某公安局网络安全方案_某公安局网络安全方案

某公安局网络安全方案由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“某公安局网络安全方案”。

某公安局网络安全方案

（建议稿）

一、某公安局网络现状

某公安局网络作为信息基础设施，是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口，与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道，实现机关局域网络全部节点及终端设备的网络互联和系统集成，实现以信息交换，信息发布为主的综合计算机网络应用环境，为公安局管理、领导决策提供先进的技术支持手段。

整个某公安局网络通过统一的出口，64K的DDN专线接入上级省厅及全国各地公安网站，网络主干网通过一个Motorla（S520）路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网，两个子网通过路由器连接。在逻辑上，某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个，规模较大。

某公安局现有网络的拓扑结构见图一所示。

某公安局网络已经有了比较成熟的应用，包括www.daodoc.com1500路由器后面设置了一个带双网卡的HotDog计费型防火墙，实现网络层的安全控制防火墙后面连接昊普公司的HotCat安全认证计费系统，实现应用层的安全访问控制和安全管理。

1.2 边界防火墙HotDog的配置

边界防火墙采用昊普创业HotTiger硬件防火墙。其他采用HotDog该产品运行在具有安全核心的操作系统的基础上，保证防火墙的平台安全。

在某公安局网络安全系统一期建设中，将使用带双网卡的HotDog，并启动其IP包过滤、IP计费、地址翻译NAT、IP和MAC地址对应功能以及应用代理服务SQUID。

边界防火墙HotDog上面有两块网卡，可以配置两个不同的IP地址，其中一块使用合法的IP地址，另一块使用内部保留地址，如192.168.0.x，实现地址翻译NAT功能，达到隐藏网络内部地址的作用。通过HotDog，可以隔离内外网络，解决网络的边界安全问题。HotDog具有基于规则的包过滤功能，可以根据IP地址和TCP端口进行入出控制。同时HotDog可以把IP地址和网卡的MAC地址对应起来，防止IP被盗用的危险。

HotDog同时是一个应用代理防火墙，可以通过应用代理隔离内外网络。HotDog支持简单的用户身份认证，可以根据用户身份进行入出控制。

HotDog具有比较全面的计费功能。HotDog的计费是可以根据IP和用户进行双向计费的，就是说可以针对内部网络的IP进行流出和流入的计费，也可以针对外部网络IP到我们的防火墙的流量对其进行计费，而且对于要求用户验证方式的Firewall/Proxy，HotDog还可以提供基于用户的流量计费。

1.3 应用层安全拨号认证计费服务器HotCat的配置

在边界防火墙HotDog之后，设置了一个应用层的安全服务器，采用昊普创业HotCat拨号认证计费系统。一期建设使用一个带100，000用户的HotCat拨号认证计费安全服务器软件。某公安局网络运行的应用很多，解决应用层的安全问题是这次网络安全解决方案的重点。在传统的观念中，配置防火墙就是解决安全的全部。事实上，网络建设中网络部分仅仅是一个基础，更重要的是建立公安局的网络应用，就如我们不是为修路而修路，而是为了跑车才修路。

前面我们分析了某公安局网络系统的应用层安全需求，通过HotCat拨号认证计费安全服务器软件，将解决这些问题

HotCat--网猫系统是专门为设计的拨号上网用户身份认证和计费系统。它采用目前国际通用的Radius(Remote Authentication Dial In User Service)认证和计费标准，具有良好的扩展性和兼容性。该系统运行于Unix和Linux系统环境下，与HOTCAT--网猫2.1计费系统结合可以完成对拨号上网用户的身份认证和计费全过程。

此系统包括三个模块：用户身份认证模块,实时记录模块和计费模块。

HotCat--网猫系统可运行在各种常见的UNIX平台上。目前经过实际测试的有以下操作系统： Sun公司的Solaris 2.5.1（以上）操作系统； Linux Redhat 5.0（以上）操作系统。

二、用户身份认证模块(Radius模块)用户身份认证模块提供对拨号用户的身份认证和属性设置，它能实现以下功能： 用户身份认证 用户权限设置

1、限制用户的同时上线数目

2、限制用户的上线时间

3、禁止用户上线

三、费用计录模块（Builddbm模块）

HOTCAT--网猫2.1计费系统将从该文件中读取信息并进行费用计算。

四、费用计算模块（HotCat--网猫2.1模块）

五、系统支撑环境及其运行 5.1 系统运行环境

HotCat--网猫拨号上网认证及计费系统运行在UNIX环境下，目前经过测试的系统平台有： Sun公司的 Solaris 2.5.1（以上）操作系统 Linux Redhat 5.0（以上）

由于我们同时支持Solaris和Linux操作系统，因此HOTCAT--网猫2.1计费系统可以运行在Sun服务器和低档PC服务器上。但对计费系统这样需要大计算量和高可靠性的系统而言，我们并不推荐使用低档PC服务器，另一方面，低档服务器所能容纳的用户数量也较少。5.2 系统性能评价

到目前为止，已经有两家中等规模（用户数在一到两万人之间）的ISP公司购买了HOTCAT--网猫2.1系统，并使用了近两年。使用的硬件设备是Sun Ultra 2服务器，运行环境为Sun Solaris 2.5.1操作系统。经统计分析，每台Sun Ultra 2服务器大约能支持8,000到10,000左右的用户，能支持大约600-800个同时上线用户；在容纳10,000用户的情况下，计费系统每天运算时间大概为3至6分钟不等，运算期间占用处理器95%以上的资源，计算时间选择在凌晨两点进行 5.3 系统的运行

利用Unix Crontab可以在每天定时运行HOTCAT--网猫2.1系统，对前一天的用户信息进行统计分析。由于运算要占用大量的系统资源，因此通常选在凌晨02:00:00到05:00:00之间进行，这时的网络和服务器都接近空载运行，因此对系统的影响最小。除了report32在月底结算时运行外，其余

32、day32、month32程序都是由UNIX Crontab激活，每天凌晨定时运行。在特殊情况下，系统管理员也可以手工运行HOTCAT--网猫2.1系统进行计费运算，除非系统突然崩溃，造成当天的计费系统没有正常运行，否则不需要手工运行系统。

1.4 某公安局网络安全管理

某公安局网络安全管理包括网络层和应用层两方面，网络层主要是通过网管软件的配置来完成的。下面我们重点介绍应用层的安全管理。

应用层的安全管理以用户身份认证和授权管理为重点。使用网络安全技术中的安全管理控制台软件。

1.6 小结

通过一期建设，将使某公安局网络系统具有一个基本的安全保障系统，即在网络层和应用层都有相应的安全措施，网络层防火墙的基本功能基本实现，应用层的基本需求也满足了。但是还存在不足的地方，需要在二期建设中解决，包括：

1）网络层的安全管理并不是很完善，需要增加安全检测； 2）需要解决应用层对除Web服务之外所有服务的安全控制； 3）在应用层，需要解决可靠性和负载平衡问题。

2． 二期解决方案

二期建设主要是解决上面提到的三个问题。2.1 安全网络拓扑结构

二期建设完成之后，某公安局的安全网络拓扑结构如图所示。

与一期建设的安全拓扑结构相比，二期结构使用一个带三网卡的HotDog防火墙，并启动安全检测功能。增加了一个HotContorl安全认证服务器作为CA。

使用带三网卡的HotDog防火墙，可以直接连接HotContorl安全认证服务器作为CA。组成一个非军事化区，以便更好地隔离内外网络。

2.2 网络安全检测系统

采用HotEagie—网鹰安全检测软件包，可以及时发现某公安局网络内部存在的安全漏洞。HotEagie—网鹰安全检测软件包可以检测网络服务、操作系统存在的安全漏洞，模仿多种黑客的攻击方法，不断测试安全漏洞，并将测出的安全漏洞按照危害程度列表。在安全漏洞检测软件的支持下，通过网管软件或人工配置的方法，可以完备系统配置，消除多数人为的系统管理安全漏洞（如：必须禁止超级用户的远程登录，不能使用早期的SENDMAIL版本）。安全检测是网络日常管理的重要内容，是网络安全可靠运行的重要保证。

安全检测是一支“矛”，测出了网络存在的安全漏洞，针对这些漏洞采用安全防护措施，架设必要的“盾”，是系统安全管理的关键内容。

3．总结

结合网络的层次结构和管理需求，某公安局网络的安全解决方案包括网络层安全方案、应用层安全方案和安全管理三个方面。整个安全方案以安全管理为导向，实现了覆盖网络层、应用层的立体安全解决方案。整个方案既保证了网络的边界安全，又保证了网络的内部安全，同时实现了系统安全和数据安全，是一个全面解决方案。

某公安局拓扑图