对利用深度防御思想构筑公安信息安全体系的探讨

张伟 （天津市公安局 天津300040）

对利用深度防御思想构筑公安信息安全体系的探讨

张伟 （天津市公安局 天津300040）

近年来，随着公安信息化建设的不断深入开展，传统的网络安全部署抵御日趋复杂的网络拓扑和迅速增长的网络应用所带来的安全风险的难度日益加大，因此，信息安全保障工作在各地公安机关得到了越来越高的关注。在分析公安网络安全现状的基础上，对利用深度防御理念构建公安网络信息安全体系的相关技术进行了探讨。

公安网络 信息安全 深度防御

0 引言

作为信息化建设的重要基础设施，近年来公安网络得到了极大发展，各类信息共享、网络通信等信息化应用越来越依赖于公安网络的支持。然而，随着公安网络规模的不断扩大，来自内部网络的威胁也日渐增多，如网络攻击、信息窃取、信息破坏以及人为的网络捣蛋和误操作等诸多可能因素，导致公安网络所面临的安全形势日益严峻。如何建立起有效的网络安全防范体系，使网络运行稳定、可靠、安全，从而有效保障信息安全，现已成为公安网络面临的一个重要课题。

1 公安网安全威胁分析

公安网涉及网内所有计算机和附属设备互联运行的网络，是由计算机、网络技术设备和软件等构成的，其虽属于内部专网，但由于公安工作的特殊性，使其网络管理的复杂性和所面临的信息安全问题的严重性远远高于其他网络。

1.1 公安网规模大、速度快

一般公安网的接入带宽不低于100 Mbps，而且网络覆盖面广，以天津公安网络为例，用户群体已达上万人。这种高带宽、大用户量的特性，使公安网络安全问题一旦发生，则蔓延迅速、影响严重。

1.2 漏洞威胁普遍存在

随着计算机新技术在公安网络的广泛应用，内部网络中常见的除了常规PC、服务器外，还涉及CISCO、华为（3COM）等网络设备，这些设备提供了各种网络服务。而新技术的应用往往伴随着较大的安全风险，同时由于公安网与互联网相隔离，不便于各类软件的正常更新升级，致使各种软、硬件漏洞对信息安全和网络运行构成了现实威胁。

1.3 管理与维护的投入有限

公安网络的物理隔离决定了其在网络管理与维护上投入的有限性，许多服务器系统缺乏维护人员，而且没有容灾备份。而活跃的捣蛋者往往对新技术充满好奇，甚至尝试各种攻击技术，却对可能造成的影响和破坏缺乏认识，这些因素也对公安网络安全形成了一定威胁。

显然，在当今网络技术飞速发展的情况下，要足以保证网络和信息安全，就务必要建立起完善的安全保障机制。而信息安全保障的核心思想就是深度防御思想（Defense in Depth）。

2 实现深度防御

2.1 总体思想

所谓深度防御思想就是采用一个层次化的、多样性的安全措施来保障用户信息及信息系统的安全。通过实施深度防御，即使安全层次中的某一层被攻破，仍然可以依靠其他的保护措施来保护网络。在深度防御思想中，边界、内部网络和人是3个核心要素，要保障信息及信息系统的安全，三者缺一不可。

2.2 边界防御

边界是指不同可信级别网络之间的分界线，它可能包括以下部件：路由器、防火墙、IDS/IPS、DMZ和被屏蔽的子网。每种部件各司其职，将各部件功能综合后可整体保护网络边界。

2.2.1 路由器 引导流量流入网络、流出网络或者在网络中传输。非正常流量的目的地址可能是内部地址，它们会通过路由器的外部接口进入网络，也可能其目的地址是外部地址，它们会通过路由器的内部接口流出网络。位于边界处的路由器是数据流入内网的第一个可控设备，也是数据流出内网时我们可控的最后一个设备。每一个网络都应该在边界路由器上设置进入过滤和外出过滤，只允许应该进入网络内部和应流向网络外部的报文通行。

2.2.2 防火墙 可以对边界路由器不能监控的流量进行更加深入的分析和过滤。防火墙能够识别和阻塞未建立连接的恶意流量或已连接但有安全隐患的流量。防火墙的规则库定义了源IP地址、目的IP地址、源端口和目的端口，一般攻击通常会有很多征兆，应该及时将这些征兆加入规则库中。

2.2.3 IDS/IPS 用于检测和告警恶意事件，IPS在此基础上更可阻断恶意流量的进入。有两种类型的IDS/IPS，基于网络的（Network-based IDS/IPS，NIDS/NIPS）和基于主机的（Host-based IDS/IPS，HIDS/HIPS）。防火墙降低了恶意流量进出网络的可能性，并能确保只有与协议一致的流量才能通过防火墙。如果恶意流量伪装成正常的流量，并且与协议的行为一致，这样的情况，可以使用IDS/IPS设备对网络加以保护。IDS/IPS能够在关键点上对网络和主机进行监视，以防止恶意行为。

2.2.4 DMZ DMZ是界于安全区域之间的非安全区域，是针对网络层的深度防御策略。这种把数据与网络内应用层隔离开来的办法提供了又一层的安全。因为DMZ系统即使受到危及，也不至于把存放关键数据的内部系统暴露在网络攻击面前。

2.2.5 被屏蔽的子网 被屏蔽的子网是一个连接到防火墙或者其他过滤设备的专用接口上的隔离网络。被屏蔽子网上一般驻留有“公共”服务，而运行此类服务的服务器称为堡垒主机，需要特别加强其安全性。

通过将以上各部件统一规划后实施整体策略，以达到将网络边界形成立体化岗哨的功效，从各层面对出入流量实行严格把关。

2.3 内部网络保护

内部网络是受边界保护的，它包含所有的服务器、工作站和基础设施网络。但内部网络并非是可以完全信任的网络，因为有些内部攻击并非是出于恶意，有时内部人员无意识的操作也会造成攻击的发生。内部网络的保护主要分为对内部网络的保护和对网络中心（即内部主机）的保护。

2.3.1 部署内部网络 为了解决跨过边界岗哨直接作用于内网的攻击问题，在内部网络上，我们应考虑实施如下策略：在每台路由器上做出入过滤，用来做隔离资源的内部防火墙，加强性能和安全的代理，并监视内部网络的IDS/IPS。以上技术与边界实施的技术大体相同，目的是要提高对内网的监控级别，及时发现和避免内部可疑流量造成的破坏，减小其发作范围。

2.3.2 部署网络中心设备 在网络中心的位置，如应用服务器、单机等内网资源性设备中，应做如下部署：个人防火墙、反病毒软件、操作系统加固、配置管理和审计。

①个人防火墙是扩展边界的一种很好的软件。如果传统的防火墙没有在网络入口点进行部署的话，个人防火墙就是一种性能价格比很高的替代选择，尤其是当网络上的主机都是一些小系统的时候更是如此。对于移动用户来说，个人防火墙更加重要，因为他们经常要在外出的时候进行网络连接。

②反病毒软件和网络IDS在很多方面比较相似，他们都频繁检查数据，发现恶意流量。反病毒软件一般检查文件系统上的数据，而IDS/IPS则检测网络上的数据。

③主机加固是对主机上的操作系统和应用程序进行安全配置的过程，目的是为了关闭系统中不必要的开放状态。一般要做的是及时打补丁和设置文件系统的权限，关闭不必要的权限，以及加强口令的约束能力等。如果网络边界上的其他部件在阻止入侵的过程中失败了，那么主机加固是保护单个系统的最后一个保护层，因此，主机加固在深度防御中非常重要。

④配置管理是建立和维护网络上的系统和设备配置的过程。其可以保证某种特定的运行环境，如：所有的Windows机器都安装了某个服务包；所有的Linux机器都运行某个内核；拥有远程访问账户的所有用户都拥有个人防火墙；每台机器每天都要进行反病毒特征库的更新；在用户登录时，他们应该接受的使用策略等。

⑤审计是将对安全状况进行认识并加以改善的过程。内部员工或外部访问者都应该进行审计。审计的过程如下：收集需求，制定方案，实施审计，实施中定期生成审计报告（技术报告），生成最终报告（非技术报告和技术报告），进行后续工作（验证执行情况）。

2.4 重视人为因素

尽量避免由于用户误操作造成的内部攻击，这需要对人员本身的培训和对网络中设备有策略的实施。一个有效的深度防御基础结构需要一套完整的且能够解决实际问题的策略。如：职权（谁负责），范围（谁实现），截止（谁终止），规范（需要什么样的安全），透明（是否每一个人都能够理解这些安全策略和方法）。

同时还要着力提高用户的应用技能和思想认识，要使用户认识到策略的重要性，并在实践中严格按照策略的要求进行工作，进一步减少风险，从而充分发挥深度防御的作用。

此外，实施基于深度防御理念的安全体系结构时还要注意一些问题，如：需要保护哪些资源、估计可能的风险、确定业务需求等，根据这些信息，就可以准确地实施网络防御的策略部署。

3 结语

基于深度防御思想建立网络安全防范体系可以有效地抵御多种已知和未知的攻击，是实现信息安全保障的有效方法，在公安网络和信息化建设中具有广泛的应用空间，并且将对网络信息技术的发展带来深远的影响。■

[1]杨义先，任金强.信息安全新技术[M].北京：北京邮电大学出版社，2002.

[2]宋连涛，庄为华.基于异常的入侵检测技术在Snort系统中的应用[J].计算机技术与发展，2006（6）：136-138.

2012-03-06