曾　旋

[摘要]对公安高校网的技术策略进行研究，确地选择多级分布式检测模型作为公安高校网的一种内网外联监控模型。根据该模型的设计，可以很好的实现对公安高校网中的内网外联情况进行监控。

[关键词]公安高校网 网络安全 对策

中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0420046－01

一、引言

公安内部网，简称公安网，采用了Internet的组网技术和应用技术，也同样存在着当今互联网络共通的安全问题。公安网络和信息安全保障体系是实现公安工作信息共享、快速反应和高效运行的重要保证。安全保障体系首先要保证网络的安全、可靠运行，在此基础上保证应用系统和业务的保密性、完整性和高度的可用性，同时为将来的应用提供可扩展的空间。公安大学作为集公安部门教学、培训和科研于一体的高等院校，又有着不同于一般公安网络的特殊安全需求。本文将基于此对公安高校网的安全对策问题进行研究。

二、公安高校网的安全策略

保障网络安全，关键要靠人、技术、管理三者的有机结合。公安高校网的安全策略应该由安全标准、管理制度、安全技术三部分组成。本文主要研究网络安全技术，如防火墙、网络防病毒、PKFPMI身份认证、物理隔离、加密VPN子网等，在公安高校网中的部署。

（一）防火墙

防火墙是指设置在不同网络或网络安全域之间的一系列部件（包括计算机和路由器）的组合。它执行预先制定访问控制策略（允许、拒绝、监测），决定网络外部（含外地区、外部门或外单位的网络）与网络内部（指局域网或内部网范围内）的访问方式。在网络中，防火墙实际是一种隔离技术，它所执行的隔离措施包括：（1）拒绝未经授权的用户访问内部网和存取敏感数据；（2）允许合法用户不受妨碍地访问网络资源。常见的网络防火墙部署如图1所示：

（二）网络防病毒

计算机病毒，特别是它借助信息网络快速地传播和破坏，已成为当今社会的一大公害。比如，2003年春季，Nimda病毒在公安内部网上大规模蔓延和爆发，给公安工作造成很大的影响。正确运用网络防病毒技术和策略，可把损失降到最低程度。

病毒防治的主要策略有：局域网预防；安装正版的、最好是国产的网络版防病毒软件；在网络上运行一个新软件之前，断开网络，在单独的计算机上运行测试，如果确认没有病毒，再到网络上运行；周期性备份工作文件；建立健全网络系统安全管理制度，严格操作规程。

集中式管理是网络病毒防护最可靠、最经济的方法。多层次防御病毒软件把病毒检测、多层数据保护和集中式管理的功能集成在同一产品内，因而极大地减轻了反病毒管理的负担，而且提供了全面的病毒防治功能。

（三）PKI/PMI身份认证

PKI（Public Key Infrastructure）/PMI（Privilege Management Infrastructure）身份认证和访问控制技术，在单点登录、全网漫游，访问控制，电子政务，无纸办公以及身份鉴别和授权等方面都有广泛的应用。PKI即公开密钥基础设施，是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制密钥和证书的产生、管理、存储、分发和撤销等功能。PMI即权限管理基础设施或授权管理基础设施，是属性证书（AC）、属性权威（AA）、属性证书库等部件的集合体。

（四）物理隔离

“物理隔离”是指内部网不直接通过有线或无线等任何手段连接到公共网，从而使内部网络和外部公共网络在物理上处于隔离状态的一种物理安全技术。从这个概念上看，物理隔离是保证网络物理安全的一个有效手段，即保护路由器、工作站、各种网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击；只有使内部网和公共网“物理隔离”，才能真正保证内部信息网络不受来自互联网的黑客攻击。此外，“物理隔离”也为内部网划定了明确的安全边界，使得网络的可控性增强，便于管理。

物理隔离可以有效地解决数据隔离和计算机终端的网络隔离问题。物理隔离产品在建好两个网络的前提下，使一台计算机能连接两个网络，并且在同一时间上，用户在装有物理隔离产品的计算机中只能使用其中的一个网络系统。物理隔离实现主要分为物理隔离卡和安全隔离网闸。

（五）加密VPN子网

涉密子网是内部虚拟专网（Intranet VPN），它利用公安高校网的线路保证网络的互连性，融合了隧道技术、密码技术、身份认证技术、存取控制技术等。Intranet VPN拥有与专用网络相同的安全、服务质量（QoS）、可管理性和可靠性。公安机关部门涉密子网的构建应该基于IPSec的VPN技术。基于IPSec的加密VPN子网，它的侧重点在于安全保密，还有以下优点：一是成本低。二是易于扩展。三是保证安全。

三、公安高校网内网外联监控系统设计

内网外联属于“一机两用”行为，是指公安机关使用的计算机及网络设备同时连接公安信息网和国际互联网等其它外部网络，也包括断开公安信息网后接入国际互联网或外部网络。内网外联监控系统主要是及时发现、及时阻止这种“一机两用”的违规行为，尽可能地减少公安内部网的安全隐患。系统在满足内网外联监控的基础上，附带一些实用的设备管理和统计功能。

（一）技术路线及方法

通过将网卡设置为混杂模式，可以利用以太网载波侦听与多路访问/控制的特点，在内网的任意一个节点采用Ping扫描、ICMP扫描、UDP扫描等探测技术能够获取其它节点的信息，从而完成整个共享式以太网的监测。而在交换型网络中，交换设备限制了各种扫描所能达到范围，通过对交换机监控端口的接入获取与所有端口的通信权限，解决交换网络中网络监测范围受限的问题。针对子网内的探测，采用ICMP探测技术、TCP扫描技术、UDP探测、Trace route探测可以完成内网拓扑探测和在线主机信息采集。这些从技术上保证了内网外联监控系统实现的可行性。

（二）内网外联监控模型设计

内网外联监控系统采用改进的多级分布式违规外联监控模型，如图2所。

该模型包括四部分，探测端、侦听端、外联探测服务器、隔离器。侦听端，负责连接互联网以及收集回送外联探测包；探测端，从外联探测服务中独立出来，实现子网内违规探侧，以及子网内的探测参数配置管理、违规外联阻断逻辑；外联探测服务器，负责内部网络整体的探测参数配置管理、违规外联阻断逻辑以及探测区域划分管理，外联服务器对于内部网络整体探测的管理体现在对各自网探测端的管理及控制中，通过配置及命令实现；隔离器，保证该监控系统在内网部分和在外网的部分之间保持网络隔离和数据隔离。

四、结束语

本文对公安高校网的技术策略进行研究，基于研究内容，明确地选择多级分布式检测模型作为公安高校网的一种内网外联监控模型。根据该模型的设计，可以很好的实现对公安高校网中的内网外联情况进行监控。

参考文献：

[1]潘明惠著，信息化工程原理与应用，北京：清华大学出版社，2004.

[2]谢毅平土编，公安信息通信技术教程（下册），北京：中国人民公安大学出版社，2001.

[3]杨富国土编，网络设备安全与防火墙，北京：清华人学北京交大版，2005.

[4]万国平编，网络隔离与网闸，北京：机械工业出版社，2004.

[5]熊华等编，网络安全一取证与密罐，北京：邮电出版社，2003.