公安網(wǎng)終端計(jì)算機(jī)準(zhǔn)入控制安全管理技術(shù)研究

張皓然

摘要：當(dāng)前情況下，在我國(guó)的公安網(wǎng)運(yùn)行過(guò)程中已經(jīng)融入一套科學(xué)合理的管理系統(tǒng)，與此同時(shí)許多新的問(wèn)題也接踵而來(lái)。本文就針對(duì)公安網(wǎng)終端計(jì)算機(jī)準(zhǔn)入控制安全管理技術(shù)進(jìn)行了淺要的研究，對(duì)于公安網(wǎng)絡(luò)端計(jì)算機(jī)的接入流程進(jìn)行分析，以便從根本上提升公安網(wǎng)的運(yùn)行水平。

關(guān)鍵詞：內(nèi)網(wǎng)安全；準(zhǔn)人控制；安全檢查

一、引言

近年來(lái)，隨著我國(guó)信息化技術(shù)的不斷發(fā)展，其在公安網(wǎng)的運(yùn)行中也取得了廣泛的應(yīng)用。公安網(wǎng)作為公安部門(mén)中重要的網(wǎng)絡(luò)系統(tǒng)，涉及到許多秘密的警務(wù)信息，公安網(wǎng)網(wǎng)絡(luò)信息的安全性十分重要。如果公安網(wǎng)的安全性受到了威脅，可能造成警務(wù)信息泄露等嚴(yán)重問(wèn)題。因此，為了充分保障公安網(wǎng)的安全性，公安網(wǎng)通常會(huì)設(shè)置一系列的硬件設(shè)備，這些硬件設(shè)備需要花費(fèi)較多的資金作為支撐，而其所產(chǎn)生的保護(hù)性效果卻微乎其微。由于網(wǎng)絡(luò)終端是網(wǎng)絡(luò)的一個(gè)重要組成部分，因此網(wǎng)絡(luò)終端的安全性能受到了人們的廣泛關(guān)注。人們將終端準(zhǔn)入控制技術(shù)是未來(lái)發(fā)展過(guò)程中的一個(gè)重要研究方向。

二、公安網(wǎng)終端計(jì)算機(jī)準(zhǔn)入控制的發(fā)展現(xiàn)狀

目前，公安網(wǎng)的終端準(zhǔn)入控制安全管理問(wèn)題已經(jīng)受到了人們的廣泛重視，雖然已經(jīng)通過(guò)相關(guān)的技術(shù)手段來(lái)進(jìn)行了保護(hù)，但計(jì)算機(jī)準(zhǔn)入控制的發(fā)展仍然存在著一些問(wèn)題。在內(nèi)網(wǎng)管理系統(tǒng)當(dāng)中，存在著一些漏洞，通過(guò)一些欺詐性的技術(shù)手段可以起到偽造網(wǎng)關(guān)的作用，以此為前提就可以非法侵入終端計(jì)算機(jī)當(dāng)中，改變公安網(wǎng)的相關(guān)數(shù)據(jù)，甚至發(fā)布虛假的公關(guān)數(shù)據(jù)，對(duì)公安網(wǎng)的信息安全帶來(lái)了極大的困擾。

三、公安網(wǎng)終端計(jì)算機(jī)準(zhǔn)入控制安全管理的系統(tǒng)架構(gòu)

我們選擇采用主動(dòng)式的網(wǎng)絡(luò)安全管理技術(shù)來(lái)管控公安網(wǎng)系統(tǒng)，這種方式可以大幅度提升網(wǎng)絡(luò)的安全性和可靠性。對(duì)于網(wǎng)絡(luò)終端設(shè)備來(lái)說(shuō)，在正式進(jìn)行網(wǎng)絡(luò)的接入連接前，必須通過(guò)身份認(rèn)證，只有符合系統(tǒng)認(rèn)證需求，獲得系統(tǒng)認(rèn)可的用戶才能獲得訪問(wèn)頁(yè)面的權(quán)利，而對(duì)于任何不符和安全要求的設(shè)備都不允許進(jìn)行連接，必要時(shí)還會(huì)將其轉(zhuǎn)入隔離區(qū)中，僅允許這項(xiàng)設(shè)備訪問(wèn)安全修復(fù)區(qū)域內(nèi)的資源。為了充分保障所接入設(shè)備的安全性和可靠性，在本系統(tǒng)中會(huì)對(duì)于公安網(wǎng)的終端設(shè)備設(shè)置安全防護(hù)層，防護(hù)層會(huì)對(duì)接入的設(shè)備進(jìn)行檢查，如果所接觸的設(shè)備不符和內(nèi)網(wǎng)的安全性要求，那么內(nèi)網(wǎng)將會(huì)阻斷該設(shè)備的訪問(wèn)，然后將其引入安全修復(fù)區(qū)進(jìn)行安全修改，待設(shè)備滿足訪問(wèn)條件后再允許接入。除此之外，在這一系統(tǒng)中涉及到諸多的方面，下面就針對(duì)該系統(tǒng)中的一些重要部分進(jìn)行探究。

（一）入網(wǎng)控制實(shí)現(xiàn)原理

在本系統(tǒng)中，為了保障信息的安全，普遍采用身份認(rèn)證以及白名單兩類方式來(lái)實(shí)現(xiàn)入網(wǎng)控制。通過(guò)掌握網(wǎng)絡(luò)訪問(wèn)員的地址信息，來(lái)判定其是否滿足入網(wǎng)訪問(wèn)的要求，通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)通信數(shù)據(jù)包，來(lái)對(duì)白名單中的設(shè)備進(jìn)行判定，如果訪問(wèn)的設(shè)備屬于白名單中的保護(hù)設(shè)備，則不需要進(jìn)行身份認(rèn)證檢測(cè)，允許通過(guò)認(rèn)證，直接進(jìn)行網(wǎng)絡(luò)訪問(wèn)，如果設(shè)備并不屬于白名單中的保護(hù)設(shè)備，那么該設(shè)備將通過(guò)以下的認(rèn)證流程：

首先，入網(wǎng)安全控制網(wǎng)關(guān)或準(zhǔn)入控制客戶端會(huì)生產(chǎn)出一段字符串，然后通過(guò)精密的計(jì)算，將所得的結(jié)果發(fā)送給源地址計(jì)算機(jī)。

其次，如果源地址計(jì)算機(jī)已經(jīng)完成了入網(wǎng)注冊(cè)，那么則允許其接入控制客戶端程序，系統(tǒng)會(huì)直接向其發(fā)送加密數(shù)據(jù)包以及解密字符串。

接下來(lái)，需要對(duì)用于解密的字符串進(jìn)行邏輯性的運(yùn)算處理，然后在重新通過(guò)加密計(jì)算法進(jìn)行計(jì)算后重新發(fā)送給入網(wǎng)安全控制客戶端。

最后，當(dāng)準(zhǔn)入控制客戶端接收到加密數(shù)據(jù)包以后，可以直接對(duì)數(shù)據(jù)包進(jìn)行解密處理，經(jīng)過(guò)具體的運(yùn)算處理后得出新的字符串，通過(guò)同樣的處理方式對(duì)于字符串進(jìn)行下一步的運(yùn)算處理，然后將所得的結(jié)果與之前計(jì)算出的加密字符進(jìn)行對(duì)比，若兩者之間完全相同，則視為通過(guò)身份認(rèn)證。如果系統(tǒng)沒(méi)有在規(guī)定的時(shí)間內(nèi)收到數(shù)據(jù)包，或是計(jì)算所得的字符與加密字符之間存在差異，則將訪問(wèn)設(shè)備視為非法設(shè)備，系統(tǒng)則會(huì)重新引入注冊(cè)向?qū)ы?yè)面，用戶可以通過(guò)這一頁(yè)面重新進(jìn)行入網(wǎng)前的安全性檢查，重新進(jìn)行流程的認(rèn)證。否則將視為該系統(tǒng)不滿足訪問(wèn)網(wǎng)絡(luò)資源的條件。

（二）入網(wǎng)注冊(cè)流程

對(duì)于剛剛?cè)刖W(wǎng)的計(jì)算機(jī)來(lái)說(shuō)，如果該設(shè)備想要對(duì)于公安網(wǎng)或者與公安網(wǎng)相關(guān)的其他網(wǎng)絡(luò)終端進(jìn)行訪問(wèn)時(shí)，系統(tǒng)會(huì)將計(jì)算機(jī)終端引入系統(tǒng)注冊(cè)頁(yè)面，用戶必須按照公安網(wǎng)的管理需求進(jìn)行入網(wǎng)前的注冊(cè)，注冊(cè)成功之后才可以對(duì)于內(nèi)網(wǎng)的資源進(jìn)行訪問(wèn)。

入網(wǎng)注冊(cè)主要涉及到臨時(shí)IP注冊(cè)以及固定IP注冊(cè)兩種注冊(cè)方法。臨時(shí)IP注冊(cè)，顧名思義就是注冊(cè)臨時(shí)性的訪問(wèn)IP，首先要在入網(wǎng)控制管理平臺(tái)上設(shè)置專屬的IP端以及臨時(shí)IP。當(dāng)用戶提交了入網(wǎng)注冊(cè)申請(qǐng)時(shí)，需要通過(guò)所屬部門(mén)所分配的臨時(shí)性IP實(shí)現(xiàn)與內(nèi)網(wǎng)之間的連接，當(dāng)每一個(gè)注冊(cè)步驟都完成后，系統(tǒng)將會(huì)將其所在部門(mén)的專用IP分配給用戶。這種注冊(cè)的方式可以對(duì)IP的使用情況進(jìn)行限制，可以有效避免計(jì)算機(jī)終端用戶隨意配置IP的情況發(fā)生。固定IP的注冊(cè)當(dāng)時(shí)與臨時(shí)IP的注冊(cè)方式類似，同樣是由系統(tǒng)終端計(jì)算機(jī)為其所在部門(mén)設(shè)置專屬IP接入內(nèi)網(wǎng)，完成入網(wǎng)注冊(cè)。

四、系統(tǒng)安全性

為了充分保障系統(tǒng)的安全性能，避免公安網(wǎng)受到攻擊或破壞，下面就從常見(jiàn)的網(wǎng)絡(luò)攻擊，這一方面對(duì)于公安網(wǎng)系統(tǒng)的安全性能進(jìn)行具體的管控設(shè)計(jì)。

（一）客戶端自防護(hù)設(shè)計(jì)

很多時(shí)候，網(wǎng)絡(luò)惡意攻擊常會(huì)導(dǎo)致客戶端程序意外終止，這就需要通過(guò)相應(yīng)的網(wǎng)絡(luò)技術(shù)來(lái)對(duì)惡意攻擊進(jìn)行阻攔。另外，通過(guò)在系統(tǒng)當(dāng)中引入代碼注入技術(shù)，本地線程與遠(yuǎn)程線程首尾呼應(yīng)，如果這兩者之間其中的一個(gè)部分出現(xiàn)了問(wèn)題，另外一個(gè)部分將作為備用第一時(shí)間啟動(dòng)運(yùn)行。

（二）網(wǎng)絡(luò)通信保護(hù)設(shè)計(jì)

現(xiàn)階段，我國(guó)各項(xiàng)技術(shù)取得了明顯的發(fā)展，網(wǎng)絡(luò)通信技術(shù)也取得了較大的進(jìn)步。隨之而來(lái)的就是網(wǎng)絡(luò)攻擊方式也越來(lái)越廣泛，網(wǎng)絡(luò)入侵者可以在由網(wǎng)絡(luò)系統(tǒng)非接觸的前提下，通過(guò)雙絞線的電磁輻射的信息網(wǎng)，來(lái)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)包的阻礙，對(duì)于內(nèi)網(wǎng)內(nèi)的數(shù)據(jù)進(jìn)行修改，之系統(tǒng)內(nèi)部的安全管理性能出現(xiàn)故障。而本系統(tǒng)通過(guò)采用加密技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行二次加密處理。值得注意的是，為了充分保障加密的效率可以滿足系統(tǒng)運(yùn)行需求，在系統(tǒng)中采用對(duì)稱加密算法來(lái)微系統(tǒng)生產(chǎn)出一套配套的密保裝置。另外，為了朋友給我一個(gè)密保裝置受到入侵者的攻擊，系統(tǒng)會(huì)自動(dòng)依據(jù)不同的設(shè)定來(lái)進(jìn)行力保裝置的轉(zhuǎn)換。

（三）數(shù)據(jù)存儲(chǔ)保護(hù)設(shè)計(jì)

網(wǎng)絡(luò)存儲(chǔ)系統(tǒng)的安全性能直接關(guān)系到整個(gè)系統(tǒng)內(nèi)資料的安全性。為了充分保障公安網(wǎng)內(nèi)部一些機(jī)密資源的安全性。系統(tǒng)會(huì)對(duì)于在認(rèn)證層方面實(shí)現(xiàn)用戶的訪問(wèn)認(rèn)證以及網(wǎng)絡(luò)傳輸上的消息加密。

五、總結(jié)

綜上所述，隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，當(dāng)前，在我國(guó)的許多重要部門(mén)當(dāng)中都選擇將一些機(jī)密性的信息存儲(chǔ)在網(wǎng)絡(luò)系統(tǒng)當(dāng)中，而公安網(wǎng)系統(tǒng)中的許多信息都具有機(jī)密性。我在公安網(wǎng)中應(yīng)用準(zhǔn)入控制技術(shù)，可以實(shí)現(xiàn)從網(wǎng)絡(luò)終端對(duì)于系統(tǒng)進(jìn)行保護(hù)，將準(zhǔn)入控制作為有效的控制方法，結(jié)合現(xiàn)階段常用的一些網(wǎng)絡(luò)安全控制技術(shù)，以便提升整個(gè)系統(tǒng)的防御能力。值得注意的是，在網(wǎng)絡(luò)系統(tǒng)中運(yùn)用準(zhǔn)入控制方案可以有效保障網(wǎng)絡(luò)運(yùn)行的安全性，但這并不代表著網(wǎng)絡(luò)運(yùn)行時(shí)完全安全的，這就需要在公安網(wǎng)的運(yùn)行中融入更為科學(xué)合理的管理策略，通過(guò)提高公安網(wǎng)的整體安全性能來(lái)避免因網(wǎng)站受到攻擊而造成的信息泄露問(wèn)題。

參考文獻(xiàn)：

[1]孟慶博，倩寶，魏珉，基于windows環(huán)境進(jìn)程監(jiān)控的設(shè)計(jì)與實(shí)現(xiàn)[J].信息工程大學(xué)學(xué)報(bào)，2007.8（1）：26-29.

[2]戴飛軍，鳳琦，姚立寧，王震宇，新型終端安全接入技術(shù)對(duì)比分析，信息工程大學(xué)學(xué)報(bào)，2008.9（3）：334-347.

[3]胡索榮，葉曉俊，等.數(shù)據(jù)庫(kù)安全深度防護(hù)模型的設(shè)計(jì)和實(shí)現(xiàn)[J].計(jì)算機(jī)研究和發(fā)展，2009.4（增刊）：99-104.

[4]王云，等.網(wǎng)絡(luò)安全入侵與防范，警察技術(shù)，2006（6）.