平安城市综合管理信息平台的网络安全设计

   为了确保城市治安防控系统长期正常运行，网络安全建设将成为构建“平安城市综合管理信息公共服务平台”的重要环节。

     一、引言
 
    在平安城市建设中实现“条块结合、以块为主、服务条条”的信息化建设思路，利用平安城市综合管理信息公共服务平台，统筹全市视频监控系统、数字化城市管理系统、道路交通、出租屋管理系统等，利用市、区数据交换平台及数据中心的建立，实现资源共享是平安城市建设发展的趋势。

    然而随着计算机技术的飞速发展，网络越来越普及，也给网上犯罪提供了可乘之机，各种各样的黑客、网络攻击、病毒软件层出不穷。如何做好平安城市综合管理信息公共服务平台的网络安全建设就显得非常重要。

    三、核心交换机

    核心交换机顾名思义就是整个系统交换的中心，它要能提供快速、准确的数据交换服务，否则系统延时太长，会造成系统数据交换的瓶颈，就不能为整个系统提供优质服务。

    由于本系统所涉及的部门是政府及其基层组织，对数据具有一定的保密要求，同时涉及的面很广，网络管理员也不可能随时下到基层去解决网络问题，因此对本系统中接入层、汇聚层、核心层等交换机应具备可远程管理性，远程虚拟网络划分，甚至带宽划分等功能要求，

    例如S7506R-AC-XG交换机，该机是面向以业务为核心的企业网络架构而推出的新一代高端多业务路由交换机。该产品基于自适应安全网络的技术理念，在提供稳定、可靠、安全的高性能L2/L3层交换服务基础上，进一步提供了业务流分析、基于策略的QOS、可控组播等智能的业务优化手段，从而为系统构建面向业务的网络平台实现通信整合，数据整合奠定了基础。

    四、硬件防火墙

    各个派出所、街道（或片区）办事处来的千兆网络信号不能直接进入核心交换机，而是要经过防火墙，对进出的数据进行安全过滤和控制，监控进出网络的全部信息流，根据安全策略，拒绝或允许信息流进出。 

    例如NGFW4000-UF硬件防火墙产品，其产品环境适应能力较强 ，支持众多网络通信协议和应用协议，如VLAN、ADSL、PPP、ISL、802.1Q、Spanning tree、IPSEC、H.323、MMS、RTSP、ORACLE SQL*NET、PPOE、MS RPC等协议，适用网络的范围更加广泛，保证了用户的网络应用。同时，方便用户实施对VOIP、视频会议、VOD点播及数据库等应用的使用和控制；采用了多级过滤措施，以基于OS 内核的核检测技术为核心，提供从链路层到应用层的全面安全控制。在MAC层提供基于MAC地址的过滤控制能力，同时支持对各种二层协议的过滤功能；在网络层和传输层提供基于状态检测的分组过滤，可以根据网络地址、网络协议以及TCP 、UDP 端口进行过滤，并进行完整的协议状态分析；在应用层通过深度内容检测机制，可以对高层应用协议命令、访问路径、内容、访问的文件资源、关键字、移动代码等实现内容安全控制；同时还直接支持丰富的第三方认证，提供用户级的认证和授权控制。网络卫士系列防火墙的多级过滤形成了立体的、全面的访问控制机制，实现了全方位的安全控制。支持百兆/千兆网络环境。

    五、安全审计系统

    设计安全审计系统的主要功能是对系统中各种网络行为、数据库行为、主机行为进行审计，智能地判断出违规行为，并对违规行为进行记录、报警和阻断；并将审计数据作为证据管理的内容进行有序管理，为责任认定提供数据支持。

    例如CA2200网络安全审计系(业务网型)，该系统是针对业务网络资源进行策略化审计与管理的新一代安全系统，它集内容审计、访问控制及身份认证于一体，通过对具体业务的命令级审计与认证、对越权用户与非法操作的告警与阻断，实现对主机、服务器、数据库等资源的重点保护，从而为客户业务网络系统提供强大的集中审计管理平台。

    网络安全审计系统应具有如下功能特点：

    1、对网络操作进行实时监控、过程回放
审计系统对数据库、FTP、Telnet、应用（业务）系统等登录的操作进行详细的审计，包括登录者输入的各种命令、操作结果等。实时监控、过程回放，就像网络世界的摄像机，真实地展现用户的操作，系统管理员通过本系统看到的就是当时的实际操作界面和过程。利用这项功能，系统管理员可以直观、方便地了解系统被使用的情况，尤其是在出现安全问题后，可以迅速地查找出责任人。

    2、进行命令级的审计和访问控制
    审计系统可以对数据库操作、FTP、Telnet、应用（业务）系统等进行命令级的审计和访问控制。审计系统在各主机系统原有的用户权限基础上，进一步细分了主机、服务器、数据库系统的权限设置，使得每个用户仅能够从事与自己身份相符合的操作。即使是多个人使用同一个账号进行登录，审计系统也能区分出不同的用户，并且根据不同的身份采取不同的审计和访问控制措施。

    3、 强大的审计报表
    审计系统提供了强大的审计报表功能，系统管理员可以根据自己关心的内容设置审计报表的输出。通过设置合理的审计报表，管理员可以迅速、直观地了解到系统的运行情况、使用情况；如果发现异常，可以利用审计系统的查询、分析、跟踪功能，定位出现问题的人员、时间、操作内容等。

    4、加固、提升原系统的身份认证强度
    审计系统在不修改原系统任何配置的情况下，可以对访问用户进行基于CA证书的强身份认证。当访问者需要访问被保护的主机、服务时，需要在计算机中插入合法的USB令牌，并输入正确的口令后，才可以进行正常的访问。因此，审计系统可以在原系统的口令认证基础上，加强后台主机、服务的身份认证功能。

    六、入侵检测系统（IDS）

    对于网络中可能存在的安全风险，例如黑客入侵、网络病毒和网络资源滥用等行为，IDS可以进行有效检测并作出报警或与其他网络设备联动实现实时阻止。IDS可以对流经被保护网络的流量进行综合检测。