某公安局网络安全方案
(建议稿)
一、某公安局网络现状
某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道,实现机关局域网络全部节点及终端设备的网络互联和系统集成,实现以信息交换,信息发布为主的综合计算机网络应用环境,为公安局管理、领导决策提供先进的技术支持手段。
整个某公安局网络通过统一的出口,64K的DDN专线接入上级省厅及全国各地公安网站,网络主干网通过一个Motorla(S520)路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网,两个子网通过路由器连接。在逻辑上,某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个,规模较大。
某公安局现有网络的拓扑结构见图一所示。
某公安局网络已经有了比较成熟的应用,包括WWW服务,Mail服务,DNS服务等的一些其他应用,如内部信息等,也已经转移到网络应用之上的Web应用主要是用于内部信息的管理,应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。 某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。 以上是某公安局网络及其应用的现状。
二、某公安局网络安全需求分析
某公安局网络系统现在的Web应用主要是用于公安局内部信息管理,因而存在着强烈的安全需求。
网络安全的目标是保护和管理网络资源(包括网络信息和网络服务)。 网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次,在不同层次上的安全需求如上图所示。
某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面:网络层安全需求、应用层安全需求和安全管理需求。 目前第一期解决网络层安全需求
1.网络层安全需求
网络层安全需求是保护网络不受攻击,确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的,包括:
隔离内外部网络;
实现网络的边界安全,在网络的入出口设置安全控制;
实现安全漏洞检测,及时发现网络服务和操作系统存在的安全隐患,及时采取补救措施,将安全风险降到最低。
具体而言,某公安局网络系统在网络层的安全需求可以描述为:
1) 解决网络的边界安全,防止外部攻击,保护内部网络;通过防火墙和应用代理隔离内外网络;
2) 内外网络采用两套不同的IP地址,实现地址翻译(NAT)功能; 3) 根据IP地址和TCP端口进行入出控制; 4) 基于IP地址和MAC地址的对应防止IP盗用; 5) 基于IP地址计费和流量控制; 6) 基于IP地址的黑白名单; 7) 防火墙对用户身份进行简单认证; 8) 根据用户身份进行入出控制; 9) 基于用户的计费和流量限制; 10) URL检查和过滤。 2.应用层安全需求
某公安局网络应用层安全需求是针对用户和系统应用资源的,必须确保合法用户对信息的合法存取。某公安局网络的信息资源须按需求的安全等级进行系统而周密的规划,根据规划采取相应的安全管理手段来保证系统的实用、可靠和安全性。
某公安局网络应用主要是应用于公安局内部的信息管理,因而: 1) 外部非授权用户不得拥有访问公安局内部信息的权限; 2) 内部、外部授权用户只能拥有系统赋予的访问授权; 3) 不同级别的内部用户拥有对信息的不同访问权限; 4) 不同部门的内部用户拥有对信息的不同访问权限;
5) 某个部门的信息可以授予其他部门内部用户一定的访问权限; 6) 授权用户不论在什么地方,什么时间,对信息的访问权限应该是一致的; 某公安局网络应用层的安全威胁主要是: 身份窃取和假冒 数据窃取和篡改 非授权存取 否认与抵赖
以上安全威胁产生的安全需求如下:
数据保密:由于无法确认是否有未经授权的用户截取网络上的数据,需要一种手段来对数据进行保密。数据加密就是用来实现这一目标的。 数据完整性:需要一种方法来确认送到网络上的数据在传输过程中没有被篡改。数据加密和校验被用来实现这一目标。
身份认证:需要对网络上的用户进行识别,以确认对方的真实身份,保证身份不被窃取与假冒。
访问授权:需要控制谁能够访问网络上的信息,并且他们能够对信息进行何种操作。访问授权能够防止对系统资源的非授权存取。 审计记录:所有网络活动应该有记录,这种记录要针对用户来进行,可以实现统计、计费等功能;还可以防止否认,确保用户不能抵赖自己的行为,同时提供公证的手段来解决可能出现的争议。
通过应用层的安全管理,最终要使某公安局网络系统达到下面的目标: 1) 面向所有服务的粗粒度的安全控制:
解决网络的整体安全,内外兼防,保护数据和信息安全; 用户和服务器之间实现严格的身份认证; 基于严格身份认证的统一授权管理; 访问控制粒度要求达到TCP端口一级;
数据传输时加密以实现数据保密和不可抵赖等; 实现审计记录功能。
2) 面向Web服务的细粒度的安全控制:
要求解决WEB应用的整体安全,内外兼防,保护数据和信息安全; 解决HTTP的安全问题; 解决CGI的安全问题; 用户和WEB应用服务器之间实现严格的身份认证; 根据用户身份实现WEB空间的统一授权管理; 访问控制粒度要求达到文件和页面一级; 实现WEB空间的安全单点登录; 实现WEB空间的目录服务;
实现信息访问频率和用户访问频率统计。
3) 由于某公安局客户端的地理分布广泛,要求系统的安全控制支持公钥系统,支持SSL协议;
3.安全管理需求
3.1 网络层安全管理
网络层的安全管理主要结合网管系统进行,主要内容如下:
完成对路由器、交换机、访问服务器的安全配置,具体包括:设备配置授权、路由配置、VLAN配置(根据端口或MAC地址)、IP过滤配置、TCP端口访问控制、拨号认证(如RADIUS。TACACS+等)配置、路由器加密配置等。
完成防火墙的配置,具体包括:防火墙操作系统配置、基于规则的IP过滤配置、安全TCP端口及访问授权配置、内容过滤配置、NAT地址翻译配置等; 堡垒主机配置,包括各应用代理或应用网关的配置。
安全检测软件配置:包括网络服务漏洞检测和操作系统漏洞检测。
3.2 应用层安全管理
完成用户注册,建立用户档案,完成用户分组,形成全网统一一致的用户空间; 完成网络资源的统一配置,形成全网统一的资源空间;
根据用户身份完成访问授权配置,形成全网统一一致的授权管理; 支持单点登录,实现基于单一口令的访问控制;
形成访问记录,为统计和分析提供事实依据,并且防止抵赖,为事故责任分析奠定基础; 通过实用的安全管理软件实现安全管理。
4.信息资源的安全分类
某公安局网络的信息资源的安全分类如下: 公众信息需要身份验证并根据身份进行相应的访问控制; 敏感信息面向内部的授权注册用户,管理和控制内部用户对信息资源的访问。根据用户的身份或角色,对用户可使用的服务进行授权,包括对外的访问。
公众服务资源 - 面向互联网络,防止和抵御外来的攻击。
三、某公安局网络安全解决方案
某公安局网络安全系统的总体目标是根据前面提到的所有的安全需求,解决某公安局网络系统的安全问题。 采用昊普创业安全防范技术公司拥有的从网络层到应用层的一整套网络安全技术和产品,我们为某公安局网络系统设计了包括网络层、应用层安全控制、网络安全管理和安全监测的一套立体的、全方位的安全解决方案。
考虑到的实际情况,我们设计了一个两期的方案,可以逐步实现某公安局的完全的安全防范措施。
1.一期解决方案 不论什么情况,考虑网络安全问题必须同时注意到网络层和应用层两方面的安全问题。在某公安局网络安全一期解决方案中也是这样考虑的。
1.1 安全网络拓扑结构
某公安局网络安全系统一期解决方案需要实现网络层和应用层的基本安全配置,包括边界防火墙的配置,应用层安全服务器的基本配置。
一期解决方案的安全网络拓扑结构见图三所示。内部网络通过路由器连接到省厅网络和Internet。在路由器后面设置了一个带三网卡的HotTiger硬件防火墙,实现网络层的安全控制。其他在3COM1500路由器后面设置了一个带双网卡的HotDog计费型防火墙,实现网络层的安全控制防火墙后面连接昊普公司的HotCat安全认证计费系统,实现应用层的安全访问控制和安全管理。
1.2 边界防火墙HotDog的配置
边界防火墙采用昊普创业HotTiger硬件防火墙。其他采用HotDog该产品运行在具有安全核心的操作系统的基础上,保证防火墙的平台安全。
在某公安局网络安全系统一期建设中,将使用带双网卡的HotDog,并启动其IP包过滤、IP计费、地址翻译NAT、IP和MAC地址对应功能以及应用代理服务SQUID。
边界防火墙HotDog上面有两块网卡,可以配置两个不同的IP地址,其中一块使用合法的IP地址,另一块使用内部保留地址,如192.168.0.x,实现地址翻译NAT功能,达到隐藏网络内部地址的作用。 通过HotDog,可以隔离内外网络,解决网络的边界安全问题。HotDog具有基于规则的包过滤功能,可以根据IP地址和TCP端口进行入出控制。同时HotDog可以把IP地址和网卡的MAC地址对应起来,防止IP被盗用的危险。
HotDog同时是一个应用代理防火墙,可以通过应用代理隔离内外网络。HotDog支持简单的用户身份认证,可以根据用户身份进行入出控制。
HotDog具有比较全面的计费功能。HotDog的计费是可以根据IP和用户进行双向计费的,就是说可以针对内部网络的IP进行流出和流入的计费,也可以针对外部网络IP到我们的防火墙的流量对其进行计费,而且对于要求用户验证方式的Firewall/Proxy ,HotDog还可以提供基于用户的流量计费。
1.3 应用层安全拨号认证计费服务器HotCat的配置
在边界防火墙HotDog之后,设置了一个应用层的安全服务器,采用昊普创业HotCat拨号认证计费系统 。一期建设使用一个带100,000用户的HotCat拨号认证计费安全服务器软件。 某公安局网络运行的应用很多,解决应用层的安全问题是这次网络安全解决方案的重点。在传统的观念中,配置防火墙就是解决安全的全部。事实上,网络建设中网络部分仅仅是一个基础,更重要的是建立公安局的网络应用,就如我们不是为修路而修路,而是为了跑车才修路。
前面我们分析了某公安局网络系统的应用层安全需求,通过HotCat拨号认证计费安全服务器软件,将解决这些问题
HotCat--网猫系统是专门为设计的拨号上网用户身份认证和计费系统。它采用目前国际通用的Radius(Remote Authentication Dial In User Service)认证和计费标准,具有良好的扩展性和兼容性。该系统运行于Unix和Linux系统环境下,与HOTCAT--网猫2.1计费系统结合可以完成对拨号上网用户的身份认证和计费全过程。
此系统包括三个模块:用户身份认证模块,实时记录模块和计费模块。
HotCat--网猫系统可运行在各种常见的UNIX平台上。目前经过实际测试的有以下操作系统: Sun公司的Solaris 2.5.1(以上)操作系统; Linux Redhat 5.0(以上)操作系统。
二、用户身份认证模块(Radius模块) 用户身份认证模块提供对拨号用户的身份认证和属性设置,它能实现以下功能: 用户身份认证 用户权限设置
1、限制用户的同时上线数目
2、限制用户的上线时间
3、禁止用户上线
三、费用计录模块(Builddbm模块)
HOTCAT--网猫2.1计费系统将从该文件中读取信息并进行费用计算。
四、费用计算模块(HotCat--网猫2.1模块)
五、系统支撑环境及其运行 5.1 系统运行环境
HotCat--网猫拨号上网认证及计费系统运行在UNIX环境下,目前经过测试的系统平台有: Sun公司的 Solaris 2.5.1(以上)操作系统 Linux Redhat 5.0(以上)
由于我们同时支持Solaris和Linux操作系统,因此HOTCAT--网猫2.1计费系统可以运行在Sun服务器和低档PC服务器上。但对计费系统这样需要大计算量和高可靠性的系统而言,我们并不推荐使用低档PC服务器,另一方面,低档服务器所能容纳的用户数量也较少。 5.2 系统性能评价
到目前为止,已经有两家中等规模(用户数在一到两万人之间)的ISP公司购买了HOTCAT--网猫2.1系统,并使用了近两年。使用的硬件设备是Sun Ultra 2服务器,运行环境为Sun Solaris 2.5.1操作系统。经统计分析,每台Sun Ultra 2服务器大约能支持8,000到10,000左右的用户,能支持大约600-800个同时上线用户;在容纳10,000用户的情况下,计费系统每天运算时间大概为3至6分钟不等,运算期间占用处理器95%以上的资源,计算时间选择在凌晨两点进行 5.3 系统的运行
利用Unix Crontab可以在每天定时运行HOTCAT--网猫2.1系统,对前一天的用户信息进行统计分析。由于运算要占用大量的系统资源,因此通常选在凌晨02:00:00到05:00:00之间进行,这时的网络和服务器都接近空载运行,因此对系统的影响最小。除了report32在月底结算时运行外,其余
32、day
32、month32程序都是由UNIX Crontab激活,每天凌晨定时运行。在特殊情况下,系统管理员也可以手工运行HOTCAT--网猫2.1系统进行计费运算,除非系统突然崩溃,造成当天的计费系统没有正常运行,否则不需要手工运行系统。
1.4 某公安局网络安全管理
某公安局网络安全管理包括网络层和应用层两方面,网络层主要是通过网管软件的配置来完成的。下面我们重点介绍应用层的安全管理。
应用层的安全管理以用户身份认证和授权管理为重点。使用网络安全技术中的安全管理控制台软件。
1.6 小结
通过一期建设,将使某公安局网络系统具有一个基本的安全保障系统,即在网络层和应用层都有相应的安全措施,网络层防火墙的基本功能基本实现,应用层的基本需求也满足了。但是还存在不足的地方,需要在二期建设中解决,包括:
1)网络层的安全管理并不是很完善,需要增加安全检测; 2)需要解决应用层对除Web服务之外所有服务的安全控制; 3)在应用层,需要解决可靠性和负载平衡问题。
2. 二期解决方案
二期建设主要是解决上面提到的三个问题。 2.1 安全网络拓扑结构
二期建设完成之后,某公安局的安全网络拓扑结构如图所示。
与一期建设的安全拓扑结构相比,二期结构使用一个带三网卡的HotDog防火墙,并启动安全检测功能。增加了一个HotContorl安全认证服务器作为CA。
使用带三网卡的HotDog防火墙,可以直接连接HotContorl安全认证服务器作为CA。组成一个非军事化区,以便更好地隔离内外网络。
2.2 网络安全检测系统
采用HotEagie—网鹰安全检测软件包,可以及时发现某公安局网络内部存在的安全漏洞。HotEagie—网鹰安全检测软件包可以检测网络服务、操作系统存在的安全漏洞,模仿多种黑客的攻击方法,不断测试安全漏洞,并将测出的安全漏洞按照危害程度列表。在安全漏洞检测软件的支持下,通过网管软件或人工配置的方法,可以完备系统配置,消除多数人为的系统管理安全漏洞(如:必须禁止超级用户的远程登录,不能使用早期的SENDMAIL版本)。安全检测是网络日常管理的重要内容,是网络安全可靠运行的重要保证。
安全检测是一支“矛”,测出了网络存在的安全漏洞,针对这些漏洞采用安全防护措施,架设必要的“盾”,是系统安全管理的关键内容。
3.总结
结合网络的层次结构和管理需求,某公安局网络的安全解决方案包括网络层安全方案、应用层安全方案和安全管理三个方面。整个安全方案以安全管理为导向,实现了覆盖网络层、应用层的立体安全解决方案。整个方案既保证了网络的边界安全,又保证了网络的内部安全,同时实现了系统安全和数据安全,是一个全面解决方案。
某公安局拓扑图
