1、基于专网的移动警务安全基于专网的移动警务安全保障系统设计保障系统设计2移动警务通移动警务通 通信网络信息安全策略通信网络信息安全策略 警务专用终端警务专用终端 移动警务平台移动警务平台移动警务通移动警务通 行业定名行业定名 公安信息公网移动接入及应用系统公安信息公网移动接入及应用系统 公安信息公网移动接入及应用系统通常称为公安信息公网移动接入及应用系统通常称为“移动警务通移动警务通”,是公安,是公安信息综合业务系统的信息综合业务系统的无线延伸无线延伸,依托公用移动网络(,依托公用移动网络(GSM/GPRS/CDMAGSM/GPRS/CDMA)为通道,以便为通道,以便于携带的于携带的手机、手机、
2、PDAPDA、笔记本电脑为、笔记本电脑为终端终端,通过多媒体(包,通过多媒体(包括文字、图片、语音、视频等)形式,在括文字、图片、语音、视频等)形式,在保障安全保障安全的前提下,实现公安的前提下,实现公安综合业务信息的无线沟通和无线传递。综合业务信息的无线沟通和无线传递。移动警务系统定义移动警务系统定义公安系统移动信息化建设的现状公安系统移动信息化建设的现状 公安系统移动信息化建设实质就是公安通信网络与计算机信息系统建设工公安系统移动信息化建设实质就是公安通信网络与计算机信息系统建设工程。即利用现代化信息通信技术,增强公安机关快速反应、协同作战程。即利用现代化信息通信技术,增强公安机关快速反应
3、、协同作战的能力;提高公安机关的工作效率和侦察破案水平,适应新形式下社的能力;提高公安机关的工作效率和侦察破案水平,适应新形式下社会治安的动态管理。会治安的动态管理。公安移动信息化工作的快速推进,使得各级公安机关和广大干警在执行警公安移动信息化工作的快速推进,使得各级公安机关和广大干警在执行警务工作中将广泛应用公安警务信息来侦破案件、抓捕逃犯、核查车辆、务工作中将广泛应用公安警务信息来侦破案件、抓捕逃犯、核查车辆、打击和预防犯罪等。在街面和移动中,充分利用警务信息已成为公安打击和预防犯罪等。在街面和移动中,充分利用警务信息已成为公安工作的紧迫需求。工作的紧迫需求。现阶段河北、广东、深圳、珠海、
4、重庆等省市都以成功启用移动警务通,现阶段河北、广东、深圳、珠海、重庆等省市都以成功启用移动警务通,达到了很好的效果,大大提高警员的工作效率,为公安行业提升自己达到了很好的效果,大大提高警员的工作效率,为公安行业提升自己的社会和经济效益提供有力的技术保障。的社会和经济效益提供有力的技术保障。1快速的反应能力:快速的反应能力:移动警务通为紧急和突发事件的处理提供了信息依据,可避免重特大案件的发生,为移动警务通为紧急和突发事件的处理提供了信息依据,可避免重特大案件的发生,为突发案件的迅速侦破创造信息条件。突发案件的迅速侦破创造信息条件。2提高公安信息化水平:提高公安信息化水平:公安工作的特点:移动性
5、、紧急性、突发性。巡逻中、在案发现场实时查询、取公安工作的特点:移动性、紧急性、突发性。巡逻中、在案发现场实时查询、取证。提高公安机关工作效率及战斗力。可以更加有效地预防和打击犯罪、服务群证。提高公安机关工作效率及战斗力。可以更加有效地预防和打击犯罪、服务群众,实现众,实现“科技强警科技强警”的目标。的目标。3整合办案流程:整合办案流程:公安机关已从过去的静态管理转化到将大部分警力部署在街面上的动态管理。满足公安机关已从过去的静态管理转化到将大部分警力部署在街面上的动态管理。满足警务管理改革的工作需要,为一线干警提供更加方便、快速、安全、准确的公安信警务管理改革的工作需要,为一线干警提供更加方
6、便、快速、安全、准确的公安信息,为广大干警及时准确地处理公安业务提供新的手段和平台!息,为广大干警及时准确地处理公安业务提供新的手段和平台!4信息沟通便捷:信息沟通便捷:可以用视频、图片等方式,直接向后台传送案发现场情况,提高办案的准确性。可以用视频、图片等方式,直接向后台传送案发现场情况,提高办案的准确性。公安系统移动信息化建设的意义公安系统移动信息化建设的意义5优化警力资源部署:优化警力资源部署:提供巡警、巡车等警力资源,进行有效地调度、部署和日常管理。提供巡警、巡车等警力资源,进行有效地调度、部署和日常管理。常见的安全威胁常见的安全威胁 (1)(1)窃听:在无线链路或服务网内窃听用户数据
7、、信令数据及控制数窃听:在无线链路或服务网内窃听用户数据、信令数据及控制数据;据;(2)(2)伪装:伪装成网络单元截取用户数据、信令数据及控制数据,伪伪装:伪装成网络单元截取用户数据、信令数据及控制数据,伪终端欺骗网络获取服务;终端欺骗网络获取服务;(3)(3)流量分析:主动或被动流量分析以获取信息的时间、速率、长度流量分析:主动或被动流量分析以获取信息的时间、速率、长度、来源及目的地;、来源及目的地;(4)(4)破坏数据完整性:修改、插入、重放、删除用户数据或信令数破坏数据完整性:修改、插入、重放、删除用户数据或信令数据以破坏数据完整性;据以破坏数据完整性;常见的安全威胁常见的安全威胁 (5
8、)(5)拒绝服务:在物理上或协议上干扰用户数据、信令数据及控制数拒绝服务:在物理上或协议上干扰用户数据、信令数据及控制数据在无线链路上的正确传输实现拒绝服务攻击;据在无线链路上的正确传输实现拒绝服务攻击;(6)(6)否认:用户否认业务费用、业务数据来源及发送或接收到的其他否认:用户否认业务费用、业务数据来源及发送或接收到的其他用户的数据,网络单元否认提供的网络服务;用户的数据,网络单元否认提供的网络服务;(7)(7)非授权访问服务:用户滥用权限获取对非授权服务的访问,服非授权访问服务:用户滥用权限获取对非授权服务的访问,服务网滥用权限获取对非授权服务的访问;务网滥用权限获取对非授权服务的访问;
9、(8)(8)资源耗尽:通过使网络服务过载耗尽网络资源,使合法用户无法资源耗尽:通过使网络服务过载耗尽网络资源,使合法用户无法访问。访问。设备名称设备名称短消息接入系统数字证书系统(CA)数据接入系统安全认证管理系统安全SIM卡、安全TF卡、安全客户端密码机安全隔离与信息交换系统边界隔离及安全接入系统边界隔离及安全接入系统78910第第1 1层是公安信息移动应用层是公安信息移动应用的使用和各种移动终端的使用和各种移动终端设备;设备;第第 2 2 层是移动传输通讯网络层是移动传输通讯网络,即各种公网或公安专,即各种公网或公安专用移动通信网;用移动通信网;11第第 3 3 层是移动应用接层是移动应用
10、接入系统与移动应用入系统与移动应用服务系统,他们利服务系统,他们利用放在移动接入网用放在移动接入网的摘要数据库或通的摘要数据库或通过公安内网数据库过公安内网数据库为移动民警提供移为移动民警提供移动服务;动服务;12第第 4 4 层是网络安全隔离层是网络安全隔离层,它将公安信息网层,它将公安信息网与移动接入网隔离,与移动接入网隔离,并负责公安信息网和并负责公安信息网和移动接入网之间的数移动接入网之间的数据传递和转发;据传递和转发;13第第 5 5 层是移动应用同步系统层是移动应用同步系统,负责公安信息网与移,负责公安信息网与移动接入网数据同步的工动接入网数据同步的工作;作;第第 6 6 层是应用
11、支撑平台,实层是应用支撑平台,实现异地、异构系统之间现异地、异构系统之间的互联、互通、互访;的互联、互通、互访;14第第7 7层是系统运行环境:包括层是系统运行环境:包括计算机网络、主机、数计算机网络、主机、数据库、应用中间件环境据库、应用中间件环境,它为公安信息移动应,它为公安信息移动应用系统提供了物理上的用系统提供了物理上的保证。保证。安全策略介绍安全策略介绍边界接入系统网络拓扑边界接入系统网络拓扑15安全策略介绍安全策略介绍系统安全体系结构系统安全体系结构16 (1)(1)软硬件平台安全:软硬件平台包括公安信息系统公钥基础设施与授软硬件平台安全:软硬件平台包括公安信息系统公钥基础设施与授
12、权管理体系权管理体系(PKI/PMI)(PKI/PMI)以及本系统配置的密码算法及其硬件实现,采用对以及本系统配置的密码算法及其硬件实现,采用对密码资源的存储加密、对设备使用者的身份认证和访问控制,保证软硬密码资源的存储加密、对设备使用者的身份认证和访问控制,保证软硬件平台的安全。件平台的安全。(2)(2)网络设备安全:通过本系统配置的移动接入网关实现移动安全终端网络设备安全:通过本系统配置的移动接入网关实现移动安全终端的身份认证和访问控制,通过数据加密机制保证传输数据的机密性。的身份认证和访问控制,通过数据加密机制保证传输数据的机密性。安全策略介绍安全策略介绍系统安全体系结构系统安全体系结构
13、17 (3)(3)移动接入安全:配置移动接入安全:配置 VPN VPN 网关和网络防火墙,实现用户终网关和网络防火墙,实现用户终端设备身份认证和接入控制。端设备身份认证和接入控制。(4)(4)安全控制管理:采用证书管理、授权管理、密码管理、审安全控制管理:采用证书管理、授权管理、密码管理、审计管理以及入侵检测管理与控制等安全机制,实现系统全面的安计管理以及入侵检测管理与控制等安全机制,实现系统全面的安全管理与控制。全管理与控制。安全策略介绍安全策略介绍系统安全体系结构系统安全体系结构18 安全策略介绍安全策略介绍移动公网接入安全策略移动公网接入安全策略19安全策略介绍安全策略介绍移动终端安全策
14、略移动终端安全策略20(1)(1)要求移动运营商的核心网络能够支持要求移动运营商的核心网络能够支持 IMSIIMSI、IMEI IMEI 码与码与APN APN 名的绑定,通过名的绑定,通过 UIM UIM 芯片存储用户鉴权信息,移动芯片存储用户鉴权信息,移动交换机进行鉴权认证。交换机进行鉴权认证。(2)(2)利用利用 VPDN VPDN 技术,结合手机终端的机器码实现公安技术,结合手机终端的机器码实现公安移动内网移动内网 AAA AAA 服务器鉴权。鉴权通过后,建立服务器鉴权。鉴权通过后,建立VPNVPN连连接,分配合法的接,分配合法的IPIP地址。地址。(3)(3)对于重要的内网信息资源,
15、利用公安对于重要的内网信息资源,利用公安PKIPKI证书系统和证书系统和分组密码系统,实现移动终端用户的身份认证、数字签分组密码系统,实现移动终端用户的身份认证、数字签名和数据机密性和完整性服务。名和数据机密性和完整性服务。安全策略介绍安全策略介绍移动警务系统与公安内网数据交换移动警务系统与公安内网数据交换21(1 1)隔离网闸是移动接入网和公安信息网的网络边界,)隔离网闸是移动接入网和公安信息网的网络边界,利用隔离网闸对移动接入网和公安信息网交换的信息进利用隔离网闸对移动接入网和公安信息网交换的信息进行内容过滤。行内容过滤。(2 2)在隔离网闸内侧设置防火墙,用于保证只有授权的)在隔离网闸内侧设置防火墙,用于保证只有授权的移动应用才能从公安信息网通过隔离网闸进入公安移动移动应用才能从公安信息网通过隔离网闸进入公安移动接入网,并阻止来自隔离网闸的非授权应用访问请求。接入网,并阻止来自隔离网闸的非授权应用访问请求。
