公安系统作为政府行政机构, 90年代就已经开始了网络系统工程的建设。随着业务量的发展,公安系统基础网络和应用系统的建设力度逐渐加大。与此同时,各类信息系统安全问题也频繁出现,来自外单位的威胁、系统内
网的威胁成为公安系统电子政务发展的障碍,需要采取完善的安全措施确保网络信息安全,以提高办公效率。
【用户特征】
网络环境复杂,内网、公安专网等多套平台共存;
内网数据和用户操作行为非常敏感,内部行政人员的网络过失行为极易造成重大负面影响;
以指挥中心接处警系统、业务信息系统、办公室自动化信息系统等为核心的应用平台在强调高安全性的同时,存在广泛的接口与合作单位互联;
除了传统的网络安全措施外,不同时期,针对不同安全风险,另部署了一些安全系统软件,但众多安全措施普遍存在功能重叠或者应用效果不佳的情况;
移动U盘等新型存储设备广泛使用,存在极大安全风险;
对外合作的密切,使得外来人员网络接入问题日益突出。
【需求分析】
结合上述用户特征和公安部门整体安全政策执行,新时期公安系统内网安全体系的建设需要重点关注如下几方面问题:
1、 基于数字证书的统一计算机登录授权管理体系;公安部统一配发的USB Key数字证书已经成为公安人员在公安网络的数字身份主要标识,基于该数字证书扩展更多的安全应用,将有利于提高该数字证书的利用率;
2、 基于数字证书的个人保密磁盘,有效提高个人重要信息的安全性和保密性,防止被动泄密风险;
3、 移动存储介质管理, 确保移动存储介质的方便性和安全性;
4、 网络非法外联和非法接入强控制(网络边界完整性),现有安全系统仅能实现对非法外联行为事后的发现审计,无法从根本上杜绝非法外联行为和外来计算机非法接入行为;
5、 内网安全域划分。公安系统不同业务部门之间,特别是特殊业务部门数据交流需要相互隔离,防止因为基于同一个物理网络信息交互造成数据泄密情况的发生。
【Chinasec的解决之道】
Chinasec的公安系统内网安全解决方案,在全面融合现有数字证书体系的前提下,整合了内网虚拟安全域分级管理、非法外联、非法接入控制、移动存储设备管理等功能。
方案特点:
完全基于Chinasec可信网络安全平台实现,上述的所有功能可以实现一个平台的统一管理和策略联动,管理方便简单;
完全兼容现有的公安数字证书,是数字证书应用的有力扩展,提高了数字证书的利用率,并实现了用户标识的统一管理;
系统具备大用户数管理模式支持,可以实现负载均衡、热备和多级管理模式等;
支持多级管理机制,可以在实现市局所有计算机集中管理的前提下,结合实际管理需要,部分安全策略进行逐级授权管理,实现统一和效率的有机结合;
方案基于Chinasec可信网络安全平台,具有高度的模块化和扩展性,可以根据公安系统发展的需要,在同一个平台上进行打印监控审计、单点登录和邮件加密等功能的扩展,大大提高内网安全管理的统一性和效率。
【典型案例】:北京市丰台公安分局