利用异构转接方案有效破解专网安全—以公安内网管理为例

◆王京智

利用异构转接方案有效破解专网安全—以公安内网管理为例

◆王京智

（浙江省杭州市公安局萧山区分局 浙江 311200）

本文以公安内网管理为例，针对公安网与非公安网之间容易“双网”混插造成“一机两用”违规外联，存在信息泄露安全隐患的问题，探讨利用异构转接方案，研发防“双网”混插网络安全套件，有效解决专网安全问题，以较低经济成本从结构上杜绝无意识“双网”混插造成“一机两用”违规外联事件的发生，大力提升公安网网络安全管理能力，确保公安网信息安全，解决网络安全实际大问题。该解决方案可以拓展到军网、银行等其他专网，对于提升专网安全有重要参考价值。

专网；异构；转接；安全；公安网

0 引言

在中国军网、银行、保密等领域的专网日常管理过程中，为确保专网信息安全，都会有专网物理隔离的要求，如何防止专网网络终端设备的混插，杜绝信息泄露隐患，成为网络管理过程中值得研究的课题。本文将以公安内网管理为例，针对公安网与非公安网之间容易“双网”混插造成“一机两用”违规外联，存在信息泄露安全隐患的问题，探讨利用异构转接方案，研发防“双网”混插网络安全套件，有效解决专网安全问题，以较低经济成本从结构上杜绝无意识“双网”混插造成“一机两用”违规外联事件的发生，大力提升公安网网络安全管理能力，确保公安网信息安全，解决网络安全实际大问题。

1 研究背景

公安内网是公安系统内部的专用网络，是链接全国所有公安部门、办事窗口等并承载着公民户籍以及车辆、场所等管理信息和管理系统的专用广域网。《公安信息网安全管理规定》明确规定，“未经公安部批准，任何单位和个人不得建立公安信息网与其他网络的连接，不得将公安信息网延伸到公安机关以外单位。”但在实际管理过程中，经常会发生公安内网专用电脑随意链接至互联网上（简称 “一机两用”）从而发生违规外联安全事件，造成信息泄露安全隐患。尽管“一机两用”违规外联事件属公安部明令禁止的公安信息网安全事件之一，但各地却屡禁不止，成为疑难杂症。经统计，近两年浙江省公安机关共发生66起违规外联事件， 11个地市公安机关无一幸免，给工作带来很大被动。究其主要原因有两种，一是互联网网线接入公安网电脑等IP设备；二是把公安信息网网线接入互联网电脑等IP设备。

分析其原因，一是安全意识不高，对违规外联认识不清。大部分违规者不明白什么情况属于违规外联，或在操作网络时，疏忽大意；二是公安网络环境复杂，客观的隐患没有杜绝。以浙江杭州萧山分局为例，现有电脑、服务器、交换机等网络设备3500余台，公安网、政务网、互联网、视频专网、办公楼局域网等多种网络并存。由于网络设备使用量大、使用频率高，仅靠人为督促、提醒，要杜绝 “一机两用”违规外联行为发生，根本不可能；三是管理教育效果不佳。公安部于2005年4月颁布的《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》第四条规定：违反“一机两用”规定，给予通报批评或者警告处分；造成严重后果的，给予记过以上处分。《杭州市公安机关民警日常违规行为记分办法》也有明确规定：造成“一机两用”的，记8分。这些规定能100%覆盖全警，但很难从根本上杜绝民辅警、维护单位因主观上疏忽大意导致的违规事件发生。

因此，笔者大胆创新，从改善网线、设备两端着手，通过改善客观条件，寻求对策、方法，经过近两年的探索研究，逐步形成以异构转接方式有效破解专网安全的思路。

2 技术解决思路

简单地讲，利用异构转接方案的核心思路就是：针对公安网与非公安网之间容易“双网”混插造成“一机两用”违规外联的问题，通过改变原有传统水晶头前探头长度和主体两侧宽度，增加转换套接件阴槽两侧对应卡位，截短套接件水晶头弹片长度并增加弹片硬度，从而实现公安网专用水晶头无法插入到非公安网接口、非公安网水晶头也无法插入到公安网专用接口上，同时防“双网”混插安全套件（即：异构转接件）一旦接入到标准接口便无法拔出（除非利用专用拆卸工具）等目的，从而以较低经济成本从结构上杜绝由于无意识“双网”混插造成“一机两用”违规外联安全事件的发生。

该解决方案中所涉及的研究成果从创意设想到图纸设计、模具制作以及样品测试，笔者团队始终以“咬定青山不放松，任尔东西南北风”的信念，紧密协作、攻坚克难，历时近一年时间，于2017年11月底终于成功开始第一批量产，2018年不断改进完善，产品进入成熟应用阶段。整套产品主要包括专用套接件、专用水晶头和专用拆卸工具等，另外根据一年多试点经验和完善，又新增了一种用于服务器、机房等专用水晶头和防止手机乱插等行为的USB封堵配件。产品设计图以及实际连接效果图如图1、图2所示。

图1 产品设计图

图2 产品实际连接效果图

在利用异构转接方案的创新研发前期，笔者认真分析研究了目前国内几个同类创新产品的特点，发现河北唐山和贵州凯里均有民警创新研发过《公安网专用插头》等类似产品，但都是仅仅依靠改变线序解决了一定的安全问题，却存在套件可以随意拔插的致命弱点，使得违规外联安全隐患依然存在。笔者研发的防“双网”混插网络安全套件较好地解决了以上问题，具有不能随意拔出、不能互相插入、独立知识产权、紧扣实际需求、经济成本较低等优点，从根本上解决了违规外联安全问题。

3 实际应用成效

按照异构转接思路创新设计的产品《防“双网”混插网络安全套件》目前已经实现浙江杭州萧山分局全面安装使用、杭州市局现场会召开并推荐全市公安使用、省厅下属部门、全国个别地区部分使用。浙江省公安厅在项目评审时，更是给出了较高的评价：“该成果为基层民警小发明创造，符合国家相关政策,拥有自主知识产权，可靠度高，以较低的成本解决了因失误造成的‘一机两用’违规外联问题。”2018年6月成果入选公安部《2018 年公安科技成果试用推荐目录》，并在浙江温州、广西百色、江西南昌和陕西宝鸡等四个地市级公安机关进行试用。从各地试用情况看，所有安装《防“双网”混插网络安全套件》开展试用的计算机，均未发生“一机两用”违规外联事件，的确从结构上防止了“一机两用”违规外联事件的发生，完全实现了以较低的经济成本从结构上杜绝无意识乱插网线造成违规外联事件的发生。

4 应用推广前景

利用异构转接方案创新设计的产品《防“双网”混插网络安全套件》在全国公安系统具有较强的推广应用前景，主要理由如下：

第一具有普遍性。该成果所解决的公安网管理过程中“双网”混插造成“一机两用”违规外联问题具有普遍性，全国所有公安网电脑都需要防止违规外联事件的发生。该成果的普遍推广使用，将以较低经济成本从结构上杜绝无意识“双网”混插造成“一机两用”违规外联事件的发生，提升公安网网络安全管理能力，确保公安网信息安全，解决网络安全实际大问题。

第二推广成本小。该成果没有其他过多的辅助条件，完全兼容原有制作网线的工具钳，除初次新建量产模具一次性需要投入部分费用，后期水晶头相应增加了一个一体式的套接件，成本也不高。在成本增加不多的情况下，可以消除安全隐患、提升网络管理能力，具有极大的推广前景。

第三实用效果好。该成果推广应用后，可以从结构上杜绝无意识“双网”混插造成“一机两用”违规外联事件的发生。从目前全国各地试用情况看，使用《防“双网”混插网络安全套件》后的公安网电脑，均未发生“一机两用”违规外联事件，保护效果非常明显。

该成果是针对全国公安行业普遍存在的内网网络管理中“一机两用”违规外联现象而研发的专用水晶头和套接件，其着眼点虽小，却是实现警力无增长改善的成功实践，在全国所有公安网电脑均可普遍使用，实现公安网专用水晶头不能插入到普通网络接口、普通网线水晶头又不能插入到公安网专用套接件上、专用套接件一旦插入到标准版接口便无法拔出的目的，从技术上减少“一机两用”违规事件的发生，提升了公安网网络管理能力，以较低经济成本解决实际大问题，确保公安网网络安全，具有极大的推广前景。同时该异构转接方案还可以延伸拓展到中国军网、银行、保密网等其他专用网络，通过调整异构转接部分的卡位尺寸和位置，可以研发出属于不同行业专用网络的特定防“双网”混插网络安全套件，有效破解专网安全隐患，提升网络安全管理能力。

[1]葛燕,赵阳.关于网络安全技术与公安网络系统安全的探究[J].网络安全技术与应用，2017(05).

[2]汪洋,李妍.网络安全技术与公安网络系统安全研究[J]. 中国高新技术企业，2016(31).

[3]罗江洲.加强军队网络信息安全的措施探究[J].信息系统工程，2018(11).

[4]燕娜,张云倩,郭建伟,陈佳宇.我国网络信息安全领域的军民融合发展路径[J].创新科技，2018(04).

[5]张永东.大数据背景下企业网络信息安全技术体系研究[J].计算机产品与流通，2018(06).