徐正 庞子敏 邵森龙

1. 浙江省温州市公安局 2. 浙江省瑞安市公安局 3. 浙江远望信息股份有限公司

引言

信息技术的飞速发展，推动了政府部门工作的高效开展。同时，为了信息保密性、系统可用性等因素，各政府部门建立了专用的网络，用以承载相关信息系统的运行，此类专用网络，要求与互联网隔离，采用网闸等专用边界安全设备进行网络间的数据交互。公安信息网作为一张独立专网，贯通部、省、市、县、派出所等各级公安部门，承载了大量公安信息化应用，是公安工作的基础支撑网络。对与其他网络的信息交互，公安信息网要求通过安全加固的边界接入平台进行。然而，围墙若是漏洞百出，大门口的重兵防守就形同虚设。一旦入侵者通过围墙漏洞进入公安信息网并长期潜伏，对公安信息网的可用性、完整性、保密性就形成巨大挑战。为此，确保围墙的牢固、边界的完整，是对公安信息网“独立专网”特性的必要保障。

一、现状与问题

（一）边界完整性防护现状

当前，公安信息网边界完整性检测与防护主要采用两种技术路线：（1）在规划的与视频监控网等其他网络交互位置部署边界接入平台产品，实现网络之间的安全隔离，同时支持安全的数据内容交互；（2）统一部署“一机两用”系统，在全网每台计算机上安装客户端软件来检测本机是否可连通互联网，对于连通互联网的计算机进行告警与技术防护。边界接入平台与“一机两用”系统的部署，以及与相关事件通报考核机制的结合，对于避免计算机设备违规外联起到了巨大的威慑作用，发挥了重要的防护功能，通过技术能力与管理手段的综合建设，为公安信息网边界完整性提供了有效保障。

（二）监管盲区导致的安全隐患

已有的安全建设虽然在公安信息网边界完整性防护上起到了巨大的作用，但依然存在着监管盲区和短板。

2018年底，温州市公安局某单位发生了一起“一机两用”违规外联事件。但根据现场人员信息反馈及相关录像资料检查，该计算机确实未曾有人为连接互联网的违规行为。温州市公安局派人赴现场对详细过程进一步核查，发现是该单位一台计算机在重新安装网卡驱动时，“一机两用”系统产生了告警。经进一步技术分析与查证，确认该计算机在重新安装网卡驱动时自动切换到了DHCP模式，获取到了一个非公安信息网的IP地址，且该IP地址通过其对应的网关连通了互联网。根据网关的MAC地址最终定位到了一台接入公安信息网的TPLINK家用路由器，该路由器上同时连接着互联网网线。

该起事件从技术成因上分析，是由于公安信息网与其他网络发生混连引起，通过互联网接入设备将公安信息网与互联网连通。审视该起事件，至少可以得出两点认识：

1. 危害严重

网络混连状况已经导致了公安信息网与互联网数据链路层的连通，公安信息网边界围墙破出重大缺口，内部信息可通过这种连接泄漏到互联网，外部攻击也可通过这种连接进入公安信息网，可能造成重大安全事故。

2. 方式隐蔽

因“一机两用”系统只能对安装客户端软件的计算机本身是否能连通互联网进行检测，而公安信息网内还有大量的设备因设备特性或特殊用途导致无法安装客户端软件，如大量的嵌入式设备、网络设备、Linux系统服务器等，因此“一机两用”系统对于违规外联的检测并不能覆盖这类设备的外联场景，存在着监管盲区。若不是因为有计算机恰巧重装网卡驱动而发现它，可能这个网络混连的巨大隐患会一直潜伏着而不被发现，直至产生严重后果。

基于当前公安信息网边界完整性检测技术上的短板以及此类网络混连行为可能引起的严重危害，对其进行技术研究并尝试找出检测方法具有重要价值与现实意义。

二、技术原理分析

（一）场景特征分析

分析此类网络混连的场景，主要有以下特征：

1. 互联网接入设备可能以公安信息网地址或其他私网地址接入

互联网接入设备连接公安信息网时，两者之间形成数据链路层的连接。互联网接入设备可能使用规范的公安信息网地址，也可能使用其他私网地址如“192.168”开头的地址。当以公安信息网地址接入时，其他网内设备以它做网关就可以连通互联网。以其他私网地址接入时，网内合法设备不能与其直接进行网络层通信，所以它平时居于静默状态，但网内同广播域的合法设备若使用了互联网接入设备LAN口相同网段的地址，则他们就可以通过该互联网接入设备连接互联网，造成违规外联事实，产生安全风险。尤其在后一种情形下，跨网段的扫描技术无法将扫描包发送到互联网接入设备上，给探测造成技术障碍。

2. 互联网接入设备DHCP服务开启状态不确定

利用DHCP服务的探测结果，能够较为便捷地发现这类混连的互联网接入设备。但同时必须考虑到，某些互联网接入设备并没有开启DHCP服务功能，此时网内设备通过手动设定一个与互联网接入设备LAN口相同网段的IP地址，依然可以通过该混连的互联网接入设备连通互联网。因此，为全面探测到这类混连的互联网接入设备，除了正常的利用DHCP服务检查方式之外，还需要主动尝试发现广播域内是否有非公安信息网的IP地址设备存活，并进行外联能力探测。

3. 混连接入点一般位于网络接入层，数据流量不经过核心交换

网络流量分析类的安全系统一般部署在核心交换附近，当互联网接入设备的数据流量不经过核心交换时，基于流量分析的技术手段难以实现探测。

（二）检测实现思路

基于以上特征分析，为全面实现对混连的互联网接入设备的探测，需要将探测手段架设在VLAN内，充分利用DHCP服务探测技术，并全面感知同广播域内所有设备的存活状态，包括使用本VLAN合规IP地址和其他私网IP地址的设备。

三、应用实践

基于以上技术原理分析，温州市公安局联合浙江省公安厅科技信息化局的技术力量，在相关安全厂商的协助下，开发了基于客户端探针的网络混连检测系统。

该检测系统由三部分组成：核心部分是客户端探针软件，部署在每个VLAN内的若干台计算机上，由其具体负责对本广播域内混连的互联网接入设备的探测；管理器软件负责对这类客户端探针软件的统一管理，包括其工作时的相关参数配置以及运行状态监控；互联网告警服务器软件部署在互联网上，用于接收客户端探针软件通过混连的互联网接入设备发送出来的信息，一方面确认外联事实，另一方面记录互联网接入设备的位置以及相关信息。总体架构如图2所示。

客户端探针软件基于网络抓包发包驱动实现，其工作内容主要分为两个部分：（1）对所处广播域内存活设备的探测；（2）对存活设备的外联扫描。

存活设备的信息来源主要分三种：（1）直接利用DHCP协议，通过抓包发包驱动向本广播域定期发送DHCP请求广播包，当广播域内的设备如混连的互联网接入设备开启DHCP服务时，会发送DHCP应答包回到本计算机，探针软件收到该应答包后解析出互联网接入设备LAN口所使用的IP地址和MAC地址，存放入设备对象表中；（2）根据计算机网络配置信息，定期对本网段IP范围进行扫描，发现的本网段IP和MAC地址也存入设备对象表；（3）开启网络接口侦听，对接收到的ARP请求包进行解析，提取其中的IP和MAC信息存入设备对象表。

外联扫描过程中，探针软件基于感知到的本广播域内存活设备清单，构建出外联探测包，通过抓包发包驱动发送给网络中的每个存活设备。外联探测包目标MAC地址为存活设备的实际MAC地址，而目标IP地址为互联网告警服务器IP地址，因此当某个存活的设备具备向互联网投递数据包的能力时，如混连的互联网接入设备，其在收到这类数据包后将把包路由投递给互联网告警服务器。互联网告警服务器即可对收到的数据包进行解析，提取出互联网接入设备当时所处的公安信息网网段、所使用的LAN口地址、MAC地址和使用的互联网出口IP地址等信息。

管理器软件负责对客户端探针软件的管理，由客户端通信程序、数据库、WEB页面组成。

在管理器WEB页面上可查看当前各个客户端探针设备在线状态及运行情况，同时可以策略的模式向各个客户端探针软件配置互联网告警服务器IP地址、功能项开关及各项周期间隔参数等。

互联网告警服务器软件负责接收外联告警信息，作为整个系统的数据查看端，通过网页的形式进行数据的检索。同时，针对发现的混连事件，互联网告警服务器软件即时发送短信到相关人员手机以便在第一时间处理。

四、推广成效

2019年初，网络混连检测系统开发完成，首先在一个测试环境中进行了功能检查，对互联网接入设备采用公安信息网IP或其他私网IP地址，开启DHCP服务或不开启DHCP服务等各种条件组合的场景进行了验证，结果表明工作正常，同时对客户端探针软件的计算资源消耗进行了观察，不影响计算机的正常使用，也未对网络的运行产生影响。

基于以上测试效果，温州市公安局将该系统实际部署于公安信息网中，在管辖范围内的每个网段挑选了两至三台计算机安装客户端探针软件，经一个月左右时间的运行，对网内存在的混连情况起到了全面排查效果，有力地保障了温州市公安局公安信息网边界的完整。

进一步，温州市公安局积极向浙江省公安厅科技信息化局进行成果汇报，将相关技术应用到浙江公安安全管理平台客户端，部署到浙江省省内网所有终端。该系统运用至今，已检测到了近500起网络混连事件，消除了网络安全事故隐患，得到省公安厅高度认可。

此外，2019年以来该系统也在内蒙古、黑龙江等省公安专网部署，在浙江社保、温州医科大附一医、附二医、中国软件评测中心、北京赛迪软评中心等企事业内部网落地发挥效用，赢得一致肯定。该项目获得了“‘智慧公安我先行’全国公安基层技术革新奖优秀奖”和“温州市公安局在线警务应用创新大赛”金奖。

五、结语

保障网络边界完整性是维护公安信息网安全的基础工作，通过一次偶发的违规外联事件，深度分析其形成机制，挖掘出这类网络混连模式对公安信息网“独立专网”特性产生严重破坏的场景，不难推测，在公安信息网实际应用中，可能还存在着其他更隐蔽、危害更大的形式，成为数据泄露与网络入侵的通道。

习近平总书记在“4·19”讲话中指出，网络安全具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏几年都发现不了，结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”，长期“潜伏”在里面，一旦有事就发作了。检测公安信息网非法边界的工作就属于习近平总书记强调的“知道风险在哪里，是什么样的风险，什么时候发生风险”范畴，因此显得更加急迫，且任重道远。

本研究与应用实践的经验，对网络混连场景起到了有效的检测作用，产生了良好效果，具有在公安信息网推广应用的价值。