◆肖佳朋

(四川警察學(xué)院 四川 646000)

基于安全監(jiān)測的公安信息網(wǎng)應(yīng)用服務(wù)系統(tǒng)設(shè)計(jì)分析

◆肖佳朋

(四川警察學(xué)院 四川 646000)

隨著信息網(wǎng)絡(luò)的不斷普及，以及網(wǎng)絡(luò)信息技術(shù)在各領(lǐng)域中的深入開展，社會對網(wǎng)絡(luò)的依賴性越來越強(qiáng)。對于公安部門而言，公安信息網(wǎng)絡(luò)在日常工作中發(fā)揮著重要的作用。公安信息網(wǎng)上關(guān)鍵應(yīng)用系統(tǒng)的安全、可靠、穩(wěn)定運(yùn)行是公安信息化部門管理工作的重要內(nèi)容。本文從公安信息網(wǎng)應(yīng)用服務(wù)安全監(jiān)測系統(tǒng)出發(fā)，對系統(tǒng)的安全監(jiān)測、報(bào)警處置等進(jìn)行設(shè)計(jì)研究，以全面提高公安網(wǎng)安全監(jiān)測與防護(hù)水平。

公安信息網(wǎng)；安全監(jiān)測；應(yīng)用服務(wù)

0 引言

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展和普及，為信息安全提出了更高的要求，甚至從國家宏觀層面來看，網(wǎng)絡(luò)信息安全已經(jīng)成為關(guān)乎社會穩(wěn)定和國家安全的重要因素。公安信息網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)作為面向社會公眾的網(wǎng)絡(luò)服務(wù)平臺，其安全性至關(guān)重要，因此為保障公安信息網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)安全、穩(wěn)定、可靠地運(yùn)行，本文采用了當(dāng)前最為流行的三層架構(gòu)體系來開發(fā)安全監(jiān)測系統(tǒng)，從而保障公安信息網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)的安全性。

1 系統(tǒng)業(yè)務(wù)分析及需求分析

1.1 系統(tǒng)業(yè)務(wù)分析

結(jié)合我國當(dāng)前公安系統(tǒng)的信息網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)的整體構(gòu)架來看，安全監(jiān)測系統(tǒng)的業(yè)務(wù)結(jié)構(gòu)以公安部為信息中心，連接16個省級公安機(jī)關(guān)信息中心，并在服務(wù)器前部署網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)。網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)以鏡像方式采集省廳信息中心的網(wǎng)絡(luò)流量信息，并實(shí)現(xiàn)對各應(yīng)用服務(wù)平臺的監(jiān)測，比如交管、情報(bào)、綜合查詢、出入境等應(yīng)用服務(wù)系統(tǒng)。安全檢測系統(tǒng)主要布置在信息中心，提供異常行為報(bào)警、處置和信息發(fā)布功能。

整個安全監(jiān)測系統(tǒng)以公安部信息中心為管理區(qū)域，以16個省廳信息中心為監(jiān)測區(qū)域，由3個子系統(tǒng)構(gòu)成，即網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)、集中監(jiān)管系統(tǒng)和報(bào)警處置系統(tǒng)。安全監(jiān)測系統(tǒng)通過幾個主要接口來實(shí)現(xiàn)統(tǒng)一管理，其中網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)提供級聯(lián)上報(bào)、策略統(tǒng)計(jì)、基礎(chǔ)指標(biāo)繼承等接口，集中監(jiān)管系統(tǒng)提供策略制定下發(fā)、遠(yuǎn)程訪問、報(bào)警上報(bào)、報(bào)警采集等接口，報(bào)警處置系統(tǒng)提供報(bào)警采集接口。

1.2 系統(tǒng)功能需求

在本安全系統(tǒng)設(shè)計(jì)中，為實(shí)現(xiàn)系統(tǒng)的整體安全控制管理，采用B/S結(jié)構(gòu)進(jìn)行設(shè)計(jì)，且以業(yè)務(wù)流程為設(shè)計(jì)核心進(jìn)行功能設(shè)計(jì)與開發(fā)。本系統(tǒng)由三個子系統(tǒng)構(gòu)成，其中網(wǎng)絡(luò)流量安全監(jiān)測子系統(tǒng)包括監(jiān)管中心和系統(tǒng)管理兩個功能模塊，監(jiān)管中心需實(shí)現(xiàn)系統(tǒng)監(jiān)測、節(jié)點(diǎn)檢測、安全態(tài)勢分析和應(yīng)用檢測等功能，系統(tǒng)管理則需實(shí)現(xiàn)系統(tǒng)狀態(tài)、系統(tǒng)工具、輸出接口配置、級聯(lián)上報(bào)、日志查詢等功能。網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)通過對各省廳信息中心流量信息的24小時(shí)不間斷檢測來評價(jià)設(shè)備運(yùn)行狀況，一旦發(fā)現(xiàn)網(wǎng)絡(luò)異常，需及時(shí)記錄并報(bào)警。

集中監(jiān)管子系統(tǒng)包含權(quán)限管理、授權(quán)訪問和報(bào)表管理功能模塊，實(shí)現(xiàn)對省廳網(wǎng)絡(luò)進(jìn)行統(tǒng)一監(jiān)測與管理。從功能模塊設(shè)計(jì)來看，需要實(shí)現(xiàn)用戶管理（包括添加、刪除、注冊、修改、角色等）、用戶查詢、授權(quán)訪問、設(shè)備統(tǒng)計(jì)、應(yīng)用統(tǒng)計(jì)、報(bào)警統(tǒng)計(jì)、策略統(tǒng)計(jì)等功能。

報(bào)警處理子系統(tǒng)包含報(bào)警處置和統(tǒng)計(jì)分析兩個功能模塊，需要實(shí)現(xiàn)申請協(xié)助、申請核實(shí)、事件簽收、事件分發(fā)、事件處置、事件類型統(tǒng)計(jì)、事件狀態(tài)統(tǒng)計(jì)、考核統(tǒng)計(jì)等功能。

1.3 系統(tǒng)非功能需求

公安信息網(wǎng)絡(luò)應(yīng)用服務(wù)安全監(jiān)測系統(tǒng)設(shè)計(jì)中不僅需要對功能需求進(jìn)行分析，而且還需對非功能需求進(jìn)行分析。在系統(tǒng)的性能層面，保證系統(tǒng)運(yùn)行的可靠性，支持分級權(quán)限管理，實(shí)現(xiàn)與公安PKI/PMI系統(tǒng)掛接。應(yīng)用系統(tǒng)資源占用合理、能及時(shí)釋放內(nèi)存用與新任務(wù)。系統(tǒng)本身要確保安全性，而且還要考慮到應(yīng)用對象的特點(diǎn)，需具備易用性特征。此外，系統(tǒng)需要滿足漢字處理能力需求，以及數(shù)據(jù)批量導(dǎo)入/導(dǎo)出要求。

2 系統(tǒng)框架設(shè)計(jì)

2.1 系統(tǒng)設(shè)計(jì)思想

與傳統(tǒng)系統(tǒng)相比，在本系統(tǒng)設(shè)計(jì)中安全性是被高度關(guān)注的，因此針對信息安全而采用統(tǒng)一的認(rèn)證、授權(quán)和審計(jì)，并且對必要的信息采用數(shù)字加密，對關(guān)鍵用戶采用數(shù)字證書認(rèn)證其身份。為了保持安全的一致性，在傳統(tǒng)安全系統(tǒng)的基礎(chǔ)上，采用多層、松散的耦合方式來處理各子系統(tǒng)、各層次之間的邏輯關(guān)系，并且將子系統(tǒng)進(jìn)一步劃分為遵循統(tǒng)一規(guī)則的集合，且考慮到各種數(shù)據(jù)入口的一致性，進(jìn)而提升系統(tǒng)建設(shè)、維護(hù)和升級的便捷性。在系統(tǒng)安全保障方面，打破傳統(tǒng)系統(tǒng)的便準(zhǔn)分散模式，而采用唯一尋列編號，實(shí)現(xiàn)端點(diǎn)驗(yàn)證。此外，在設(shè)計(jì)思想上，要具有前瞻性，保障系統(tǒng)的可擴(kuò)充性。

2.2 系統(tǒng)數(shù)據(jù)庫設(shè)計(jì)

根據(jù)安全監(jiān)測系統(tǒng)的設(shè)計(jì)目的和要求，系統(tǒng)數(shù)據(jù)庫在傳統(tǒng)系統(tǒng)的基礎(chǔ)上，增加了流量統(tǒng)計(jì)表、流量節(jié)點(diǎn)表、角色表、新策略分類表等。優(yōu)化設(shè)計(jì)后的ASM系統(tǒng)數(shù)據(jù)庫框架如下所示：

圖1 ASM數(shù)據(jù)庫框架

在ASM數(shù)據(jù)庫框架下共包含27類數(shù)據(jù)表，以其中的角色表為例實(shí)現(xiàn)實(shí)體對象映射介紹對象設(shè)計(jì)，角色表的描述內(nèi)容包含唯一標(biāo)識、角色名稱、角色級別、角色描述、用戶名、密碼、身份證號、用戶類型、城市以及信息處理權(quán)限（0表示只讀，1表示可修改）；又比如信息表的描述內(nèi)容包含設(shè)備編號、設(shè)備名稱、ASM 版本、策略版本、網(wǎng)卡、網(wǎng)段、上報(bào)主機(jī)、單位名稱、聯(lián)系人、設(shè)備編號、聯(lián)系電話、所屬省市、備注等。

2.3 關(guān)鍵接口設(shè)計(jì)

從當(dāng)前公安信息網(wǎng)絡(luò)系統(tǒng)的接口形式來看，各地之間存在標(biāo)準(zhǔn)不一的接口，給系統(tǒng)的整體安全保障和維護(hù)帶了難題，在本系統(tǒng)的設(shè)計(jì)中，關(guān)鍵接口具有易于改動和易于擴(kuò)展的特性，而且接口之間相互隔離，保證系統(tǒng)整體的穩(wěn)定性。在本系統(tǒng)中的諸多功能模塊均存在關(guān)鍵接口，比如外部數(shù)據(jù)導(dǎo)入接口、內(nèi)部數(shù)據(jù)錄入接口、檢測環(huán)路網(wǎng)絡(luò)接口、級聯(lián)上報(bào)接口、策略下發(fā)接口等，本文以級聯(lián)上報(bào)接口為例進(jìn)行設(shè)計(jì)介紹。

在本系統(tǒng)中，級聯(lián)上報(bào)接口共實(shí)現(xiàn)三項(xiàng)功能，即系統(tǒng)信息查詢（包含配置、運(yùn)行、尚未上報(bào)的行為策略報(bào)警及所有策略），查詢出來的數(shù)據(jù)序列化為xml文件，并通過ftp上傳到制定服務(wù)器。級聯(lián)上報(bào)接口周期性地上報(bào)，其整個流程包含定時(shí)統(tǒng)計(jì)、文件上報(bào)、文件解析。

3 系統(tǒng)詳細(xì)設(shè)計(jì)與實(shí)現(xiàn)

在用戶登錄頁面，根據(jù)用戶權(quán)限，將用戶分為兩類，一是普通用戶，只需驗(yàn)證用戶名與密碼，均正確匹配后即可登錄，另一是證書用戶，先對這類用戶進(jìn)行用戶名和密碼的前端校驗(yàn)，然后驗(yàn)證有效證書登錄。用戶登錄校驗(yàn)的流程為：開始→輸入用戶名與密碼→用戶名前端校驗(yàn)（校驗(yàn)成功）→密碼前端校驗(yàn)（校驗(yàn)成功）→數(shù)據(jù)庫校驗(yàn)（校驗(yàn)成功）→獲取資源列表（校驗(yàn)成功）→進(jìn)入系統(tǒng)首頁面→結(jié)束，當(dāng)某一環(huán)節(jié)校驗(yàn)失敗后將返回上一環(huán)節(jié)重新校驗(yàn)。

在用戶登錄校檢結(jié)束之后，直接進(jìn)入系統(tǒng)安全監(jiān)測中心，根據(jù)權(quán)限實(shí)現(xiàn)對安全監(jiān)測中心的操作控制。監(jiān)測中心的主要實(shí)現(xiàn)方式包括：Jfreecbart實(shí)現(xiàn)頁面曲線圖的展現(xiàn)，S2SH實(shí)現(xiàn)功能的實(shí)現(xiàn)，在頁面配置設(shè)備的參數(shù)并發(fā)出請求保存到數(shù)據(jù)庫中，將監(jiān)聽網(wǎng)卡配置好的信息請求修改在服務(wù)器中的文件中，之后重啟監(jiān)聽服務(wù)。應(yīng)用管理模塊則結(jié)合網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)上報(bào)來的各省廳應(yīng)用信息進(jìn)行匯總統(tǒng)計(jì)，并對信息進(jìn)行反饋和處理。這些信息主要包含流量信息、應(yīng)用報(bào)警信息、應(yīng)用系統(tǒng)信息三類。

在優(yōu)化設(shè)計(jì)的公安信息網(wǎng)應(yīng)用服務(wù)安全監(jiān)測系統(tǒng)運(yùn)行過程中，能夠?qū)φ麄€公安信息網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)連續(xù)的信息采集，對數(shù)據(jù)流量實(shí)現(xiàn)24小時(shí)監(jiān)測，通過對流量異常的分析與計(jì)算，及時(shí)報(bào)警并故障處理，這是相對傳統(tǒng)安全系統(tǒng)更為實(shí)用的一項(xiàng)功能。

[1]楊靖玲.公安信息資源共享服務(wù)管理平臺設(shè)計(jì)與實(shí)現(xiàn)[D].四川師范大學(xué)，2014.

[2]吳建國.公安信息網(wǎng)安全保障技術(shù)建設(shè)分析[J].云南警官學(xué)院學(xué)報(bào)，2012.

[3]周奕紅.大數(shù)據(jù)背景下地市級公安信息網(wǎng)安全對策思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[4]郭峰.公安專用網(wǎng)安全風(fēng)險(xiǎn)管理問題研究[D].吉林大學(xué)，2012.