消防安全方案

1、安陽市消防支隊消防信息移動接入及應(yīng)用系統(tǒng)”技術(shù)安全方案中國移動通信集團(tuán)河南有限公司安陽分公司第 1 頁 共 10 頁安陽市公安消防支隊是一支實行軍事化管理的現(xiàn)役制部隊， 擔(dān)負(fù)著全市的 火災(zāi)預(yù)防，火災(zāi)撲救，緊急救援任務(wù)。 同時又是安陽市公安機(jī)關(guān)依法實施消防監(jiān) 督的職能部門。 在消防監(jiān)督工作方面， 我們的主要職責(zé)是： 依據(jù)國家消防法規(guī)和 規(guī)范，對各部門各單位的消防工作進(jìn)行監(jiān)督檢查；對新建，擴(kuò)建，改建，裝修等 工作項目進(jìn)行防火審核；開展防火宣傳，向市民傳播消防知識，提供消防咨詢， 接受群眾投訴，處罰違反消防法規(guī)的行為；調(diào)查火災(zāi)原因，處理火災(zāi)事故。安陽市公安消防支隊辦公自動化系統(tǒng)自應(yīng)用以來， 極大的方

2、便了消防支隊的 系統(tǒng)化辦公， 提高了消防監(jiān)督和服務(wù)群眾的水平和能力， 提高快速反應(yīng)和綜合作 戰(zhàn)能力。但由于系統(tǒng)建設(shè)較早， 辦公系統(tǒng)尚未移動化， 以滿足公安消防系統(tǒng)工作需求 為目標(biāo)，保障信息安全為前提， 根據(jù)河南省公安信息移動接入及應(yīng)用系統(tǒng)建設(shè) 任務(wù)書和河南省公安信息移動接入及應(yīng)用系統(tǒng)建設(shè)方案實施技術(shù)指導(dǎo)書 ， 結(jié)合我市的具體應(yīng)用情況， 制定本方案現(xiàn)提公安消防辦公自動化技術(shù)安全方案供一、具體系統(tǒng)安全方案在公安消防原有的系統(tǒng)上增加安全通信卡、安全短消息網(wǎng)關(guān)，增加加密機(jī)、 安全隔離網(wǎng)閘提高了整個系統(tǒng)的安全性；由安全通信卡與安全短消息網(wǎng)關(guān)配合， 在公共移動通信網(wǎng)絡(luò)中建立端到端的安全可信通道， 實現(xiàn)移動

3、終端到消防信息中 心的安全信息交換； 用安全隔離網(wǎng)閘替換原來的數(shù)據(jù)擺渡系統(tǒng)增加了數(shù)據(jù)交換的 速度和數(shù)據(jù)交換的安全性， 從而解決了舊系統(tǒng)中存在的安全問題。1、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)第 2 頁 共 10 頁安全 SIM 卡SSL/IPSec客 戶端加密短消息網(wǎng)關(guān)路由器移動公網(wǎng)密碼機(jī)交換機(jī)公安移動接入網(wǎng)包過濾 防火墻綜合數(shù) 異地查詢 據(jù)庫 用服務(wù) 服務(wù)器專用防火墻安全網(wǎng)絡(luò)拓?fù)鋱D）安全隔離網(wǎng)閘交換機(jī) 用戶管理數(shù)據(jù)同步服務(wù)綜合數(shù)據(jù)服務(wù)器器公安信息網(wǎng)WEB 管理服務(wù)器2、硬件與軟件功能說明 硬件部分：安全短消息網(wǎng)關(guān) 用于接收用戶查詢請求和結(jié)果回送；對通過網(wǎng)關(guān)的數(shù)據(jù)實現(xiàn)加 /解密；配合 認(rèn)證服務(wù)器完成對移動用戶的認(rèn)證

4、； 完成會話密鑰協(xié)商； 對非法請求進(jìn)行過濾以 阻止非法數(shù)據(jù)的進(jìn)出；加密機(jī)加密機(jī)中嵌入公安專用加密算法及相應(yīng)的摘要算法和 RSA 算法，完成對查 詢請求中加密數(shù)據(jù)的解密和查詢結(jié)果數(shù)據(jù)的加密返回， 以保證數(shù)據(jù)傳輸入中的安 全性，實現(xiàn)數(shù)據(jù)的完整性驗證和用戶身份認(rèn)證。安全隔離網(wǎng)閘用于公安移動接入網(wǎng)與公安信息網(wǎng)的安全隔離， 為數(shù)據(jù)同步程序提供內(nèi)外網(wǎng) 的安全通道。防火墻用于數(shù)據(jù)從移動公網(wǎng)到公安移動接入網(wǎng)之間的安全防護(hù)， 可以防攻擊、 防網(wǎng) 絡(luò)蠕蟲病毒，建立接入網(wǎng)的安全邊界。第3 頁共10 頁 軟件部分：安全通信卡申請管理系統(tǒng)用于管理使用移動查詢應(yīng)用系統(tǒng)的用戶， 對用戶進(jìn)行從申請、 審批到使用的 跟蹤，確保

5、安全通信卡的安全使用。 系統(tǒng)通過將申請者信息與消防人員庫比對的 方式杜絕了消防人員使用安全通信卡的情況。 該系統(tǒng)做為河南省安全通信卡管理 系統(tǒng)的一部分， 配合省廳實現(xiàn)安全通信卡管理的信息化、 科學(xué)化?；诰W(wǎng)閘的數(shù)據(jù)傳送系統(tǒng) 通過網(wǎng)閘的保護(hù)提供安全的內(nèi)外網(wǎng)數(shù)據(jù)交換。3、設(shè)備與性能說明硬件設(shè)備：產(chǎn)品名稱產(chǎn)品型號產(chǎn)品規(guī)格生產(chǎn)廠家備注安全短消 息網(wǎng)關(guān)JA-SMS-X01 V1.0支持中國移動 CMPP2.0 短 消息網(wǎng)關(guān) 支持預(yù)共享密鑰和數(shù)字證 書兩種身份認(rèn)證方式 提供移動終端遠(yuǎn)程控制命 令機(jī)制 向短信應(yīng)用開發(fā)商提供短 消息服務(wù)代理作用 每秒可完成會話密鑰協(xié) 商： 500 以上 每秒可處理短信： 10

6、00 條 以上國家密碼管 理局為公安 部指定的密 碼專用算 法； 高速的消息 轉(zhuǎn)發(fā)性能加密機(jī)GA-X01 V2.0數(shù)據(jù)接口： USB 接口、 PCI64/32 接口 數(shù)據(jù)通訊速率： 480Mbps 、 266MBps 支持的算法：公安專用分 組密碼算法， RSA， MD5 算法密鑰長度： RSA 有 1024、 2048 位，公安專用 分組密碼算法有 128、 192 位算法速度： RSA 算法：（以 1024 位模長為例） 公鑰運(yùn)算： 190 次 / 秒；私 鑰運(yùn)算： 10 次 /秒內(nèi)置國家商 用密碼委員 會指定算法第4 頁共10 頁數(shù)據(jù)加解密速度： 50Mbps 以上隔離網(wǎng)閘Ferrywa

7、y V2.0見附件一上海金電網(wǎng) 安科技有限 公司防火墻HT-FW-2000見附件二北京中軟華 泰信息技術(shù) 有限責(zé)任公 司應(yīng)用軟件產(chǎn)品名稱產(chǎn)品描述開發(fā)公司備注基于網(wǎng)閘的內(nèi)外網(wǎng)數(shù)據(jù)交換系統(tǒng)為查詢提供從公安信 息網(wǎng)到公安移動接入 網(wǎng)的安全數(shù)據(jù)傳送數(shù)據(jù)吞吐量大； 傳送速度快。安全通信卡申請管理系統(tǒng)對申請安全通信卡的 人員進(jìn)行登記、 統(tǒng)計、 上報、審核、流量統(tǒng) 計、短信群發(fā)、協(xié)查 通報B/S 結(jié)構(gòu)； 安裝快捷； 操作方便四、系統(tǒng)安全性分析第5 頁共10 頁安全數(shù)據(jù)走向圖）1、信息的保密性 從“安全通信卡”到“安全短消息網(wǎng)關(guān)”之間傳輸?shù)臄?shù)據(jù)全部是經(jīng)過公安專 用加密算法加密過的信息， 杜絕了非法竊聽和信息泄

8、密， 保障了移動公網(wǎng)中傳輸 數(shù)據(jù)的保密性。2、信息的可靠性與完整性從“安全通信卡” 發(fā)出的查詢數(shù)據(jù)附加了數(shù)據(jù)摘要和用戶證書信息， 在數(shù)據(jù) 到達(dá)移動終端或短消息網(wǎng)關(guān)時， 通過驗證數(shù)據(jù)中附加的數(shù)據(jù)摘要保證數(shù)據(jù)的完整 性；通過驗證數(shù)據(jù)中附加的用戶證書阻止非法訪問，保證數(shù)據(jù)的可信性。3、內(nèi)、外網(wǎng)的邊界安全性 在公安信息網(wǎng)與公安移動接入網(wǎng)之間增加安全隔離網(wǎng)閘， 公安信息網(wǎng)與公安 移動接入網(wǎng)的數(shù)據(jù)同步系統(tǒng)通過安全隔離網(wǎng)閘進(jìn)行數(shù)據(jù)交換， 在內(nèi)、外網(wǎng)之間建 立清晰的邊界。4、其它安全性措施 在移動公網(wǎng)與公安移動接入網(wǎng)中間加入專用的防火墻， 有效的阻止了非法用第6 頁共10 頁 戶的侵入與攻擊， 對網(wǎng)絡(luò)蠕蟲起到

9、了一定的防護(hù)做用， 保障了公安移動接入網(wǎng)的 安全。加密短消息網(wǎng)關(guān)提供了包過濾防火墻對數(shù)據(jù)進(jìn)行包過濾，過濾非法數(shù)據(jù)， 保證了查詢數(shù)據(jù)的安全性與完整性。由以上步驟可以看出， 經(jīng)過安全改造后的系統(tǒng)， 數(shù)據(jù)在各網(wǎng)段之間的傳輸是 安全、可信的。附件一：金電網(wǎng)安 FerryWay2.0 型網(wǎng)閘功能指標(biāo)產(chǎn)品名稱安全隔離與信息交換系統(tǒng)產(chǎn)品型號FerryWay2.0操作系統(tǒng)自主研發(fā)的專用安全系統(tǒng)支持協(xié)議標(biāo)準(zhǔn) TCP、 UDP（按客戶需求自定義增加 UDP 模塊）應(yīng)用協(xié)議檢查HTTP 、HTTPS 、SMTP 、POP3、FTP、TELNET 、SQL、ORACLE 、 MSN 、QQ、NULL_TCP 等 可定

10、制應(yīng)用協(xié)議檢查模塊基本模塊隔離硬件和系統(tǒng)管理，與其他模塊配合使用安全上網(wǎng)模塊訪問控制對象： 源地址、目標(biāo)地址、源端口、目的端目、 域名、URL 、 訪問方式、時間等內(nèi)容過濾：關(guān)鍵字（采用自主研發(fā)的下推自動機(jī)的高效過濾算法）腳本過濾： javascript 、Applet 、 ActiveX 等其他過濾策略：文件類型、頁面提交方式等認(rèn)證方式：本地用戶文件安全郵件模塊垃圾郵件過濾、郵件地址、郵件主題、郵件內(nèi)容、郵件附件過濾、 時間等安全文件交換模塊提對安全的文件實時交換安全數(shù)據(jù)庫訪問模塊提供對 SQL、 ORACLE 、 DB2 等所有數(shù)據(jù)庫系統(tǒng)的安全訪問安全數(shù)據(jù)庫交換模塊采用數(shù)據(jù)庫同步軟件，可以

11、實現(xiàn)同構(gòu)、異構(gòu)數(shù)據(jù)庫的雙向同步安全遠(yuǎn)程登錄模塊提供安全的遠(yuǎn)程登錄第7 頁共10 頁日志審計模塊完成系統(tǒng)活動、網(wǎng)絡(luò)連接的記錄、分析、統(tǒng)計和導(dǎo)出自定義功能擴(kuò)展模塊支持用戶自定義基于標(biāo)準(zhǔn) TCP 協(xié)議軟件通信配套管理軟件管理端：用于通道建立、策略制定等審計端：用于日志查詢、分析、導(dǎo)出等硬件體系多機(jī)系統(tǒng)性能指標(biāo)網(wǎng)絡(luò)吞吐量： 400Mbps 和 1000Mbps時延： 0.01 秒最大受控協(xié)議通道： 256 種單個協(xié)議通道并發(fā)連接數(shù)： 32767所有協(xié)議通道并發(fā)連接數(shù)： 65535最大用戶數(shù)： 1024硬件配置機(jī)型：標(biāo)準(zhǔn) 4U規(guī)格： 674x431x177 mm（長 X 寬X 高）接口：3個100Bas

12、e-T（RJ-45）接口；3個VGA 接口；3個 PS2（鍵盤、 鼠標(biāo) ）接口電氣性能電源類型： AC 90-132/180-265V電源功率： 300Wx2輻射標(biāo)準(zhǔn)符合 FCC Part15，CLASSA ， EN55022物理環(huán)境溫度（工作）： -2055 ；高度 10000英尺/3000 米溫度（存儲）： -1070 ；高度 30000英尺/9000 米相對濕度（工作） ： 1090%非冷凝相對濕度（存儲） ： 595% 非冷凝附件二：中軟 HuaTech-2000型防火墻性能功能指標(biāo)一覽通用指標(biāo)體系指標(biāo)說明產(chǎn)品名稱中軟 HuaTech-2000 型防火墻防火墻類型包過濾 +狀態(tài)檢測 +

13、代理工作方式兼容路由、網(wǎng)橋兩種工作方式產(chǎn)品規(guī)格說明 HT-FW-2000-EX適用模式 中高端設(shè)備規(guī)格內(nèi)部配置操作系統(tǒng)系統(tǒng)采用經(jīng)過安全加固的專用操作系統(tǒng)CPUIntel內(nèi)存256M硬盤32M FLASH ROM電氣性能電源220V/50Hz 3.0A （最大） 260W（最大）環(huán)境規(guī)范運(yùn)行溫度： 0 45 攝氏度 非運(yùn)行溫度： -20 65 攝氏度 相對濕度： 1090%4 攝氏度，非冷凝參考的安全規(guī)范及標(biāo)準(zhǔn)UL 1950 、EN 41003、AS/NZS 3260、AS/NZS 3548Class A、 CSA Class AFCC Class A、EN 60555-2 、 VCCI (Cl

14、assll)第8 頁共10 頁抗干擾性IEC 1000 4 2 （ ESD）IEC 1000 4 3 （輻射敏感性）IEC 1000 4 4 （電快速瞬變）IEC 1000 4 5 （電涌）IEC 1000 4 3 （諧波）系統(tǒng)組成防火墻系統(tǒng)是一個高速穩(wěn)定的硬件平臺和經(jīng)過安全加固的操作系統(tǒng)的完美結(jié)合體配置管理系統(tǒng)GUI管理器支持Web管理器支持CLI 管理器支持日志管理器支持網(wǎng)絡(luò)特性支持網(wǎng)絡(luò)適配器類型10/100 以太網(wǎng)控制器 RJ45 接口支持最大接口數(shù)4個DNS 支持支持VLAN 支持支持 802.1Q 協(xié)議支持的非 IP 協(xié)議IPX 、 NETBEUI支持 VoIPH.323、 SIP性

15、能指標(biāo)最大并發(fā)連接數(shù)600，000網(wǎng)絡(luò)吞吐率98MbpsMTBF80， 000 小時集中管理統(tǒng)一策略集中管理支持提供基于時間的訪問控制支持SNMP支持本地管理GUI、WEB、CLI（Console）遠(yuǎn)程管理GUI、WEB、CLI（SSH）集中管理中心支持環(huán)境Microsoft Windows98/NT/2000/XP訪問控制狀態(tài)檢測支持用戶權(quán)限級別設(shè)定支持，可自定義權(quán)限支持的代理類型http,ftp,smtp雙向 NAT、 PAT支持地址綁定支持帶寬管理支持流量控制功能支持VPN 支持支持的 VPN加密算法3DES,DES,國家指定算法建立 VPN通道的協(xié)議IPSec、 IKEIPSEC認(rèn)證證

16、書（ X.509 ）、手動密鑰認(rèn)證算法SHA-1、MDS認(rèn)證支持支持的認(rèn)證類型OTP， RADIUS支持?jǐn)?shù)字證書X.509分布日志處理完整日志方法專用日志管理系統(tǒng)日志報表生成方式專用日志管理系統(tǒng)警告通知機(jī)制支持提供審計報表支持提供實時統(tǒng)計日志、 GUI 、Web第 9 頁 共 10 頁日志種類8 種（防火墻的運(yùn)行日志， 代理日志， 入侵檢測日 志，流量統(tǒng)計日志， 管理日志， 雙機(jī)熱備日志， IDS 互動信息，狀態(tài)信息）日志備份支持日志轉(zhuǎn)發(fā)支持日志刪除支持防御功能防范攻擊功能32 大類攻擊行為與 IDS 服務(wù)器互動支持支持病毒掃描支持提供內(nèi)容過濾支持 URL 、文件、郵件過濾能夠防御的 DoS攻擊類型PingofDeath,TCPSYNfloods 等 150 種防 IP 地址欺騙支持阻 止 Active