基于安全監(jiān)測的公安信息網(wǎng)應(yīng)用服務(wù)系統(tǒng)設(shè)計分析

◆肖佳朋

(四川警察學(xué)院 四川 646000)

基于安全監(jiān)測的公安信息網(wǎng)應(yīng)用服務(wù)系統(tǒng)設(shè)計分析

◆肖佳朋

(四川警察學(xué)院 四川 646000)

隨著信息網(wǎng)絡(luò)的不斷普及，以及網(wǎng)絡(luò)信息技術(shù)在各領(lǐng)域中的深入開展，社會對網(wǎng)絡(luò)的依賴性越來越強(qiáng)。對于公安部門而言，公安信息網(wǎng)絡(luò)在日常工作中發(fā)揮著重要的作用。公安信息網(wǎng)上關(guān)鍵應(yīng)用系統(tǒng)的安全、可靠、穩(wěn)定運(yùn)行是公安信息化部門管理工作的重要內(nèi)容。本文從公安信息網(wǎng)應(yīng)用服務(wù)安全監(jiān)測系統(tǒng)出發(fā)，對系統(tǒng)的安全監(jiān)測、報警處置等進(jìn)行設(shè)計研究，以全面提高公安網(wǎng)安全監(jiān)測與防護(hù)水平。

公安信息網(wǎng)；安全監(jiān)測；應(yīng)用服務(wù)

0 引言

隨著網(wǎng)絡(luò)信息技術(shù)的不斷發(fā)展和普及，為信息安全提出了更高的要求，甚至從國家宏觀層面來看，網(wǎng)絡(luò)信息安全已經(jīng)成為關(guān)乎社會穩(wěn)定和國家安全的重要因素。公安信息網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)作為面向社會公眾的網(wǎng)絡(luò)服務(wù)平臺，其安全性至關(guān)重要，因此為保障公安信息網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)安全、穩(wěn)定、可靠地運(yùn)行，本文采用了當(dāng)前最為流行的三層架構(gòu)體系來開發(fā)安全監(jiān)測系統(tǒng)，從而保障公安信息網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)的安全性。

1 系統(tǒng)業(yè)務(wù)分析及需求分析

1.1 系統(tǒng)業(yè)務(wù)分析

結(jié)合我國當(dāng)前公安系統(tǒng)的信息網(wǎng)絡(luò)應(yīng)用服務(wù)系統(tǒng)的整體構(gòu)架來看，安全監(jiān)測系統(tǒng)的業(yè)務(wù)結(jié)構(gòu)以公安部為信息中心，連接16個省級公安機(jī)關(guān)信息中心，并在服務(wù)器前部署網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)。網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)以鏡像方式采集省廳信息中心的網(wǎng)絡(luò)流量信息，并實現(xiàn)對各應(yīng)用服務(wù)平臺的監(jiān)測，比如交管、情報、綜合查詢、出入境等應(yīng)用服務(wù)系統(tǒng)。安全檢測系統(tǒng)主要布置在信息中心，提供異常行為報警、處置和信息發(fā)布功能。

整個安全監(jiān)測系統(tǒng)以公安部信息中心為管理區(qū)域，以16個省廳信息中心為監(jiān)測區(qū)域，由3個子系統(tǒng)構(gòu)成，即網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)、集中監(jiān)管系統(tǒng)和報警處置系統(tǒng)。安全監(jiān)測系統(tǒng)通過幾個主要接口來實現(xiàn)統(tǒng)一管理，其中網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)提供級聯(lián)上報、策略統(tǒng)計、基礎(chǔ)指標(biāo)繼承等接口，集中監(jiān)管系統(tǒng)提供策略制定下發(fā)、遠(yuǎn)程訪問、報警上報、報警采集等接口，報警處置系統(tǒng)提供報警采集接口。

1.2 系統(tǒng)功能需求

在本安全系統(tǒng)設(shè)計中，為實現(xiàn)系統(tǒng)的整體安全控制管理，采用B/S結(jié)構(gòu)進(jìn)行設(shè)計，且以業(yè)務(wù)流程為設(shè)計核心進(jìn)行功能設(shè)計與開發(fā)。本系統(tǒng)由三個子系統(tǒng)構(gòu)成，其中網(wǎng)絡(luò)流量安全監(jiān)測子系統(tǒng)包括監(jiān)管中心和系統(tǒng)管理兩個功能模塊，監(jiān)管中心需實現(xiàn)系統(tǒng)監(jiān)測、節(jié)點檢測、安全態(tài)勢分析和應(yīng)用檢測等功能，系統(tǒng)管理則需實現(xiàn)系統(tǒng)狀態(tài)、系統(tǒng)工具、輸出接口配置、級聯(lián)上報、日志查詢等功能。網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)通過對各省廳信息中心流量信息的24小時不間斷檢測來評價設(shè)備運(yùn)行狀況，一旦發(fā)現(xiàn)網(wǎng)絡(luò)異常，需及時記錄并報警。

集中監(jiān)管子系統(tǒng)包含權(quán)限管理、授權(quán)訪問和報表管理功能模塊，實現(xiàn)對省廳網(wǎng)絡(luò)進(jìn)行統(tǒng)一監(jiān)測與管理。從功能模塊設(shè)計來看，需要實現(xiàn)用戶管理（包括添加、刪除、注冊、修改、角色等）、用戶查詢、授權(quán)訪問、設(shè)備統(tǒng)計、應(yīng)用統(tǒng)計、報警統(tǒng)計、策略統(tǒng)計等功能。

報警處理子系統(tǒng)包含報警處置和統(tǒng)計分析兩個功能模塊，需要實現(xiàn)申請協(xié)助、申請核實、事件簽收、事件分發(fā)、事件處置、事件類型統(tǒng)計、事件狀態(tài)統(tǒng)計、考核統(tǒng)計等功能。

1.3 系統(tǒng)非功能需求

公安信息網(wǎng)絡(luò)應(yīng)用服務(wù)安全監(jiān)測系統(tǒng)設(shè)計中不僅需要對功能需求進(jìn)行分析，而且還需對非功能需求進(jìn)行分析。在系統(tǒng)的性能層面，保證系統(tǒng)運(yùn)行的可靠性，支持分級權(quán)限管理，實現(xiàn)與公安PKI/PMI系統(tǒng)掛接。應(yīng)用系統(tǒng)資源占用合理、能及時釋放內(nèi)存用與新任務(wù)。系統(tǒng)本身要確保安全性，而且還要考慮到應(yīng)用對象的特點，需具備易用性特征。此外，系統(tǒng)需要滿足漢字處理能力需求，以及數(shù)據(jù)批量導(dǎo)入/導(dǎo)出要求。

2 系統(tǒng)框架設(shè)計

2.1 系統(tǒng)設(shè)計思想

與傳統(tǒng)系統(tǒng)相比，在本系統(tǒng)設(shè)計中安全性是被高度關(guān)注的，因此針對信息安全而采用統(tǒng)一的認(rèn)證、授權(quán)和審計，并且對必要的信息采用數(shù)字加密，對關(guān)鍵用戶采用數(shù)字證書認(rèn)證其身份。為了保持安全的一致性，在傳統(tǒng)安全系統(tǒng)的基礎(chǔ)上，采用多層、松散的耦合方式來處理各子系統(tǒng)、各層次之間的邏輯關(guān)系，并且將子系統(tǒng)進(jìn)一步劃分為遵循統(tǒng)一規(guī)則的集合，且考慮到各種數(shù)據(jù)入口的一致性，進(jìn)而提升系統(tǒng)建設(shè)、維護(hù)和升級的便捷性。在系統(tǒng)安全保障方面，打破傳統(tǒng)系統(tǒng)的便準(zhǔn)分散模式，而采用唯一尋列編號，實現(xiàn)端點驗證。此外，在設(shè)計思想上，要具有前瞻性，保障系統(tǒng)的可擴(kuò)充性。

2.2 系統(tǒng)數(shù)據(jù)庫設(shè)計

根據(jù)安全監(jiān)測系統(tǒng)的設(shè)計目的和要求，系統(tǒng)數(shù)據(jù)庫在傳統(tǒng)系統(tǒng)的基礎(chǔ)上，增加了流量統(tǒng)計表、流量節(jié)點表、角色表、新策略分類表等。優(yōu)化設(shè)計后的ASM系統(tǒng)數(shù)據(jù)庫框架如下所示：

圖1 ASM數(shù)據(jù)庫框架

在ASM數(shù)據(jù)庫框架下共包含27類數(shù)據(jù)表，以其中的角色表為例實現(xiàn)實體對象映射介紹對象設(shè)計，角色表的描述內(nèi)容包含唯一標(biāo)識、角色名稱、角色級別、角色描述、用戶名、密碼、身份證號、用戶類型、城市以及信息處理權(quán)限（0表示只讀，1表示可修改）；又比如信息表的描述內(nèi)容包含設(shè)備編號、設(shè)備名稱、ASM 版本、策略版本、網(wǎng)卡、網(wǎng)段、上報主機(jī)、單位名稱、聯(lián)系人、設(shè)備編號、聯(lián)系電話、所屬省市、備注等。

2.3 關(guān)鍵接口設(shè)計

從當(dāng)前公安信息網(wǎng)絡(luò)系統(tǒng)的接口形式來看，各地之間存在標(biāo)準(zhǔn)不一的接口，給系統(tǒng)的整體安全保障和維護(hù)帶了難題，在本系統(tǒng)的設(shè)計中，關(guān)鍵接口具有易于改動和易于擴(kuò)展的特性，而且接口之間相互隔離，保證系統(tǒng)整體的穩(wěn)定性。在本系統(tǒng)中的諸多功能模塊均存在關(guān)鍵接口，比如外部數(shù)據(jù)導(dǎo)入接口、內(nèi)部數(shù)據(jù)錄入接口、檢測環(huán)路網(wǎng)絡(luò)接口、級聯(lián)上報接口、策略下發(fā)接口等，本文以級聯(lián)上報接口為例進(jìn)行設(shè)計介紹。

在本系統(tǒng)中，級聯(lián)上報接口共實現(xiàn)三項功能，即系統(tǒng)信息查詢（包含配置、運(yùn)行、尚未上報的行為策略報警及所有策略），查詢出來的數(shù)據(jù)序列化為xml文件，并通過ftp上傳到制定服務(wù)器。級聯(lián)上報接口周期性地上報，其整個流程包含定時統(tǒng)計、文件上報、文件解析。

3 系統(tǒng)詳細(xì)設(shè)計與實現(xiàn)

在用戶登錄頁面，根據(jù)用戶權(quán)限，將用戶分為兩類，一是普通用戶，只需驗證用戶名與密碼，均正確匹配后即可登錄，另一是證書用戶，先對這類用戶進(jìn)行用戶名和密碼的前端校驗，然后驗證有效證書登錄。用戶登錄校驗的流程為：開始→輸入用戶名與密碼→用戶名前端校驗（校驗成功）→密碼前端校驗（校驗成功）→數(shù)據(jù)庫校驗（校驗成功）→獲取資源列表（校驗成功）→進(jìn)入系統(tǒng)首頁面→結(jié)束，當(dāng)某一環(huán)節(jié)校驗失敗后將返回上一環(huán)節(jié)重新校驗。

在用戶登錄校檢結(jié)束之后，直接進(jìn)入系統(tǒng)安全監(jiān)測中心，根據(jù)權(quán)限實現(xiàn)對安全監(jiān)測中心的操作控制。監(jiān)測中心的主要實現(xiàn)方式包括：Jfreecbart實現(xiàn)頁面曲線圖的展現(xiàn)，S2SH實現(xiàn)功能的實現(xiàn)，在頁面配置設(shè)備的參數(shù)并發(fā)出請求保存到數(shù)據(jù)庫中，將監(jiān)聽網(wǎng)卡配置好的信息請求修改在服務(wù)器中的文件中，之后重啟監(jiān)聽服務(wù)。應(yīng)用管理模塊則結(jié)合網(wǎng)絡(luò)流量安全監(jiān)測系統(tǒng)上報來的各省廳應(yīng)用信息進(jìn)行匯總統(tǒng)計，并對信息進(jìn)行反饋和處理。這些信息主要包含流量信息、應(yīng)用報警信息、應(yīng)用系統(tǒng)信息三類。

在優(yōu)化設(shè)計的公安信息網(wǎng)應(yīng)用服務(wù)安全監(jiān)測系統(tǒng)運(yùn)行過程中，能夠?qū)φ麄€公安信息網(wǎng)絡(luò)進(jìn)行實時連續(xù)的信息采集，對數(shù)據(jù)流量實現(xiàn)24小時監(jiān)測，通過對流量異常的分析與計算，及時報警并故障處理，這是相對傳統(tǒng)安全系統(tǒng)更為實用的一項功能。

[1]楊靖玲.公安信息資源共享服務(wù)管理平臺設(shè)計與實現(xiàn)[D].四川師范大學(xué)，2014.

[2]吳建國.公安信息網(wǎng)安全保障技術(shù)建設(shè)分析[J].云南警官學(xué)院學(xué)報，2012.

[3]周奕紅.大數(shù)據(jù)背景下地市級公安信息網(wǎng)安全對策思考[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.

[4]郭峰.公安專用網(wǎng)安全風(fēng)險管理問題研究[D].吉林大學(xué)，2012.