近年來，信息技術(shù)的飛速發(fā)展讓人們獲取、交流和處理信息的手段發(fā)生變化，信息化進(jìn)程的推進(jìn)也為公安系統(tǒng)開展工作帶來新的挑戰(zhàn)。為應(yīng)對(duì)新形勢(shì)下對(duì)公安執(zhí)法提出的新要求，國(guó)家提出了以“公安信息化工作”為核心，以“科技強(qiáng)警”為目標(biāo)的國(guó)家公安信息化工程——“金盾工程”。該工程自1998年開啟立項(xiàng)以來，我國(guó)公安信息化建設(shè)獲得突破性進(jìn)展，特別是全局應(yīng)用系統(tǒng)框架的部署和實(shí)施，使得各公安系統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)發(fā)生了重大變化，通信速度更高效、業(yè)務(wù)的信息化程度更深入、應(yīng)用與業(yè)務(wù)結(jié)合的更緊密、基層應(yīng)用更為普及，極大提升了公安系統(tǒng)機(jī)關(guān)維穩(wěn)處突、便民服務(wù)的工作水平，但不容忽視的是，對(duì)公安網(wǎng)絡(luò)安全可靠運(yùn)行提出了更高的要求。針對(duì)公安系統(tǒng)在網(wǎng)絡(luò)安全方面存在的問題，國(guó)內(nèi)領(lǐng)先的內(nèi)網(wǎng)安全解決方案提供商明朝萬達(dá)公司歷經(jīng)多年研發(fā)推出了Chinasec可信網(wǎng)絡(luò)安全平臺(tái)，為“金盾工程”的精細(xì)建設(shè)提供更完整的安全技術(shù)保障。

背景概述：

毫無疑問，公安系統(tǒng)的信息化在促進(jìn)公安系統(tǒng)各項(xiàng)工作順利開展、提高工作效率的同時(shí)，因其網(wǎng)絡(luò)應(yīng)用擴(kuò)大導(dǎo)致安全風(fēng)險(xiǎn)也變得更為嚴(yán)重。由于公安系統(tǒng)重要業(yè)務(wù)系統(tǒng)都處于涉密網(wǎng)絡(luò)，其內(nèi)部網(wǎng)絡(luò)承載的數(shù)據(jù)非常重要，安全保密性要求非常高，所以各地公安系統(tǒng)網(wǎng)絡(luò)除了與公安專網(wǎng)連接之外，與其它網(wǎng)絡(luò)的連接將被嚴(yán)格禁止，按照保密要求，必須達(dá)到物理隔離。然而從實(shí)際運(yùn)營(yíng)情況分析，各地分局普遍存在私自通過ADSL、無線等方式接入互聯(lián)網(wǎng)或者其他網(wǎng)絡(luò)的情況，此種方式在公安系統(tǒng)內(nèi)稱為“一機(jī)多網(wǎng)”行為。“一機(jī)多網(wǎng)”現(xiàn)象的存在，為公安系統(tǒng)保密工作帶來了很大隱患，也引起公安部和各省廳從技術(shù)到管理角度采取了系列措施以有效規(guī)避類似行為發(fā)生。

物理斷開造成了應(yīng)用與數(shù)據(jù)的脫節(jié)，影響了公安系統(tǒng)的工作效率；“一機(jī)多網(wǎng)”則讓公安系統(tǒng)信息網(wǎng)絡(luò)面臨著嚴(yán)重的泄密威脅。無論是公安部信息化建設(shè)的主管，還是致力于網(wǎng)絡(luò)安全防護(hù)的廠商都意識(shí)到，物理斷開、杜絕“一機(jī)多網(wǎng)”只是一種手段，保護(hù)公安系統(tǒng)涉密網(wǎng)絡(luò)的安全才是最終目的。作為致力于內(nèi)網(wǎng)安全管理的安全廠商，明朝萬達(dá)公司組織科研團(tuán)隊(duì)、依托Chinasec可信網(wǎng)絡(luò)安全平臺(tái)，面向公安系統(tǒng)提出了完善的內(nèi)網(wǎng)安全解決方案。

存在問題：

明朝萬達(dá)科技人員在對(duì)公安信息網(wǎng)絡(luò)進(jìn)行綜合評(píng)估分析之后發(fā)現(xiàn)，目前各地公安局在公安專網(wǎng)的安全性上還存在著多方面的問題：

（1）全網(wǎng)安全系統(tǒng)建設(shè)沒有整體規(guī)劃，無法形成符合公安系統(tǒng)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)現(xiàn)狀 的全局網(wǎng)絡(luò)安全體系架構(gòu)；

（2）安全系統(tǒng)建設(shè)思路還比較陳舊，網(wǎng)絡(luò)安全防預(yù)停留在部門防預(yù)的層面上，網(wǎng)絡(luò)核心資源得不到有效保護(hù)；

（3）還缺乏網(wǎng)絡(luò)準(zhǔn)入控制、終端安全防御、用戶行為審計(jì)等技術(shù)措施，對(duì)網(wǎng)絡(luò)安全事件的源頭無法全面控制；

（4）對(duì)公安系統(tǒng)骨干網(wǎng)絡(luò)的安全審計(jì)檢測(cè)不全面，無法全程監(jiān)控安全事件傳播軌跡；

（5）還存在安全孤島問題，未對(duì)公安系統(tǒng)各單位的網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的運(yùn)行日志和安全報(bào)警信息實(shí)現(xiàn)前面采集和整合，無法及時(shí)、準(zhǔn)確的掌控全網(wǎng)安全情況；

（6）未形成一套有效的網(wǎng)絡(luò)安全管理機(jī)制，安全管理與網(wǎng)絡(luò)管理、應(yīng)用管理脫節(jié)，未形成功能互補(bǔ)、流程清晰、職責(zé)明確的運(yùn)維管理工作局面。

Chinasec的解決方案

針對(duì)公安系統(tǒng)網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)安全存在的問題，明朝萬達(dá)整體一致內(nèi)網(wǎng)安全解決方案依托Chinasec可信網(wǎng)絡(luò)安全平臺(tái)，同時(shí)提供數(shù)據(jù)保密、身份認(rèn)證、授權(quán)管理、終端安全管理和監(jiān)控審計(jì)，形成一個(gè)完整互動(dòng)的內(nèi)網(wǎng)安全策略。

安裝了Chinasec軟件的計(jì)算機(jī)終端發(fā)出的所有數(shù)據(jù)包均進(jìn)行了加密處理。加密在網(wǎng)絡(luò)層進(jìn)行，IP頭以下的數(shù)據(jù)均被加密，非IP數(shù)據(jù)包受到禁止（ARP包除外）。Chinasec軟件目前版本軟件采用AES加密算法進(jìn)行網(wǎng)絡(luò)加密，密鑰256位，密鑰由服務(wù)器統(tǒng)一生成和下發(fā)，每小時(shí)更換一次。同時(shí)，同一安全域（VCN）內(nèi)的計(jì)算機(jī)采用相同的加密密鑰，兩兩通訊時(shí)接受方能夠自動(dòng)識(shí)別發(fā)送方的數(shù)據(jù)包并解密。加密密鑰不用協(xié)商，而是由服務(wù)器自動(dòng)生成并下發(fā)，由于服務(wù)器和客戶端之間的通道已經(jīng)加過密了，所以這個(gè)密鑰下發(fā)過程是安全的。不同安全域密鑰不同，無法通訊。安全域外的計(jì)算機(jī)不能識(shí)別安全域內(nèi)計(jì)算機(jī)發(fā)出的數(shù)據(jù)包，無法進(jìn)行通訊，從根本上杜絕了非法外連和非法接入。

除此之外，適用于公安系統(tǒng)的Chinasec可信網(wǎng)絡(luò)安全平臺(tái)可根據(jù)各地公安系統(tǒng)自身安全體系建設(shè)的需要規(guī)劃增加基于數(shù)字證書的統(tǒng)一計(jì)算機(jī)登陸授權(quán)管理體系、基于數(shù)字證書的個(gè)人保密磁盤、移動(dòng)存儲(chǔ)介質(zhì)管理、中斷監(jiān)控管理系統(tǒng)以及內(nèi)網(wǎng)安全域劃分等擴(kuò)展性應(yīng)用，從根本上解決了公安系統(tǒng)網(wǎng)絡(luò)在網(wǎng)絡(luò)安全、訪問安全、應(yīng)用安全、內(nèi)容安全和案例安全方面存在的系列問題。

案例實(shí)施

2007年底，北京公安局A分局為了杜絕“一機(jī)多網(wǎng)”行為的發(fā)生，維護(hù)公安系統(tǒng)信息安全、可靠的運(yùn)行，公開招標(biāo)尋求最佳的內(nèi)網(wǎng)安全解決方案。經(jīng)過嚴(yán)格的產(chǎn)品測(cè)試和多次甄選，明朝萬達(dá)公司憑借Chinasec可信網(wǎng)絡(luò)安全平臺(tái)從眾多同行中脫穎而出，成功與北京市公安局A分局簽署并部署實(shí)施。一期終端點(diǎn)數(shù)約為2000點(diǎn)；在A公安局的內(nèi)網(wǎng)安全項(xiàng)目中，最重要的就是實(shí)現(xiàn)對(duì)“一機(jī)多網(wǎng)”行為的控制，很好的保障A公安局內(nèi)終端的違法外聯(lián)行為，其他還結(jié)合了Chinasec可信網(wǎng)絡(luò)安全平臺(tái)中的保密系統(tǒng)中的移動(dòng)存儲(chǔ)介質(zhì)管理、監(jiān)控系統(tǒng)中行為監(jiān)控和相關(guān)操作審計(jì)等功能來完善了局內(nèi)終端的安全。

方案特點(diǎn)：

上述的方案具有以下特點(diǎn)：

1、完全基于明朝萬達(dá)Chinasec可信網(wǎng)絡(luò)安全平臺(tái)實(shí)現(xiàn)，上述的所有功能可以實(shí)現(xiàn)一個(gè)平臺(tái)的統(tǒng)一管理和策略聯(lián)動(dòng)，管理方便簡(jiǎn)單；

2、完全兼容現(xiàn)有的公安數(shù)字證書，是數(shù)字證書應(yīng)用的有力擴(kuò)展，提高了數(shù)字證書的利用率，并實(shí)現(xiàn)了用戶標(biāo)識(shí)的統(tǒng)一管理；

3、系統(tǒng)具備大用戶數(shù)管理模式支持，可以實(shí)現(xiàn)負(fù)載均衡、熱備和多級(jí)管理模式等；

4、支持多級(jí)管理機(jī)制，可以在實(shí)現(xiàn)公安系統(tǒng)所有計(jì)算機(jī)集中管理的前提下，結(jié)合實(shí)際管理需要，部分安全策略進(jìn)行逐級(jí)授權(quán)管理，實(shí)現(xiàn)統(tǒng)一和效率的有機(jī)結(jié)合；

5、方案基于Chinasec（安元）可信網(wǎng)絡(luò)安全平臺(tái)，具有高度的模塊化和擴(kuò)展性，可以根據(jù)公安系統(tǒng)發(fā)展的需要，在同一個(gè)平臺(tái)上進(jìn)行打印監(jiān)控審計(jì)等功能的擴(kuò)展，大大提高公安系統(tǒng)內(nèi)網(wǎng)安全管理的統(tǒng)一性和效率。

效益分析

該內(nèi)網(wǎng)安全項(xiàng)目建成后，將具有以下效益：

1、解決公安系統(tǒng)信息化辦公中的主要安全隱患。主要包括計(jì)算機(jī)使用管理、設(shè)備丟失導(dǎo)致的數(shù)據(jù)泄密、非法外聯(lián)等違規(guī)行為導(dǎo)致的數(shù)據(jù)泄密和安全隱患、移動(dòng)存儲(chǔ)介質(zhì)濫用導(dǎo)致的病毒感染或者數(shù)據(jù)泄密。

2、使公安系統(tǒng)在信息安全建設(shè)中走在全國(guó)領(lǐng)先地位。該內(nèi)網(wǎng)安全項(xiàng)目的建成，特別是基于用戶數(shù)字證書功能的擴(kuò)展，是1203工程的有力延伸，進(jìn)一步體現(xiàn)和加強(qiáng)了1203工程的價(jià)值，將使公安系統(tǒng)在信息安全保密和信息安全管理方面成為公安系統(tǒng)的典范和先進(jìn)。