公安信息通信网边界接入平台安全规范一、公安信息通信网边界接入业务1.1、接入业务:向外提供信息服务和接收外部信息的业务1.2、接入对象:社会企事业单位、党/政/军机关、公安机关驻地外接入业务(1)社会企事业单位接入业务:旅店业、印章业、印刷业、银行、保险、电信运营商等(2)党/政/军机关接入业务:各级党委、法院、检察院、安全、司法、海关、军队、武警、中央、省级政法委等。
(3)公安机关驻地外接入业务:社区警务室接入、农村警务室接入、政府办公大厅接入。
1.3、接入业务的操作方式:数据交换和授权访问。
(1)数据交换指以文件、数据库、流媒体等方式进行信息共享与交换的过程,该类操作方式一般不要求与公安信息通信网进行实时交互。
(2)授权访问指持不同的公安数字身份证书交互式访问公安信息通信网的过程,该类操作实时性要求较高。
1.4、公安身份认证与访问控制管理系统(PKI/PMI)全网策略统一的身份认证和访问控制管理二、公安信息通信网边界接入平台2.1、通则(保密性、完整性、可用性、可控性、可管理性、可扩展可维护性)(1)保密性要保证信息在边界接入过程中不被非法获取(2)完整性要保证信息在边界接入过程中不被篡改(3)可用性保证各类接入业务在边界接入过程中公安信息通信网及接入平台的安全正常运行。
(4)可控性能够监控和审计接入平台及接入业务运行情况,当发生违规或异常情况时,能够及时发现、报警并处理。
(5)可管理性对接入平台的方案设计、建设、运行整个过程能够管理和监控,具有规范合理的接入业务流程,纳入三级信息中心日常运行管理。
(6)可扩展性、可维护性(1)每个接入平台都应建立集中监控与审计系统、负责实现对接入平台本地注册管理以及对接入管理平台安全运行情况的监控与审计。
(2)级联上报,实现上级接入平台对下级接入平台主要注册信息、运行参数及安全状况的监控与审计。
(1)接入对象社会企事业单位、党/政/军机关和公安驻地外接入点(2)外部链路拨号、专线(3)接入平台组成路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区。
(4)公安信息通信网认证和授权2.4、接入平台安全体系2.4.1 三重防护体系、两个基础设施2.4.1.1应用环境安全接入平台的终端和用户来源可信、可监控,接入平台的硬件配置、操作系统、关键应用程序等方面安全可靠。
应用环境安全的各类安全和保护措施统称为安全加固,安全加固主要有两类,一是可信计算技术的可信计算机,用于高安全等级的终端(或服务器),二是基于操作系统加固软件、安全应用系统并结合硬件外设的安全增强措施,针对一般安全级别中终端(或服务器)2.4.1.2应用区域边界安全网络和系统的边界安全方面,主要通过身份认证、访问控制等安全技术措施。
2.4.1.3链路与通信网络安全数据机密性与完整性安全保护技术,建立端到端的传输安全机制三、公安信息通信网边界接入平台安全技术要求3.1外部接入3.1.1接入终端(1)接入终端联接接入平台的同时,不得同时联接互联网和其他网络(建议采用专用终端并进行安全加固)(2)必须进行设备认证,认证方式可采用MAC/IP绑定、硬件特征码、设备证书等。
(3)必须进行用户身份认证,必须采用公安机关颁发的专用数字身份证书进行用户身份认证。
(4)必须实现接入终端与接入平台通信内容的机密性与完整性保护。
(5)接入终端安装与接入业务应用程序必须完善自身的安全性和健壮性。
(6)接受平台的监控管理3.1.2外部接入链路(1)社会企事业单位接入链路/公安机关驻地外接入链路可以使用拨号和专线两类,拨号采用VPDN(IPSEC VPN)。
(2)党/政/军机关采用专线。
3.1.3业务操作方式社会企事业单位---------数据交换党/政/军机关-------------数据交换、授权访问公安机关驻地外---------数据交换、授权访问3.2接入平台组成要求:长期抗攻击能力,能够及时、灵活地调整接入平台中的安全策略以及平台内设备、系统、应用和用户的相关配置。
3.2.1路由接入区(1)各个外部链路与接入平台间连接。
(2)路由访问控制,按照不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。
3.2.2边界保护区(1)对接入平台边界保护(2)网络身份认证;访问控制和权限管理;数据机密性和完整性保护;防御网络攻击和嗅探。
3.2.3应用服务器区(1)处理各类应用相关操作,是公安信息通信网对外信息服务、信息采集、数据交换的中间区域。
(2)作为接入终端网络连接的终端,实现应用级身份认证、访问控制、应用代理、数据暂存功能。
(3)病毒防护、木马防护。
3.2.4安全隔离区(1)实现公安信息通信网与应用服务器区的安全隔离与信息交换。
(2)对出入公安信息通信网的数据分别进行协议剥离、格式检查和内容过滤。
3.2.5安全监测与管理区(1)整个接入平台的安全监测、管理与维护(2)对接入平台运行情况进行安全监测与审计(3)对接入平台及业务信息进行注册管理(4)对各种安全策略管理、流量监测、统计分析、安全审计(5)接入平台内网设备、安全设备的配置管理及日常运行维护(6)补丁升级、漏洞扫描与病毒防范。
3.2.6链路安全边界(1)接入平台与运营商之间必须以专线方式连接,链路设备之间要进行相互认证。
内部(2)不同接入对象提供不同级别和业务操作方式。
对于数据交换业务,建议区分数据流入与流出链路。
3.2.7网络安全(1)身份认证社会企事业单位认证协议双向认证(IKE、SSL)党/政/军机关、公安机关驻地外,身份认证方式基于公安数字身份证书,认证协议双向认证。
(2)访问控制未通过身份认证的接入终端无法进入接入平台访问接入终端的网络连接终止于接入平台内,通过身份认证的接入终端只能访问接入平台内的指定设备,并且只能进行允许的操作,非授权的访问应该阻断。
(3)机密性与完整性在网络传输过程中,接入终端与接入平台通信内容实现机密性保护在网络传输过程中,必须保证传输过程中报文的完整性,并具备防止重放攻击、篡改和伪造等功能对专线接入情况,在接入对象可信程度较高条件下,机密性和完整性保护措施可相对安降低。
(4)入侵防范能够对源/目的地址及端口进行控制,实现会话状态检测及内部网络地址隐藏。
能够实时发现入侵行为及病毒、蠕虫传播,并及时报警。
(5)网络设备安全登陆网络设备的用户进行身份验证,验证方式应有足够强度。
对登陆地址、登陆时长、登陆次数等进行限制,不允许远程登陆。
对关键网络设备管理,应当将管理数据和业务数据分离,开启关键网络设备安全设计功能,配置日志服务器,安全审计的内容应记录系统内重要的安全相关事件、登陆事件、配置更改。
应及时更新网络设备的操作系统,关闭不必要的服务。
(6)可用性保障网络拓扑结构应采用冗余技术,避免单点故障。
关键网络设备和服务器设备采用硬件冗余,软件配置等技术手段提供系统的高可用性。
3.2.8主机安全补丁更新、正版软件、正版防病毒软件、内部服务器更新病毒库或者手动更新病毒软件版本和病毒库。
身份认证、禁止远程登陆、启用登陆失败处理功能,严格限制账户的访问权限。
开启系统安全审计功能,重要用户行为、系统资源异常使用和重要系统命令的使用。
3.2.9应用安全3.2.9.1社会企事业单位接入在与公安信息通信网进行交换数据之前,接入平台必须对接入业务的数据流量实现通信协议的剥离。
对数据类型、格式进行严格检查,对数据内容进行过滤。
3.2.9.2党/政/军机关接入(1)同上(2)授权访问类型:应用级身份认证、访问控制和授权管理。
并能一句安全策略细粒度控制访问范围,应用类型和内容,使用可信边界安全网关实现以上功能,授权访问一般基于代理模式进行。
3.2.9.3公安驻地外接入同上3.2.10数据安全公安信息通信网内及接入平台内的重要数据应遵照公安部相关规定提供保护和备份措施。
应对传输过程中的数据进行机密性保护应保证传输过程中数据的完整性,应具备防止数据的重放攻击、篡改和伪造等功能,具备提供数据颁发证明和交付证明的抗抵赖功能。
3.3公安信息通信网内部身份认证和访问控制3.4集中监控与审计系统(1)注册信息管理(2)运行监控管理(3)安全审计管理四、公安信息通信网边界接入平台安全管理要求4.1通则部、省、市三级建设本级接入平台的建设,原则上地市级以下公安机关以及各级公安机关业务部门不单独建设边界接入点。
4.2接入平台建设管理要求4.2.1 审批备案要求(1)建设前需要审批(2)建设架构、主要内容、方式发生重大变化时重新审批。
4.2.2平台安全性评测要求试运行测试时间不少于45天五、设备安全要求5.1安全隔离设备应满足《(GA370-2001)端设备隔离部件安全技术要求》和国家保密标准(BMB16-2004)《涉及国家秘密的信息系统安全隔离与信息交换产品技术要求》(秘密)。
并具备一下安全措施(1)三部件架构安全隔离设备(2)采用专用硬件和专用通信协议(3)协议中断,信息落地,所有过往的流量都被剥离通信协议,还原为应用层信息。
(4)防范各类攻击和信息泄露。
5.2可信边界安全网关应满足(GA240.1-1999x计算机信息系统安全产品第一部分,安全功能检测身份鉴别类)和国家保密标准(涉及国家秘密的信息系统安全中间件产品技术要求)(秘密)并经公安部批准同意使用。
并具备以下安全功能:(1)基于公安数字证书的身份认证(2)基于802.1x协议的链路认证(3)基于终端特征的设备认证(4)基于细粒度授权管理策略的公安信息通信网内信息资源及应用系统强制访问控制。
(5)不影响公安信息通信网内信息资源及应用系统基于公安pki/pmi系统的认证、授权、审计等工作的正常运行。
(6)支持应用代理5.3数据交换服务器数据交换服务器指转门用于业务数据检查,存取控制及分发的软硬件系统。
应具备以下安全功能:(1)设备自身应具有较强安全性。
采用硬件专用设备形式进行安全加固(2)区分连接内外网链路的接口(3)根据安全策略主动获取来自前置机群的数据(4)验证数据源和数据完整性,以及根据业务规则检查数据类型、格式、内容、过滤不符合安全策略的数据。