曾　旋

[摘要]對公安高校網的技術策略進行研究，確地選擇多級分布式檢測模型作為公安高校網的一種內網外聯(lián)監(jiān)控模型。根據(jù)該模型的設計，可以很好的實現(xiàn)對公安高校網中的內網外聯(lián)情況進行監(jiān)控。

[關鍵詞]公安高校網 網絡安全 對策

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597（2009）0420046－01

一、引言

公安內部網，簡稱公安網，采用了Internet的組網技術和應用技術，也同樣存在著當今互聯(lián)網絡共通的安全問題。公安網絡和信息安全保障體系是實現(xiàn)公安工作信息共享、快速反應和高效運行的重要保證。安全保障體系首先要保證網絡的安全、可靠運行，在此基礎上保證應用系統(tǒng)和業(yè)務的保密性、完整性和高度的可用性，同時為將來的應用提供可擴展的空間。公安大學作為集公安部門教學、培訓和科研于一體的高等院校，又有著不同于一般公安網絡的特殊安全需求。本文將基于此對公安高校網的安全對策問題進行研究。

二、公安高校網的安全策略

保障網絡安全，關鍵要靠人、技術、管理三者的有機結合。公安高校網的安全策略應該由安全標準、管理制度、安全技術三部分組成。本文主要研究網絡安全技術，如防火墻、網絡防病毒、PKFPMI身份認證、物理隔離、加密VPN子網等，在公安高校網中的部署。

（一）防火墻

防火墻是指設置在不同網絡或網絡安全域之間的一系列部件（包括計算機和路由器）的組合。它執(zhí)行預先制定訪問控制策略（允許、拒絕、監(jiān)測），決定網絡外部（含外地區(qū)、外部門或外單位的網絡）與網絡內部（指局域網或內部網范圍內）的訪問方式。在網絡中，防火墻實際是一種隔離技術，它所執(zhí)行的隔離措施包括：（1）拒絕未經授權的用戶訪問內部網和存取敏感數(shù)據(jù)；（2）允許合法用戶不受妨礙地訪問網絡資源。常見的網絡防火墻部署如圖1所示：

（二）網絡防病毒

計算機病毒，特別是它借助信息網絡快速地傳播和破壞，已成為當今社會的一大公害。比如，2003年春季，Nimda病毒在公安內部網上大規(guī)模蔓延和爆發(fā)，給公安工作造成很大的影響。正確運用網絡防病毒技術和策略，可把損失降到最低程度。

病毒防治的主要策略有：局域網預防；安裝正版的、最好是國產的網絡版防病毒軟件；在網絡上運行一個新軟件之前，斷開網絡，在單獨的計算機上運行測試，如果確認沒有病毒，再到網絡上運行；周期性備份工作文件；建立健全網絡系統(tǒng)安全管理制度，嚴格操作規(guī)程。

集中式管理是網絡病毒防護最可靠、最經濟的方法。多層次防御病毒軟件把病毒檢測、多層數(shù)據(jù)保護和集中式管理的功能集成在同一產品內，因而極大地減輕了反病毒管理的負擔，而且提供了全面的病毒防治功能。

（三）PKI/PMI身份認證

PKI（Public Key Infrastructure）/PMI（Privilege Management Infrastructure）身份認證和訪問控制技術，在單點登錄、全網漫游，訪問控制，電子政務，無紙辦公以及身份鑒別和授權等方面都有廣泛的應用。PKI即公開密鑰基礎設施，是一個包括硬件、軟件、人員、策略和規(guī)程的集合，用來實現(xiàn)基于公鑰密碼體制密鑰和證書的產生、管理、存儲、分發(fā)和撤銷等功能。PMI即權限管理基礎設施或授權管理基礎設施，是屬性證書（AC）、屬性權威（AA）、屬性證書庫等部件的集合體。

（四）物理隔離

“物理隔離”是指內部網不直接通過有線或無線等任何手段連接到公共網，從而使內部網絡和外部公共網絡在物理上處于隔離狀態(tài)的一種物理安全技術。從這個概念上看，物理隔離是保證網絡物理安全的一個有效手段，即保護路由器、工作站、各種網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊；只有使內部網和公共網“物理隔離”，才能真正保證內部信息網絡不受來自互聯(lián)網的黑客攻擊。此外，“物理隔離”也為內部網劃定了明確的安全邊界，使得網絡的可控性增強，便于管理。

物理隔離可以有效地解決數(shù)據(jù)隔離和計算機終端的網絡隔離問題。物理隔離產品在建好兩個網絡的前提下，使一臺計算機能連接兩個網絡，并且在同一時間上，用戶在裝有物理隔離產品的計算機中只能使用其中的一個網絡系統(tǒng)。物理隔離實現(xiàn)主要分為物理隔離卡和安全隔離網閘。

（五）加密VPN子網

涉密子網是內部虛擬專網（Intranet VPN），它利用公安高校網的線路保證網絡的互連性，融合了隧道技術、密碼技術、身份認證技術、存取控制技術等。Intranet VPN擁有與專用網絡相同的安全、服務質量（QoS）、可管理性和可靠性。公安機關部門涉密子網的構建應該基于IPSec的VPN技術?；贗PSec的加密VPN子網，它的側重點在于安全保密，還有以下優(yōu)點：一是成本低。二是易于擴展。三是保證安全。

三、公安高校網內網外聯(lián)監(jiān)控系統(tǒng)設計

內網外聯(lián)屬于“一機兩用”行為，是指公安機關使用的計算機及網絡設備同時連接公安信息網和國際互聯(lián)網等其它外部網絡，也包括斷開公安信息網后接入國際互聯(lián)網或外部網絡。內網外聯(lián)監(jiān)控系統(tǒng)主要是及時發(fā)現(xiàn)、及時阻止這種“一機兩用”的違規(guī)行為，盡可能地減少公安內部網的安全隱患。系統(tǒng)在滿足內網外聯(lián)監(jiān)控的基礎上，附帶一些實用的設備管理和統(tǒng)計功能。

（一）技術路線及方法

通過將網卡設置為混雜模式，可以利用以太網載波偵聽與多路訪問/控制的特點，在內網的任意一個節(jié)點采用Ping掃描、ICMP掃描、UDP掃描等探測技術能夠獲取其它節(jié)點的信息，從而完成整個共享式以太網的監(jiān)測。而在交換型網絡中，交換設備限制了各種掃描所能達到范圍，通過對交換機監(jiān)控端口的接入獲取與所有端口的通信權限，解決交換網絡中網絡監(jiān)測范圍受限的問題。針對子網內的探測，采用ICMP探測技術、TCP掃描技術、UDP探測、Trace route探測可以完成內網拓撲探測和在線主機信息采集。這些從技術上保證了內網外聯(lián)監(jiān)控系統(tǒng)實現(xiàn)的可行性。

（二）內網外聯(lián)監(jiān)控模型設計

內網外聯(lián)監(jiān)控系統(tǒng)采用改進的多級分布式違規(guī)外聯(lián)監(jiān)控模型，如圖2所。

該模型包括四部分，探測端、偵聽端、外聯(lián)探測服務器、隔離器。偵聽端，負責連接互聯(lián)網以及收集回送外聯(lián)探測包；探測端，從外聯(lián)探測服務中獨立出來，實現(xiàn)子網內違規(guī)探側，以及子網內的探測參數(shù)配置管理、違規(guī)外聯(lián)阻斷邏輯；外聯(lián)探測服務器，負責內部網絡整體的探測參數(shù)配置管理、違規(guī)外聯(lián)阻斷邏輯以及探測區(qū)域劃分管理，外聯(lián)服務器對于內部網絡整體探測的管理體現(xiàn)在對各自網探測端的管理及控制中，通過配置及命令實現(xiàn)；隔離器，保證該監(jiān)控系統(tǒng)在內網部分和在外網的部分之間保持網絡隔離和數(shù)據(jù)隔離。

四、結束語

本文對公安高校網的技術策略進行研究，基于研究內容，明確地選擇多級分布式檢測模型作為公安高校網的一種內網外聯(lián)監(jiān)控模型。根據(jù)該模型的設計，可以很好的實現(xiàn)對公安高校網中的內網外聯(lián)情況進行監(jiān)控。

參考文獻：

[1]潘明惠著，信息化工程原理與應用，北京：清華大學出版社，2004.

[2]謝毅平土編，公安信息通信技術教程（下冊），北京：中國人民公安大學出版社，2001.

[3]楊富國土編，網絡設備安全與防火墻，北京：清華人學北京交大版，2005.

[4]萬國平編，網絡隔離與網閘，北京：機械工業(yè)出版社，2004.

[5]熊華等編，網絡安全一取證與密罐，北京：郵電出版社，2003.