1、公安内网面临挑战
随着公安行业信息网络技术的应用层次不断深入,业务系统应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,公安各部门对网络安全性的要求变得越来越高,需要有效地制定安全策略以保护机密数据信息。为此,公安部架设了公安专用网络来保证数据的安全性,但是随着现代上网手段的不断增多,网络边界的概念逐渐模糊,通过手机上网、无线上网卡上网等方式连接到互联网变得非常普遍。对于以上安全问题,传统安全技术显得力不从心。
1.1. NMS2(网络安全监控系统)概述
网络安全监控系统V2.0,简称NMS2,是一套融合了最新信息技术和网络安全管理理念的里程碑式的软件产品。它融合了监控软件、网管软件、内网安全等产品的功能,构建了一套可信赖的网络安全监控系统,采用网络底层数据拦截技术,从根本上杜绝了计算机通过各种方式访问互联网,封堵了现在能够想到的所有泄密的途径,使得内网安全的诸多隐患得到全面的管理和监控。
NMS2采用了模块化设计,包含了客户机分组管理、网络访问规则配置、客户端分发、客户端扫描、互联网访问拦截、访问报警、系统管理等模块。其核心是实现对公安专网计算机进行外网绝对隔离、内网访问权限控制。
1.2. NMS2(网络访问监控系统)网络拓扑图
NMS2基本系统由两个不同的组件组成:客户端组件、控制台组件。用户可以根据具体需要将它们安装在局域网中的计算机上。客户端组件安装在每一台需要被监视的计算机上。控制台组件主要用于监视每台安装有客户端组件的计算机、配置网络访问规则、查看历史记录等,一般安装在网管和管理人员的计算机上。
客户端组件的基本功能包括:
- 自动下载并执行网络访问规则
- 禁止计算机宿主计算机访问互联网
- 将控制台需要的数据以数据包的形式发送至控制台
控制台组件的基本功能包括:
- 客户端分发
- 客户端分组管理
- 网络访问规则配置
- 内网计算机扫描
- 批量关机、重启
- 违规消息日志
- 系统配置
- 阻断未安装客户端的PC机
1.3. NMS2(网络安全监控系统)主要功能列表
| 类别 |
主要功能模块 |
详细描述 |
| 控制台 |
客户端分发 |
设置客户端运行参数,生成客户端安装程序。
|
| 客户端分组管理 |
将各PC机根据所属部门进行分组管理,方便查询。
|
| 网络访问规则配置 |
根据IP段设置网络访问规则,控制各PC机间的访问权限。
|
| 内网计算机扫描 |
扫描指定IP段的计算机。
|
| 批量关机、重启 |
控制选定PC机的关机和重启。
|
| 违规消息日志 |
记录违规网络访问操作,以便于查询。
|
| 系统配置 |
配置系统运行的各项参数。
|
| 阻断未安装客户端的PC机 |
通过对比公安部一机两用监控程序的数据,阻断未安装客户端的的计算机访问公安专网。
|
| 客户端 |
自动下载、执行网络访问规则 |
自动下载控制台设置的网络访问规则,并执行。
|
| 禁止客户机访问互联网 |
对非法互联网的PC机进行阻断。
|
| 发送数据到控制台 |
实时发送控制台需要的数据包。
|
1.4. NMS2(网络安全监控系统)运行环境
安装客户端组件的计算机的基本要求:
- 操作系统Win2000/XP/2003
- 最低配置Pentium 赛扬 /128MB 内存/10G 可用硬盘空间
- 建议配置Pentium III 500/256MB 内存/20GMB 可用硬盘空间
安装控制台组件的计算机的基本要求:
- 操作系统Win2000/2003
- 数据库:windows sql server 2000
- 最低配置Pentium III 500/256MB 内存/10GB 可用硬盘空间
- 建议配置Pentium Ⅳ 3.0/512MB 内存/50GB 可用硬盘空间