亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        基于動態(tài)策略的移動警務(wù)終端安全管控系統(tǒng)的設(shè)計與實現(xiàn)

        2021-06-30 12:45:12樊志杰鄭長松曹志威
        計算機測量與控制 2021年6期
        關(guān)鍵詞:安全策略服務(wù)端警務(wù)

        樊志杰,鄭長松,曹志威

        (1.上海辰銳信息科技公司 研發(fā)中心,上海 200031;2.公安部第三研究所 信息安全技術(shù)部,上海 200031;3.四川省公安廳 科技信息化總隊,成都 610041)

        0 引言

        移動警務(wù)安全接入平臺主要基于社會移動公網(wǎng)接入公安網(wǎng),便于充分利用公安信息資源,提升案件偵破、逃犯抓捕、人口核查、車輛比對、犯罪打擊和預(yù)防等公安工作的效率。同時,移動警務(wù)應(yīng)用有效地提升了公安干警快速反應(yīng)、綜合作戰(zhàn)的能力,提高公安機關(guān)維護穩(wěn)定、打擊犯罪的水平,也進一步提升公安機關(guān)行政管理和服務(wù)群眾的質(zhì)量,提升公安的形象。

        當前的移動警務(wù)平臺主要通過終端設(shè)備的接入認證和端到端的數(shù)據(jù)加密,實現(xiàn)用戶可信和鏈路安全傳輸。但隨著黑客技術(shù)的不斷變化和安全防護需求的逐步提升,終端自身的安全防護問題日益突出。同時,通過“一機兩用”、外設(shè)端口訪問、應(yīng)用軟件無管控和系統(tǒng)弱口令等帶來的安全隱患也成為了亟待解決的安全問題。鑒于此,基于移動警務(wù)安全標準的終端安全管控系統(tǒng)(TSMS,terminal security management system)將作為重要方式來保障移動警務(wù)平臺的安全。

        《全國公安移動警務(wù)總體技術(shù)方案》中將移動終端依據(jù)安全受控程度,分為增強受控終端、一般受控終端和個人普通終端。其中增強受控終端與一般受控終端中需安裝終端安全軟件即移動設(shè)備安全管控系統(tǒng)。同時,終端安全管控系統(tǒng)應(yīng)事前對安全事件進行報警預(yù)測,對終端主機能夠做到預(yù)先規(guī)范使用行為,能夠準確有效地實現(xiàn)行為可控制、可統(tǒng)計,將管控制度轉(zhuǎn)化為有效的技術(shù)管控系統(tǒng)進行執(zhí)行,從而有效提升整個系統(tǒng)的可管理性和信息安全水平[1-5]。

        現(xiàn)有TSMS系統(tǒng)在使用過程中主要存在以下問題:

        1)開發(fā)TSMS客戶端需要與終端廠商進行大量的適配工作。TSMS客戶端用于接收TSMS后臺控制策略并與手機底層硬件接口耦合,實現(xiàn)控制手機硬件(如藍牙、WIFI等)的開啟或關(guān)閉、終端運行環(huán)境的檢查以及安全日志的上報等功能。

        2)已開發(fā)的TSMS很難進行直接復(fù)用。由于不同終端廠商的系統(tǒng)代碼均基于原生安卓系統(tǒng)進行了個性化定制開發(fā),故不同品牌、型號的終端系統(tǒng)必然存在一定的差異。

        3)TSMS客戶端在實際使用過程中耗電量偏高。由于TSMS客戶端一般是運行在系統(tǒng)應(yīng)用層的獨立程序(APP),必須常駐內(nèi)存,方可接收控制策略并提交系統(tǒng)日志。

        針對上述問題,本文提出并研制一種基于模塊化與動態(tài)策略的移動警務(wù)終端安全管控系統(tǒng),主要優(yōu)勢包括:

        1)降低系統(tǒng)耦合度。減少終端廠商與TSMS應(yīng)用開發(fā)廠商之間的終端適配工作。

        2)提高系統(tǒng)安全性。終端廠商不必對外開放過多的硬件調(diào)用接口,進一步降低系統(tǒng)被非法入侵的可能性。

        3)推進系統(tǒng)標準化。對終端廠商、安全通道廠商以及后臺策略控制系統(tǒng)開發(fā)商之間的數(shù)據(jù)接口進行標準化處理。

        1 系統(tǒng)結(jié)構(gòu)及原理

        依據(jù)公安移動警務(wù)安全接入平臺的網(wǎng)絡(luò)特點,結(jié)合移動安全接入的需求,并按照公安主管部門的有關(guān)管理規(guī)范和建設(shè)要求,本文研制出一套終端安全管控系統(tǒng),簡稱TSMS。主要分為:客戶端、前置服務(wù)端和內(nèi)網(wǎng)服務(wù)端,其系統(tǒng)結(jié)構(gòu)如圖1所示[6-9]。

        圖1 終端安全管控系統(tǒng)結(jié)構(gòu)

        其中,前置服務(wù)端主要部署在前置服務(wù)區(qū)內(nèi),內(nèi)網(wǎng)服務(wù)端主要部署在內(nèi)網(wǎng)管理服務(wù)區(qū)內(nèi)。通過上述系統(tǒng)結(jié)構(gòu)的部署方式,可確保在移動接入?yún)^(qū)和公安內(nèi)網(wǎng)區(qū)有效進行物理隔離的前提下,實現(xiàn)前后置系統(tǒng)配置和安全策略同步,進而有效防止移動終端非法訪問移動接入?yún)^(qū)的應(yīng)用系統(tǒng),降低網(wǎng)絡(luò)風(fēng)險。

        本文研究的終端安全管控系統(tǒng)的策略執(zhí)行原理如圖2所示,其主要通過中心服務(wù)器平臺制定終端Agent代理程序端的安全策略,并通過網(wǎng)絡(luò)下發(fā)到各個終端。Agent代理程序收到安全策略后,對移動終端本地狀態(tài)及用戶行為進行檢測,對不滿足安全策略的狀態(tài)或行為形成審計信息并上報到中心服務(wù)器平臺。最終,管理員通過中心服務(wù)器平臺完成對下屬所有移動終端的統(tǒng)一管理及審計。

        圖2 策略執(zhí)行原理

        2 軟件系統(tǒng)架構(gòu)設(shè)計

        2.1 TSMS軟件設(shè)計整體框架

        根據(jù)建立移動警務(wù)安全管控生態(tài)圈的理念,以及開放、共生、通用的原則,本文將TSMS模塊按部署位置分為移動終端和控制后臺兩個部分,在通信層、數(shù)據(jù)層和應(yīng)用層3個層次劃分成不同的功能維度,最終形成整體解決框架。主要包括以下3個功能模塊[10-13]:

        1)終端安全模塊。主要實現(xiàn)對設(shè)備硬件(如WIFI、移動網(wǎng)絡(luò)等)狀態(tài)監(jiān)控、硬件控制、日志收集等功能。

        2)數(shù)據(jù)傳輸模塊。分為終端通信模塊(部署在終端上)與后臺通信模塊(部署于控制后臺)。終端通信模塊部署在移動終端上,以標準接口的方式與終端安全模塊對接,實現(xiàn)終端控制策略接收、數(shù)據(jù)加密傳輸和終端日志回傳等功能;后臺通信模塊部署于TSMS中,支持多級部署,提供標準通信框架接口,與TSMS后臺策略控制模塊對接,配合終端通信模塊實現(xiàn)高并發(fā)條件下的控制策略數(shù)據(jù)傳輸、日志數(shù)據(jù)接收等功能。

        3)策略控制模塊。與數(shù)據(jù)傳輸模塊間通過標準接口進行對接,實現(xiàn)已制定策略的安全下發(fā)、終端日志獲取,同時實現(xiàn)對已接收的數(shù)據(jù)進行分析處理、深度挖掘、集中動態(tài)展示等功能。

        圖3 TSMS軟件設(shè)計整體框架

        2.2 TSMS內(nèi)部軟件設(shè)計框架

        本文提出的終端安全管控系統(tǒng)其內(nèi)部可抽象為上層應(yīng)用、接口層及功能層,通過各層之間的相互封裝調(diào)用,為用戶提供統(tǒng)一的用戶界面,并為系統(tǒng)的擴展進行保留。

        圖4 實現(xiàn)表示圖

        終端安全管控系統(tǒng)中心服務(wù)器平臺內(nèi)部結(jié)構(gòu)如圖5所示。

        圖5 中心服務(wù)器平臺內(nèi)部結(jié)構(gòu)

        移動筆記本Agent代理程序內(nèi)部結(jié)構(gòu)如圖6所示。

        圖6 移動筆記本Agent代理程序內(nèi)部結(jié)構(gòu)

        智能手機Agent代理程序內(nèi)部結(jié)構(gòu)如圖7所示。

        圖7 智能手機Agent代理程序內(nèi)部結(jié)構(gòu)圖

        所提移動警務(wù)終端安全管控系統(tǒng)的界面設(shè)計如圖8所示。

        圖8 系統(tǒng)首頁原型圖

        3 關(guān)鍵技術(shù)設(shè)計與實現(xiàn)

        3.1 安全管控策略設(shè)計

        本文提出的移動警務(wù)終端安全管控系統(tǒng)主要在中心服務(wù)器平臺制定安全策略,并將安全策略下發(fā)到移動終端,相應(yīng)的規(guī)則包括[14]:

        1)全局安全規(guī)則管理。用于對系統(tǒng)中應(yīng)用到移動終端主機或證書用戶的安全規(guī)則進行集中管理,包括添加、編輯、復(fù)制、刪除規(guī)則以及刷新規(guī)則等。

        2)全部終端安全事件管理。用于對系統(tǒng)所有移動終端觸發(fā)并上報的安全事件進行集中管理,包括查看事件詳細、導(dǎo)出事件備份以及對事件進行搜索等。

        3)網(wǎng)絡(luò)訪問規(guī)則控制。用于設(shè)置終端主機的網(wǎng)絡(luò)訪問規(guī)則,從而最大程度的保證系統(tǒng)網(wǎng)絡(luò)正常有序地運行。

        4)違規(guī)外聯(lián)行為檢測。用于檢測當前用戶是否接入互聯(lián)網(wǎng),如果發(fā)現(xiàn)用戶移動終端接入互聯(lián)網(wǎng)則立即進行斷網(wǎng)處理,防止移動終端發(fā)生“一機兩用”行為。

        5)外設(shè)端口訪問控制。用于設(shè)置終端主機指定外設(shè)端口的可用狀態(tài),從而保障網(wǎng)絡(luò)數(shù)據(jù)安全。本系統(tǒng)支持對移動硬盤(U盤)、軟盤、CD/DVD刻錄機、串行口(COM口)、并行口(LPT口)、打印機、USB控制器外設(shè)端口的管理,且不可更改。

        6)違規(guī)軟件主動卸載。用于防止終端側(cè)違規(guī)使用的軟件,并對發(fā)現(xiàn)的違規(guī)軟件進行主動卸載。

        7)應(yīng)用程序白名單。用于設(shè)置終端可以可用的軟件或指定供應(yīng)商提供的軟件,系統(tǒng)會對白名單中設(shè)定的內(nèi)容進行自動放行,對未在白名單中設(shè)定的內(nèi)容進行阻止。

        8)強力終止進程功能。用于對終端主機運行的,且在規(guī)則配置中的進程進行強力終止,從而保證終端主機不能運行非法進程。

        9)非法網(wǎng)站(頁)訪問控制功能。用于對終端主機訪問非法網(wǎng)站(頁)的情況進行管理,非法網(wǎng)站(頁)可以根據(jù)需要進行配置。

        10) 防病毒軟件檢測功能。用于對終端主機常見防病毒軟件安裝情況進行檢測,并對未安裝任何常見防病毒軟件的客戶端進行安全預(yù)警。

        11)網(wǎng)絡(luò)防火墻檢測功能。用于對終端主機網(wǎng)絡(luò)防火墻軟件安裝情況進行檢測,并根據(jù)配置對沒有安裝指定防火墻軟件之一的主機進行安全預(yù)警。

        3.2 安全管控功能實現(xiàn)

        本文提出的TSMS系統(tǒng)的主要功能包括[15]:

        1)統(tǒng)一管理:系統(tǒng)通過在移動終端(智能手機、移動筆記本)上部署專有的客戶端軟件,實現(xiàn)對各移動終端設(shè)備安全和行為的統(tǒng)一管理和規(guī)范。

        2)資源訪問控制:對移動終端的各類資源訪問行為進行全面的控制和審計,包括網(wǎng)絡(luò)訪問行為、打印機訪問行為和外設(shè)端口使用行為等。

        3)數(shù)據(jù)安全保護:系統(tǒng)針對移動終端的運行使用特點,提供移動終端本地數(shù)據(jù)保護功能,控制和審計終端本地文件和網(wǎng)絡(luò)數(shù)據(jù)的訪問行為。

        4)終端安全狀態(tài)檢測:對移動終端自身的各種安全狀態(tài)進行檢查和加固,主動防止安全狀態(tài)不符合要求的移動終端接入網(wǎng)絡(luò)。

        5)系統(tǒng)綜合審計:將各移動終端相關(guān)資產(chǎn)、違規(guī)行為等信息統(tǒng)一上報至管理平臺并進行分類,提供各項安全功能的檢查結(jié)果、終端用戶行為的匯總報表,實現(xiàn)對移動終端各種安全狀態(tài)及事件的全面審計。

        6)客戶端安全:客戶端與操作系統(tǒng)進行緊密結(jié)合,使用者在軟件安裝后無法擅自卸載客戶端,保證了系統(tǒng)實施的效果。

        7)客戶端安裝功能:系統(tǒng)部署簡單,提供獨立的客戶端安裝包,安裝便捷。

        8)客戶端引擎功能:客戶端于后臺運行無需任何工作界面,并采用事件驅(qū)動機制和休眠機制,使任何具體事務(wù)的處理不影響移動終端使用者的工作,既不浪費移動終端本身的資源,同時基于事件觸發(fā)的高效工作模式最大可能地降低了對網(wǎng)絡(luò)資源的使用。

        9)基于IE的管理功能:采用IE瀏覽器作為其管理界面,在具體工作中方便管理員在網(wǎng)絡(luò)可達的地點登陸系統(tǒng),進行管理。

        4 系統(tǒng)應(yīng)用實施方案

        4.1 運行環(huán)境

        1)硬件環(huán)境:本系統(tǒng)運行所需要的硬件環(huán)境如表1所示。

        表1 設(shè)備硬件環(huán)境

        2)軟件環(huán)境:本系統(tǒng)運行所需要的軟件環(huán)境如表2所示。

        表2 設(shè)備軟件環(huán)境

        4.2 應(yīng)用實施方案

        TSMS系統(tǒng)采用旁路模式部署于網(wǎng)絡(luò)拓撲中,前置服務(wù)端部署于移動警務(wù)安全接入平臺的移動接入?yún)^(qū),內(nèi)網(wǎng)服務(wù)端部署于移動警務(wù)安全接入平臺的公安內(nèi)網(wǎng)區(qū),網(wǎng)絡(luò)中其它設(shè)備的配置信息不需要進行修改。終端安全客戶端軟件分別安裝于移動Windows終端和Android終端,在鏈路中VPN接入網(wǎng)關(guān)建立通道后,終端安全管理前置服務(wù)端自動檢測與終端安全管理系統(tǒng)內(nèi)網(wǎng)服務(wù)端的通信情況,自動獲取安全策略,接受統(tǒng)一管控[16-18]。具體部署如圖9所示。

        圖9 網(wǎng)絡(luò)部署示意圖

        本文提出的部署方案在保障移動警務(wù)安全接入方面具有以下特點[19-21]:

        1)前后置服務(wù)端模式。在移動接入?yún)^(qū)和公安內(nèi)網(wǎng)區(qū)有效進行物理隔離的前提下,實現(xiàn)前后置系統(tǒng)配置和安全策略同步,有效防止移動終端非法訪問移動接入?yún)^(qū)的應(yīng)用系統(tǒng),降低網(wǎng)絡(luò)安全風(fēng)險。

        2)安全策略“脫網(wǎng)”執(zhí)行。當移動終端首次通過VPN接入網(wǎng)關(guān)成功建立通道后,終端安全管理客戶端自動到前置服務(wù)端進行安全策略下載,并保存于移動終端本地自動執(zhí)行。實現(xiàn)移動用戶在未連接VPN接入網(wǎng)關(guān)的前提下也能安全訪問前置應(yīng)用。

        3)同時支持Windows終端和Android終端。安全管理客戶端同時支持對移動筆記本和智能手機進行管理,適應(yīng)用戶需同時管控智能手機和移動筆記本的需求,降低了管理復(fù)雜度。

        4)詳細的資源訪問控制。對移動終端的本地軟硬件資源以及網(wǎng)絡(luò)資源進行了嚴格限制,可以通過管理平臺對移動終端的資源使用進行控制。

        5)全面監(jiān)測和預(yù)防控制。對各移動終端用戶的違規(guī)訪問、操作行為進行全面監(jiān)測和預(yù)防,準確及時地進行審計。

        6)客戶端防卸載。當移動終端按照要求安裝完成終端安全管理客戶端后,用戶無法手動卸載,確保移動終端環(huán)境的安全環(huán)境不變,同時配合VPN客戶端做校驗檢測,若移動終端沒有安裝終端安全管理客戶端,則VPN客戶端無法啟用,禁止撥號連接。

        5 結(jié)束語

        移動警務(wù)安全接入平臺自2006年起即進行試點建設(shè)工作并逐步完善,平臺的建設(shè)有效提升了公安干警快速反應(yīng)和綜合作戰(zhàn)的能力,提升了公安機關(guān)行政管理和服務(wù)群眾的質(zhì)量,但是移動警務(wù)終端所處環(huán)境復(fù)雜、部分終端會與公安網(wǎng)進行數(shù)據(jù)交互,存在通過終端入侵公安網(wǎng)的安全風(fēng)險。本文提出的移動警務(wù)終端安全管控系統(tǒng)采用前后置服務(wù)端模式,通過在服務(wù)端平臺制定各種安全策略,實現(xiàn)安全策略下發(fā)到移動終端執(zhí)行,各移動終端將相關(guān)資產(chǎn)、違規(guī)行為等信息統(tǒng)一上報至管理平臺進行綜合審計,實現(xiàn)了詳細的資源訪問控制,對各移動終端用戶的違規(guī)訪問、操作行為進行全面監(jiān)測和預(yù)防。同時,本文提出的基于模塊化架構(gòu)的移動警務(wù)終端安全管控系統(tǒng),有效地解決了客戶端開發(fā)與終端廠商的適配對接工作,并且提高了客戶端軟件自身的安全性、軟件開發(fā)效率和可復(fù)用性等。

        猜你喜歡
        安全策略服務(wù)端警務(wù)
        基于認知負荷理論的叉車安全策略分析
        基于飛行疲勞角度探究民航飛行員飛行安全策略
        云存儲中基于相似性的客戶-服務(wù)端雙端數(shù)據(jù)去重方法
        新時期《移動Web服務(wù)端開發(fā)》課程教學(xué)改革的研究
        淺析涉密信息系統(tǒng)安全策略
        在Windows Server 2008上創(chuàng)建應(yīng)用
        HIV感染的警務(wù)預(yù)防與處置
        警務(wù)實戰(zhàn)訓(xùn)練教學(xué)中開設(shè)
        警用直升機的作用及在我國警務(wù)實戰(zhàn)中的應(yīng)用
        警務(wù)專用手機ZD-P1
        久久伊人中文字幕有码久久国产 | 亚洲中文高清乱码av中文| 亚洲精一区二区三av| 窝窝午夜看片| 免费一级毛片在线播放不收费| 日韩女优一区二区视频| 日本一区二区三区光视频| 九九久久自然熟的香蕉图片 | 怡春院欧美一区二区三区免费| 精品无码人妻久久久一区二区三区 | 亚洲欧洲日本精品| 精品中文字幕手机在线| 国产亚洲精品久久情侣| 免费毛片a线观看| 亚洲区小说区图片区| 免费观看在线一区二区| 国产二区中文字幕在线观看 | 色94色欧美sute亚洲线路二| 久久久久久亚洲AV成人无码国产| 亚洲成人色黄网站久久| 精品国产一区二区三区三| 国产98在线 | 日韩| 1000部拍拍拍18勿入免费视频下载| 久久99老妇伦国产熟女高清| 亚洲福利二区三区四区| 无码区a∨视频体验区30秒| 夜色阁亚洲一区二区三区| 性色av成人精品久久| 国产91色综合久久高清| 中文字幕乱码熟女人妻水蜜桃| 精品无码国产污污污免费网站| 产精品无码久久_亚洲国产精| 国产激情自拍在线视频| 欧美激情在线播放| 少妇激情av一区二区| 日本一区二区三区看片 | 欧美成人精品a∨在线观看| 国模欢欢炮交啪啪150| 欧美专区在线| 一级a免费高清免在线| 色与欲影视天天看综合网|