公安系统网络安全解决方案

　　公安系统网络安全需求分析

近年来，信息技术的飞速发展使人们获取、交流和处理信息的手段发生了巨大的变化，随着信息时代的到来，信息化发展也为公安工作带来了新的挑战和机遇。

为适应我国改革开放和社会主义现代化建设的新形势对公安执法提出的新要求，国家提出了以“公安信息化工作”为核心，以“科技强警”为目标的国家公安信息化工程-“金盾工程”的建设要求。

“金盾工程”即全国公安信息化工程,主要是利用现代的信息通信技术，增强我国公安机关的统一指挥、快速反应、协同作战、打击犯罪的能力，以适应公安机关动态管理和打击犯罪的需要。随着金盾工程在全国的展开，从公安部到各个厅、局都成立了相应的金盾办公室。许多省市也将其列入政府的规划中，并投入了大量的资金。

与此同时，面对随着互联网飞速发展而日益严峻的网络安全形势，抓住机会尽快实现公安系统的网络安全建设也是各级公安机关面临的一个重要问题。

关于金盾工程

金盾工程即指公安信息化工程。是指在现有公安信息化建设基础上，建设和完善全国公安信息网络和全国公安信息系统，提高公安各业务部门的信息化程度，实现以各项公安业务为基础，以全国犯罪信息中心为核心，以“数字化警察”为目标的信息共享和综合利用，为公安机关预防和打击犯罪、提高执法能力提供信息服务。

公安机关是我国国家政权的重要组成部门，是人民民主专政的工具。党中央国务院高度重视公安信息工作，将建立公安信息系统提高到重要的战略高度，先后拨款数亿元推动公安工作信息化的进程。根据党中央、国务院关于“科教兴国”的战略部署，公安部党委经过认真研究，结合公安工作的实际情况，提出了“科技强警”的奋斗目标，成立公安部科技强警总体规划领导小组，制定并通过了“公安部科技强警总体规划框架”。

公安机关信息化的作用

公安机关是维护社会稳定的专门力量。在改革开放的今天，全面建设小康社会的新形势下，各地市政治、经济和社会发展等方面都发生了重大变化，随之而来的社会治安形势也出现了前所未有的新情况、新问题，公安机关面临的任务日益艰巨、复杂。从打击犯罪角度看，严重恶性暴力犯罪、涉枪涉毒、带有黑社会性质的团伙犯罪及经济犯罪、高科技智能型犯罪不断增多，使得公安机关需采集、管理的信息量越来越多，警务涉及面越来越广，实战指挥机关的一线干警对信息支持的需求越来越强，户籍管理、出入境管理、交通管理、消防管理等公安行政管理工作中信息技术手段落后的问题也日益显露出来。在此情况下，要适应新形势、新任务的需求，公安机关就必须坚定不移地走科技强警之路，把公安信息化建设工作摆到突出位置，全面引入计算机等现代通信技术和侦破手段，更加自觉、积极、广泛地运用信息技术武装自己，用现代科技手段全面提高公安队伍的战斗力。

同时，随着国际互联网络的迅猛发展，现代公安工作除了需要大量的信息来源和快速反应的现代通信手段以外，同时也为各经济部门提供最广泛、最可靠的基础信息（如人口管理信息、驾驶员车辆信息、出入境管理信息、指纹、图像信息等）。因此，公安信息化建设是国家信息化建设的重要组成部分，应当跟上国民经济发展的需要，甚至还应适当超前。因此，公安机关信息中心的建设，不仅是打击犯罪、维护社会安全与稳定的需要，而且是为国家经济和社会发展提供广泛服务的迫切需要。

公安系统网络安全建设需求

作为国家安全的重要保障部门，公安机关拥有众多重要的材料和档案，而这些材料和档案是不允许丢失和被盗的，因此确保整个系统的安全性同样也是构造整个系统必须考虑的问题。这些安全性主要体现在以下几个方面：

1． 物理隔绝。利用物理隔绝可以实现信息的全部封锁。

2． 逻辑隔绝。逻辑隔绝的办法通常有很多中，可以通过划分子网或者VLAN的方式进行。

3． 制度隔绝。这需要确立一整套严格的制度以确保整个系统在正常运行的基础上确保安全。

公安系统网络安全风险分析

网络安全问题一直都是困扰网络应用建设的一个重要问题，现在出现了各种安全技术来保证网络及应用系统的安全，例如防火墙、入侵检测、身份认证等技术，但是保障安全不能单纯依靠技术手段，还应该建立完善的安全管理机制才能够全面的保障网络、应用等的安全，从而将安全风险降到最低。

公安系统网络面临的安全风险主要有以下几个方面：

——来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击，造成网络或系统瘫痪、信息泄密、数据被篡改等。

——来自内部人员（合法用户）滥用权力，有意犯罪，越权访问机密信息，或者恶意篡改数据等。

——来自有害信息（如病毒等）的传播等。

——来自系统软硬件故障造成的服务中止或者数据丢失。

——来自自然灾害或战争造成的物理破坏等。

公安系统网络安全体系

网络安全保障体系建设是金盾工程建设的重要组成部分，信息化应用支撑平台支撑着公安系统各类应用系统，必须高度重视安全体系的建设。既要综合采用各种安全技术措施针对信息化应用支撑平台的各个层次提供严密、完备的安全技术措施，又要建立、健全与信息化应用支撑平台相配套的安全管理制度，并严格执行监督，充分保障信息化应用支撑平台的安全运行。

安全信息系统的安全建设包括三个方面--安全策略、安全管理和安全技术。

安全策略：包括各种策略、法律法规、规章制度、技术标准、管理标准等，是信息安全的最核心问题，是整个信息安全建设的依据；

安全管理：主要是人员、组织和流程的管理，是实现信息安全的落实手段；

安全技术：包含工具、产品和服务等，是实现信息安全的有力保证。

根据上述三个方面，公安系统网络安全解决方案不仅仅包含各种安全产品和技术，而是要建立一个策略、技术和管理三位一体、目标一致的信息安全体系。按照金盾工程建设的目标，充分考虑各子系统数据交互中安全需求，建立统一的、覆盖整个系统的安全管理体系和安全技术体系，使整个系统置于整体安全的环境当中。

根据对公安信息系统安全项目不同方面的需求分析，公安信息系统需要建立一整套完善的安全体系。该体系包括公安信息系统建立安全管理体系和具体技术产品的技术体系。通过两个体系的建立，可以对公安信息系统信息网的所有信息资产进行安全的管理和安全的技术保护。同时通过多层次、多角度的安全服务和产品，覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。公安信息系统安全体系如下图所示：

根据对公安系统网络安全项目不同方面的需求分析，公安系统网络需要建立一整套完善的安全体系，以对公安信息系统信息网的所有信息资产进行安全的管理和安全的技术保护。同时通过多层次、多角度的安全服务和产品，覆盖从物理环境、网络层、系统层、数据库层、应用层和组织管理信息安全的所有方面。整个安全体系包括应用层安全、系统平台安全、网络平台安全以及物理和环境的安全等内容。

——软件平台层安全

软件平台包括操作系统、数据库（数据仓库）、中间件等。按照可信计算机评价标准，Unix和WindowsNT的安全性能达到C2级，可以使用商业化的第三方权威认证机构CA签发的标准格式的身份证明，还能在可信任的CA签发的身份证书的基础上确认外部用户的身份。

——应用系统层安全需求与措施

应用系统对用户必须进行身份认证、资格审查和角色控制，防止假冒、欺骗和抵赖。面向同一个用户的不同应用系统还需要有相同的安全权限审查方法。对于系统所处理的数据，需要保证正确生成、完整保存和安全传输。

应用系统的安全应当建立在基于公开密钥基础设施PKI平台上，特别是安全保卫子系统，应该统一规划第三方CA认证，签发数字证书，才能使数据的生成、存储和传输具有安全保障。

——网络平台的安全

参照国内外的安全标准，网络信息系统安全的主要考核指标有身份鉴别、自主访问控制、数据完整性、审计、隐蔽信道分析、客体重用、强制访问控制、安全标记、可信路径、可信恢复等。这些指标涵盖了不同级别的安全要求。

——异地灾难备份中心

为了保持业务的连续性，保证业务系统不间断运行，解决各种导致计算机系统失效的意外情况发生时，确保数据处理中心由于灾难等原因无法正常工作时，关键应用能保持继续运行，在临沂公安三级网改造方案中，设计了在异地建立灾难备份中心，确保数据安全和关键业务的不间断运行。

——安全管理

安全保障的落实归根到底靠管理。安全管理主要分为两个方面：行政管理和技术管理。行政管理主要包括安全管理机构、制度、人员、责任和监督机制等。技术管理主要包括工程建设和网络运行的各环节上的安全管理，如开发、试用、验收和推广阶段的安全管理，设备网络特别是保密设备和密钥的安全管理等。

按照公安系统信息安全体系总体框架，上述的每一部分内容均包含需求分析、风险评估、安全策略、方案设计、方案实施、运行管理、安全审计的步骤。以上几个方面的实施步骤，按照生命周期的次序逐步展开，是一个循环、重复、螺旋式上升的过程。