消防安全方案

第17页共17页安阳市消防防支队“消防信息息移动接接入及应应用系统统”技术安全方方案中国移动通通信集团团河南有有限公司司安阳分分公司安阳市公安安消防支支队是一一支实行行军事化化管理的的现役制制部队，担担负着全全市的火火灾预防防，火灾灾扑救，紧紧急救援援任务。同同时又是是安阳市市公安机机关依法法实施消消防监督督的职能能部门。在在消防监监督工作作方面，我我们的主主要职责责是：依依据国家家消防法法规和规规范，对对各部门门各单位位的消防防工作进进行监督督检查；；对新建建，扩建建，改建建，装修修等工作作项目进进行防火火审核；；开展防防火宣传传，向市市民传播播消防知知识，提提供消防防咨询，接接受群众众投诉，处处罚违反反消防法法规的行行为；调调查火灾灾原因，处处理火灾灾事故。安阳市公安安消防支支队办公公自动化化系统自自应用以以来，极极大的方方便了消消防支队队的系统统化办公公，提高高了消防防监督和和服务群群众的水水平和能能力，提提高快速速反应和和综合作作战能力力。但由于系统统建设较较早，办办公系统统尚未移移动化，以以满足公公安消防防系统工工作需求求为目标标，保障障信息安安全为前前提，根根据《河河南省公公安信息息移动接接入及应应用系统统建设任任务书》和和《河南南省公安安信息移移动接入入及应用用系统建建设方案案实施技技术指导导书》，结结合我市市的具体体应用情情况，制制定本方方案现提提公安消防防办公自自动化技技术安全全方案供供其参考考。一、具体系系统安全全方案在公安消防防原有的的系统上上增加安全全通信卡卡、安全全短消息息网关，增增加加密密机、安安全隔离离网闸提提高了整整个系统统的安全全性；由安全通通信卡与与安全短短消息网网关配合合，在公公共移动动通信网络络中建立立端到端端的安全全可信通通道，实实现移动动终端到到消防信信息中心心的安全全信息交交换；用用安全隔隔离网闸闸替换原原来的数数据摆渡渡系统增加加了数据据交换的的速度和和数据交交换的安安全性，从而解决了旧系统中存在的安全问题。1、系统网网络结构构（安全网络络拓扑图图）2、硬件与与软件功功能说明明■硬件部分分：安全短消息息网关用于接收用用户查询询请求和和结果回回送；对对通过网网关的数数据实现现加/解解密；配配合认证证服务器器完成对对移动用用户的认认证；完完成会话话密钥协协商；对对非法请请求进行行过滤以以阻止非非法数据据的进出出；加密机加密机中嵌嵌入公安安专用加加密算法法及相应应的摘要要算法和和RSAA算法，完完成对查查询请求求中加密密数据的的解密和和查询结结果数据据的加密密返回，以以保证数数据传输输入中的的安全性性，实现现数据的的完整性性验证和和用户身身份认证证。安全隔离网网闸用于公安移移动接入入网与公公安信息息网的安安全隔离离，为数数据同步步程序提提供内外外网的安安全通道道。防火墙用于数据从从移动公公网到公公安移动动接入网网之间的的安全防防护，可可以防攻攻击、防防网络蠕蠕虫病毒毒，建立立接入网网的安全全边界。■软件部分分：安全通信卡卡申请管管理系统统用于管理使使用移动动查询应应用系统统的用户户，对用用户进行行从申请请、审批批到使用用的跟踪踪，确保保安全通通信卡的的安全使使用。系系统通过过将申请请者信息息与消防防人员库库比对的的方式杜杜绝了消消防人员员使用安安全通信信卡的情情况。该该系统做做为河南南省安全全通信卡卡管理系系统的一一部分，配配合省厅厅实现安安全通信信卡管理理的信息息化、科科学化。基于网闸的的数据传传送系统统通过网闸的的保护提提供安全全的内外外网数据据交换。3、设备与与性能说说明硬件设备：：产品名称产品型号产品规格生产厂家备注安全短消息息网关JA-SMMS-XX01V1..0支持中国移移动CMPPP2.00短消息息网关支持预共享享密钥和和数字证证书两种种身份认认证方式式提供移动终终端远程程控制命命令机制制向短信应用用开发商商提供短短消息服服务代理理作用每秒可完成成会话密密钥协商商：5000以上上每秒可处理理短信：：10000条以以上国家密码管管理局为为公安部部指定的的密码专专用算法法；高速的消息息转发性性能加密机GA-X001VV2.00数据接口：：USBB接口、PPCI664/332接口口数据通讯速速率：4480MMbpss、2666MBpps支持的算法法：公安安专用分分组密码码算法，RSAA，MD55算法密钥长长度：RRSA有有10224、20448位，公安安专用分分组密码码算法有有128、1922位算法速度：：RSAA算法：：（以110244位模长长为例）公钥运算：：1900次/秒；私私钥运算算：100次/秒数据加解密密速度：：50MMbpss以上内置国家商商用密码码委员会会指定算算法隔离网闸FerryywayyV22.0见附件一上海金电网网安科技技有限公公司防火墙HT-FWW-20000见附件二北京中软华华泰信息息技术有有限责任任公司应用软件产品名称产品描述开发公司备注基于网闸的的内外网网数据交交换系统统为查询提供供从公安安信息网网到公安移移动接入入网的安安全数据据传送数据吞吐量量大；传送速度快快。安全通信卡卡申请管管理系统统对申请安全全通信卡卡的人员员进行登登记、统统计、上上报、审审核、流流量统计计、短信信群发、协协查通报报B/S结构构；安装快捷；；操作方便四、系统安安全性分分析（安全数据据走向图图）1、信息的的保密性性从“安全通通信卡”到“安全短短消息网网关”之间传传输的数数据全部部是经过过公安专专用加密密算法加加密过的的信息，杜杜绝了非非法窃听听和信息息泄密，保保障了移移动公网网中传输输数据的的保密性性。2、信息的的可靠性性与完整整性从“安全通通信卡”发出的的查询数数据附加加了数据据摘要和和用户证证书信息息，在数数据到达达移动终终端或短短消息网网关时，通通过验证证数据中中附加的的数据摘摘要保证证数据的的完整性性；通过过验证数数据中附附加的用用户证书书阻止非非法访问问，保证证数据的的可信性性。3、内、外外网的边边界安全全性在公安信息息网与公公安移动动接入网网之间增增加安全全隔离网网闸，公公安信息息网与公公安移动动接入网网的数据据同步系系统通过过安全隔隔离网闸闸进行数数据交换换，在内内、外网网之间建建立清晰晰的边界界。4、其它安安全性措措施在移动公网网与公安安移动接接入网中中间加入入专用的的防火墙墙，有效效的阻止止了非法法用户的的侵入与与攻击，对对网络蠕蠕虫起到到了一定定的防护护做用，保保障了公公安移动动接入网网的安全全。加密密短消息息网关提提供了包包过滤防防火墙对对数据进进行包过过滤，过过滤非法法数据，保保证了查查询数据据的安全全性与完完整性。由以上步骤骤可以看看出，经经过安全全改造后后的系统统，数据据在各网网段之间间的传输输是安全全、可信信的。附件一：金金电网安安FerrryWWay22.0型型网闸功功能指标标产品名称安全隔离与与信息交交换系统统产品型号FerryyWayy2.00操作系统自主研发的的专用安安全系统统支持协议标准TCPP、UDDP（按按客户需需求自定定义增加加UDPP模块）应用协议检检查HTTP、HHTTPPS、SSMTPP、POOP3、FFTP、TTELNNET、SSQL、OORACCLE、MMSN、QQQ、NNULLL_TCCP等可定制应用用协议检检查模块块基本模块隔离硬件和和系统管管理，与与其他模模块配合合使用安全上网模模块访问控制对对象：源源地址、目目标地址址、源端端口、目目的端目目、域名名、URRL、访访问方式式、时间间等内容过滤：：关键字字（采用用自主研研发的下下推自动动机的高高效过滤滤算法）脚本过滤：：javvasccrippt、AAppllet、AActiiveXX等其他过滤策策略：文文件类型型、页面面提交方方式等认证方式：：本地用用户文件件安全邮件模模块垃圾邮件过过滤、邮邮件地址址、邮件件主题、邮邮件内容容、邮件件附件过过滤、时时间等安全文件交交换模块块提对安全的的文件实实时交换换安全数据库库访问模模块提供对SQQL、OORACCLE、DDB2等等所有数数据库系系统的安安全访问问安全数据库库交换模模块采用数据库库同步软软件，可可以实现现同构、异异构数据据库的双双向同步步安全远程登登录模块块提供安全的的远程登登录日志审计模模块完成系统活活动、网网络连接接的记录录、分析析、统计计和导出出自定义功能能扩展模模块支持用户自自定义基基于标准准TCPP协议软软件通信信配套管理软软件管理端：用用于通道道建立、策策略制定定等审计端：用用于日志志查询、分分析、导导出等硬件体系多机系统性能指标网络吞吐量量：4000Mbbps和和10000Mbbps时延：<00.011秒最大受控协协议通道道：2556种单个协议通通道并发发连接数数：3227677所有协议通通道并发发连接数数：6555355最大用户数数：10024硬件配置机型：标准准4U规格：6774x4431xx1777mmm（长XX宽X高高）接口：3个个1000Basse-TT(RJJ-455)接口口；3个个VGAA接口；；3个PPS2((键盘、鼠鼠标)接接口电气性能电源类型：：AC90--1322/1880-2265VV电源功率：：3000Wx22辐射标准符合FCCCPaart115，CCLASSSA，EEN5550222物理环境温度(工作作)：--20~~55℃；高度度100000英英尺/30000米温度(存储储)：--10~~70℃；高度度300000英英尺/90000米相对湿度（工工作）：：10~~90%%非冷凝凝相对湿度（存存储）：：5~995%非非冷凝附件二：中中软HuuaTeech--20000型防防火墙性性能功能能指标一一览通用指标体体系指标说明产品名称中软HuaaTecch-220000型防火火墙防火墙类型型包过滤+状状态检测测+代理理工作方式兼容路由、网网桥两种种工作方方式产品规格说说明▲HT-FFW-220000-EXX适用模式中高高端设备规格内部配置操作系统系统采用经经过安全全加固的的专用操操作系统统CPUIntell内存256M硬盘32MFFLASSHRROM电气性能电源220V//50HHz3.00A（最最大）2600W（最最大）环境规范运行温度：：0——45摄摄氏度非运行温度度：-220——65摄摄氏度相对湿度：：10——90%%@4摄摄氏度，非非冷凝参考的安全全规范及及标准UL19950、EEN4410003、AAS/NNZS32660、AAS/NNZS35448CClasssAA、CSSACClasssAAFCCCClasssAA、ENN6005555-2、VVCCII(CClassslll)抗干扰性IEC——10000—4—2（ESSD）IEC——10000—4—3（辐射射敏感性性）IEC——10000—4—4（电快快速瞬变变）IEC——10000—4—5（电涌涌）IEC——10000—4—3（谐波波）系统组成防火墙系统统是一个高速速稳定的的硬件平平台和经经过安全全加固的的操作系系统的完完美结合合体配置管理系系统GUI管理理器支持Web管理理器支持CLI管理理器支持日志管理器器支持网络特性支持网络适适配器类类型10/1000以太太网控制制器RJ445接口口支持最大接接口数4个DNS支持持支持VLAN支支持支持8022.1QQ协议支持的非IIP协议议IPX、NNETBBEUII支持VoIIPH.3233、SIIP性能指标最大并发连连接数600，0000网络吞吐率率≥98MbbpsMTBF≥80，0000小小时集中管理统一策略集集中管理理支持提供基于时时间的访访问控制制支持SNMP支持本地管理GUI、WWEB、CCLI（CConssolee）远程管理GUI、WWEB、CCLI（SSSH）集中管理中中心支持持环境MicroosofftWWinddowss98//NT//20000/XXP访问控制状态检测支持用户权限级级别设定定支持，可自自定义权权限支持的代理理类型http,,ftpp,smmtp双向NATT、PAAT支持地址绑定支持带宽管理支持流量控制功功能支持VPN支持持支持的VPPN加密密算法3DES,,DESS,国家家指定算算法建立VPNN通道的的协议IPSecc、IKKEIPSECC认证证书（X..5099）、手手动密钥钥认证算法SHA-11、MDDS认证支持支持的认证证类型OTP，RRADIIUS支持数字证证书X.5099分布日志处理完整日日志方法法专用日志管管理系统统日志报表生生成方式式专用日志管管理系统统警告通知机机制支持提供审计报报表支持提供实时统统计日志、GUUI、WWeb日志种类8种（防火火墙的运运行日志志，代理理日志，入入侵检测测日志，流流量统计计日志，管管理日志志，双机机热备日日志，IIDS互互动信息息，状态态信息）日志备份支持日志转发支持日志删除支持防御功能防范攻击功功能32大类攻攻击行为为与IDS服服务器互互动支持支持病毒扫扫描支持提供内容过过滤支持URLL、文件件、邮件件过滤能够防御的的DoSS攻击类类型PingoofDeeathh,TCCPSYYNflloodds等150种防IP地址址