某公安局網(wǎng)絡(luò)安全方案

1、某公安局網(wǎng)絡(luò)安全方案 （建議稿） 一、 某公安局網(wǎng)絡(luò)現(xiàn)狀某公安局網(wǎng)絡(luò)作為信息基礎(chǔ)設(shè)施，是機(jī)關(guān)信息化建設(shè)的基石。某公安局網(wǎng)絡(luò)開(kāi)通到上級(jí)省廳及全國(guó)各地公安網(wǎng)站的數(shù)字專線出口，與局內(nèi)各樓、其它一些分局及派出所和internet連接。某公安局網(wǎng)絡(luò)提供公安局各單位的互聯(lián)通道，實(shí)現(xiàn)機(jī)關(guān)局域網(wǎng)絡(luò)全部節(jié)點(diǎn)及終端設(shè)備的網(wǎng)絡(luò)互聯(lián)和系統(tǒng)集成，實(shí)現(xiàn)以信息交換，信息發(fā)布為主的綜合計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用環(huán)境，為公安局管理、領(lǐng)導(dǎo)決策提供先進(jìn)的技術(shù)支持手段。整個(gè)某公安局網(wǎng)絡(luò)通過(guò)統(tǒng)一的出口，64k的ddn專線接入上級(jí)省廳及全國(guó)各地公安網(wǎng)站，網(wǎng)絡(luò)主干網(wǎng)通過(guò)一個(gè)motorla（s520）路由器連接到上級(jí)網(wǎng)絡(luò)。某公安局網(wǎng)絡(luò)在物理結(jié)構(gòu)上主要分

2、成兩個(gè)子網(wǎng)，兩個(gè)子網(wǎng)通過(guò)路由器連接。在邏輯上，某公安局網(wǎng)絡(luò)有許多虛擬子網(wǎng)。某公安局網(wǎng)絡(luò)對(duì)遠(yuǎn)程用戶提供撥號(hào)接入服務(wù)。網(wǎng)絡(luò)系統(tǒng)分布在整個(gè)，規(guī)模較大。某公安局現(xiàn)有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)見(jiàn)圖一所示。 某公安局網(wǎng)絡(luò)已經(jīng)有了比較成熟的應(yīng)用，包括www服務(wù)，mail服務(wù)，dns服務(wù)等的一些其他應(yīng)用，如內(nèi)部信息等，也已經(jīng)轉(zhuǎn)移到網(wǎng)絡(luò)應(yīng)用之上的web應(yīng)用主要是用于內(nèi)部信息的管理，應(yīng)用模式主要包括數(shù)據(jù)庫(kù)客戶/服務(wù)器模式、客戶/服務(wù)器模式與瀏覽器/www服務(wù)器模式。某公安局網(wǎng)絡(luò)還沒(méi)有采取安全措施以保證信息的安全不受到侵犯。以上是某公安局網(wǎng)絡(luò)及其應(yīng)用的現(xiàn)狀。 二、 某公安局網(wǎng)絡(luò)安全需求分析某公安局網(wǎng)絡(luò)系統(tǒng)現(xiàn)在的web應(yīng)用主要是

3、用于公安局內(nèi)部信息管理，因而存在著強(qiáng)烈的安全需求。網(wǎng)絡(luò)安全的目標(biāo)是保護(hù)和管理網(wǎng)絡(luò)資源（包括網(wǎng)絡(luò)信息和網(wǎng)絡(luò)服務(wù)）。網(wǎng)絡(luò)安全的需求是分層次的。iso/osi網(wǎng)絡(luò)模型將網(wǎng)絡(luò)分為7個(gè)層次，在不同層次上的安全需求如上圖所示。某公安局網(wǎng)絡(luò)的安全需求覆蓋網(wǎng)絡(luò)層以上的部分，并且有安全管理的需求。可以把某公安局網(wǎng)絡(luò)的安全需求分為三個(gè)大的方面：網(wǎng)絡(luò)層安全需求、應(yīng)用層安全需求和安全管理需求。目前第一期解決網(wǎng)絡(luò)層安全需求1. 網(wǎng)絡(luò)層安全需求網(wǎng)絡(luò)層安全需求是保護(hù)網(wǎng)絡(luò)不受攻擊，確保網(wǎng)絡(luò)服務(wù)的可用性。某公安局網(wǎng)絡(luò)網(wǎng)絡(luò)層的安全需求是面向系統(tǒng)安全的，包括：l 隔離內(nèi)外部網(wǎng)絡(luò)；l 實(shí)現(xiàn)網(wǎng)絡(luò)的邊界安全，在網(wǎng)絡(luò)的入出口設(shè)置安全控制；

4、l 實(shí)現(xiàn)安全漏洞檢測(cè)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)和操作系統(tǒng)存在的安全隱患，及時(shí)采取補(bǔ)救措施，將安全風(fēng)險(xiǎn)降到最低。具體而言，某公安局網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)層的安全需求可以描述為：1） 解決網(wǎng)絡(luò)的邊界安全，防止外部攻擊，保護(hù)內(nèi)部網(wǎng)絡(luò)；通過(guò)防火墻和應(yīng)用代理隔離內(nèi)外網(wǎng)絡(luò)；2） 內(nèi)外網(wǎng)絡(luò)采用兩套不同的ip地址，實(shí)現(xiàn)地址翻譯（nat）功能；3） 根據(jù)ip地址和tcp端口進(jìn)行入出控制；4） 基于ip地址和mac地址的對(duì)應(yīng)防止ip盜用；5） 基于ip地址計(jì)費(fèi)和流量控制；6） 基于ip地址的黑白名單；7） 防火墻對(duì)用戶身份進(jìn)行簡(jiǎn)單認(rèn)證；8） 根據(jù)用戶身份進(jìn)行入出控制；9） 基于用戶的計(jì)費(fèi)和流量限制；10） url檢查和過(guò)濾。2.

5、 應(yīng)用層安全需求某公安局網(wǎng)絡(luò)應(yīng)用層安全需求是針對(duì)用戶和系統(tǒng)應(yīng)用資源的，必須確保合法用戶對(duì)信息的合法存取。某公安局網(wǎng)絡(luò)的信息資源須按需求的安全等級(jí)進(jìn)行系統(tǒng)而周密的規(guī)劃，根據(jù)規(guī)劃采取相應(yīng)的安全管理手段來(lái)保證系統(tǒng)的實(shí)用、可靠和安全性。某公安局網(wǎng)絡(luò)應(yīng)用主要是應(yīng)用于公安局內(nèi)部的信息管理，因而：1） 外部非授權(quán)用戶不得擁有訪問(wèn)公安局內(nèi)部信息的權(quán)限；2） 內(nèi)部、外部授權(quán)用戶只能擁有系統(tǒng)賦予的訪問(wèn)授權(quán)；3） 不同級(jí)別的內(nèi)部用戶擁有對(duì)信息的不同訪問(wèn)權(quán)限；4） 不同部門(mén)的內(nèi)部用戶擁有對(duì)信息的不同訪問(wèn)權(quán)限；5） 某個(gè)部門(mén)的信息可以授予其他部門(mén)內(nèi)部用戶一定的訪問(wèn)權(quán)限；6） 授權(quán)用戶不論在什么地方，什么時(shí)間，對(duì)信息的訪

6、問(wèn)權(quán)限應(yīng)該是一致的；某公安局網(wǎng)絡(luò)應(yīng)用層的安全威脅主要是：l 身份竊取和假冒l(fā) 數(shù)據(jù)竊取和篡改l 非授權(quán)存取l 否認(rèn)與抵賴以上安全威脅產(chǎn)生的安全需求如下：l 數(shù)據(jù)保密：由于無(wú)法確認(rèn)是否有未經(jīng)授權(quán)的用戶截取網(wǎng)絡(luò)上的數(shù)據(jù)，需要一種手段來(lái)對(duì)數(shù)據(jù)進(jìn)行保密。數(shù)據(jù)加密就是用來(lái)實(shí)現(xiàn)這一目標(biāo)的。l 數(shù)據(jù)完整性：需要一種方法來(lái)確認(rèn)送到網(wǎng)絡(luò)上的數(shù)據(jù)在傳輸過(guò)程中沒(méi)有被篡改。數(shù)據(jù)加密和校驗(yàn)被用來(lái)實(shí)現(xiàn)這一目標(biāo)。l 身份認(rèn)證：需要對(duì)網(wǎng)絡(luò)上的用戶進(jìn)行識(shí)別，以確認(rèn)對(duì)方的真實(shí)身份，保證身份不被竊取與假冒。l 訪問(wèn)授權(quán)：需要控制誰(shuí)能夠訪問(wèn)網(wǎng)絡(luò)上的信息，并且他們能夠?qū)π畔⑦M(jìn)行何種操作。訪問(wèn)授權(quán)能夠防止對(duì)系統(tǒng)資源的非授權(quán)存取。l 審計(jì)

7、記錄：所有網(wǎng)絡(luò)活動(dòng)應(yīng)該有記錄，這種記錄要針對(duì)用戶來(lái)進(jìn)行，可以實(shí)現(xiàn)統(tǒng)計(jì)、計(jì)費(fèi)等功能；還可以防止否認(rèn)，確保用戶不能抵賴自己的行為，同時(shí)提供公證的手段來(lái)解決可能出現(xiàn)的爭(zhēng)議。通過(guò)應(yīng)用層的安全管理，最終要使某公安局網(wǎng)絡(luò)系統(tǒng)達(dá)到下面的目標(biāo)：1） 面向所有服務(wù)的粗粒度的安全控制：l 解決網(wǎng)絡(luò)的整體安全，內(nèi)外兼防，保護(hù)數(shù)據(jù)和信息安全；l 用戶和服務(wù)器之間實(shí)現(xiàn)嚴(yán)格的身份認(rèn)證；l 基于嚴(yán)格身份認(rèn)證的統(tǒng)一授權(quán)管理；l 訪問(wèn)控制粒度要求達(dá)到tcp端口一級(jí)；l 數(shù)據(jù)傳輸時(shí)加密以實(shí)現(xiàn)數(shù)據(jù)保密和不可抵賴等；l 實(shí)現(xiàn)審計(jì)記錄功能。2） 面向web服務(wù)的細(xì)粒度的安全控制：l 要求解決web應(yīng)用的整體安全，內(nèi)外兼防，保護(hù)數(shù)據(jù)和信

8、息安全；l 解決http的安全問(wèn)題；l 解決cgi的安全問(wèn)題；l 用戶和web應(yīng)用服務(wù)器之間實(shí)現(xiàn)嚴(yán)格的身份認(rèn)證；l 根據(jù)用戶身份實(shí)現(xiàn)web空間的統(tǒng)一授權(quán)管理；l 訪問(wèn)控制粒度要求達(dá)到文件和頁(yè)面一級(jí)；l 實(shí)現(xiàn)web空間的安全單點(diǎn)登錄；l 實(shí)現(xiàn)web空間的目錄服務(wù)；l 實(shí)現(xiàn)信息訪問(wèn)頻率和用戶訪問(wèn)頻率統(tǒng)計(jì)。3） 由于某公安局客戶端的地理分布廣泛，要求系統(tǒng)的安全控制支持公鑰系統(tǒng)，支持ssl協(xié)議； 3. 安全管理需求3.1 網(wǎng)絡(luò)層安全管理網(wǎng)絡(luò)層的安全管理主要結(jié)合網(wǎng)管系統(tǒng)進(jìn)行，主要內(nèi)容如下：l 完成對(duì)路由器、交換機(jī)、訪問(wèn)服務(wù)器的安全配置，具體包括：設(shè)備配置授權(quán)、路由配置、vlan配置（根據(jù)端口或mac地址

9、）、ip過(guò)濾配置、tcp端口訪問(wèn)控制、撥號(hào)認(rèn)證（如radius。tacacs等）配置、路由器加密配置等。l 完成防火墻的配置，具體包括：防火墻操作系統(tǒng)配置、基于規(guī)則的ip過(guò)濾配置、安全tcp端口及訪問(wèn)授權(quán)配置、內(nèi)容過(guò)濾配置、nat地址翻譯配置等；l 堡壘主機(jī)配置，包括各應(yīng)用代理或應(yīng)用網(wǎng)關(guān)的配置。l 安全檢測(cè)軟件配置：包括網(wǎng)絡(luò)服務(wù)漏洞檢測(cè)和操作系統(tǒng)漏洞檢測(cè)。3.2 應(yīng)用層安全管理l 完成用戶注冊(cè)，建立用戶檔案，完成用戶分組，形成全網(wǎng)統(tǒng)一一致的用戶空間；l 完成網(wǎng)絡(luò)資源的統(tǒng)一配置，形成全網(wǎng)統(tǒng)一的資源空間；l 根據(jù)用戶身份完成訪問(wèn)授權(quán)配置，形成全網(wǎng)統(tǒng)一一致的授權(quán)管理；l 支持單點(diǎn)登錄，實(shí)現(xiàn)基于單一口

10、令的訪問(wèn)控制；l 形成訪問(wèn)記錄，為統(tǒng)計(jì)和分析提供事實(shí)依據(jù)，并且防止抵賴，為事故責(zé)任分析奠定基礎(chǔ)；l 通過(guò)實(shí)用的安全管理軟件實(shí)現(xiàn)安全管理。4. 信息資源的安全分類某公安局網(wǎng)絡(luò)的信息資源的安全分類如下：l 公眾信息 - 不需要身份認(rèn)證和訪問(wèn)控制；l 內(nèi)部信息 - 需要身份驗(yàn)證并根據(jù)身份進(jìn)行相應(yīng)的訪問(wèn)控制；l 敏感信息 - 需要驗(yàn)證身份、根據(jù)身份進(jìn)行相應(yīng)的訪問(wèn)控制而且在信息傳輸過(guò)程中采取加密措施。某公安局網(wǎng)絡(luò)的服務(wù)類型的安全分類如下：l 內(nèi)部服務(wù) - 面向內(nèi)部的授權(quán)注冊(cè)用戶，管理和控制內(nèi)部用戶對(duì)信息資源的訪問(wèn)。根據(jù)用戶的身份或角色，對(duì)用戶可使用的服務(wù)進(jìn)行授權(quán)，包括對(duì)外的訪問(wèn)。l 公眾服務(wù)資源 - 面

11、向互聯(lián)網(wǎng)絡(luò)，防止和抵御外來(lái)的攻擊。 三、 某公安局網(wǎng)絡(luò)安全解決方案某公安局網(wǎng)絡(luò)安全系統(tǒng)的總體目標(biāo)是根據(jù)前面提到的所有的安全需求，解決某公安局網(wǎng)絡(luò)系統(tǒng)的安全問(wèn)題。采用昊普創(chuàng)業(yè)安全防范技術(shù)公司擁有的從網(wǎng)絡(luò)層到應(yīng)用層的一整套網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品，我們?yōu)槟彻簿志W(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)了包括網(wǎng)絡(luò)層、應(yīng)用層安全控制、網(wǎng)絡(luò)安全管理和安全監(jiān)測(cè)的一套立體的、全方位的安全解決方案。考慮到的實(shí)際情況，我們?cè)O(shè)計(jì)了一個(gè)兩期的方案，可以逐步實(shí)現(xiàn)某公安局的完全的安全防范措施。1一期解決方案不論什么情況，考慮網(wǎng)絡(luò)安全問(wèn)題必須同時(shí)注意到網(wǎng)絡(luò)層和應(yīng)用層兩方面的安全問(wèn)題。在某公安局網(wǎng)絡(luò)安全一期解決方案中也是這樣考慮的。1.1 安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

12、某公安局網(wǎng)絡(luò)安全系統(tǒng)一期解決方案需要實(shí)現(xiàn)網(wǎng)絡(luò)層和應(yīng)用層的基本安全配置，包括邊界防火墻的配置，應(yīng)用層安全服務(wù)器的基本配置。一期解決方案的安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖三所示。內(nèi)部網(wǎng)絡(luò)通過(guò)路由器連接到省廳網(wǎng)絡(luò)和internet。在路由器后面設(shè)置了一個(gè)帶三網(wǎng)卡的hottiger硬件防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)層的安全控制。其他在3com1500路由器后面設(shè)置了一個(gè)帶雙網(wǎng)卡的hotdog計(jì)費(fèi)型防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)層的安全控制防火墻后面連接昊普公司的hotcat安全認(rèn)證計(jì)費(fèi)系統(tǒng)，實(shí)現(xiàn)應(yīng)用層的安全訪問(wèn)控制和安全管理。 1.2 邊界防火墻hotdog的配置邊界防火墻采用昊普創(chuàng)業(yè)hottiger硬件防火墻。其他采用hotdog該產(chǎn)品運(yùn)

13、行在具有安全核心的操作系統(tǒng)的基礎(chǔ)上，保證防火墻的平臺(tái)安全。在某公安局網(wǎng)絡(luò)安全系統(tǒng)一期建設(shè)中，將使用帶雙網(wǎng)卡的hotdog，并啟動(dòng)其ip包過(guò)濾、ip計(jì)費(fèi)、地址翻譯nat、ip和mac地址對(duì)應(yīng)功能以及應(yīng)用代理服務(wù)squid。邊界防火墻hotdog上面有兩塊網(wǎng)卡，可以配置兩個(gè)不同的ip地址，其中一塊使用合法的ip地址，另一塊使用內(nèi)部保留地址，如192.168.0.x，實(shí)現(xiàn)地址翻譯nat功能，達(dá)到隱藏網(wǎng)絡(luò)內(nèi)部地址的作用。通過(guò)hotdog，可以隔離內(nèi)外網(wǎng)絡(luò)，解決網(wǎng)絡(luò)的邊界安全問(wèn)題。hotdog具有基于規(guī)則的包過(guò)濾功能，可以根據(jù)ip地址和tcp端口進(jìn)行入出控制。同時(shí)hotdog可以把ip地址和網(wǎng)卡的mac

14、地址對(duì)應(yīng)起來(lái)，防止ip被盜用的危險(xiǎn)。hotdog同時(shí)是一個(gè)應(yīng)用代理防火墻，可以通過(guò)應(yīng)用代理隔離內(nèi)外網(wǎng)絡(luò)。hotdog支持簡(jiǎn)單的用戶身份認(rèn)證，可以根據(jù)用戶身份進(jìn)行入出控制。hotdog具有比較全面的計(jì)費(fèi)功能。hotdog的計(jì)費(fèi)是可以根據(jù)ip和用戶進(jìn)行雙向計(jì)費(fèi)的，就是說(shuō)可以針對(duì)內(nèi)部網(wǎng)絡(luò)的ip進(jìn)行流出和流入的計(jì)費(fèi)，也可以針對(duì)外部網(wǎng)絡(luò)ip到我們的防火墻的流量對(duì)其進(jìn)行計(jì)費(fèi)，而且對(duì)于要求用戶驗(yàn)證方式的firewall/proxy ，hotdog還可以提供基于用戶的流量計(jì)費(fèi)。 1.3 應(yīng)用層安全撥號(hào)認(rèn)證計(jì)費(fèi)服務(wù)器hotcat的配置在邊界防火墻hotdog之后，設(shè)置了一個(gè)應(yīng)用層的安全服務(wù)器，采用昊普創(chuàng)業(yè)hot

15、cat撥號(hào)認(rèn)證計(jì)費(fèi)系統(tǒng) 。一期建設(shè)使用一個(gè)帶100，000用戶的hotcat撥號(hào)認(rèn)證計(jì)費(fèi)安全服務(wù)器軟件。某公安局網(wǎng)絡(luò)運(yùn)行的應(yīng)用很多，解決應(yīng)用層的安全問(wèn)題是這次網(wǎng)絡(luò)安全解決方案的重點(diǎn)。在傳統(tǒng)的觀念中，配置防火墻就是解決安全的全部。事實(shí)上，網(wǎng)絡(luò)建設(shè)中網(wǎng)絡(luò)部分僅僅是一個(gè)基礎(chǔ)，更重要的是建立公安局的網(wǎng)絡(luò)應(yīng)用，就如我們不是為修路而修路，而是為了跑車才修路。前面我們分析了某公安局網(wǎng)絡(luò)系統(tǒng)的應(yīng)用層安全需求，通過(guò)hotcat撥號(hào)認(rèn)證計(jì)費(fèi)安全服務(wù)器軟件，將解決這些問(wèn)題 hotcat-網(wǎng)貓系統(tǒng)是專門(mén)為設(shè)計(jì)的撥號(hào)上網(wǎng)用戶身份認(rèn)證和計(jì)費(fèi)系統(tǒng)。它采用目前國(guó)際通用的radius(remote authentication

16、 dial in user service)認(rèn)證和計(jì)費(fèi)標(biāo)準(zhǔn)，具有良好的擴(kuò)展性和兼容性。該系統(tǒng)運(yùn)行于unix和linux系統(tǒng)環(huán)境下，與hotcat-網(wǎng)貓2.1計(jì)費(fèi)系統(tǒng)結(jié)合可以完成對(duì)撥號(hào)上網(wǎng)用戶的身份認(rèn)證和計(jì)費(fèi)全過(guò)程。此系統(tǒng)包括三個(gè)模塊：用戶身份認(rèn)證模塊,實(shí)時(shí)記錄模塊和計(jì)費(fèi)模塊。hotcat-網(wǎng)貓系統(tǒng)可運(yùn)行在各種常見(jiàn)的unix平臺(tái)上。目前經(jīng)過(guò)實(shí)際測(cè)試的有以下操作系統(tǒng)：sun公司的solaris 2.5.1（以上）操作系統(tǒng)；linux redhat 5.0（以上）操作系統(tǒng)。二、用戶身份認(rèn)證模塊(radius模塊)用戶身份認(rèn)證模塊提供對(duì)撥號(hào)用戶的身份認(rèn)證和屬性設(shè)置，它能實(shí)現(xiàn)以下功能：用戶身份認(rèn)證 用戶

17、權(quán)限設(shè)置1、限制用戶的同時(shí)上線數(shù)目2、限制用戶的上線時(shí)間3、禁止用戶上線三、費(fèi)用計(jì)錄模塊（builddbm模塊）hotcat-網(wǎng)貓2.1計(jì)費(fèi)系統(tǒng)將從該文件中讀取信息并進(jìn)行費(fèi)用計(jì)算。四、費(fèi)用計(jì)算模塊（hotcat-網(wǎng)貓2.1模塊）五、系統(tǒng)支撐環(huán)境及其運(yùn)行5.1 系統(tǒng)運(yùn)行環(huán)境hotcat-網(wǎng)貓撥號(hào)上網(wǎng)認(rèn)證及計(jì)費(fèi)系統(tǒng)運(yùn)行在unix環(huán)境下，目前經(jīng)過(guò)測(cè)試的系統(tǒng)平臺(tái)有：sun公司的solaris 2.5.1（以上）操作系統(tǒng)linux redhat 5.0（以上）由于我們同時(shí)支持solaris和linux操作系統(tǒng)，因此hotcat-網(wǎng)貓2.1計(jì)費(fèi)系統(tǒng)可以運(yùn)行在sun服務(wù)器和低檔pc服務(wù)器上。但對(duì)計(jì)費(fèi)系統(tǒng)這樣

18、需要大計(jì)算量和高可靠性的系統(tǒng)而言，我們并不推薦使用低檔pc服務(wù)器，另一方面，低檔服務(wù)器所能容納的用戶數(shù)量也較少。5.2 系統(tǒng)性能評(píng)價(jià)到目前為止，已經(jīng)有兩家中等規(guī)模（用戶數(shù)在一到兩萬(wàn)人之間）的isp公司購(gòu)買(mǎi)了hotcat-網(wǎng)貓2.1系統(tǒng)，并使用了近兩年。使用的硬件設(shè)備是sun ultra 2服務(wù)器，運(yùn)行環(huán)境為sun solaris 2.5.1操作系統(tǒng)。經(jīng)統(tǒng)計(jì)分析，每臺(tái)sun ultra 2服務(wù)器大約能支持8,000到10,000左右的用戶，能支持大約600-800個(gè)同時(shí)上線用戶；在容納10,000用戶的情況下，計(jì)費(fèi)系統(tǒng)每天運(yùn)算時(shí)間大概為3至6分鐘不等，運(yùn)算期間占用處理器95%以上的資源，計(jì)算時(shí)間

19、選擇在凌晨?jī)牲c(diǎn)進(jìn)行5.3 系統(tǒng)的運(yùn)行利用unix crontab可以在每天定時(shí)運(yùn)行hotcat-網(wǎng)貓2.1系統(tǒng)，對(duì)前一天的用戶信息進(jìn)行統(tǒng)計(jì)分析。由于運(yùn)算要占用大量的系統(tǒng)資源，因此通常選在凌晨02:00:00到05:00:00之間進(jìn)行，這時(shí)的網(wǎng)絡(luò)和服務(wù)器都接近空載運(yùn)行，因此對(duì)系統(tǒng)的影響最小。除了report32在月底結(jié)算時(shí)運(yùn)行外，其余ss32、day32、month32程序都是由unix crontab激活，每天凌晨定時(shí)運(yùn)行。在特殊情況下，系統(tǒng)管理員也可以手工運(yùn)行hotcat-網(wǎng)貓2.1系統(tǒng)進(jìn)行計(jì)費(fèi)運(yùn)算，除非系統(tǒng)突然崩潰，造成當(dāng)天的計(jì)費(fèi)系統(tǒng)沒(méi)有正常運(yùn)行，否則不需要手工運(yùn)行系統(tǒng)。1.4 某公安局網(wǎng)

20、絡(luò)安全管理某公安局網(wǎng)絡(luò)安全管理包括網(wǎng)絡(luò)層和應(yīng)用層兩方面，網(wǎng)絡(luò)層主要是通過(guò)網(wǎng)管軟件的配置來(lái)完成的。下面我們重點(diǎn)介紹應(yīng)用層的安全管理。應(yīng)用層的安全管理以用戶身份認(rèn)證和授權(quán)管理為重點(diǎn)。使用網(wǎng)絡(luò)安全技術(shù)中的安全管理控制臺(tái)軟件。1.6 小結(jié)通過(guò)一期建設(shè)，將使某公安局網(wǎng)絡(luò)系統(tǒng)具有一個(gè)基本的安全保障系統(tǒng)，即在網(wǎng)絡(luò)層和應(yīng)用層都有相應(yīng)的安全措施，網(wǎng)絡(luò)層防火墻的基本功能基本實(shí)現(xiàn)，應(yīng)用層的基本需求也滿足了。但是還存在不足的地方，需要在二期建設(shè)中解決，包括：1）網(wǎng)絡(luò)層的安全管理并不是很完善，需要增加安全檢測(cè)；2）需要解決應(yīng)用層對(duì)除web服務(wù)之外所有服務(wù)的安全控制；3）在應(yīng)用層，需要解決可靠性和負(fù)載平衡問(wèn)題。2 二期解決方案二