1.项目背景
随着公安信息化的深入和第三代移动通信(3G)网络技术的发展,以笔记本电脑为代表的移动终端基于WEB浏览器通过公网访问公安信息网资源(移动警务B/S应用模式)成为可能。但是,移动警务B/S应用模式在应用授权管理、终端安全管理和网络访问控制等方面面临更多新的安全威胁。鉴于此,公安部科技信息化局组织有关单位对移动警务B/S应用安全接入模式进行了研究,制定了切实可行的方案,并于2011年1月初下发了《移动警务B/S应用安全接入规范》(以下简称《规范》)。《规范》在《指导书》要求的信道加密、认证接入、网闸隔离和安全管理等防护措施基础上,增加了终端加固、访问控制和级联监控等安全措施,用于增强移动警务安全接入特别是B/S应用模式的安全防护。
目前,一方面由于湖南省公安各警种人员队伍的壮大,另一方面随着《规范》的发布,为了使湖南省公安厅移动警务系统能够满足公安部的建设要求,进一步提升湖南省公安厅移动信息化水平,更好地满足一线民警移动办公的需求,需要接入一套安全隔离与交换系统(简称“网闸”)对现有移动警务系统进行升级、改造。
2.方案设计
网闸功能丰富,可根据具体网络情况适当开启需要的功能。
2.1.访问控制
系统支持强大的访问控制策略,支持通过源地址、目的地址、端口、协议等多种元素对允许通过网闸传输的数据进行过滤,判断是否符合组织安全策略。
2.2.地址绑定
提供IP与MAC地址绑定功能,可对指定接口所连接的网络中的主机的IP 和MAC 地址进行绑定,防止内部用户盗用IP和内网地址资源分配的混乱,方便网络IP资源管理。
2.3.内容检查
网闸提供多种内容安全过滤与内容访问控制功能,既能有效的防止外部恶意代码进入内网,也能控制内网用户对外部资源不良内容的访问及敏感信息的泄漏。网闸的内容检查机制主要针对HTTP、FTP、邮件及文件交换等应用,包括URL过滤、关键字过滤、Cookie过滤、文件类型检查、病毒查杀及入侵检测等操作。
⏹URL/域名过滤
网闸可对用户访问的Web站点的域名及URL等进行基于正则表达式的过滤,禁止用户访问暴力、情、反动的主页或站点中的特定目录或文件。
⏹黑/白名单关键字过滤
网闸可对邮件标题和内容以及传输的文件等进行黑/白名单关键字过滤,进行单词及短句的智能匹配,禁止包含特定关键字的敏感信息泄漏,或只允许包含相应关键字的文件通过网闸传递。
⏹COOKIE过滤
网闸可对COOKIE进行过滤。通过对COOKIE进行过滤,可以防止敏感信息的泄漏。同时还可以防止用户进行浏览论坛、上网聊天等违反安全策略的操作。
⏹文件类型检查网络安全短句
网闸可对传输的文件进行类型检查,只允许符合安全策略的文件通过网闸传递。避免传输二
进制文件可能带来的病毒和敏感信息泄露等问题。
⏹病毒及恶意代码检查
系统可内嵌杀病毒引擎,针对文件交换模块、FTP访问模块、安全浏览模块、邮件访问模块防病毒功能。对允许传输的文件进行病毒的检查,确保进入可信网络的文件不包含病毒及Java/JavaScript/ActiveX等恶意代码,支持本地升级及远程升级。
⏹入侵检测
可对网页攻击、缓冲区溢出攻击、后门/木马、P2P、病毒/蠕虫、拒绝服务攻击、扫描类攻击等多种攻击类型进行实时检测并记录日志。
2.4.高安全的文件交换
网闸提供基于纯文件的交换方式,内网和外网的数据传输模块各自对文件进行病毒扫描、签名校验、文件类型校验、文件内容过滤,对符合要求的文件进行转发。不借助任何第三方软件,完全通过文件的拷贝、粘贴方式实现,为了避免网络漏洞,网闸不开放任何连通两侧的网络通道,在保证绝对安全的前提下,通过数据摆渡实现文件交换。
2.5.内置的数据库同步模块
网闸的数据库同步模块,独立自主开发完成,完全内置于网闸内部,所有的同步操作由网闸自己独立完成。不在用户数据库中安装任何客户端软件,不需要在用户网络中部署专用服务器,对用户数据库不作任何改变。该模块支持Oracle和Sql Server等流行数据库版本,同时预留开发接口,定制支持各种数据库系统。在高速运行的基础上解决了字段级数据同步、双向数据同步、大字段同步等技术难题,适合于各种数据库同步工作的需要。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论