感知网边界安全防护方案的应用
2023-05-10 12:44:10 文秘帮
1引言
随着信息化技术的不断发展,计算机网络已经成为社会发展的重要保证,在很多领域都有了深层次的应用,同时也带来了网络安全问题。当前很多领域的信息化发展都面临系统外部和内部的安全威胁,尤其是涉及很多的敏感信息甚至是国家机密的公安条线领域。同时,信息实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验[1]。信息系统的安全等级保护是指:对国家秘密信息、法人和其他组织及公民的专有信息、公开信息分类分级进行管理和保护。信息系统的安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段[2]。对信息系统的安全等级保护应遵从信息安全技术、网络安全等级保护基本要求,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平。同时对目标系统的安全技术状态及安全管理状况做出初步判断,给出目标系统在安全技术及安全管理方面与其相应安全等级保护要求之间的差距。测评结论作为委托方进一步完善系统安全策略及安全技术防护措施依据。当前智慧感知网的承载应用已颇具规模,主要应用于智能交通、市域卡口、一标六实、智能安检、人像对比、车牌识别、智能安防社区等智能化方面。智慧感知网不是一个独立的专网。其与政务外网、政企专网之间存在网络边界[3]。故边界安全防护已成为智慧感知网安全保障的重要一环。本文以某区公安分局智慧感知网的网络安全等级保护测评为例,重点论述在等保测评中发现的主要安全威胁,提出边界安全的防护方案,并在该区公安分局智慧感知网中进行应用实践,以验证了该安全防护方案的可行性。该方案的成功应用,可以为感知网的安全防护提供保障,并可在此基础上根据不同规模的网络进行完善,最终达到保护感知网边界安全的目的。
2感知网面临的安全威胁
(相关资料图)
目前智慧感知网面临的主要安全威胁来自以下几个方面:(1)来自外部网络的安全威胁。智慧感知网是一个相对独立的网络,与互联网物理隔离,但与政务外网、其他专网存在数据交互[4]。其开发性较强,可能有较多的恶意攻击者试图闯入网络节点,对感知网进行网络攻击,进而获取一些敏感信息。(2)来自内部网络的安全威胁。目前感知网PC终端均部署了桌面管理软件进行准入控制。该软件对终端的安全策略、资源控制进行统一管控,但终端的登录用户口令均使用静态口令,未设置定期更换口令的策略,很多终端甚至未设置口令,可能造成敏感信息泄露的问题。(3)来自应用的安全威胁。感知网内部署有多个应用系统,网络内常常使用共享网络资源,如文件共享和打印机共享。若网络内未设置严格的访问控制措施,内部工作人员可能存在有意或无意的信息共享,导致敏感信息暴露在网络中,被外部恶意人员轻易窃取并向外传播。(4)内部管理的安全威胁。目前内部的信息安全管理存在一定的脆弱性,主要包括:安全管理制度建设不够完善,落实已制定的制度规范的强度不够,针对应急事件的计划和处理流程不完善。
3安全防护方案的选择
在(GB/T22239-2019)标准中安全区域边界和安全通信网络要求应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信,应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;应能够对非授权设备私自联到内部网络的行为进行检查或限制;应能够对内部用户非授权联到外部网络的行为进行检查或限制;应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为[5];在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络[6]。图1为根据等级保护基本要求设计的拓扑图,当前公安智慧感知终端设备部署在多个地点,收集了实时监控视频,并上传到各个辖区派出所。各个派出所节点将辖区内收集的视频数据统一上传至分局服务器进行集中保存。派出所和分局的边界访问控制成为网络安全防护的重要一环。同时感知网与政务外网、政企专网之间存在网络边界。在这些网络边界上部署有防火墙、视频安全网关、入侵检测、网络流量监测探针、堡垒主机等安全设备,在满足正常业务数据通信的基础上,提供安全保障功能。现基于公安智慧感知的特点,提出边界访问控制的安全防护方案:分局的网络由核心层和接入层两部分构成。核心层部署2台二级网汇聚路由器(连接到二级网)和2台核心路由交换机,其中二级网汇聚路由器承担二级网汇聚和分局三级网接入,分局核心路由交换机承担三级网的核心接入功能。它们部署在分局核心机房,之间通过以双万兆带宽光纤互联。市局二级网汇聚路由器目前通过2条万兆光纤链路与市局二级网核心和骨干节点互联。接入层由多个所队分支机构的多台接入交换机组成,部署在各分支机构机房内,以万兆带宽上联至分局核心。派出所分支机构单位根据分局区域环形光缆走向分为N个区域(A区域、B区域、C区域、D区域、E区域……)。每个区域内的所队节点之间通过万兆光纤链路与本区域内的相邻节点互联,在本区域内构建一个环形结构的网络,使接入层各节点具有多条出口链路。所有派出所分支机构节点之间启用三层OSPF路由协议。而在边界安全防护方面:分局感知网与各个外联网络边界均部署防火墙设备进行网络访问控制,并在感知网内部署综合日志审计平台收集网络交换机和安全设备的审计日志。
4安全防护方案的应用
为了验证边界安全防护方案,将该方案在某公安分局智慧感知网平台进行实践应用。根据安全防护方案设计了某区的网络拓扑图,如图2所示。该分局网络由核心层(分局汇聚)和接入层两部分构成。核心层(分局汇聚)部署了2台华为NE40e-X16二级网汇聚路由器和2台华为CE12808分局核心路由交换机。其中华为NE40e-X16二级网汇聚路由器承担二级网汇聚和该分局三级网接入,华为CE12808分局核心路由交换机承担三级网的核心接入功能。它们均部署在分局核心机房,之间通过以双万兆带宽光纤互联,市局汇聚层设备华为NE40e-X16路由器目前通过2条万兆光纤链路与市局二级网核心和骨干节点互联。公安分局感知网与政务外网边界部署了山石防火墙进行网络访问控制,公安分局感知网与综治网、4G执法记录仪VPDN专网边界部署了华为防火墙进行网络访问控制。分局汇聚交换层与警务云(部署在分局感知网网络内)边界部署了深信服防火墙进行网络访问控制。感知网内部署了明御综合日志审计平台收集网络交换机和安全设备的审计日志。接入层由近30个所队分支机构的30余台接入交换机组成,部署在各分支机构机房内,以万兆带宽上联至分局核心。派出所分支机构单位根据分局区域环形光缆走向分为5个区域(1区域、2区域、3区域、4区域、5区域)。每个区域内的所队节点之间通过万兆光纤链路与本区域内的相邻节点互联,在本区域内构建一个环形结构的网络,使接入层各节点具有多条出口链路。所有派出所分支机构节点之间启用三层OSPF路由协议。在该网络架构下,某公安分局智慧感知网内部具体采取了如下的安全防护措施:感知网内部署了感知网网管软对所有设备的性能进行监控,分局核心交换机采用双机热备方式进行部署,派出所分支机构单位根据分局区域环形光缆走向分为5个区域,每个区域内的所队节点之间通过万兆光纤链路与本区域内的相邻节点互联,在本区域内构建一个环形结构的网络,使接入层各节点具有多条出口链路。感知网民警PC终端安装了E盾桌面管理软件进行准入控制,非授权终端接入感知网网会被阻断。感知网与政务外网边界部署了边界防火墙进行网络访问控制,主要提供一网通办、城运视频等服务,防火墙启用了访问控制策略。感知网与4G执法记录仪VPDN专网边界部署了华为防火墙进行网络访问控制,主要提供感知网调用区4G执法记录仪VPDN专网内服务器图像。4G执法记录仪VPDN专网无法访问到感知网服务器。在核心交换机上了旁路部署了入侵防御设备,可以对政务外网边界、综治网边界、4G执法记录仪VPDN专网边界、各接入单位到分局边界进行入侵防御。
5前景和展望
本文所提出的安全边界防护方案可适用于大多数公安分局感知网系统。在实际的应用中,可以根据具体情况部署需要的安全产品,加强感知网的边界安全防护。
参考文献
[1]周媛.公安机关信息安全问题的SWOT-AHP分析及对策研究.信息安全研究,2021(2):190-196
[2]荣晓燕,刘海峰,刘国伟等.基于风控和合规的云计算网络安全矩阵控制研究.信息安全研究,2020(3):266-271
[3]徐珠宝.公安大数据警务云计算建设应用的实践与思考.公安研究,2015(1):12-15,25
[4]谢蓓.公安计算机信息安全风险及解决策略.明日风尚,2016(19):332
[5]GB/T22239-2019,信息安全技术网络安全等级保护基本要求[6]GB/T28448-2019,信息安全技术网络安全等级保护测评要求
作者:罗杰 单位:上海市信息安全测评认证中心
上一篇 : 环球时讯:“红通人员”麦凯常回国投案
下一篇 : 最后一页