公安通信网边界接入规范
公安信息通信网运行管理规定
《公安信息通信网运行管理规定》第一章总则第一条为规范公安信息通信网运行管理工作,增强信息通信民警的全局意识、服务意识和责任意识,保证为公安工作提供优质、高效、安全的信息通信保障和服务,制定本规定。
第二条本规定适用于联入公安信息通信网的各警种信息通信运行管理部门。
第三条公安信息通信网是由公安有线通信、计算机通信、卫星通信、移动通信系统共同构成的公安机关信息通信专用网络。
公安有线通信、计算机通信是以公安部为中心,联通各省、自治区、直辖市公安厅、局(简称一级网),通至各市(地、州、盟)公安局(简称二级网),再通至各县(市、旗)公安局(简称三级网)的三级主干网络。
公安机关基层所、队以接入网形式联入主干网。
其中,一级网采用星型加环型网络拓扑结构,二级网可以采用星型或者星型加环型网络拓扑结构,三级网主要采用星型网络拓扑结构。
公安卫星通信是由公安部主站和各地方地球站共同组成的,以卫星转发方式进行通信的网络,以公安部主站为中介,联通公安有线通信网和计算机通信网。
公安移动通信是采用超短波、短波、微波等无线通信技术组成的警用移动通信网,一般以各地方区域性使用为主,可以进行网络互联。
第四条公安信息通信网运行管理应当根据实际需要设置相应的岗位,同时规定各岗位人员的职责。
各岗位人员应当具有计算机、通信或相关专业大专以上学历,经过岗位专业培训,通过岗位资格考试,持证上岗。
第五条公安信息通信网运行管理岗位应设专职管理人员,岗位职责可以兼任,但同一人不得负责3个以上岗位。
重点岗位全天(24小时)应当有专人在岗,并有其他人员备岗。
岗位设置及职责划分可以根据技术或业务发展进行调整。
第六条公安信息通信网运行管理实行一日工作制、故障申告首问责任制和网上公示制。
一日工作制,是根据岗位职责,明确各岗位人员在一个工作日内必须完成的基本工作任务的制度。
故障申告首问责任制,是当网络发生故障时,接报人员负责受理、登记、跟踪处理的制度。
网上公示制,是将信息通信网及其相关应用系统的运行情况和故障受理、处理情况及时上网发布公示的制度。
XX地区公安局集团客户专线接入解决方案20110427
VXXX公安局集团客户专线接入方案一、项目概况XX地区公安局是XX地区重点行业集团客户,全局员工移动用户占92%,是XX地区移动公司重要的战略合作伙伴。
XX地区公安局现有派出所96个,分布在市区及郊县。
为更好地促进双方下一步信息化合作,XX地区移动分公司与XX 地区公安局签署合作协议,XX地区移动分公司为XX市及各县、各乡派出所建设XX地区公安专网。
二、系统解决方案 (一)在XX地区公安局新建一套OSN1500,在市、各县、乡、镇派出所新建Metro 100传输设备。
各市、各县、乡、镇派出所网点Metro 100通过155M 光口连接至移动基站MSTP传输网,通过华为Metro 100传输设备FE口与用户侧数据设备进行对接,将市、各县、乡、镇派出所网点数据业务通过MSTP传输网透传至XX地区公安局机房OSN1500进行汇聚,并且通过XX地区公安局机房OSN1500设备配置的FE接口与用户侧数据设备相连,做到XX地区公安局对市、各县、乡、镇派出所网点数据业务的汇聚。
XX地区公安局OSN15OO 通过622M 光口双路由方式接入XX地区移动公司传输城域网中。
OSN1500配置双电源,预留插槽和端口,便于备份和网点扩容,电源线的连接方式采用交叉连接,确保电源的冗余备份。
2、网络拓扑图其网络组织结构如下图所示:3、设备部分:本次工程需要在XX地区公安局新增华为OSN1500 传输设备 1台,在市、各县、乡、镇公安局派出所点增设华为Metro 100传输设备 96台,扩容各引接基站Metro 1000设备OI2D板卡60块,Metro 1000 49SCB主控板6块,扩容OSN7500设备SLQ4单板1块,公交公司基站新增Metro1000设备一台。
4、传输线路部分新建各种程式12芯光缆68公里5、投资估算5.1设备综合造价:5.2传输线路综合造价三、系统解决方案 (二)在XX地区公安局新建一套OSN1500设备,在市、县、乡、镇派出所引接基站原有Metro 1000传输设备上扩容EFS单板,在基站和用户侧各新增光电转换器RC512,通过光电转换器将光纤拉远到用户端和用户侧数据设备进行对接,将市、各县、乡、镇派出所网点数据业务通过MSTP传输网至各县OSN7500进行汇聚后,通过本地网与XX地区公安局机房OSN1500进行汇聚,最后通过XX地区公安局机房OSN1500设备配置的FE接口与公安局数据设备相连,做到XX地区公安局对市、各县、乡、镇派出所网点数据业务的汇聚。
公安边界接入
主要完成几个业务通道的安全接入:
• 1。 公众服务平台及其他公网接入 包括公安对(略)众服务项目,如交警、出入境等公众网上审批及信息服务,包括案 件办理进度查询、违章查询等,涉及内外网数据交换的内容。公安需要通过公众网进 行的外部数据采集,如网吧人员上网记录((略)),机场订票及航班旅客信息等。 采用双重数据安全交换的模式,公众服务平台作为边界接入平台终端通过数据交换系 统将数据交换至前置机,同时由部署于内网边界处的第二套数据交换系统主动获取前 置机的数据并交换至内网,进一步确保了公安内网的安全。 2。 社会企事业单位接入链路 社会企事业单位接入包括:旅店业、印章业、机动车修理业、报废车拆解业、印刷业、 爆炸物管理业等社会有关单位为公安机关系统信息的业务;同时也包括银行、保险、 电信运营商等社会行业单位与公安机关共享信息的业务。主要是从社会其它行业单位 采集信息,或进行交互式应用((略))。交警、出入境等部门与银行的互联接入; 3。 党政军接入链路 政务网用户以专线方式接入。根据业务需求,可以在(略)网安装业务前置服务器或 安装业务服务器处理政府用户的业务。 党/政/军机关接入一般采用专线接入,接入终端包括服务器和普通终端,分别实现与公 安内网资源间数据交换和授权访问。 将原有的政务网人口基础资源库整合到新平台的党政军接入通道中,实现政务网与公 安网之间信息交换。 4。 公安机关驻地外接入链路 使用可信边界安全网关实现地市公安驻地外人员临时无线接入,业务操作方式为“授 权访问”类型,对访问用户实现应用级身份认证,访问控制和授权管理,并依据安全 策略细粒度控制访问范围、应用类型和内容,外部笔记本电脑用户利用公安专网 PKI/PMI系统颁发的用户身份数字证书通过可信边界网关访问平台内指定的资源。业务 实现应用级日志记录,并报送平台集中监控与审计系统,对什么时间什么人做了什么 事进行严格审计。
公安四级网一纤通接入方案
公安四级网一纤通接入方案一、概述随着“金盾工程”的推进,公安信息化建设一日千里,科技强警的观点深入人心,建设一张完整、高效、保密、覆盖全面的公安专网,是实施“金盾工程”的前提和保证。
作为一个与互联网等其他网络完全物理隔离的综合性宽带业务数字网,从公安部到省公安厅被称作“一级网”,省公安厅到市公安局被称作“二级网”,地市公安局到县区公安局被称作“三级网”,县区公安局到基层“三所三队”(派出所、看守所、车管所;交警队、刑警队、巡警队)被称作“四级网”或“接入网”。
本方案从实际情况出发,适用于有光纤资源的“三所三队”到县区公安局的综合接入,包含视频、音频、语音电话、v、35数据、网络数据等。
二、需求分析四级网接入点众多,所需业务主要集中在这几个方面:1、物理隔离的网络数据:公安系统用到的数据有两种,一种是公开数据,例如上级下发的文件、通报、互联网数据等;另外一种是非公开数据,例如保密档案、指纹数据库等。
所以,十分有必要对上述两种数据隔离(物理上)传输。
2、双向视频/双向音频:主要应用在视频会议及证据辨认,也可用来实现远程视频调度。
3、语音电话:满足公安系统内部语音通讯,可以把公安局的电话延伸至各个联网的派出所及看管所等。
4、E1线路:可以用来对接原有的E1线路或者设备,例如带E1接口的PBX,或者是通过E1网络延伸。
5、RS485/422/232数据:标准的RS485/422/232工控数据,可用在局端对远端的控制,例如某些重要的保险库门禁。
三、设备简介本系统采用天为电信的多业务光端机GD8-12W,采用2.5G光传输技术,通过一芯或两芯光纤同时传输1~8路正向/1~4路双向视频/音频+ 1~32路PCM (可选模拟电话/磁石电话/RS485/232/422数据/开关量) + 2路10/100M以太网(物理隔离) + 4路E1 + 1路RS485/232数据,19英寸1U机架式,方便安装,而且美观大方。
某市公安局公安网边界接入平台(部门间信息共享平台、视频接入链路)建设方案
某市公安局公安网边界接入平台(部门间信息共享平台、视频接入链路)建设方案目录1建设背景 (7)2业务需求 (9)2.1项目现状 (9)2.2共享平台需求 (9)2.2.1功能需求分析 (9)2.2.2性能需求分析 (10)2.2.3安全需求分析 (11)2.2.4管理需求分析 (12)2.2.5扩展需求分析 (13)2.3视频接入需求 (13)2.3.1功能需求分析 (13)2.3.2性能需求分析 (14)2.3.3安全需求分析 (14)2.3.4管理需求分析 (15)2.3.5扩展需求分析 (15)3总体设计 (16)3.1设计目标 (16)3.2设计思想 (16)3.3设计依据 (16)3.4总体架构设计 (17)3.4.1安全体系 (18)3.4.2体系结构 (19)3.5监测与管理区设计 (24)3.5.1探针及监管功能设计 (24)3.5.2级联监控管理设计 (24)4总体方案 (26)5功能设计 (28)5.1共享平台功能设计 (28)5.1.1查询比对类 (28)5.1.2数据交换类 (29)5.1.3Web访问类 (30)5.2视频接入功能设计 (31)6安全设计 (33)6.1共享平台安全设计 (33)6.1.1查询比对类 (33)6.1.2数据交换类 (34)6.1.3Web访问类 (35)6.2视频接入安全设计 (36)6.2.1数据接收 (36)6.2.2数据检查 (36)6.2.3数据传输 (37)6.2.4数据转发 (37)6.2.5授权访问 (38)7管理设计 (39)7.1监管功能 (39)7.2级联功能 (41)8设备介绍 (43)8.1可信边界安全网关 (43)8.2网络数据交换 (44)8.3视频安全接入系统 (45)8.4集中监控与审计系统 (47)9共享平台功能 (48)9.1共享平台架构 (48)9.2内、外网门户网站 (50)9.2.1单点登陆 (50)9.2.2统一用户管理 (51)9.2.3页面定制 (51)9.2.4信息公告 (51)9.2.5应用导航 (52)9.2.6应用统计 (52)9.3内、外网应用服务系统 (53)9.3.1可视化业务配置器 (53)9.3.2标准的Web 服务接口 (53)9.3.3信息查询 (54)9.3.4数据核查 (54)9.3.5数据比对 (55)9.3.6数据上传下载 (55)9.3.7共享痕迹留存 (55)9.3.8数据权限控制 (56)9.3.9服务门户定制 (56)9.3.10监控与管理 (56)9.4数据采集系统 (57)9.5数据集成系统 (59)9.6平台管理监控系统 (60)9.6.1注册管理 (61)9.6.2用户管理 (61)9.6.3监控与审计 (61)9.6.4查询统计 (63)9.7扩展功能设计 (63)10共享平台数据处理设计 (66)10.1数据库设计 (66)10.2数据标准管理 (66)10.3数据处理过程 (67)10.4数据采集 (69)10.4.1数据采集方式 (69)10.4.2数据采集流程 (70)10.5数据信息整合 (71)10.6数据信息共享 (71)11共享平台运行环境 (73)11.1.1软件环境设计 (73)11.1.2硬件环境设计 (73)1建设背景随着贵州省某市公安局公安信息化建设的不断深入开展,公安机关对外交换和共享信息的接入业务需求日益强烈。
上海公安卡口信息识别系统联网技术规范-电子警察数据接入要求(正式稿)
上海市公安局卡口信息识别系统联网技术规范-电子警察数据接入要求1.电子警察改造背景按照市局主要领导的指示精神, 目前,市保安服务总公司对已建的部分电子警察设备进行改造,这些具备综合车辆特征信息采集和车辆违法信息采集的电子警察,要求就近接入各分县局卡口信息识别系统。
为规范全市电子警察的联网接入。
本文规定了上海公安电子警察设施联网共享的通信规约和系统架构,是各分县局接入电子警察的实施及验收的依据。
2.电子警察数据联网系统架构由各分县局开展电子警察就近接入工作,数据联入卡口信息识别系统。
要求各分县局必须在图像网中部署通信服务器,进行同市局卡口信息综合管理平台进行数据交互,将电子警察数据按照本规范数据通信格式和方式发送到市局联网数据平台。
电子警察设备电子警察设备3.电子警察接入方式在市保安服务总公司对电子警察增加卡口功能基础上,要求各分县局以派出所为接入点,在电子警察前端机箱内增配工业级光电收发器,分、县局端建设卡口信息识别系统。
电子警察采集的卡口信息和违章数据及图片通过通信光缆从前端点位传输到附近的派出所机房,再从派出所通过图像网汇聚到分县局,也可以根据地域、光缆路由实际情况直接将数据接入分县局中心机房。
3.1 系统架构各分县局的电子警察联网架构如下图所示:系统联网架构示意图具有卡口功能的电子警察设备作为卡口前端信息采集的一部分接入各分县局的卡口信息识别系统,要求在各分县局卡口信息识别系统的数据库中对于卡口信息数据和电子警察数据能进行区别处理(推荐在同一个数据库中采用不同的数据表进行两部分数据的存储和处理),接入各分县局卡口信息识别系统的电子警察数据要遵循《上海市公安局卡口信息识别系统联网技术规范--通信数据接口要求》的要求,将电子警察数据上传到市局卡口信息综合管理平台。
3.2 硬件环境电子警察采集的数据接入分县局卡口信息识别系统,可以共用卡口信息识别系统的数据通信服务器、数据库服务器、磁盘阵列等硬件设备,并通过数据交换服务器把分局电子警察数据/卡口数据按照《上海市公安局卡口信息识别系统联网技术规范--通信数据接口要求》的要求同上海市公安局卡口信息综合管理平台进行交互。
公安信息网边界接入平台系统建设和检测项目建设方案
公安信息⽹边界接⼊平台系统建设和检测项⽬建设⽅案韶关市公安信息⽹边界接⼊平台系统建设和检测项⽬建设⽅案⼀、项⽬概述本项⽬为市公安边界接⼊平台,包括:⼀是构建市级边界接⼊平台。
按照边界安全接⼊的规范要求,采取区分链路安全防御的⽅法,构建集边界保护、⾝份认证、应⽤安全、安全隔离和平台⾃⾝安全防护等功能的边界接⼊平台。
⼆是建设边界接⼊平台监控和管理系统。
按照统⼀接⼊管理、统⼀应⽤审计、统⼀运⾏监控、统⼀策略部署的要求,建设边界接⼊平台的集中监控和审计系统。
⼆、项⽬内容根据接⼊对象不同,边界接⼊业务划分为社会企/事业单位接⼊、党/政/军机关接⼊和公安驻地外⽤户接⼊⽅式。
三、技术要求3.1基本技术要求1)平台建设⽅案要完全符合公安部颁发的《公安信息通信⽹边界接⼊安全规范》要求;2)平台安全体系满⾜三重防护体系和两个基础设施的安全要求;3)平台集中监控与审计系统⽀持部/省/市三级接⼊平台体系;4)平台的关键设备:可信边界安全⽹关、数据交换系统、集中监管与审计系统通过公安部指定的公安部等级评估保护中⼼的权威检测,并经公安部同意在全国公安信息通信⽹边界接⼊平台建设中⼴泛使⽤。
边界接⼊平台其他产品也应是获得公安部销售许可的产品。
3.2功能要求1)投标⼈必须严格按照公安部关于安全接⼊平台建设的有关⽂件《公安信息通信⽹边界接⼊平台安全规范》的边界接⼊平台要求实施项⽬建设,并负责将所有设备按照公安部对边界接⼊平台的建设要求进⾏项⽬集成。
2)平台必须实现涵盖数据交换和授权访问两类应⽤、三类接⼊业务(社会企事业单位接⼊、党政军机关接⼊、公安驻地外接⼊)完整功能的平台,外部⽹络接⼊业务上,需覆盖包括社会企事业单位接⼊、党政军机关接⼊和公安驻外地接⼊等各种业务的安全接⼊。
3)可信边界安全⽹关实现⽤户⾝份认证,与公安PKI/PMI系统同⼀⼚商,⽀持证书链认证,⽀持证书撤销列表(CRL)下载、验证,保证接⼊⽤户⾝份的合法性;4)可信边界安全⽹关实现设备认证,依据设备注册登记信息对通过专线、VPDN拨号等各种线路⽅式接⼊的终端设备进⾏认证,保证接⼊设备的合法性;5)可信边界安全⽹关可以根据边界接⼊的需要,设置⾓⾊,指定相应的资源访问权限,防⽌⾮授权访问和越权访问;6)可信边界安全⽹关基于⾓⾊、权限分配,设置细粒度访问控制策略,达到⾮法⽤户不能访问,合法⽤户不能越权访问的⽬的;7)可信边界安全⽹关实现传输保护,与客户端之间使⽤SSL协议对通信过程进⾏加密和完整性保护,保证数据传输的安全性;8)数据交换系统可实现不同类型⽂件、数据库间的同步和交换,如Oracle 数据库、SQL Server数据库、DB2、SYBASE等,能够设置⼀对多数据同步,多对多数据同步,⽀持全表双向同步.⽀持数据库增删改同步。
公安信息网边界接入平台系统建设和检测项目建设方案
韶关市公安信息网边界接入平台系统建设和检测项目建设方案目第一章总论 ................................................................................................................. 错误!未定义书签。
1.1项目概况........................................................................................................ 错误!未定义书签。
1.2项目单位概况................................................................................................ 错误!未定义书签。
1.3投资估算与融资方案.................................................................................... 错误!未定义书签。
1.4项目设计依据及范围.................................................................................... 错误!未定义书签。
1.5项目设计概要................................................................................................ 错误!未定义书签。
1.6问题与建议.................................................................................................... 错误!未定义书签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
公安信息通信网边界接入平台安全规范一、公安信息通信网边界接入业务1.1、接入业务:向外提供信息服务和接收外部信息的业务1.2、接入对象:社会企事业单位、党/政/军机关、公安机关驻地外接入业务(1)社会企事业单位接入业务:旅店业、印章业、印刷业、银行、保险、电信运营商等(2)党/政/军机关接入业务:各级党委、法院、检察院、安全、司法、海关、军队、武警、中央、省级政法委等。
(3)公安机关驻地外接入业务:社区警务室接入、农村警务室接入、政府办公大厅接入。
1.3、接入业务的操作方式:数据交换和授权访问。
(1)数据交换指以文件、数据库、流媒体等方式进行信息共享与交换的过程,该类操作方式一般不要求与公安信息通信网进行实时交互。
(2)授权访问指持不同的公安数字身份证书交互式访问公安信息通信网的过程,该类操作实时性要求较高。
1.4、公安身份认证与访问控制管理系统(PKI/PMI)全网策略统一的身份认证和访问控制管理二、公安信息通信网边界接入平台2.1、通则(保密性、完整性、可用性、可控性、可管理性、可扩展可维护性)(1)保密性要保证信息在边界接入过程中不被非法获取(2)完整性要保证信息在边界接入过程中不被篡改(3)可用性保证各类接入业务在边界接入过程中公安信息通信网及接入平台的安全正常运行。
(4)可控性能够监控和审计接入平台及接入业务运行情况,当发生违规或异常情况时,能够及时发现、报警并处理。
(5)可管理性对接入平台的方案设计、建设、运行整个过程能够管理和监控,具有规范合理的接入业务流程,纳入三级信息中心日常运行管理。
(6)可扩展性、可维护性(1)每个接入平台都应建立集中监控与审计系统、负责实现对接入平台本地注册管理以及对接入管理平台安全运行情况的监控与审计。
(2)级联上报,实现上级接入平台对下级接入平台主要注册信息、运行参数及安全状况的监控与审计。
(1)接入对象社会企事业单位、党/政/军机关和公安驻地外接入点(2)外部链路拨号、专线(3)接入平台组成路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区。
(4)公安信息通信网认证和授权2.4、接入平台安全体系2.4.1 三重防护体系、两个基础设施2.4.1.1应用环境安全接入平台的终端和用户来源可信、可监控,接入平台的硬件配置、操作系统、关键应用程序等方面安全可靠。
应用环境安全的各类安全和保护措施统称为安全加固,安全加固主要有两类,一是可信计算技术的可信计算机,用于高安全等级的终端(或服务器),二是基于操作系统加固软件、安全应用系统并结合硬件外设的安全增强措施,针对一般安全级别中终端(或服务器)2.4.1.2应用区域边界安全网络和系统的边界安全方面,主要通过身份认证、访问控制等安全技术措施。
2.4.1.3链路与通信网络安全数据机密性与完整性安全保护技术,建立端到端的传输安全机制三、公安信息通信网边界接入平台安全技术要求3.1外部接入3.1.1接入终端(1)接入终端联接接入平台的同时,不得同时联接互联网和其他网络(建议采用专用终端并进行安全加固)(2)必须进行设备认证,认证方式可采用MAC/IP绑定、硬件特征码、设备证书等。
(3)必须进行用户身份认证,必须采用公安机关颁发的专用数字身份证书进行用户身份认证。
(4)必须实现接入终端与接入平台通信内容的机密性与完整性保护。
(5)接入终端安装与接入业务应用程序必须完善自身的安全性和健壮性。
(6)接受平台的监控管理3.1.2外部接入链路(1)社会企事业单位接入链路/公安机关驻地外接入链路可以使用拨号和专线两类,拨号采用VPDN(IPSEC VPN)。
(2)党/政/军机关采用专线。
3.1.3业务操作方式社会企事业单位---------数据交换党/政/军机关-------------数据交换、授权访问公安机关驻地外---------数据交换、授权访问3.2接入平台组成要求:长期抗攻击能力,能够及时、灵活地调整接入平台中的安全策略以及平台内设备、系统、应用和用户的相关配置。
3.2.1路由接入区(1)各个外部链路与接入平台间连接。
(2)路由访问控制,按照不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。
3.2.2边界保护区(1)对接入平台边界保护(2)网络身份认证;访问控制和权限管理;数据机密性和完整性保护;防御网络攻击和嗅探。
3.2.3应用服务器区(1)处理各类应用相关操作,是公安信息通信网对外信息服务、信息采集、数据交换的中间区域。
(2)作为接入终端网络连接的终端,实现应用级身份认证、访问控制、应用代理、数据暂存功能。
(3)病毒防护、木马防护。
3.2.4安全隔离区(1)实现公安信息通信网与应用服务器区的安全隔离与信息交换。
(2)对出入公安信息通信网的数据分别进行协议剥离、格式检查和内容过滤。
3.2.5安全监测与管理区(1)整个接入平台的安全监测、管理与维护(2)对接入平台运行情况进行安全监测与审计(3)对接入平台及业务信息进行注册管理(4)对各种安全策略管理、流量监测、统计分析、安全审计(5)接入平台内网设备、安全设备的配置管理及日常运行维护(6)补丁升级、漏洞扫描与病毒防范。
3.2.6链路安全边界(1)接入平台与运营商之间必须以专线方式连接,链路设备之间要进行相互认证。
内部(2)不同接入对象提供不同级别和业务操作方式。
对于数据交换业务,建议区分数据流入与流出链路。
3.2.7网络安全(1)身份认证社会企事业单位认证协议双向认证(IKE、SSL)党/政/军机关、公安机关驻地外,身份认证方式基于公安数字身份证书,认证协议双向认证。
(2)访问控制未通过身份认证的接入终端无法进入接入平台访问接入终端的网络连接终止于接入平台内,通过身份认证的接入终端只能访问接入平台内的指定设备,并且只能进行允许的操作,非授权的访问应该阻断。
(3)机密性与完整性在网络传输过程中,接入终端与接入平台通信内容实现机密性保护在网络传输过程中,必须保证传输过程中报文的完整性,并具备防止重放攻击、篡改和伪造等功能对专线接入情况,在接入对象可信程度较高条件下,机密性和完整性保护措施可相对安降低。
(4)入侵防范能够对源/目的地址及端口进行控制,实现会话状态检测及内部网络地址隐藏。
能够实时发现入侵行为及病毒、蠕虫传播,并及时报警。
(5)网络设备安全登陆网络设备的用户进行身份验证,验证方式应有足够强度。
对登陆地址、登陆时长、登陆次数等进行限制,不允许远程登陆。
对关键网络设备管理,应当将管理数据和业务数据分离,开启关键网络设备安全设计功能,配置日志服务器,安全审计的内容应记录系统内重要的安全相关事件、登陆事件、配置更改。
应及时更新网络设备的操作系统,关闭不必要的服务。
(6)可用性保障网络拓扑结构应采用冗余技术,避免单点故障。
关键网络设备和服务器设备采用硬件冗余,软件配置等技术手段提供系统的高可用性。
3.2.8主机安全补丁更新、正版软件、正版防病毒软件、内部服务器更新病毒库或者手动更新病毒软件版本和病毒库。
身份认证、禁止远程登陆、启用登陆失败处理功能,严格限制账户的访问权限。
开启系统安全审计功能,重要用户行为、系统资源异常使用和重要系统命令的使用。
3.2.9应用安全3.2.9.1社会企事业单位接入在与公安信息通信网进行交换数据之前,接入平台必须对接入业务的数据流量实现通信协议的剥离。
对数据类型、格式进行严格检查,对数据内容进行过滤。
3.2.9.2党/政/军机关接入(1)同上(2)授权访问类型:应用级身份认证、访问控制和授权管理。
并能一句安全策略细粒度控制访问范围,应用类型和内容,使用可信边界安全网关实现以上功能,授权访问一般基于代理模式进行。
3.2.9.3公安驻地外接入同上3.2.10数据安全公安信息通信网内及接入平台内的重要数据应遵照公安部相关规定提供保护和备份措施。
应对传输过程中的数据进行机密性保护应保证传输过程中数据的完整性,应具备防止数据的重放攻击、篡改和伪造等功能,具备提供数据颁发证明和交付证明的抗抵赖功能。
3.3公安信息通信网内部身份认证和访问控制3.4集中监控与审计系统(1)注册信息管理(2)运行监控管理(3)安全审计管理四、公安信息通信网边界接入平台安全管理要求4.1通则部、省、市三级建设本级接入平台的建设,原则上地市级以下公安机关以及各级公安机关业务部门不单独建设边界接入点。
4.2接入平台建设管理要求4.2.1 审批备案要求(1)建设前需要审批(2)建设架构、主要内容、方式发生重大变化时重新审批。
4.2.2平台安全性评测要求试运行测试时间不少于45天五、设备安全要求5.1安全隔离设备应满足《(GA370-2001)端设备隔离部件安全技术要求》和国家保密标准(BMB16-2004)《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》(秘密)。
并具备一下安全措施(1)三部件架构安全隔离设备(2)采用专用硬件和专用通信协议(3)协议中断,信息落地,所有过往的流量都被剥离通信协议,还原为应用层信息。
(4)防范各类攻击和信息泄露。
5.2可信边界安全网关应满足(GA240.1-1999x计算机信息系统安全产品第一部分,安全功能检测身份鉴别类)和国家保密标准(涉及国家秘密的信息系统安全中间件产品技术要求)(秘密)并经公安部批准同意使用。
并具备以下安全功能:(1)基于公安数字证书的身份认证(2)基于802.1x协议的链路认证(3)基于终端特征的设备认证(4)基于细粒度授权管理策略的公安信息通信网内信息资源及应用系统强制访问控制。
(5)不影响公安信息通信网内信息资源及应用系统基于公安pki/pmi系统的认证、授权、审计等工作的正常运行。
(6)支持应用代理5.3数据交换服务器数据交换服务器指转门用于业务数据检查,存取控制及分发的软硬件系统。
应具备以下安全功能:(1)设备自身应具有较强安全性。
采用硬件专用设备形式进行安全加固(2)区分连接内外网链路的接口(3)根据安全策略主动获取来自前置机群的数据(4)验证数据源和数据完整性,以及根据业务规则检查数据类型、格式、内容、过滤不符合安全策略的数据。