曾　旋

[摘要]對(duì)公安高校網(wǎng)的技術(shù)策略進(jìn)行研究，確地選擇多級(jí)分布式檢測(cè)模型作為公安高校網(wǎng)的一種內(nèi)網(wǎng)外聯(lián)監(jiān)控模型。根據(jù)該模型的設(shè)計(jì)，可以很好的實(shí)現(xiàn)對(duì)公安高校網(wǎng)中的內(nèi)網(wǎng)外聯(lián)情況進(jìn)行監(jiān)控。

[關(guān)鍵詞]公安高校網(wǎng) 網(wǎng)絡(luò)安全 對(duì)策

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597（2009）0420046－01

一、引言

公安內(nèi)部網(wǎng)，簡稱公安網(wǎng)，采用了Internet的組網(wǎng)技術(shù)和應(yīng)用技術(shù)，也同樣存在著當(dāng)今互聯(lián)網(wǎng)絡(luò)共通的安全問題。公安網(wǎng)絡(luò)和信息安全保障體系是實(shí)現(xiàn)公安工作信息共享、快速反應(yīng)和高效運(yùn)行的重要保證。安全保障體系首先要保證網(wǎng)絡(luò)的安全、可靠運(yùn)行，在此基礎(chǔ)上保證應(yīng)用系統(tǒng)和業(yè)務(wù)的保密性、完整性和高度的可用性，同時(shí)為將來的應(yīng)用提供可擴(kuò)展的空間。公安大學(xué)作為集公安部門教學(xué)、培訓(xùn)和科研于一體的高等院校，又有著不同于一般公安網(wǎng)絡(luò)的特殊安全需求。本文將基于此對(duì)公安高校網(wǎng)的安全對(duì)策問題進(jìn)行研究。

二、公安高校網(wǎng)的安全策略

保障網(wǎng)絡(luò)安全，關(guān)鍵要靠人、技術(shù)、管理三者的有機(jī)結(jié)合。公安高校網(wǎng)的安全策略應(yīng)該由安全標(biāo)準(zhǔn)、管理制度、安全技術(shù)三部分組成。本文主要研究網(wǎng)絡(luò)安全技術(shù)，如防火墻、網(wǎng)絡(luò)防病毒、PKFPMI身份認(rèn)證、物理隔離、加密VPN子網(wǎng)等，在公安高校網(wǎng)中的部署。

（一）防火墻

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件（包括計(jì)算機(jī)和路由器）的組合。它執(zhí)行預(yù)先制定訪問控制策略（允許、拒絕、監(jiān)測(cè)），決定網(wǎng)絡(luò)外部（含外地區(qū)、外部門或外單位的網(wǎng)絡(luò)）與網(wǎng)絡(luò)內(nèi)部（指局域網(wǎng)或內(nèi)部網(wǎng)范圍內(nèi)）的訪問方式。在網(wǎng)絡(luò)中，防火墻實(shí)際是一種隔離技術(shù)，它所執(zhí)行的隔離措施包括：（1）拒絕未經(jīng)授權(quán)的用戶訪問內(nèi)部網(wǎng)和存取敏感數(shù)據(jù)；（2）允許合法用戶不受妨礙地訪問網(wǎng)絡(luò)資源。常見的網(wǎng)絡(luò)防火墻部署如圖1所示：

（二）網(wǎng)絡(luò)防病毒

計(jì)算機(jī)病毒，特別是它借助信息網(wǎng)絡(luò)快速地傳播和破壞，已成為當(dāng)今社會(huì)的一大公害。比如，2003年春季，Nimda病毒在公安內(nèi)部網(wǎng)上大規(guī)模蔓延和爆發(fā)，給公安工作造成很大的影響。正確運(yùn)用網(wǎng)絡(luò)防病毒技術(shù)和策略，可把損失降到最低程度。

病毒防治的主要策略有：局域網(wǎng)預(yù)防；安裝正版的、最好是國產(chǎn)的網(wǎng)絡(luò)版防病毒軟件；在網(wǎng)絡(luò)上運(yùn)行一個(gè)新軟件之前，斷開網(wǎng)絡(luò)，在單獨(dú)的計(jì)算機(jī)上運(yùn)行測(cè)試，如果確認(rèn)沒有病毒，再到網(wǎng)絡(luò)上運(yùn)行；周期性備份工作文件；建立健全網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程。

集中式管理是網(wǎng)絡(luò)病毒防護(hù)最可靠、最經(jīng)濟(jì)的方法。多層次防御病毒軟件把病毒檢測(cè)、多層數(shù)據(jù)保護(hù)和集中式管理的功能集成在同一產(chǎn)品內(nèi)，因而極大地減輕了反病毒管理的負(fù)擔(dān)，而且提供了全面的病毒防治功能。

（三）PKI/PMI身份認(rèn)證

PKI（Public Key Infrastructure）/PMI（Privilege Management Infrastructure）身份認(rèn)證和訪問控制技術(shù)，在單點(diǎn)登錄、全網(wǎng)漫游，訪問控制，電子政務(wù)，無紙辦公以及身份鑒別和授權(quán)等方面都有廣泛的應(yīng)用。PKI即公開密鑰基礎(chǔ)設(shè)施，是一個(gè)包括硬件、軟件、人員、策略和規(guī)程的集合，用來實(shí)現(xiàn)基于公鑰密碼體制密鑰和證書的產(chǎn)生、管理、存儲(chǔ)、分發(fā)和撤銷等功能。PMI即權(quán)限管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施，是屬性證書（AC）、屬性權(quán)威（AA）、屬性證書庫等部件的集合體。

（四）物理隔離

“物理隔離”是指內(nèi)部網(wǎng)不直接通過有線或無線等任何手段連接到公共網(wǎng)，從而使內(nèi)部網(wǎng)絡(luò)和外部公共網(wǎng)絡(luò)在物理上處于隔離狀態(tài)的一種物理安全技術(shù)。從這個(gè)概念上看，物理隔離是保證網(wǎng)絡(luò)物理安全的一個(gè)有效手段，即保護(hù)路由器、工作站、各種網(wǎng)絡(luò)服務(wù)器等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線竊聽攻擊；只有使內(nèi)部網(wǎng)和公共網(wǎng)“物理隔離”，才能真正保證內(nèi)部信息網(wǎng)絡(luò)不受來自互聯(lián)網(wǎng)的黑客攻擊。此外，“物理隔離”也為內(nèi)部網(wǎng)劃定了明確的安全邊界，使得網(wǎng)絡(luò)的可控性增強(qiáng)，便于管理。

物理隔離可以有效地解決數(shù)據(jù)隔離和計(jì)算機(jī)終端的網(wǎng)絡(luò)隔離問題。物理隔離產(chǎn)品在建好兩個(gè)網(wǎng)絡(luò)的前提下，使一臺(tái)計(jì)算機(jī)能連接兩個(gè)網(wǎng)絡(luò)，并且在同一時(shí)間上，用戶在裝有物理隔離產(chǎn)品的計(jì)算機(jī)中只能使用其中的一個(gè)網(wǎng)絡(luò)系統(tǒng)。物理隔離實(shí)現(xiàn)主要分為物理隔離卡和安全隔離網(wǎng)閘。

（五）加密VPN子網(wǎng)

涉密子網(wǎng)是內(nèi)部虛擬專網(wǎng)（Intranet VPN），它利用公安高校網(wǎng)的線路保證網(wǎng)絡(luò)的互連性，融合了隧道技術(shù)、密碼技術(shù)、身份認(rèn)證技術(shù)、存取控制技術(shù)等。Intranet VPN擁有與專用網(wǎng)絡(luò)相同的安全、服務(wù)質(zhì)量（QoS）、可管理性和可靠性。公安機(jī)關(guān)部門涉密子網(wǎng)的構(gòu)建應(yīng)該基于IPSec的VPN技術(shù)?；贗PSec的加密VPN子網(wǎng)，它的側(cè)重點(diǎn)在于安全保密，還有以下優(yōu)點(diǎn)：一是成本低。二是易于擴(kuò)展。三是保證安全。

三、公安高校網(wǎng)內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)設(shè)計(jì)

內(nèi)網(wǎng)外聯(lián)屬于“一機(jī)兩用”行為，是指公安機(jī)關(guān)使用的計(jì)算機(jī)及網(wǎng)絡(luò)設(shè)備同時(shí)連接公安信息網(wǎng)和國際互聯(lián)網(wǎng)等其它外部網(wǎng)絡(luò)，也包括斷開公安信息網(wǎng)后接入國際互聯(lián)網(wǎng)或外部網(wǎng)絡(luò)。內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)主要是及時(shí)發(fā)現(xiàn)、及時(shí)阻止這種“一機(jī)兩用”的違規(guī)行為，盡可能地減少公安內(nèi)部網(wǎng)的安全隱患。系統(tǒng)在滿足內(nèi)網(wǎng)外聯(lián)監(jiān)控的基礎(chǔ)上，附帶一些實(shí)用的設(shè)備管理和統(tǒng)計(jì)功能。

（一）技術(shù)路線及方法

通過將網(wǎng)卡設(shè)置為混雜模式，可以利用以太網(wǎng)載波偵聽與多路訪問/控制的特點(diǎn)，在內(nèi)網(wǎng)的任意一個(gè)節(jié)點(diǎn)采用Ping掃描、ICMP掃描、UDP掃描等探測(cè)技術(shù)能夠獲取其它節(jié)點(diǎn)的信息，從而完成整個(gè)共享式以太網(wǎng)的監(jiān)測(cè)。而在交換型網(wǎng)絡(luò)中，交換設(shè)備限制了各種掃描所能達(dá)到范圍，通過對(duì)交換機(jī)監(jiān)控端口的接入獲取與所有端口的通信權(quán)限，解決交換網(wǎng)絡(luò)中網(wǎng)絡(luò)監(jiān)測(cè)范圍受限的問題。針對(duì)子網(wǎng)內(nèi)的探測(cè)，采用ICMP探測(cè)技術(shù)、TCP掃描技術(shù)、UDP探測(cè)、Trace route探測(cè)可以完成內(nèi)網(wǎng)拓?fù)涮綔y(cè)和在線主機(jī)信息采集。這些從技術(shù)上保證了內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)實(shí)現(xiàn)的可行性。

（二）內(nèi)網(wǎng)外聯(lián)監(jiān)控模型設(shè)計(jì)

內(nèi)網(wǎng)外聯(lián)監(jiān)控系統(tǒng)采用改進(jìn)的多級(jí)分布式違規(guī)外聯(lián)監(jiān)控模型，如圖2所。

該模型包括四部分，探測(cè)端、偵聽端、外聯(lián)探測(cè)服務(wù)器、隔離器。偵聽端，負(fù)責(zé)連接互聯(lián)網(wǎng)以及收集回送外聯(lián)探測(cè)包；探測(cè)端，從外聯(lián)探測(cè)服務(wù)中獨(dú)立出來，實(shí)現(xiàn)子網(wǎng)內(nèi)違規(guī)探側(cè)，以及子網(wǎng)內(nèi)的探測(cè)參數(shù)配置管理、違規(guī)外聯(lián)阻斷邏輯；外聯(lián)探測(cè)服務(wù)器，負(fù)責(zé)內(nèi)部網(wǎng)絡(luò)整體的探測(cè)參數(shù)配置管理、違規(guī)外聯(lián)阻斷邏輯以及探測(cè)區(qū)域劃分管理，外聯(lián)服務(wù)器對(duì)于內(nèi)部網(wǎng)絡(luò)整體探測(cè)的管理體現(xiàn)在對(duì)各自網(wǎng)探測(cè)端的管理及控制中，通過配置及命令實(shí)現(xiàn)；隔離器，保證該監(jiān)控系統(tǒng)在內(nèi)網(wǎng)部分和在外網(wǎng)的部分之間保持網(wǎng)絡(luò)隔離和數(shù)據(jù)隔離。

四、結(jié)束語

本文對(duì)公安高校網(wǎng)的技術(shù)策略進(jìn)行研究，基于研究內(nèi)容，明確地選擇多級(jí)分布式檢測(cè)模型作為公安高校網(wǎng)的一種內(nèi)網(wǎng)外聯(lián)監(jiān)控模型。根據(jù)該模型的設(shè)計(jì)，可以很好的實(shí)現(xiàn)對(duì)公安高校網(wǎng)中的內(nèi)網(wǎng)外聯(lián)情況進(jìn)行監(jiān)控。

參考文獻(xiàn)：

[1]潘明惠著，信息化工程原理與應(yīng)用，北京：清華大學(xué)出版社，2004.

[2]謝毅平土編，公安信息通信技術(shù)教程（下冊(cè)），北京：中國人民公安大學(xué)出版社，2001.

[3]楊富國土編，網(wǎng)絡(luò)設(shè)備安全與防火墻，北京：清華人學(xué)北京交大版，2005.

[4]萬國平編，網(wǎng)絡(luò)隔離與網(wǎng)閘，北京：機(jī)械工業(yè)出版社，2004.

[5]熊華等編，網(wǎng)絡(luò)安全一取證與密罐，北京：郵電出版社，2003.