的信念，緊密協作、攻堅克難，歷時近一年時間，于2017年11月底終于成功開始第一批量產，2018年不斷改進完善，產品進入成熟應用階段。整套產品主要包括專用套接件、專用水晶頭和專用拆卸工具等，另外根據一年多試點經驗和完善，又新增了一種用于服務器、機房等專用水晶頭和防止手機亂插等行為的USB封堵配件。產品設計圖以及實際連接效果圖如圖1、圖2所示。

圖1 產品設計圖

圖2 產品實際連接效果圖

在利用異構轉接方案的創新研發前期，筆者認真分析研究了目前國內幾個同類創新產品的特點，發現河北唐山和貴州凱里均有民警創新研發過《公安網專用插頭》等類似產品，但都是僅僅依靠改變線序解決了一定的安全問題，卻存在套件可以隨意拔插的致命弱點，使得違規外聯安全隱患依然存在。筆者研發的防“雙網”混插網絡安全套件較好地解決了以上問題，具有不能隨意拔出、不能互相插入、獨立知識產權、緊扣實際需求、經濟成本較低等優點，從根本上解決了違規外聯安全問題。

3 實際應用成效

按照異構轉接思路創新設計的產品《防“雙網”混插網絡安全套件》目前已經實現浙江杭州蕭山分局全面安裝使用、杭州市局現場會召開并推薦全市公安使用、省廳下屬部門、全國個別地區部分使用。浙江省公安廳在項目評審時，更是給出了較高的評價：“該成果為基層民警小發明創造，符合國家相關政策,擁有自主知識產權，可靠度高，以較低的成本解決了因失誤造成的‘一機兩用’違規外聯問題。”2018年6月成果入選公安部《2018 年公安科技成果試用推薦目錄》，并在浙江溫州、廣西百色、江西南昌和陜西寶雞等四個地市級公安機關進行試用。從各地試用情況看，所有安裝《防“雙網”混插網絡安全套件》開展試用的計算機，均未發生“一機兩用”違規外聯事件，的確從結構上防止了“一機兩用”違規外聯事件的發生，完全實現了以較低的經濟成本從結構上杜絕無意識亂插網線造成違規外聯事件的發生。

4 應用推廣前景

利用異構轉接方案創新設計的產品《防“雙網”混插網絡安全套件》在全國公安系統具有較強的推廣應用前景，主要理由如下：

第一具有普遍性。該成果所解決的公安網管理過程中“雙網”混插造成“一機兩用”違規外聯問題具有普遍性，全國所有公安網電腦都需要防止違規外聯事件的發生。該成果的普遍推廣使用，將以較低經濟成本從結構上杜絕無意識“雙網”混插造成“一機兩用”違規外聯事件的發生，提升公安網網絡安全管理能力，確保公安網信息安全，解決網絡安全實際大問題。

第二推廣成本小。該成果沒有其他過多的輔助條件，完全兼容原有制作網線的工具鉗，除初次新建量產模具一次性需要投入部分費用，后期水晶頭相應增加了一個一體式的套接件，成本也不高。在成本增加不多的情況下，可以消除安全隱患、提升網絡管理能力，具有極大的推廣前景。

第三實用效果好。該成果推廣應用后，可以從結構上杜絕無意識“雙網”混插造成“一機兩用”違規外聯事件的發生。從目前全國各地試用情況看，使用《防“雙網”混插網絡安全套件》后的公安網電腦，均未發生“一機兩用”違規外聯事件，保護效果非常明顯。

該成果是針對全國公安行業普遍存在的內網網絡管理中“一機兩用”違規外聯現象而研發的專用水晶頭和套接件，其著眼點雖小，卻是實現警力無增長改善的成功實踐，在全國所有公安網電腦均可普遍使用，實現公安網專用水晶頭不能插入到普通網絡接口、普通網線水晶頭又不能插入到公安網專用套接件上、專用套接件一旦插入到標準版接口便無法拔出的目的，從技術上減少“一機兩用”違規事件的發生，提升了公安網網絡管理能力，以較低經濟成本解決實際大問題，確保公安網網絡安全，具有極大的推廣前景。同時該異構轉接方案還可以延伸拓展到中國軍網、銀行、保密網等其他專用網絡，通過調整異構轉接部分的卡位尺寸和位置，可以研發出屬于不同行業專用網絡的特定防“雙網”混插網絡安全套件，有效破解專網安全隱患，提升網絡安全管理能力。

[1]葛燕,趙陽.關于網絡安全技術與公安網絡系統安全的探究[J].網絡安全技術與應用，2017(05).

[2]汪洋,李妍.網絡安全技術與公安網絡系統安全研究[J]. 中國高新技術企業，2016(31).

[3]羅江洲.加強軍隊網絡信息安全的措施探究[J].信息系統工程，2018(11).

[4]燕娜,張云倩,郭建偉,陳佳宇.我國網絡信息安全領域的軍民融合發展路徑[J].創新科技，2018(04).

[5]張永東.大數據背景下企業網絡信息安全技術體系研究[J].計算機產品與流通，2018(06).