移动警务通系统安全策略研究.docxVIP

?

?

移动警务通系统安全策略研究

?

?

论文导读：警务通是基于移动通信技术的公安信息综合业务查询系统和指挥调度系统。

关键词：信息安全，移动通信，密码学，信息系统

?

1前言公安信息化工作的快速推进，金盾工程的全面建设，使得各级公安机关和广大干警在执行警务工作中将广泛应用公安警务信息来侦破案件、抓捕逃犯、核查车辆、打击和预防犯罪等。在街面和移动中，充分利用警务信息已成为公安工作的紧迫需求，公安信息移动应用系统建设也是金盾工程的主要建设内容之一。警务通是基于移动通信技术的公安信息综合业务查询系统和指挥调度系统。充分发挥了移动通信技术所特有的随时、随地、随心的特点，满足了外勤警务人员在治安、交通、刑侦、监管、户政、经侦、边防、消防、出入境等方面需要适时进行信息交互的工作需要，是用信息化实现“科技强警”的成功典范。

正是警务信息处理的特殊性要求系统开发人员在设计系统应将其安全性和健壮性放在最重要的位置，以保证系统的正常运行和涉秘信息的安全处理。本文将从网络安全、数据访问安全和数据存储安全三方面讨论移动警务系统的安全策略。

2网络安全由于必威体育官网网址性需要，网络设计阶段的所有需求都应该以安全为中心。接下来将从宏观到微观，从“大网”设计到设备选型，来分析网络安全的策略需求。

2.1移动网络的安全所有的移动数据专线，都采用APN或者VPN方式，由交换网直接连接运营商的专网，不连接公共互联网，同时避免中间存在其他的连接点。在此基础上，相关通道可提供加密的传输保证。

2.2网络安全设备的综合使用采用防火墙和网闸设备，提供网络访问的安全。防火墙设备，用于在交换网内隔离接入服务区与信息服务区。隔离网闸设备，按照在公安部的网络安全标准使用，并提高了一个级别，除了交换网与公安内网的隔离网闸外，在交换网与运营商数据专线的接口处也设置了隔离网闸，进一步提高了安全性。

2.3网络攻击的抵抗能力通过VPN网关、防火墙等网络设备的使用，共同抵抗来自公网网络攻击(如DDOS等)。基于IPSec的VPN和防火墙可防止IP层以上的攻击行为。使用SSLVPN和防火墙：可防止应用层的攻击。

2.5采用加密的VPN网关在接入认证中，使用公安部认可的VPN加密数据网关，建立起移动警务终端到交换网的VPN加密隧道（基于RSA1024）。避免了数据在专线传输过程中被窥探。

2.6应用层的加密通道所有的移动应用系统，主要是基于Web的B/S应用体系。在此之上，应用层通信，均采用基于SSL的HTTPS的加密处理通道（支持RSA1024）。

3数据访问安全数据访问是真实世界中业务处理流程到软件设计的微观化，数据访问安全的策略应该从设计正确的数据流图到保证数据流图各个环节安全进行分析，主要由以下几个方面共同负责。

3.1专门的安全业务交换平台采用公安部认可的安全业务交换平台，提供业务与数据的安全访问。该交换平台位于交换网和内网之间，通过专用服务设备和网闸连接，建立一个单向的通道，并通过内网端主动提取和控制的机制，实现相关交换的安全处理。支持业务系统和数据系统的安全交换，具有统一的管理界面，便于管理。

3.2多层次的综合身份认证功能对于每个移动警务的实际用户，提供了以下几个层次的认证处理。

移动终端对用户的认证。确定使用终端的用户的合法性。主要采用开机密码、指纹识别（需硬件支持）、操作系统登录密码等多种方式。

网络运营商对拨号终端身份的认证。所有的移动警务终端的手机卡，需事先在运营商的专线接入点登记。无线拨号中，只有已经登记的SIM卡，才能拨叫网络运营商的接入点，否则将无法拨叫。

公安移动接入区对拨号终端身份的认证。公安移动接入区的移动终端拨入验证系统，对网络运营商的接入点传来的移动终端的身份信息（如SIM卡号分组名等）进行身份核实，对于非法的拨入号码拒绝连接。这样，即使由网络运营商的接入点传来的非法终端号码，也无法进入接入平台

移动终端接入公安移动区中时，接入网关对移动终端的单向认证。认证过程基于终端的设备数字证书和签名密钥，由终端设备和接入VPN网关自动完成。论文检测。

接入平台对用户可访问应用的认证。移动接入区的平台统一管理系统，对每个接入用户可以访问的子应用系统进行了限制。这样，每个用户只能访问受限制的移动警务应用，而不能访问全部。

应用程序的用户认证。当移动终端上的应用系统登录交换网的移动警务应用时，需要使用移动用户的个人数字证书，与应用服务器进行身份验证（基于数字签名，可考虑连接内网PKI系统），只有通过验证，才能进入到系统内部，进行相关的操作。

3.3数据的加密传输所有的数据，均通过两个级别的加密机制来完成。主要如下：

（1）传输通道加密。

从移动终端到移动警务应用系统的整个通道，采用加密的方式，进行保护。包括两个层面：

网络层的加密：通过终端加密