某市公安局公安网边界接入平台(部门间信息共享平台、视频接入链路)建设方案
某市公安局公安网边界接入平台(部门间信息共享平台、视频接入链路)
建设方案
目录
1建设背景 (5)
2业务需求 (7)
2.1项目现状 (7)
2.2共享平台需求 (7)
2.2.1功能需求分析 (7)
2.2.2性能需求分析 (8)
2.2.3安全需求分析 (9)
2.2.4管理需求分析 (10)
2.2.5扩展需求分析 (10)
2.3视频接入需求 (10)
2.3.1功能需求分析 (10)
2.3.2性能需求分析 (11)
2.3.3安全需求分析 (11)
2.3.4管理需求分析 (12)
2.3.5扩展需求分析 (12)
3总体设计 (13)
3.1设计目标 (13)
3.2设计思想 (13)
3.3设计依据 (13)
3.4总体架构设计 (14)
3.4.1安全体系 (14)
3.4.2体系结构 (15)
3.5监测与管理区设计 (19)
3.5.1探针及监管功能设计 (19)
3.5.2级联监控管理设计 (20)
4总体方案 (21)
5功能设计 (23)
5.1共享平台功能设计 (23)
5.1.1查询比对类 (23)
5.1.2数据交换类 (23)
5.1.3Web访问类 (25)
5.2视频接入功能设计 (25)
6安全设计 (27)
6.1共享平台安全设计 (27)
6.1.1查询比对类 (27)
6.1.2数据交换类 (28)
6.1.3Web访问类 (28)
6.2视频接入安全设计 (29)
6.2.1数据接收 (29)
6.2.2数据检查 (30)
6.2.3数据传输 (30)
6.2.4数据转发 (30)
6.2.5授权访问 (31)
7管理设计 (32)
7.1监管功能 (32)
7.2级联功能 (34)
8设备介绍 (35)
8.1可信边界安全网关 (35)
8.2网络数据交换 (36)
8.3视频安全接入系统 (36)
8.4集中监控与审计系统 (38)
9共享平台功能 (39)
9.1共享平台架构 (39)
9.2内、外网门户网站 (41)
9.2.1单点登陆 (41)
9.2.2统一用户管理 (41)
9.2.3页面定制 (41)
9.2.4信息公告 (42)
9.2.5应用导航 (42)
9.2.6应用统计 (42)
9.3内、外网应用服务系统 (43)
9.3.1可视化业务配置器 (43)
9.3.2标准的Web 服务接口 (43)
9.3.3信息查询 (43)
9.3.4数据核查 (44)
9.3.5数据比对 (44)
9.3.6数据上传下载 (44)
9.3.7共享痕迹留存 (44)
9.3.8数据权限控制 (45)
9.3.9服务门户定制 (45)
9.3.10监控与管理 (45)
9.4数据采集系统 (46)
9.5数据集成系统 (47)
9.6平台管理监控系统 (49)
9.6.1注册管理 (49)
9.6.2用户管理 (49)
9.6.3监控与审计 (49)
9.6.4查询统计 (51)
9.7扩展功能设计 (51)
10共享平台数据处理设计 (53)
10.1数据库设计 (53)
10.2数据标准管理 (53)
10.3数据处理过程 (54)
10.4数据采集 (55)
10.4.1数据采集方式 (55)
10.4.2数据采集流程 (56)
10.5数据信息整合 (56)
10.6数据信息共享 (57)
11共享平台运行环境 (58)
11.1.1软件环境设计 (58)
11.1.2硬件环境设计 (58)
1建设背景
随着贵州省某市公安局公安信息化建设的不断深入开展,公安机关对外交换和共享信息的接入业务需求日益强烈。结合自身公安信息化建设现状和发展需要,减少重复投资,建设贵州省某市公安局部门间共享平台(以下简称“共享平台”),满足公安机关通过公安信息通信网开展对外数据交换、查询比对、Web访问等工作需要。通过共享平台的建设为部门间信息共享等业务提供集中的安全运行基础设施,实现对接入业务的注册、监控与审计等安全管理,保障共享平台与公安信息通信网的安全。
共享平台是金盾工程二期重点建设的“三大平台”之一,公安部《关于稳步开展公安信息资源共享服务工作的通知》(公信通[2007]187号)及《关于“部门间信息共享与服务平台”建设应用的指导意见》(公科信[2012]19号)的要求,共享平台的核心功能主要包括两个方面:一是方便可靠地获取外部信息,将其它政府部门、社会单位向公安机关提供的信息传输到共享平台上,并根据公安业务应用的需要将相关信息转送到公安信息网内加以综合应用;二是安全可控地对外提供信息服务,将需要对外共享的信息从公安信息网内抽取同步到共享平台上,以应用接口、web访问、数据交换等方式对外提供信息共享服务。共享平台应严格按照《公安信息通信网边界接入平台安全规范(试行)》的要求进行网络互连和安全运行。
同时某市公安机关可利用的视频监控资源越来越多,但出于安全和应用方面的考虑,外网及社会专网视频资源没有接入公安内网,由此造成使用上的不便和资源的浪费。现在某市公安局为实现“资源共享、互联互控”、“视频监管一网控”,需依据公安部《公安信息通信
网边界接入平台安全规范(试行)--视频接入部分》建设视频接入链路。通过该链路的建设满足外部视频资源与公安网视频资源有机联网、整合共享,并且有效管理、灵活调用,同时满足下列需求:实时观看外网视频监控探头信息、实现对外网视频监控探头的控制、对视频接入业务进行集中监控、管理与审计。
本方案中术语和定义与《公安信息通信网边界接入平台安全规范》(简称《安全规范》)、《关于稳步开展公安信息资源共享服务工作的通知》(公信通[2007]187号)、《关于“部门间信息共享与服务平台”建设应用的指导意见》(公科信[2012]19号)、《公安信息通信网边界接入平台安全规范(试行)--视频接入部分》一致。
2业务需求
2.1项目现状
为了满足社会面与公安信息通信网进行信息采集与交换的业务需求。贵州省某市公安局已经建设了边界接入平台中的社会企事业接入链路、党政军机关接入链路、公安驻地外接入链路,该边界接入平台解决了公安边界接入业务的部分业务需求,取得了良好效益,发挥了重要作用。
随着某市公安局信息化建设的发展,现需要建设贵州省某市公安局部门间共享平台以及视频接入链路,主要增加公安机关及直属单位对外数据交换、查询比对、Web访问业务,以及外网视频资源安全接入公安内网,以满足日益增长业务需求。
2.2共享平台需求
2.2.1功能需求分析
贵州省某市公安局共享平台主要需要对党政军部门和经批准的党政军用户等接入对象提供查询比对、数据交换和Web访问等功能。
上述接入对象采用专线安全线路方式与贵州省某市公安局共享平台进行链接,在接入链路上不采用其他非安全的接入链路方式(如无线、互联网链路等),从链路层面保障共享平台的安全性。
查询比对功能通过数据交换方式实现其他部门、机构等对共享平台内的公安信息资源进行安全查询及比对功能,及时返回查询比对结果,并同时支持单条和批量的查询比对业务。
数据交换功能通过数据交换方式采集其他部门、机构的批量数据;通过数据交换向其他部门、机构提供批量数据。数据交换支持的数据类型包括:结构化数据库数据、非结构化数据(以文件型为主)等。
Web访问功能指的是经批准的党政军用户通过政法数字证书,以授权访问方式访问共享平台内对外开放的Web网站(页)等。
2.2.2性能需求分析
某市公安局共享平台性能需求主要体现在数据流量、关键设备性能和平台整体性能等方面,在满足性能要求的同时,具备一定的容量扩展性。
数据流量:其中查询比对类业务服务总流量要求为1000笔/秒,数据交换类业务预计业务流量为400Mbps,Web访问类业务预计业务流量为400Mbps。
关键设备性能:关键性安全设备在整个共享平台中发挥着重要的安全重用,其中查询比对类业务具有数据包小、并发大、延时低的特点,同时考虑突发大并发情况,关键安全设备的并发连接数应达到40万以上,最大并发连接数应大于50 万。
平台整体性能需保障平台基本性能及以后的扩展性,平台所有链路,尤其是数据交换链路需采用双千兆带宽,关键设备均采用千兆级以上设备。确保数据交换链路上的数据交换系统及网闸在不影响传输性能和数据传输质量的前提下,在支持多个接入业务的同时进行数据交换。
某市公安局共享平台在业务峰值时段,各设备的CPU、内存利用率低于70%。共享平台在满足数据量、并发连接数和链路带宽等要
求的同时不影响平台整体传输性能和数据传输质量,并预留一定的扩展性。同时,共享平台需要确保接入业务的可靠性和稳定性,在紧急状态下,应具备一定处突及部分应用优先处理的能力。
2.2.3安全需求分析
安全需求主要体现在接入终端安全需求、服务器安全需求、网络安全需求、应用安全需求和数据安全需求等方面。
接入终端安全:对查询比对类、数据交换类业务的接入终端进行备案登记,支持对接入终端进行安全状况检测,防止安全不达标的终端设备接入。在Web访问类接入终端上安装终端安全监控和“一机两用”客户端,对接入终端的外设、进程等加强安全管理以及对接入终端的违规外联加强安全监测。
服务器安全:为确保共享平台内重要服务器自身的强壮性和安全性,对这些服务器都进行必要的安全加固或安全加强。
网络安全:共享平台在网络层划分不同的安全域,不同安全域间具有明显的边界,采用必要的安全隔离设备,对接入平台与公安信息通信网之间进行安全隔离。可采用VPN方式对数据或链路进行加密以对信息安全有特殊需求的信息传输进行安全保障。同时,共享平台应对平台内应用服务进行网络级访问控制,并对病毒木马、黑客入侵、抗DDoS攻击、漏洞扫描、异常流量等网络安全威胁具有监测和防护能力。
2.2.4管理需求分析
贵州省某市公安局共享平台是个复杂的安全系统,为了更好的发挥平台作用,保护公安网内资源安全,满足对共享平台的运行维护,需对共享平台进行有效的管理。
根据共享平台运行管理要求,依据“统一接入管理、统一运行监控、统一安全审计、统一策略部署”的原则。
对共享平台所有传输信息实现集中安全监测和审计,对各类异常报警信息进行分析。
对共享平台中的各类安全事件进行及时发现和定位,控制并消除各类安全威胁和隐患。
对共享平台进行集中监控和审计管理,实现注册审核、平台运行、设备维护、报警处臵、审计分析、数据通报等一系列管理功能,提供监控平台整体运行状况服务。
2.2.5扩展需求分析
共享平台是一个复杂的系统,接入业务是个逐步接入的过程。共享平台方案需具备可扩展性。在满足基本要求的前提下,主要满足平台在性能、功能、业务数、应用种类及存储等方面的扩展和延伸。2.3视频接入需求
2.3.1功能需求分析
某市公安局公安信息通信网视频接入业务主要是实现公安外网视频资源经视频接入链路安全可靠接入公安内网,实现从公安内网授权访问外网视频资源。该类业务具有以下特点:
实时监控:公安内网用户实时浏览外部视频信息;
探头控制:内网终端可操控外部的探头,使探头上下左右移
动,前后调节,以观察不同范围;
视频调阅:公安用户调阅外部视频服务器上的存储的历史视
频信息。
2.3.2性能需求分析
视频接入链路在性能上必须满足某市公安局视频接入业务的接入要求,主要体现在链路带宽、同时在线的用户数、业务数和网络吞吐量等方面。
2.3.3安全需求分析
视频信息接入在外部与公安内网进行信息传输的同时,将面临许多安全问题,如原来利用外网发动攻击的黑客也有可能通过伪装视频流方式传输蠕虫、木马等病毒,进而攻击内网;一些用户试图通过接入通道访问非授权资源;内网中某些中病毒的计算机,可能将内部人口及治安等重要且敏感信息泄露出去,进而直接影响公安工作的正常开展。
为此,视频接入链路通过采用视频安全接入系统,针对视频码流和视频信令的不同特性,在安全性上采用不同的策略,实现视频控制信令双向传输,视频数据单向传输,为视频接入提供了一条安全、高效的接入通道,保证了视频信息安全、可靠地传输。
2.3.4管理需求分析
根据公安网视频安全接入的运行管理要求,提供对视频接入应用和运行情况的监测、审计和管理,实现外网视频资源安全可靠的采集进入公安内网。
2.3.5扩展需求分析
视频接入链路是个逐步接入的过程,需具备可扩展性。主要需满足链路在性能、功能、业务数、应用种类等各方面的扩展和延伸。
3总体设计
3.1设计目标
针对共享平台各类业务与视频接入需求,设计一个技术先进、安全可靠、切实可行、管理方便的安全技术方案。建设贵州省某市公安局共享平台与视频接入链路,保障公安网的保密性、完整性和可用性,接入业务的可管理性、可控性;保障视频资源的有机联网、整合共享、有效管理、灵活调用;保障边界接入公安网的安全,以及相关网络和信息资源的安全;同时保障边界接入工作的高效稳定运行,解决和提高公安业务工作、信息共享、服务的能力和水平。
3.2设计思想
根据实际情况,充分认识到安全在边界接入中的重要性,正确处理发展与安全的关系,综合平衡成本与效益,建立安全、可靠、实用的贵州省某市公安局部门间信息共享平台和视频安全接入链路。
3.3设计依据
本方案依据以下文件或规范设计:
《关于印发<公安信息通信网边界接入平台安全规范(试行)>
的通知》(公信通[2007]191号);
《关于稳步开展公安信息资源共享服务工作的通知》(公信通
[2007]189号);
《关于做好社区和农村警务室接入公安信息网安全工作的通
知》(公信通[2007]15号);
《关于进一步加强公安信息通信网日常安全管理工作机制建设的通知》(公信通传发[2008]109号);
《关于公安信息通信网边界接入平台建设有关问题的通知》(公信通传发[2008]296号);
《关于“部门间信息共享与服务平台”建设应用的指导意见》(公科信[2012]19号);
《公安信息通信网边界接入平台安全规范(试行)--视频接入部分》。
3.4 总体架构设计
共享平台与视频接入链路依据《安全规范》,主要基于三重防护体系、两个基础设施的安全体系,构建路由接入区、边界保护区、安全隔离区、安全监测与管理区等五个不同的安全区域,构成分区域、分层次的纵深安全防御体系。
3.4.1 安全体系
接入平台安全体系设计由三重防护体系设计、两个基础设施设计构成。
公安PKI/PMI 基础设施
安全监测与管理基础设施链路与网络通信安全应用区域边界安全
应用环境安全
图3-1接入平台安全体系图
三重防护体系设计:即应用环境安全设计、应用区域边界安全设计和网络通信安全设计。
应用环境安全设计:即确保终端和用户来源可信、可监控设计,操作系统安全加固设计,关键应用程序安全设计。
应用区域边界安全设计:主要涉及网络及应用系统边界安全方面,通过身份认证、访问控制技术,确保对应用系统的访问是通过细粒度控制下的合法访问者。
链路与网络通信安全设计:主要涉及链路及网络安全方面,采用数据机密性与完整性保护技术,建立端到端传输的安全机制。
两个基础设施设计:即公安PKI/PMI基础设施,安全监测与管理基础设施。
公安PKI/PMI基础设施设计:实施公安数字身份证书的产生、管理、存储、分发和撤销等功能,是实现接入平台身份认证、授权管理、访问控制策略等安全机制的基础。
安全监测与管理基础设施设计:实现整个平台的安全监测、管理与运行维护。
3.4.2体系结构
3.4.2.1共享平台体系结构
根据需求分析及公安部相关规范的要求,贵州省某市公安局共享平台在体系结构设计上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成,如下图:
图3-2边界接入平台体系结构图
3.4.2.1.1路由接入区
该区域实现各个外部链路与接入平台间连接。
该区域主要安全功能为:实现路由访问控制,将来自不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。
3.4.2.1.2边界保护区
该区域主要实现对接入平台的边界保护。
该区域主要安全功能为:实现网络级身份认证、访问控制和权限管理,数据机密性和完整性保护,防御网络攻击和嗅探。
3.4.2.1.3应用服务区
该区域主要处理各类与应用相关的操作,是公安网对外信息发布、信息采集、数据交换的中间区域。
该区域主要安全功能为:作为外部终端网络连接的终点,实现应用级身份认证、访问控制、应用代理、数据暂存等功能,防止对公安
网的非法访问和信息泄露。对此区域,应加强对服务器等设备的安全保护,应具有病毒、木马防护功能,防止病毒传播与非法控制。
3.4.2.1.4安全隔离区
该区域实现公安网与应用服务区的安全隔离与信息交换。
该区域主要安全功能为:实现公安网与应用服务区的安全网络隔离,根据安全策略,对出入公安网的数据分别进行协议剥离、格式检查和过滤,实现公安网和应用服务区之间的安全数据交换,保障公安网的安全。
3.4.2.1.5安全监测与管理区
该区域实现整个接入平台的安全监测、管理与维护。
该区域主要安全功能为:对接入平台运行情况进行安全监测与审计,对接入平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等;对接入平台内网络设备、安全设备进行配臵管理及日常运行维护,补丁升级、漏洞扫描与病毒防范。
3.4.2.2视频接入体系结构
根据视频安全接入的业务需求及公安部相关规范的要求,视频安全接入链路在体系结构上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成。如图所示:
图3-3视频接入链路体系结构图
3.4.2.2.1 路由接入区
该区域实现各个外部接入链路与视频安全接入链路前端设备的连接。
该区域主要安全功能为:实现路由访问控制,将来自不同接入对象或不同外部链路的数据流按照相关安全策略加以区分。
3.4.2.2.2 边界保护区
该区域主要实现对边界接入平台视频安全接入链路的边界保护。 该区域主要安全功能为:实现网络级身份认证、访问控制和权限管理,数据机密性和完整性保护,防御网络攻击和嗅探。
3.4.2.2.3 应用服务区
该区域主要处理各类与应用相关的操作,是公安信息通信网对外信息发布、信息采集、数据交换的中间区域。
该区域主要安全功能为:作为外部终端网络连接的终点,实现应用级身份认证、访问控制、应用代理、数据暂存等功能,防止对公安
接入对象视频监控系统
专线路由接入区边界保护区应用服务区安全监测与管理区
公安
视频
终端公安
PKI/PMI
系统
外部接入链路边界接入平台视频接入链路公安信息通信网安全隔离区安全隔离设备视频用户认证服务器视频控制信令和数据视频控制信令和数据视频控制信令和数据视频数据视频控制信令视频控制
信令和数据视频接
入认证
服务器视频控制信令和数据
信息通信网的非法访问和信息泄露。对此区域,应加强对服务器等设备的安全保护,应具有病毒、木马防护功能,防止病毒传播与非法控制。
3.4.2.2.4安全隔离区
该区域实现公安信息通信网与应用服务区的安全隔离与信息交换。
该区域主要安全功能为:实现公安信息通信网与应用服务区的安全网络隔离,根据安全策略,对出入公安信息通信网的数据分别进行协议剥离、格式检查和过滤,实现公安信息通信网和应用服务区之间的安全数据交换,保障公安信息通信网的安全。
3.4.2.2.5安全监测与管理区
该区域实现整个视频安全接入链路的安全监测、管理与维护。
该区域主要安全功能为:对视频接入链路的运行情况进行安全监测与审计,对接入平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等;对视频接入链路内网络设备、安全设备进行配臵管理及日常运行维护,补丁升级、漏洞扫描与病毒防范。该区域对视频安全接入链路运行安全监测与审计的功能统一由“集中监”控管理与审计系统实现。
3.5监测与管理区设计
3.5.1探针及监管功能设计
贵州省某市公安局共享平台与视频接入链路的监测与管理区域主要实现对本级平台整体运行状况的集中监管、安全审计、注册管理与级联监控等功能。
3.5.2级联监控管理设计
按《安全规范》要求,需对共享平台与视频接入链路进行级联监控。通过部、省、市三级平台级联监控体系提供各边界接入平台的运行维护情况、日常业务流量、安全状况等动态信息,为深入分析接入平台及业务运行状态与安全趋势提供依据。
依据级联的统一规范和接口,在部、省、市三级边界接入平台间逐步开展和实现主动双向式监管。上级边界接入平台可通过监控级联接口,主动监测下级边界接入平台中各关键节点的各种详细基础数据。同时,部、省、市三级单位关于接入平台业务管理流程也通过此监控接口来实现双向的信息交互等。
某公安局网络扩容改造项目需求
附件: 大庆市公安局网络扩容改造项目需求 一、现状 按照省厅公安网络统一升级改造方案,我市萨尔图、龙南、龙凤、红岗、大同五个分局和四个县局做为三级网节点直接接入市局,带宽20M,而其它15个分局与交警支队、消防监督处、监管处、警校只能做四级接入点,分别接到三级网节点,带宽2M。 今年我市被评为全国城市报警与监控系统建设22个试点城市之一,按照系统建设目标,年底前,重要的道路、卡口、重点单位、场所和80%居民小区监控点将联入公安网。社会面的报警和视频监控信号在互联网组建的VPN上传输,然后通过千兆网闸进入公安网,实现在公安网任意点实时查看各点视频监控信号以及历史信号,因此对网络带宽要求很高。 同时,随着全省“五通工程”(语音专线“所、队通工程”、交互式电视电话会议“县、区通工程”、桌面视频培训系统“所、队通工程”、刑事案件远程视频会商系统“县、区通工程”、110可视指挥调度系统“县、县通工程”的开展和全市警务综合平台的广泛应用,各分、县局的视频信息、公安数据信息量大大增加,2M带宽已经远远不能满足现有的需求,无法实现视频会议、语音电话功能。为实现15个分局和4个部处支队数据、视频和语音的正常传输,需对现有公安网络进行扩容、改造。
网络改造是为了警务工作提供良好运行环境,随着网络带宽的提高,网上应用不断加大,信息中心将在网上为全市提供人口信息、案件信息、交警车辆信息、驾驶员信息、外管信息、警员信息、旅馆业信息和地理信息等主要的公安业务信息,其中很多数据是我局多年积累下来的业务数据,是极其珍贵的无形资产。针对信息中心数据的重要性和实时性,为保证数据的精确性和24×7的可用性和安全性,避免出现数据的意外丢失造成无可挽回的损失,在有效的利用现有资源的情况下,升级改造现有网络存储设备,建立数据存储、备份恢复体系。 二、目标 网络升级改造完成后,网络系统能达到如下目标: 网络带宽升级后,解决公安业务、视频会议、语音电话的正常使用,保证各种数据传输质量。网络升级后,同时进行QOS配置,保证公安业务的数据带宽。 通过这次升级改造后,存储系统应当达到如下目的: 对IBM FAST-600、联想212磁盘阵列进行合理扩容,使整体存储容量达到10T。解决方案要达到在IBM FAST-600、联想212磁盘阵列及新购存储设备之间,实现灵活的存储空间分配,如原先存在IBM FAST-600的数据因为存储空间的不足,能够把需要存储的数据存储到光纤磁盘阵列上和其它设备上。 备份软件实现对系统、数据库的实时备份,能对任意表空间实施按时间、增量、完全等备份和灾难恢复功能。
公安局网络安全方案
某公安局网络安全方案 (建议稿) 一、某公安局网络现状 某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道,实现机关局域网络全部节点及终端设备的网络互联和系统集成,实现以信息交换,信息发布为主的综合计算机网络应用环境,为公安局管理、领导决策提供先进的技术支持手段。 整个某公安局网络通过统一的出口,64K的DDN专线接入上级省厅及全国各地公安网站,网络主干网通过一个Motorla(S520)路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网,两个子网通过路由器连接。在逻辑上,某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个,规模较大。 某公安局现有网络的拓扑结构见图一所示。 某公安局网络已经有了比较成熟的应用,包括WWW服务,Mail服务,DNS服务等的一些其他应用,如内部信息等,也已经转移到网络应用之上的Web应用主要是用于内部信息的管理,应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。 某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。 以上是某公安局网络及其应用的现状。 二、某公安局网络安全需求分析
某公安局网络系统现在的Web应用主要是用于公安局内部信息管理,因而存在着强烈的安全需求。 网络安全的目标是保护和管理网络资源(包括网络信息和网络服务)。 网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次,在不同层次上的安全需求如上图所示。 某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面:网络层安全需求、应用层安全需求和安全管理需求。 目前第一期解决网络层安全需求 1. 网络层安全需求 网络层安全需求是保护网络不受攻击,确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的,包括: ●隔离内外部网络; ●实现网络的边界安全,在网络的入出口设置安全控制;
公安通信网边界接入规范
公安信息通信网边界接入平台安全规范 一、公安信息通信网边界接入业务 1.1、接入业务:向外提供信息服务和接收外部信息的业务 1.2、接入对象:社会企事业单位、党/政/军机关、公安机关驻地外接入业务(1)社会企事业单位接入业务: 旅店业、印章业、印刷业、银行、保险、电信运营商等 (2)党/政/军机关接入业务: 各级党委、法院、检察院、安全、司法、海关、军队、武警、中央、省级政法委等。 (3)公安机关驻地外接入业务: 社区警务室接入、农村警务室接入、政府办公大厅接入。 1.3、接入业务的操作方式:数据交换和授权访问。 (1)数据交换 指以文件、数据库、流媒体等方式进行信息共享与交换的过程,该类操作方式一般不要求与公安信息通信网进行实时交互。 (2)授权访问 指持不同的公安数字身份证书交互式访问公安信息通信网的过程,该类操作实时性要求较高。
1.4、公安身份认证与访问控制管理系统(PKI/PMI) 全网策略统一的身份认证和访问控制管理 二、公安信息通信网边界接入平台 2.1、通则(保密性、完整性、可用性、可控性、可管理性、可扩展可维护性)(1)保密性 要保证信息在边界接入过程中不被非法获取 (2)完整性 要保证信息在边界接入过程中不被篡改 (3)可用性 保证各类接入业务在边界接入过程中公安信息通信网及接入平台的安全正常运行。 (4)可控性 能够监控和审计接入平台及接入业务运行情况,当发生违规或异常情况时,能够及时发现、报警并处理。 (5)可管理性 对接入平台的方案设计、建设、运行整个过程能够管理和监控,具有规范合理的接入业务流程,纳入三级信息中心日常运行管理。 (6)可扩展性、可维护性
某公安局网闸应用建议方案
一.需求分析 某公安局网络安全报警处置中心发现网络犯罪、处置网络犯罪虚拟与现实之间架起的一座安全桥梁。报警处置中心可以对党政机关、金融机构、新闻媒体、能源交通、邮电通信、科研院所、大专院校、军工企业等重要领域的计算机信息系统,实施远程实时在线监测。对病毒侵蚀、黑客攻击、破坏系统以及其他网络违法犯罪行为,将实现实时预警、报警、应急响应和现场控制,打击网络犯罪有了一张无形有质的巨网。将24小时不间断接受来自网络的报警。报警者只需在该网站填写一张“报警单”(包括报警人的姓名、联系方法、报警内容等信息),而这些信息对外则完全保密。如何保护内部数据的安全是目前一个很重要的问题。 2.某公安局网络的网络现状 某公安局网络现在的网络拓扑图: 2.1 网络结构说明 某公安局报警处置中心网和公安内网通过交换机组实现了网络的互联。 3、某公安局网络隔离与信息交换建设需求 鉴于现有的网络状况,依据我某公安局信息化建设的规划,此次建设应达到以下目标:
某公安局网闸使用建议方案 2 1、从管理和技术角度上,建立多层安全体系,保证局域网信息和各应用 系统的安全性、保密性。同时在保持报警处置中心网和公安内网物理隔离的同时, 进行适度的、可控的的数据交换。保护某公安局内部网络的安全,实现隔离,防 止外网黑客的攻击。 2、实现报警处置中心网服务器和公安内网服务器之间的数据交换 3、对某公安局各个部门人员文件交换、上网进行身份认证控制,并实现 分组管理。 4、详细记录每个人员工通过网闸文件交换、上互联网及邮件传输日 志,做到有案可查。 4、某公安局网络隔离与信息交换设计拓扑图 根据对某公安局网络建设需求分析,我们提出某公安局网络隔离与信息建设 方案。根据某公安局的网络安全需求,我们在改变原结构情况下做统一平台管理 规划。改造后的总体网络拓扑结构图: 我们把TIPTOP 物理隔离网闸内口联接某公安局报警处置中心网中心交换机, 网闸外口连接某公安局电子政务交换机。通过网闸实现了某公安局报警处置中心与 某公安局公安内网的隔离,但也可以实现一定安全度上的数据交换。通过TIPTOP 网闸,某公安局报警处置中心网和公安内网的服务器能够进行数据交换。TIPTOP 网 闸还实现了对某公安局报警处置中心网和公安内网各部门文件交换身份认证与管 理。
雪亮工程系统总体设计
雪亮工程系统总体设计 1.1 设计理念 1.1.1分级分类按需接入 对社会视频资源的整合,按照应整必整、按需联网的思路,对二类视频监控点和确有必要联网接入的三类视频监控点,要求在确保安全的条件下,分级分类分批次逐步接入和共享。对未整合的视频资源强化备案。 建设市、县(区、市)两级社会视频接入平台,县(区、市)级社会视频接入平台用于接入汇聚县直机关、县级重点单位以及本县(区、市)辖区需联网的公共区域视频资源、社会单位视频资源和社会群众自建视频资源等不同类型、不同链路、不同技术要求的社会视频监控资源。市级社会视频接入平台级联各县级社会视频接入平台,并接入市直机关、市级重点单位视频监控资源,可管理、监看本市所有社会视频监控视频信息。 社会视频资源整合接入应严格遵循最新颁布的国家标准《公共安全视频监控联网系统信息传输、交换、控制技术要求》(GB/T 28181-2016)的相关要求,通过部署视频接入网关、联网网关等多种兼容接入产品,解决技术兼容性问题,实现社会面多维异构监控技术体系与GB/T28181技术体系的互通接入,同时对异构视频格式和信令格式进行国标化转换,使得传入到公安视频专网和网的视频流符合GB/T 28181标准。 1.1.2可信可控安全联网 构建社会视频接入网,独立于公安视频专网之外运行,专用于汇接社会单位视频监控资源,并通过视频安全网闸实现与公安视频专网间的物理隔离和数据安全交换共享,保证公安视频专网的网络边界安全,确保不因外部网络的接入产生安全风险。
充分考虑社会视频资源接入时的安全性,根据社会视频资源的类型和承载网络情况,采用安全接入盒子、社会资源接入终端等产品,实现前端各类复杂网络的安全透明接入,打通与社会资源接入网间的安全传输通道,实现视频图像信息的安全加密传输,并保证不改动原有网络,不影响社会单位原有系统及应用。 同时,采用入侵防御、漏洞扫描、WEB防护、安全审计等多种安全措施,保证社会视频接入平台的系统应用安全,确保视频图像数据不会发生外泄。 1.1.3一机一档加强管控 建立社会视频资源的基础档案库,为各类在线、离线社会视频监控点位建立详细、完备的点位“户籍档案”,形成社会资源的一机一档,实现对社会视频资源前端点位的规化管理,全面掌握重点单位和重点部位视频监控系统建设数量、质量和点位布局,提升公安机关对社会视频资源的管控能力。并通过对基础档案数据的统计分析为后续社会公共安全视频监控前端点位规划、点位分布、平台建设、业务应用等提供决策依据。 针对社会视频接入平台建设对应的运维系统和机制,对联网的社会视频前端点位和平台设备进行统一高效运维监控,保障资源和系统的可用性。 1.1.4资源共享惠民服务 发挥社会视频接入平台集约性作用,在全市围根据公安、城管、交通、环保等各职能机构对视频监控资源的应用需求给予相应的操作权限。从而达到社会视频监控资源的集中控制、统一管理、鉴权转发,实现社会视频监控资源的最大化应用。同时探索社会视频资源在交通路况服务、校园视频服务、社区视频服务、旅游景点视频服务等方面的便民惠民应用。
公安局网络安全方案
公安局网络安全方案 TPMK standardization office【 TPMK5AB- TPMK08- TPMK2C- TPMK18】
某公安局网络安全方案 (建议稿) 一、某公安局网络现状 某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道,实现机关局域网络全部节点及终端设备的网络互联和系统集成,实现以信息交换,信息发布为主的综合计算机网络应用环境,为公安局管理、领导决策提供先进的技术支持手段。 整个某公安局网络通过统一的出口,64K的DDN专线接入上级省厅及全国各地公安网站,网络主干网通过一个Motorla(S520)路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网,两个子网通过路由器连接。在逻辑上,某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个,规模较大。 某公安局现有网络的拓扑结构见图一所示。 某公安局网络已经有了比较成熟的应用,包括WWW服务,Mail服务,DNS服务等的一些其他应用,如内部信息等,也已经转移到网络应用之上的Web应用主要是用于内部信息的管理,应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。
某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。 以上是某公安局网络及其应用的现状。 二、某公安局网络安全需求分析 某公安局网络系统现在的Web应用主要是用于公安局内部信息管理,因而存在着强烈的安全需求。 网络安全的目标是保护和管理网络资源(包括网络信息和网络服务)。 网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次,在不同层次上的安全需求如上图所示。 某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面:网络层安全需求、应用层安全需求和安全管理需求。
韶关市公安信息网边界接入平台系统建设和检测项目
韶关市公安信息网边界接入平台系统建设和检测项目一、项目概述 本项目为市公安边界接入平台,包括: 一是构建市级边界接入平台。按照边界安全接入的规范要求,采取区分链路安全防御的方法,构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。 二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求,建设边界接入平台的集中监控和审计系统。 二、项目内容 根据接入对象不同,边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。 三、技术要求 基本技术要求 1)平台建设方案要完全符合公安部颁发的《公安信息通信网边界接入安全规 范》要求; 2)平台安全体系满足三重防护体系和两个基础设施的安全要求; 3)平台集中监控与审计系统支持部/省/市三级接入平台体系; 4)平台的关键设备:可信边界安全网关、数据交换系统、集中监管与审计系统 通过公安部指定的公安部等级评估保护中心的权威检测,并经公安部同意在全国公安信息通信网边界接入平台建设中广泛使用。边界接入平台其他产品也应是获得公安部销售许可的产品。
功能要求 1)投标人必须严格按照公安部关于安全接入平台建设的有关文件《公安信息通 信网边界接入平台安全规范》的边界接入平台要求实施项目建设,并负责将所有设备按照公安部对边界接入平台的建设要求进行项目集成。 2)平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务(社会企事 业单位接入、党政军机关接入、公安驻地外接入)完整功能的平台,外部网络接入业务上,需覆盖包括社会企事业单位接入、党政军机关接入和公安驻外地接入等各种业务的安全接入。 3)可信边界安全网关实现用户身份认证,与公安PKI/PMI系统同一厂商,支持 证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性; 4)可信边界安全网关实现设备认证,依据设备注册登记信息对通过专线、VPDN 拨号等各种线路方式接入的终端设备进行认证,保证接入设备的合法性; 5)可信边界安全网关可以根据边界接入的需要,设置角色,指定相应的资源访 问权限,防止非授权访问和越权访问; 6)可信边界安全网关基于角色、权限分配,设置细粒度访问控制策略,达到非 法用户不能访问,合法用户不能越权访问的目的; 7)可信边界安全网关实现传输保护,与客户端之间使用SSL协议对通信过程进 行加密和完整性保护,保证数据传输的安全性; 8)数据交换系统可实现不同类型文件、数据库间的同步和交换,如Oracle 数 据库、SQL Server数据库、DB2、SYBASE等,能够设置一对多数据同步,多对多数据同步,支持全表双向同步.支持数据库增删改同步。
公安网络信息安全及其防范措施研究
公安网络信息安全及其防范措施研究 摘要随着信息网络时代的到来,在一定程度上致使我国公民的个人信息安全遭受巨大的调整。为此,公安机关在信息网络时代,我国公民个人信息安全面临严峻挑战。公安机关不仅通过对个人信息违法犯罪行为的严厉打击,强有力的运用法律手段保护了公民的个人信息,并且其网络执法在某些特殊情况下会与公民个人信息保护权之间产生一定的冲突,为此需要正常处理二者关系,强化公安网络执法的个人信息的保护,采取一系列行之有效的防范措施刻不容缓。 关键词公安网络;信息安全;防范措施 公安部门在建设网络系统时首当其冲需要考虑的问题为公安网络信息安全问题,即确保信息不受破坏,在规定时间与权限内提供一定的确定服务来保证质量,涉及面逐渐从保护数据安全逐渐向保证交易、服务安全层面扩大。公安网络是独立于互联网的专用网络,借助物理的方式可以与外部互联网隔离,近年来随着金盾工作的开展,其覆盖范围越来越广,三级联网已经实现,并且与全国公安一级网互联,应用环境非常复杂。在这种情况下,若内部人员操作不当都极易泄露或破坏信息,严重情况下还会对全国的资源进行访问,从而极大地威胁到信息资源的安全。建立健全公安网络信息安全防护体系在一定程度上可以为网络的安全运行提供重要的保障,技术是保证,管理则是基础,二者相辅相成、相互联系。 1 技术措施 1.1 防火墙技术 这是一种在现代通信网络和信息安全技术基础上发展起来的安全技术,具有很强的应用性,在局域网与专用网络中普遍比较适用,该系统主要在网络边界部署,能够有效控制安全访问和隔离边界,从而实现对攻击行为的防范,如下图1。 1.2 入侵检测技术与系统 该技术可以站在若干个关键点基础上实现对信息的收集与分析,如计算机网络与系统等,从而有助于及时发现违反安全策略的行为或入侵迹象,在此基础上可以按照既定策略完成对相应措施技术的制定[1]。 1.3 安全审计系统 该系统在完整的安全框架中占据重要地位,是一个必不可缺少的环节,位置在入侵检测系统之后,是防火墙和入侵检测系统的补充,能够将时间跨度很大的长期攻击特征等某些特殊IDS不能检测行为的检测,同时可以将任何时间的入侵行为进行记录和再现,能够实现取证的目的,另外,一些没有被发现或未知的入侵行为模式可以及时提取出来。
韶关市公安信息网边界接入平台系统建设和检测项目
韶关市公安信息网边界接入平台系统建设和检测项目 一、项目概述 本项目为市公安边界接入平台,包括: 一是构建市级边界接入平台。按照边界安全接入的规范要求,采取区分链路安全防御的方法,构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。 二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求,建设边界接入平台的集中监控和审计系统。 二、项目内容 根据接入对象不同,边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。 三、技术要求 3.1基本技术要求 1)平台建设方案要完全符合公安部颁发的《公安信息通信网边界接入 安全规范》要求; 2)平台安全体系满足三重防护体系和两个基础设施的安全要求; 3)平台集中监控与审计系统支持部/省/市三级接入平台体系; 4)平台的关键设备:可信边界安全网关、数据交换系统、集中监管与 审计系统通过公安部指定的公安部等级评估保护中心的权威检测,
并经公安部同意在全国公安信息通信网边界接入平台建设中广泛使 用。边界接入平台其他产品也应是获得公安部销售许可的产品。3.2功能要求 1)投标人必须严格按照公安部关于安全接入平台建设的有关文件《公 安信息通信网边界接入平台安全规范》的边界接入平台要求实施项 目建设,并负责将所有设备按照公安部对边界接入平台的建设要求 进行项目集成。 2)平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务(社 会企事业单位接入、党政军机关接入、公安驻地外接入)完整功能 的平台,外部网络接入业务上,需覆盖包括社会企事业单位接入、 党政军机关接入和公安驻外地接入等各种业务的安全接入。 3)可信边界安全网关实现用户身份认证,与公安PKI/PMI系统同一厂 商,支持证书链认证,支持证书撤销列表(CRL)下载、验证,保证 接入用户身份的合法性; 4)可信边界安全网关实现设备认证,依据设备注册登记信息对通过专 线、VPDN拨号等各种线路方式接入的终端设备进行认证,保证接入 设备的合法性; 5)可信边界安全网关可以根据边界接入的需要,设置角色,指定相应 的资源访问权限,防止非授权访问和越权访问; 6)可信边界安全网关基于角色、权限分配,设置细粒度访问控制策略, 达到非法用户不能访问,合法用户不能越权访问的目的;
公安局综合信息网络建设方案
南溪县公安局综合信息网络建设方案 一、网络建设原则: 1、网络的建设应满足公安业务的需要。 2、整个网络的建设按照局领导提出的先进、科学、实用、省钱原 则,并充分考虑扩展性、开放性和可管理性。 3、网络建设应符合四川省公安厅和宜宾市公安局的要求,按统一 的领导、规划和标准建设。 二、网络建设的目标: 1、完成本局机关内的简局域网,使本局内各业务科室及派出所能 上公安专网,实现信息共享。 2、完成局机关的主页网站,实现本局内管理的信息化,办公信息 的网上发布,实现简单的网上办公。 3、建立本局机关的文件交换系统,使本局各个科室和派出所相互 之间实现网上的文件交换。 4、通过本次建设,可实现: ?本局各业务科室及派出所等其它部门与市局、省厅各相关上级单位的连接和网上文件交换。 ?可实现局机关的综合信息发布,包括通知公告、工作动态、案件通报、公安简报、公安新闻、队伍建设、图片新闻、大事记、软件下载、警官论坛等。 ?电子邮件系统。
?公安要情信息系统。 ?每日治安警情信息系统。 三、市局综合信息网总体设计方案 根据公安局的实际情况和经费,我们推荐以下解决方案: 1.网络部分: 网络体系结构 采用客户/服务器(Client/Server)和浏览器/服务器(Brower/Server)。 网络协议 TCP/IP协议。 局域网结构 采用第三层交换和快速以太网相结合的结构。 局机关简单布线 遵循IBDN综合大楼布线系统规范进行设计。整个大楼的布线系统为物理星型拓扑结构。主干采用100M系统。水平布线子系统,即各楼层信息点,采用IBDN超五类8芯4 对非屏蔽双绞线连接各信息点,以支持数据传输,最高数据传输速率可达155Mbps。 市局局域网方案 市局信息中心机房位于局办公楼。配置一台第三层交换机,将市局信息中心及各业务处室划分为不同的网段。第三层交换机建议用安奈特AT-8724(24端口10M/100M)。用安奈特AT-8024交换机(配置24端口10M/100M)做为工作组交换机,在办公楼2-5层各配一台连接各业务科室信息点。 广域网方案 采用2M连接市局。设备采用省厅统一订购的三级网设备。广域网设备与局域网之间通过10/100M Ethernet联接。 派出所及移动用户的接入 配置一个拨号访问服务器,安奈特AT-AR720+2*AT-AR024(8个异步访问端口,外接Modem池)完成派出所及移动用户的拨号连接。派出所须添置一台56K Modem,实现拨号上网。(该设备在二
政府单位公安网络技术方案
公安网络技术方案 本方案是针对XX公安厅公安系统的需求而设计的,在方案书的结构上,分为: 概述 网络需求分析 网络设计原则 网络模型定义 网络系统设计 网络安全设计 网络可靠性设计 网络管理 厂商及产品选择 产品实现 本方案是一个解决方案,目的是从用户的需求出发,提出解决实际问题的方案。为避免成为一个“技术白页”或“产品手册”。在方案书中没有作过多的技术描述,产品也是在最后提出的。如对技术或产品的详细情况感兴趣,可参考符录中的技术介绍和产品介绍。 1.1 需求分析 随着公安厅的业务和应用程序对网络带宽的不断增加,目前的网络已不在适应当前业务的需求。因此建立一个统一、高效的网络平台、建立新的网络主干,提高网络的整体带宽;保护原有投资,同时确保能平滑的向更新技术迁移是公安厅计算机信息网络系统面临的迫切任务。
1.2 网络设计原则 根据XX公安厅网络系统的需求分析,以及XX公安厅网络系统的规划,我们提出以下实施原则: 实用性与先进性原则: 网络实施应本着实用与先进的原则,一方面能满足应用系统的数据传输要求,为各信息点提供网络传输服务。另一方面,又要体现出网络系统的先进性。一般来说,越是先进的技术价格越高。全方位的使用先进的新式产品是不合理的,因此,在网络实施中要把先进的技术与现有的成熟技术结合起来,充分考虑到XX公安厅的实际情况,在先进性与经济性的中间选出一个平衡点。 高性能原则: 网络是应用系统的平台,网络的性能直接影响到整个系统的性能。随着电子技术的发展,计算机的处理能力越来越强,个人电脑的不断升级,而桌面系统的网络速度从10Mbps 刚刚升级到现在的100M。其发展速度远远落后于计算机的处理能力的发展。另一方面,网络上的设备也越来越多,应用也越来越复杂,使网络的性能成为应用系统的性能瓶颈。特别是XX公安厅网络系统的节点比较多,对网络中心节点的性能要求较高。因此,网络实施应在实用性原则的基础上,针对不同的应用,提供较好的性能。 可靠性原则 网络在应用系统中扮演了极重要的角色,它的稳定可靠是应用系统运行的保证。目前几乎所有的应用系统都离不开网络,一但网络崩溃,整个系统就会处理瘫痪状态,这可能会带来不可估计的损失,特别是在公安机构的网络系统中,更要提供百分之百的可靠保障。因为可靠性实现很大程度上是依靠设备冗余和线路冗余来保证的,与之密切相关的是投资额度和对冗余设备的使用率。可靠性、投资额、设备使用率三者是互相影响、互相制约的因素,一个设计良好的网络方式,应该是三者的综合平衡。 安全原则 随着国民经济信息化的迅速发展,网络信息系统对安全的要求越来越高,尤其自Internet /Intranet应用发展以来,信息系统的安全已经涉及到国家主权等许多重大问题。在公安业务系统涉及到许多国家的安全机密,安全保证是公安网络系统的重要一环。在网络设计中要对相关的网络设备、主机系统、应用数据库提供严密的保护,同时又不能影响到应用系统的功能和使用,对性能的影响也要尽量降到最小。
城市电动车智能定位管理方案
城市电动车智能定位通用安全管理 项目方案 设计单位:XXXXX有限公司 建设单位:XXX科技有限公司 2018年8月
一、项目概述 1、项目背景 近年来,随着市场经济的日益活跃,交通运输能力的不断提高,电动车由于其环保、快捷、方便的特点,已深受消费者的喜爱,但因为电动车的法律属性界限不清,缺乏有效的管理手段,电动车行驶的交通秩序与安全问题、盗抢电动车辆的案件问题日益突出,不仅给电车车辆驾乘人员的财产造成了重大损失与威胁,同时由于机动车没有登记备案,有的人到案追不到脏,有的查到可疑车但查不到人等问题,使一些案件破获、车辆收缴之后无法返还给失主,给执法办案工作带来许多难题。 另一方面,机动车作为城市一个“流动文明窗口”,通过这个“窗口”一方面反映出一个城市的交通系统的发展水平,另一方面也反映出一个城市乃至一个国家社会精神文明和科技发展的整体水平。由于生存环境改变开始出发,建立“高效、统一、灵敏、安全”的城市机动车智能管理系统对于人/车的安全保障、减少城市电动车盗窃案发生、解决社会治安热点等方方面面问题。 2、项目意义 2.1 加强对城市电动车管理力度 针对电动车无效管理、交通违章、偷盗等时有发生,可通过物联网实现车、牌、人车合一,结合公安天网系统进行实时管控,查处交通违章行为,同时也可保障车主的合法权益。 交通违章主要体现在交通逆行引发的行车安全稳定性,城市电动车乱串导致的危险情况,以及在红绿灯十字路口随意穿行导致的人车生命财产安全问题。 2.2 提高电动车辆偷盗的破案率、打击偷盗团伙、降低案发率 利用物联网技术可实现为公安部门提供精准有效的技术支持电动车偷盗按 键侦破,有力的打击偷盗行为,降低案发率。 2.3 有利于流窜犯、通缉要犯的发现与抓捕
韶关市公安信息网边界接入平台系统建设和检测项目
韶关市公安信息网边界接入平台系统建设和检 测项目 文件编码(008-TTIG-UTITD-GKBTT-PUUTI-WYTUI-8256)
韶关市公安信息网边界接入平台系统建设和检测项目一、项目概述 本项目为市公安边界接入平台,包括: 一是构建市级边界接入平台。按照边界安全接入的规范要求,采取区分链路安全防御的方法,构建集边界保护、身份认证、应用安全、安全隔离和平台自身安全防护等功能的边界接入平台。 二是建设边界接入平台监控和管理系统。按照统一接入管理、统一应用审计、统一运行监控、统一策略部署的要求,建设边界接入平台的集中监控和审计系统。 二、项目内容 根据接入对象不同,边界接入业务划分为社会企/事业单位接入、党/政/军机关接入和公安驻地外用户接入方式。 三、技术要求 基本技术要求 1)平台建设方案要完全符合公安部颁发的《公安信息通信网边界接入安全规 范》要求; 2)平台安全体系满足三重防护体系和两个基础设施的安全要求; 3)平台集中监控与审计系统支持部/省/市三级接入平台体系; 4)平台的关键设备:可信边界安全网关、数据交换系统、集中监管与审计系 统通过公安部指定的公安部等级评估保护中心的权威检测,并经公安部同 意在全国公安信息通信网边界接入平台建设中广泛使用。边界接入平台其 他产品也应是获得公安部销售许可的产品。
功能要求 1)投标人必须严格按照公安部关于安全接入平台建设的有关文件《公安信息 通信网边界接入平台安全规范》的边界接入平台要求实施项目建设,并负 责将所有设备按照公安部对边界接入平台的建设要求进行项目集成。 2)平台必须实现涵盖数据交换和授权访问两类应用、三类接入业务(社会企 事业单位接入、党政军机关接入、公安驻地外接入)完整功能的平台,外 部网络接入业务上,需覆盖包括社会企事业单位接入、党政军机关接入和 公安驻外地接入等各种业务的安全接入。 3)可信边界安全网关实现用户身份认证,与公安PKI/PMI系统同一厂商,支 持证书链认证,支持证书撤销列表(CRL)下载、验证,保证接入用户身份的合法性; 4)可信边界安全网关实现设备认证,依据设备注册登记信息对通过专线、 VPDN拨号等各种线路方式接入的终端设备进行认证,保证接入设备的合法 性; 5)可信边界安全网关可以根据边界接入的需要,设置角色,指定相应的资源 访问权限,防止非授权访问和越权访问; 6)可信边界安全网关基于角色、权限分配,设置细粒度访问控制策略,达到 非法用户不能访问,合法用户不能越权访问的目的; 7)可信边界安全网关实现传输保护,与客户端之间使用SSL协议对通信过程 进行加密和完整性保护,保证数据传输的安全性;
公安局视频专网安全建设方案
1视频专网建设现状 近年来,公安视频专网的建设规模正在不断扩大,专网前端的IP接入设备(如IPC、RFID等)的种类与数量正在不断上升,这些前端设备被广泛应用于治安管理、交通疏导等领域,与国计民生息息相关;同时,如人脸对比、车辆识别、大数据分析、警用地理等核心业务,也正向公安视频专网迁移,目前的公安视频专网事实上已经成为一张承载海量终端与海量数据的物联网。 公安视频专网的重要性正在不断提升,随之而来的安全问题也日益凸显,一旦出现黑客攻击、数据窃取等事件,将有可能造成治安管理失控、交通管制失效、敏感信息泄漏、LED屏幕倒流信息篡改等后果,严重危害社会稳定。 与此相对的是,由于点多面广,大部分的公安视频专网无法部署有效的安全策略,前端设备与后端业务基本处于直连状态,大量无人值守的接入终端被黑客利用成为攻击源。攻击者可利用分散在社会各处的接入设备接入到整个网络中,对核心业务系统展开攻击,甚至窃取保密信息。因此,如何解决来自于前端IP设备的安全风险成为了公安视频专网安全体系建设的突出问题。 当前视频专网安全问题已经上升到国家层面,发改委、中央综治办、公安部等九部委联合下发《关于加强公共安全视频监控建设联网应用工作的若干意见》,要求加强视频监控系统安全防护能力,严格安全准入机制;10月初的全国政法委视频电话会议上,孟书记也多次强调了网络安全建设的重要性;省公安厅也在9月份警示视频专网存在的安全风险。
2视频专网存在的风险 目前,全国各地公安系统的视频专网及专网中的应用系统基本处于“裸奔”状态,没有任何的安全防护措施和手段,同时使用的操作系统和应用系统存在 大量的高危漏洞,导致视频专网存在如下风险: 1、前端摄像头接入交换机无法监控管理,存在非法终端接入风险; 2、前端智能终端接入网络带来病毒和木马入侵风险; 3、视频专网为开放式网络,安全设备部署较少,接入网可直接访问服务器网络; 4、视频专网中存在多个业务系统,业务系统之间无访问控制策略; 5、操作系统、业务系统、网络系统存在大量的漏洞,可被不法分子进行利用; 6、视频专网无法做到专网专用,存在非法业务数据,影响视频监控图像质量; 一旦攻击者通过前端摄像机渗透到视频专网中来,可对系统进行大范围严 重破坏,极有可能对当前的正常电子业务工作造成灾难级影响,业务数据无法 快速恢复,造成智能交通指挥瘫痪,指挥中心失去“眼睛”,卡口系统失效, 违法抓拍停滞,违法档案删除,阻止智能布控应用,监控视频被不法分子使用,恶意追踪公民、车辆轨迹造成隐私泄露,诱导发布平台发布反动言论等等严重 的后果,社会影响层面巨大。 针对前端设备的准入控制不仅要求设备接入可信,也要求设备行为可控, 因此要求在实施准入控制时,必须能够同时识别前端设备的身份,并有效管控 传输的数据的合法性。此外,由于公安视频专网点多面广、性能要求高,在准 入控制方案设计时,必须考虑部署及性能问题。以上要求是传统的安全设备难
某市公安局公安网边界接入平台(部门间信息共享平台、视频接入链路)建设方案
某市公安局公安网边界接入平台(部门间信息共享平台、视频接入链路) 建设方案
目录 1建设背景 (5) 2业务需求 (7) 2.1项目现状 (7) 2.2共享平台需求 (7) 2.2.1功能需求分析 (7) 2.2.2性能需求分析 (8) 2.2.3安全需求分析 (9) 2.2.4管理需求分析 (10) 2.2.5扩展需求分析 (10) 2.3视频接入需求 (10) 2.3.1功能需求分析 (10) 2.3.2性能需求分析 (11) 2.3.3安全需求分析 (11) 2.3.4管理需求分析 (12) 2.3.5扩展需求分析 (12) 3总体设计 (13) 3.1设计目标 (13) 3.2设计思想 (13) 3.3设计依据 (13) 3.4总体架构设计 (14) 3.4.1安全体系 (14) 3.4.2体系结构 (15) 3.5监测与管理区设计 (19) 3.5.1探针及监管功能设计 (19) 3.5.2级联监控管理设计 (20) 4总体方案 (21) 5功能设计 (23) 5.1共享平台功能设计 (23) 5.1.1查询比对类 (23) 5.1.2数据交换类 (23) 5.1.3Web访问类 (25) 5.2视频接入功能设计 (25) 6安全设计 (27) 6.1共享平台安全设计 (27) 6.1.1查询比对类 (27) 6.1.2数据交换类 (28) 6.1.3Web访问类 (28) 6.2视频接入安全设计 (29) 6.2.1数据接收 (29) 6.2.2数据检查 (30) 6.2.3数据传输 (30) 6.2.4数据转发 (30)
6.2.5授权访问 (31) 7管理设计 (32) 7.1监管功能 (32) 7.2级联功能 (34) 8设备介绍 (35) 8.1可信边界安全网关 (35) 8.2网络数据交换 (36) 8.3视频安全接入系统 (36) 8.4集中监控与审计系统 (38) 9共享平台功能 (39) 9.1共享平台架构 (39) 9.2内、外网门户网站 (41) 9.2.1单点登陆 (41) 9.2.2统一用户管理 (41) 9.2.3页面定制 (41) 9.2.4信息公告 (42) 9.2.5应用导航 (42) 9.2.6应用统计 (42) 9.3内、外网应用服务系统 (43) 9.3.1可视化业务配置器 (43) 9.3.2标准的Web 服务接口 (43) 9.3.3信息查询 (43) 9.3.4数据核查 (44) 9.3.5数据比对 (44) 9.3.6数据上传下载 (44) 9.3.7共享痕迹留存 (44) 9.3.8数据权限控制 (45) 9.3.9服务门户定制 (45) 9.3.10监控与管理 (45) 9.4数据采集系统 (46) 9.5数据集成系统 (47) 9.6平台管理监控系统 (49) 9.6.1注册管理 (49) 9.6.2用户管理 (49) 9.6.3监控与审计 (49) 9.6.4查询统计 (51) 9.7扩展功能设计 (51) 10共享平台数据处理设计 (53) 10.1数据库设计 (53) 10.2数据标准管理 (53) 10.3数据处理过程 (54) 10.4数据采集 (55) 10.4.1数据采集方式 (55) 10.4.2数据采集流程 (56)
有关某公安局视频会议的解决方案
有关某公安局视频会议的解决方案 重庆市高新公安局成立于1998年11月,辖区面积23平方公里,现有民警240名,下设政治处、办公室、后勤科等13个科队所,同时代管消防处。该局建立之初,面临警力严重不足,治安秩序比较混乱,加之在征地拆迁和国企改革中产生的诸多矛盾问题,同时这里化工企业多,高层建筑多,道路窄,这些特点无疑给公安机关在突发事件的应急处理上带来了难度,因此公安局急需建立一套适合自身特点的应急处理机制。 为改进公安行政管理,提高行政效率,服务经济社会发展。高新区公安局加大信息化建设措施,诸如区保安组织建设、电视监控系统、旅店业报警系统、银行业报警系统、110快速接处警系统的建设不断完善,加大分局打击力度,使辖区的局面大为改观。 如今,该公安局在原有信息化建设上又增加了一套视频会议系统。视维视频会议的成功使用,有效的提高了指挥决策的效率,突出了信息化优势,并应付一些突发事件或特殊情况。遇到紧急场合,如全国犯罪抓捕、救灾、防汛、传染性疾病突袭等,可以利用视频会议系统及时了解情况、发布决策以及协调工作等等。 视维视频会议系统在搭建实施的过程中,充分利用该局的内部网络情况,同时考虑了公安系统使用视频会议系统的几个特点:可靠性、安全性、技术先进性、可扩展性、易维护性、易操作性、和经济性。系统实现了区公安局至各下属派出所的网络视频会议功能,成功构建了区公安局网络可视指挥协同系统,充分贯彻了国家科技强警的战略方针,为公安局网上缉拿罪犯、重大案件联合侦破、重大策略的逐级贯彻等提供了强有力的工具。 1、安全性 公安系统作为一个特殊的保密性部门,涉及到许多安全级别高的文件和事件,安全性要求相对较高。系统具有高度安全性保障及安全验证策略,数据传输采用业界领先的高效率、高安全性的SSL (Secure Sockets Layer )加密机制,确保信息传输的安全可靠。 2、强大的数据功能
信息网络安全资料_
信息网络安全资料_ 信息网络安全主要内容 u 基础概述 u 风险威胁 u 建设应用 u 安全管理第一部分信息网络基础概述虚拟世界虚拟世界:高科技的网络信息时代,把意识形态中的社会结构以数字化形式展示出来。 虚拟世界:数字空间、网络空间、信息空间。 现实世界与虚拟世界的不同:交往方式不同,(面对面,视距;点对点,非视距)生存基础不同(自然,科技)实体形态不同(原子,比特)自由空间不同(心灵空间,网络空间)科技是第七种生命形态人类已定义的生命形态仅包括植物、动物、原生生物、真菌、原细菌、真细菌,人造物表现得越来越像生命体;生命变得越来越工程化。 失控——全人类的最终命运和结局信息的及时传输和处理技术变成当代社会的生产力、竞争力和发展成功的关键。 一、基本概念信息定义1:信息是事物现象及其属性标识的集合。 定义2:以适合于通信、存储或处理的形式来表示的知识或消息。
信息构成是由:(1)信息源(2)内容(3)载体(4)传输(5)接受者信息一般有4种形态:①数据②文本③声音④图像人类信息活动经历: 1、语言的获得 2、文字的创造人类四大古文字体系:①古埃及圣书文字②苏美尔楔形文字(伊拉克东南部幼发拉底河和底格里斯河下游)③印地安人玛雅文字④中国甲古文 3、印刷术的发明唐朝有印刷;宋代毕升创造活字印刷术;元代王祯创造木活字,又发明转轮排字盘;明代铜活字出现;再到油印,发展到现在利用磁的性质来复印。 4、摩尔斯电报技术的应用 5、计算机网络的应用网络 一、概念定义1:由具有无结构性质的节点与相互作用关系构成的体系。 定义2:在物理上或/和逻辑上,按一定拓扑结构连接在一起的多个节点和链路的集合。 ★ 计算机信息系统指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。(94年国务院147号令)信息网络是一个人机系统。 基本组成:网络实体、信息和人。
某公安局网络安全方案建议稿(公安警察)
某公安局网络安全方案 一、某公安局网络现状 某公安局网络作为信息基础设施,是机关信息化建设的基石。某公安局网络开通到上级省厅及全国各地公安网站的数字专线出口,与局内各楼、其它一些分局及派出所和INTERNET连接。某公安局网络提供公安局各单位的互联通道,实现机关局域网络全部节点及终端设备的网络互联和系统集成,实现以信息交换,信息发布为主的综合计算机网络应用环境,为公安局管理、领导决策提供先进的技术支持手段。 整个某公安局网络通过统一的出口,64K的DDN专线接入上级省厅及全国各地公安网站,网络主干网通过一个Motorla(S520)路由器连接到上级网络。某公安局网络在物理结构上主要分成两个子网,两个子网通过路由器连接。在逻辑上,某公安局网络有许多虚拟子网。某公安局网络对远程用户提供拨号接入服务。网络系统分布在整个,规模较大。 某公安局网络已经有了比较成熟的应用,包括WWW服务,Mail服务,DNS服务等的一些其他应用,如内部信息等,也已经转移到网络应用之上的Web应用主要是用于内部信息的管理,应用模式主要包括数据库客户/服务器模式、客户/服务器模式与浏览器/WWW服务器模式。 某公安局网络还没有采取安全措施以保证信息的安全不受到侵犯。 以上是某公安局网络及其应用的现状。 二、某公安局网络安全需求分析
某公安局网络系统现在的Web应用主要是用于公安局内部信息管理,因而存在着强烈的安全需求。 网络安全的目标是保护和管理网络资源(包括网络信息和网络服务)。 网络安全的需求是分层次的。ISO/OSI网络模型将网络分为7个层次,在不同层次上的安全需求如上图所示。 某公安局网络的安全需求覆盖网络层以上的部分,并且有安全管理的需求。可以把某公安局网络的安全需求分为三个大的方面:网络层安全需求、应用层安全需求和安全管理需求。 目前第一期解决网络层安全需求 1. 网络层安全需求 网络层安全需求是保护网络不受攻击,确保网络服务的可用性。某公安局网络网络层的安全需求是面向系统安全的,包括: