(2) 安全系統(tǒng)建設(shè)思路還比較陳舊���,網(wǎng)絡(luò)安全防預(yù)停留在部門防預(yù)的層面上�,網(wǎng)絡(luò)核心資源得不到有效保護(hù)��;
(3) 還缺乏網(wǎng)絡(luò)準(zhǔn)入控制、終端安全防御����、用戶行為審計(jì)等技術(shù)措施,對(duì)網(wǎng)絡(luò)安全事件的源頭無法全面控制�;
(4) 對(duì)公安系統(tǒng)骨干網(wǎng)絡(luò)的安全審計(jì)檢測不全面,無法全程監(jiān)控安全事件傳播軌跡�;
(5) 還存在安全孤島問題,未對(duì)公安系統(tǒng)各單位的網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的運(yùn)行日志和安全報(bào)警信息實(shí)現(xiàn)前面采集和整合�����,無法及時(shí)����、準(zhǔn)確的掌控全網(wǎng)安全情況;
(6) 未形成一套有效的網(wǎng)絡(luò)安全管理機(jī)制��,安全管理與網(wǎng)絡(luò)管理�、應(yīng)用管理脫節(jié),未形成功能互補(bǔ)��、流程清晰��、職責(zé)明確的運(yùn)維管理工作局面��。
Chinasec的解決方案
針對(duì)公安系統(tǒng)網(wǎng)絡(luò)應(yīng)用及網(wǎng)絡(luò)安全存在的問題��,明朝萬達(dá)整體一致內(nèi)網(wǎng)安全解決方案依托Chinasec可信網(wǎng)絡(luò)安全平臺(tái)��,同時(shí)提供數(shù)據(jù)保密�、身份認(rèn)證����、授權(quán)管理、終端安全管理和監(jiān)控審計(jì)�����,形成一個(gè)完整互動(dòng)的內(nèi)網(wǎng)安全策略����。
安裝了Chinasec軟件的計(jì)算機(jī)終端發(fā)出的所有數(shù)據(jù)包均進(jìn)行了加密處理。加密在網(wǎng)絡(luò)層進(jìn)行����,IP頭以下的數(shù)據(jù)均被加密,非IP數(shù)據(jù)包受到禁止(ARP包除外)����。Chinasec軟件目前版本軟件采用AES加密算法進(jìn)行網(wǎng)絡(luò)加密�,密鑰256位����,密鑰由服務(wù)器統(tǒng)一生成和下發(fā),每小時(shí)更換一次��。同時(shí)����,同一安全域(VCN)內(nèi)的計(jì)算機(jī)采用相同的加密密鑰,兩兩通訊時(shí)接受方能夠自動(dòng)識(shí)別發(fā)送方的數(shù)據(jù)包并解密����。加密密鑰不用協(xié)商,而是由服務(wù)器自動(dòng)生成并下發(fā)��,由于服務(wù)器和客戶端之間的通道已經(jīng)加過密了�����,所以這個(gè)密鑰下發(fā)過程是安全的�����。不同安全域密鑰不同�����,無法通訊���。安全域外的計(jì)算機(jī)不能識(shí)別安全域內(nèi)計(jì)算機(jī)發(fā)出的數(shù)據(jù)包�,無法進(jìn)行通訊��,從根本上杜絕了非法外連和非法接入�����。
除此之外��,適用于公安系統(tǒng)的Chinasec可信網(wǎng)絡(luò)安全平臺(tái)可根據(jù)各地公安系統(tǒng)自身安全體系建設(shè)的需要規(guī)劃增加基于數(shù)字證書的統(tǒng)一計(jì)算機(jī)登陸授權(quán)管理體系�����、基于數(shù)字證書的個(gè)人保密磁盤�、移動(dòng)存儲(chǔ)介質(zhì)管理、中斷監(jiān)控管理系統(tǒng)以及內(nèi)網(wǎng)安全域劃分等擴(kuò)展性應(yīng)用����,從根本上解決了公安系統(tǒng)網(wǎng)絡(luò)在網(wǎng)絡(luò)安全、訪問安全��、應(yīng)用安全、內(nèi)容安全和案例安全方面存在的系列問題����。
案例實(shí)施
2007年底,北京公安局A分局為了杜絕"一機(jī)多網(wǎng)"行為的發(fā)生���,維護(hù)公安系統(tǒng)信息安全�����、可靠的運(yùn)行��,公開招標(biāo)尋求最佳的內(nèi)網(wǎng)安全解決方案�。經(jīng)過嚴(yán)格的產(chǎn)品測試和多次甄選��,明朝萬達(dá)公司憑借Chinasec可信網(wǎng)絡(luò)安全平臺(tái)從眾多同行中脫穎而出�,成功與北京市公安局A分局簽署并部署實(shí)施。一期終端點(diǎn)數(shù)約為2000點(diǎn)��;在A公安局的內(nèi)網(wǎng)安全項(xiàng)目中�����,最重要的就是實(shí)現(xiàn)對(duì)"一機(jī)多網(wǎng)"行為的控制,很好的保障A公安局內(nèi)終端的違法外聯(lián)行為���,其他還結(jié)合了Chinasec可信網(wǎng)絡(luò)安全平臺(tái)中的保密系統(tǒng)中的移動(dòng)存儲(chǔ)介質(zhì)管理�、監(jiān)控系統(tǒng)中行為監(jiān)控和相關(guān)操作審計(jì)等功能來完善了局內(nèi)終端的安全����。
方案特點(diǎn):
上述的方案具有以下特點(diǎn):
1�����、 完全基于明朝萬達(dá)Chinasec可信網(wǎng)絡(luò)安全平臺(tái)實(shí)現(xiàn)��,上述的所有功能可以實(shí)現(xiàn)一個(gè)平臺(tái)的統(tǒng)一管理和策略聯(lián)動(dòng)����,管理方便簡單;
2�����、 完全兼容現(xiàn)有的公安數(shù)字證書���,是數(shù)字證書應(yīng)用的有力擴(kuò)展��,提高了數(shù)字證書的利用率�����,并實(shí)現(xiàn)了用戶標(biāo)識(shí)的統(tǒng)一管理����;
3、 系統(tǒng)具備大用戶數(shù)管理模式支持�,可以實(shí)現(xiàn)負(fù)載均衡、熱備和多級(jí)管理模式等����;
4、 支持多級(jí)管理機(jī)制�����,可以在實(shí)現(xiàn)公安系統(tǒng)所有計(jì)算機(jī)集中管理的前提下���,結(jié)合實(shí)際管理需要�����,部分安全策略進(jìn)行逐級(jí)授權(quán)管理���,實(shí)現(xiàn)統(tǒng)一和效率的有機(jī)結(jié)合����;
5���、 方案基于Chinasec(安元)可信網(wǎng)絡(luò)安全平臺(tái)����,具有高度的模塊化和擴(kuò)展性�����,可以根據(jù)公安系統(tǒng)發(fā)展的需要����,在同一個(gè)平臺(tái)上進(jìn)行打印監(jiān)控審計(jì)等功能的擴(kuò)展�����,大大提高公安系統(tǒng)內(nèi)網(wǎng)安全管理的統(tǒng)一性和效率�。
效益分析
該內(nèi)網(wǎng)安全項(xiàng)目建成后,將具有以下效益:
1�����、 解決公安系統(tǒng)信息化辦公中的主要安全隱患。主要包括計(jì)算機(jī)使用管理����、設(shè)備丟失導(dǎo)致的數(shù)據(jù)泄密、非法外聯(lián)等違規(guī)行為導(dǎo)致的數(shù)據(jù)泄密和安全隱患�����、移動(dòng)存儲(chǔ)介質(zhì)濫用導(dǎo)致的病毒感染或者數(shù)據(jù)泄密����。
2、 使公安系統(tǒng)在信息安全建設(shè)中走在全國領(lǐng)先地位���。該內(nèi)網(wǎng)安全項(xiàng)目的建成����,特別是基于用戶數(shù)字證書功能的擴(kuò)展�����,是1203工程的有力延伸�,進(jìn)一步體現(xiàn)和加強(qiáng)了1203工程的價(jià)值�,將使公安系統(tǒng)在信息安全保密和信息安全管理方面成為公安系統(tǒng)的典范和先進(jìn)��。
