计算机与现代化 2005年第8期 JISUANJIYUXIANDAIHUA 总第120期 文章编号：1006-2475(2005)08-0044-03 智能型的公安消防网络安全防护体系 魏湘南 （广东省韶关市公安消防支队司令部调度室，广东韶关512026） 关键词：公安消防网；安全问题；网络安全防护体系；病毒；检测；智能 中图分类号：TP393 文献标识码：A Intelligent Protection System of Police Fire Protection Network Security WEI Xiang-nan (Control Center, Headquarters of Guangdong Province Shaoguan City Police Fire Protection Detachment, Shaoguan 512026, China) Abstract:The paper not only analyzes the safety problems in existing police fire protection network,but also presents the theory of intelli- gent protection system of network security, which can satisfy the requirements of police fire protection network's development. Key words: police fire protection network; safety problem; protection system of network security;virus; check and measure; intelligent 0引言 （省公安厅） 地市公安局 区县公安员 黄润防总队 地市消防支队 防大中队 目前，随着信息化建设进程的不断深入，我国公 > 安消防部队加大力度进行日常办公、防火、灭火等方 面的计算机化和网络化建设，以满足便捷、高效的消 防现代化需求。但是，由于在网络建设初期，消防部 队在这方面的人才不足、缺乏经验、经济上投入不够， 图1公安消防网络拓扑结构图 加上时间比较仓促等种种原因，导致现有的公安消防 2公安消防网络的安全问题 信息网络存在一些网络安全问题，给以后的消防现代 化留下了隐患。 从目前的公安消防网络建设情况来看，主要存在 1公安信息网络的现状 三个方面的安全问题：网络基础设施薄弱，软件系统 的漏洞和后门以及计算机专业人才的缺乏。 1.1网络结构 2.1网络基础设施 公安信息网实际上是一个全国性的公安系统专 公安消防网络主干网相对比较统一，但是到县 用城域网，和军队网、银行网类似，与国际互联网物理 (市)区的消防大中队的联网形式就多种多样：有的消 隔离；而公安消防信息网是挂接在公安网上的一个个 防大中队通过光纤、路由器连接到当地的公安局；有 子网，各消防总队、支队、大中队通过公安网而互相联 的先通过光纤集中到消防支队再与公安局相连；还有 接。其网络拓扑结构图如图1所示。 的通过公安局自建的ADSL与公安网相连。连接线 1.2应用平台 路有自建光纤，有的租用电信公司，也有的采用无线 网络操作系统：Windows2000，Unix，Linux。 传输方式。联网方式和线路的多样性为恶意攻击者 数据库：Access2000,SQL2000Lotus。 窃听和进行内部攻击行为提供了很多空间。 应用系统：Web服务器、E-mail服务器、FTP服务 2.2软件的漏洞和后门 器、流媒体服务器、DNS服务器及各种业务信息系统。 现在绝大部分消防总队、支队的服务器采用 收稿日期：2005-03-24 作者简介：魏湘南（1976-），男，湖南湘潭人，广东省韶关市公安消防支队司令部调度室助理工程师，研究方向：计算机网络。 万方数据 2005年第8期 魏湘南：智能型的公安消防网络安全防护体系 45 Windows2000。而专门针对它的漏洞攻击不计其数， (1)安全技术。 如果不及时打相应的补丁，加上服务器配置不当、日 消防网络安全防护体系中的安全技术包括“技术 常管理上的疏忽等，服务器受到黑客、病毒攻击的可 防御体系+攻击实时检测+系统数据恢复+系统学 能性将大大增加。其次大部分的消防业务软件一般 习进化”。 是由外单位的软件公司在短时间内基于某种平台开 防御体系是根据系统存在的各种安全漏洞和安 发的，不仅软件没有经过严格的专业测试，而且开发 全威胁所采用的相应的技术防护措施。针对各市、 县、区的消防大中队的网络接入混乱的局面，我们改 平台也可能存在缺陷，因而这些软件存在漏洞和后门 进了现有的网络结构。在接人公安网方面，统一采用 不可避免。 自建光纤或租用电信公司光纤，因为无线方式安全性 2.3计算机专业人才缺乏 不高，所以不适合在公安网络上推行；对于联网计算 计算机专业人员的缺乏和水平的低下会导致整 机比较多的单位，可采用VLAN方式分组联网，以减 个网络的安全配置、监测、维护等方面的严重欠缺。 少网络风暴的产生；对于需远程连接的用户，若无法 大部分单位由于缺乏计算机专业技术人员，对单位的 采用光纤接入，可采用IPsec建立安全访问通道通过 服务器、防火墙、路由器、客户机等缺乏相应的安全配 拨号服务器与中心联接。 置与日常管理，导致大部分消防支队的计算机网络成 为了公安消防系统核心服务器和重要部门的安 了安全上的“肉鸡”。目前消防支队的干警在计算机 全得到充分保证，体系必须有效防御来自内部的攻击 使用方面大部分水平比较低下，安全方面的意识更加 和数据篡改等威胁，保证内、外网用户访问的安全性。 淡薄：例如设置了很多网络资源完全共享，虽然给共 我们采用内部虚拟局域网（VLAN)和访问控制技术 享数据带来了一定的方便，但也给病毒的传播制造了 (ACL)的安全部署，VLAN可以不考虑用户的地理位 很好的传播途径。 置，根据功能、应用等因素将网络从逻辑上划分为一 3智能型公安消防网络安全防护体系 个个功能独立的工作组。附加在VLAN间的访问控 制技术ACL可以使独立的工作组变成不同的安全 现在网络安全的开发，大部分都是走堵安全漏洞 区。 的道路。这种思路上的安全防护，将永远跟着“黑客” 管理员的水平是网络安全防御体系中的关键。 走，如同治水不能单靠堵而应靠疏，我们从系统集成 加强专业技术人员的培训与选拔，不断提高网络管理 的角度提出了智能型的公安信息网络安全防护体系。 人员的技术水平和安全意识。黑客和病毒的制造者 3.1智能型的网络安全策略 也是人，因此只要网络管理员勤于学习、实践，善于利 一个完善的网络安全防护体系必须合理协调法 用某些工具，比较简陋的硬件设备也能打造比较安全 律、技术和管理三种因素，集成防护、监控和恢复三种 的网络系统。另外，消防部队要及时从大学招聘和培 技术，力求增加网络系统的健壮力和免疫力。因而智 养自己的计算机人才，相对固定其岗位，适当提高专 能型的网络安全策略对安全定义如下： 业技术人员的待遇，使其能安心本职工作。网络管理 安全=风险分析+安全策略+技术防御体系+攻击实时 员要经常培训本单位的计算机使用人员，提高本单位 检测+安全跟踪+系统数据恢复+系统学习进化 人员的计算机网络安全与保密意识。严禁泄密、产禁 “风险分析+安全策略”体现了管理因素；技术防 “一机两网”、保管好有关密码、严格控制外单位人员 御体系包括漏洞检测和安全缝隙填充。“技术防御体 进出。 系+攻击实时检测+系统数据恢复+系统学习进化” 实时检测是随时监测系统的运行情况，及时发现 体现了技术因素。安全跟踪为攻击证据记录服务，安 和制止对系统进行的各种攻击。攻击实时检测包括 全跟踪体现了法律因素；系统学习进化旨在为改善系 病毒防范和监控各种攻击、入侵。 统性能而引人的智能反馈机制。 ①病毒防范。 3.2智能型的公安消防网络安全防护体系 为尽量减少网络受病毒的侵犯，我们建立一个从 在现有的公安消防网络的基础上，采用智能网络 桌面到网关级的自下而上的集中管理的病毒防范体 安全策略，我们设计了一个智能型的公安消防网络防 系，在内部安装、建立防病毒软件管理系统，对所有客 护体系。管理人员通过对消防网络系统的安全风险 户防毒软件进行统一管理，在各层网络节点安装客户 进行分析，来制定系统安全的总体规划和具体措施； 防毒软件：网关级病毒防护，主要针对通过广域网出 记录和分析安全审计数据，检查系统中出现的违规行 口的流量，进行病毒扫描，对邮件、Web浏览和FTP下 为，判断是否违反法规，为改进系统和实施法律提供 载进行病毒过滤；服务器病毒防范，对各种服务器进 依据。下面我们主要介绍防护体系中的安全技术和 行病毒清扫，集中报警；桌面防毒，针对各种桌面操作 “智能”。 系统，进行病毒扫描和清除。 万方数据 计算机与现代化 46 2005年第8期 ②监控各种攻击和人侵。 扫描并试图攻击时，关联分析就能发现贯穿整个安全 攻击一方面是来自于外界非法用户，我们在路由 环境的攻击模式和趋势，预见下一步将面临威胁的系 器和外网间设置防火墙限制外界用户对内部网络访 统，提前阻止攻击的发生，这样整个系统的安全状态 问及管理内部用户访问外界网络的权限。另一方面 就从“滞后型”转为“抢先式”了。 更多攻击来自于内部，内部恶意员工利用Sniffer等膜 4结束语 探工具通过网络探测，扫描网络及操作系统存在的安 全漏洞，并利用相应的攻击程序对内网进行攻击。为