公安系统“一机多网”安全行为防范

近年来，信息技术的飞速发展让人们获取、交流和处理信息的手段发生变化，信息化进程的推进也为公安系统开展工作带来新的挑战。为应对新形势下对公安执法提出的新要求，国家提出了以“公安信息化工作”为核心，以“科技强警”为目标的国家公安信息化工程——“金盾工程”。该工程自1998年开启立项以来，我国公安信息化建设获得突破性进展，特别是全局应用系统框架的部署和实施，使得各公安系统网络信息系统发生了重大变化，通信速度更高效、业务的信息化程度更深入、应用与业务结合的更紧密、基层应用更为普及，极大提升了公安系统机关维稳处突、便民服务的工作水平，但不容忽视的是，对公安网络安全可靠运行提出了更高的要求。针对公安系统在网络安全方面存在的问题，国内领先的内网安全解决方案提供商明朝万达公司历经多年研发推出了Chinasec可信网络安全平台，为“金盾工程”的精细建设提供更完整的安全技术保障。

背景概述：

毫无疑问，公安系统的信息化在促进公安系统各项工作顺利开展、提高工作效率的同时，因其网络应用扩大导致安全风险也变得更为严重。由于公安系统重要业务系统都处于涉密网络，其内部网络承载的数据非常重要，安全保密性要求非常高，所以各地公安系统网络除了与公安专网连接之外，与其它网络的连接将被严格禁止，按照保密要求，必须达到物理隔离。然而从实际运营情况分析，各地分局普遍存在私自通过ADSL、无线等方式接入互联网或者其他网络的情况，此种方式在公安系统内称为“一机多网”行为。“一机多网”现象的存在，为公安系统保密工作带来了很大隐患，也引起公安部和各省厅从技术到管理角度采取了系列措施以有效规避类似行为发生。

物理断开造成了应用与数据的脱节，影响了公安系统的工作效率；“一机多网”则让公安系统信息网络面临着严重的泄密威胁。无论是公安部信息化建设的主管，还是致力于网络安全防护的厂商都意识到，物理断开、杜绝“一机多网”只是一种手段，保护公安系统涉密网络的安全才是最终目的。作为致力于内网安全管理的安全厂商，明朝万达公司组织科研团队、依托Chinasec可信网络安全平台，面向公安系统提出了完善的内网安全解决方案。

存在问题：

明朝万达科技人员在对公安信息网络进行综合评估分析之后发现，目前各地公安局在公安专网的安全性上还存在着多方面的问题：

（1）全网安全系统建设没有整体规划，无法形成符合公安系统网络和应用系统现状 的全局网络安全体系架构；

（2）安全系统建设思路还比较陈旧，网络安全防预停留在部门防预的层面上，网络核心资源得不到有效保护；

（3）还缺乏网络准入控制、终端安全防御、用户行为审计等技术措施，对网络安全事件的源头无法全面控制；

（4）对公安系统骨干网络的安全审计检测不全面，无法全程监控安全事件传播轨迹；

（5）还存在安全孤岛问题，未对公安系统各单位的网络安全设备产生的运行日志和安全报警信息实现前面采集和整合，无法及时、准确的掌控全网安全情况；

（6）未形成一套有效的网络安全管理机制，安全管理与网络管理、应用管理脱节，未形成功能互补、流程清晰、职责明确的运维管理工作局面。

Chinasec的解决方案

针对公安系统网络应用及网络安全存在的问题，明朝万达整体一致内网安全解决方案依托Chinasec可信网络安全平台，同时提供数据保密、身份认证、授权管理、终端安全管理和监控审计，形成一个完整互动的内网安全策略。

安装了Chinasec软件的计算机终端发出的所有数据包均进行了加密处理。加密在网络层进行，IP头以下的数据均被加密，非IP数据包受到禁止（ARP包除外）。Chinasec软件目前版本软件采用AES加密算法进行网络加密，密钥256位，密钥由服务器统一生成和下发，每小时更换一次。同时，同一安全域（VCN）内的计算机采用相同的加密密钥，两两通讯时接受方能够自动识别发送方的数据包并解密。加密密钥不用协商，而是由服务器自动生成并下发，由于服务器和客户端之间的通道已经加过密了，所以这个密钥下发过程是安全的。不同安全域密钥不同，无法通讯。安全域外的计算机不能识别安全域内计算机发出的数据包，无法进行通讯，从根本上杜绝了非法外连和非法接入。

除此之外，适用于公安系统的Chinasec可信网络安全平台可根据各地公安系统自身安全体系建设的需要规划增加基于数字证书的统一计算机登陆授权管理体系、基于数字证书的个人保密磁盘、移动存储介质管理、中断监控管理系统以及内网安全域划分等扩展性应用，从根本上解决了公安系统网络在网络安全、访问安全、应用安全、内容安全和案例安全方面存在的系列问题。

案例实施

2007年底，北京公安局A分局为了杜绝“一机多网”行为的发生，维护公安系统信息安全、可靠的运行，公开招标寻求最佳的内网安全解决方案。经过严格的产品测试和多次甄选，明朝万达公司凭借Chinasec可信网络安全平台从众多同行中脱颖而出，成功与北京市公安局A分局签署并部署实施。一期终端点数约为2000点；在A公安局的内网安全项目中，最重要的就是实现对“一机多网”行为的控制，很好的保障A公安局内终端的违法外联行为，其他还结合了Chinasec可信网络安全平台中的保密系统中的移动存储介质管理、监控系统中行为监控和相关操作审计等功能来完善了局内终端的安全。

方案特点：

上述的方案具有以下特点：

1、完全基于明朝万达Chinasec可信网络安全平台实现，上述的所有功能可以实现一个平台的统一管理和策略联动，管理方便简单；

2、完全兼容现有的公安数字证书，是数字证书应用的有力扩展，提高了数字证书的利用率，并实现了用户标识的统一管理；

3、系统具备大用户数管理模式支持，可以实现负载均衡、热备和多级管理模式等；

4、支持多级管理机制，可以在实现公安系统所有计算机集中管理的前提下，结合实际管理需要，部分安全策略进行逐级授权管理，实现统一和效率的有机结合；

5、方案基于Chinasec（安元）可信网络安全平台，具有高度的模块化和扩展性，可以根据公安系统发展的需要，在同一个平台上进行打印监控审计等功能的扩展，大大提高公安系统内网安全管理的统一性和效率。

效益分析

该内网安全项目建成后，将具有以下效益：

1、解决公安系统信息化办公中的主要安全隐患。主要包括计算机使用管理、设备丢失导致的数据泄密、非法外联等违规行为导致的数据泄密和安全隐患、移动存储介质滥用导致的病毒感染或者数据泄密。

2、使公安系统在信息安全建设中走在全国领先地位。该内网安全项目的建成，特别是基于用户数字证书功能的扩展，是1203工程的有力延伸，进一步体现和加强了1203工程的价值，将使公安系统在信息安全保密和信息安全管理方面成为公安系统的典范和先进。