我們的口号是:創新進取、合作共赢!創新産品理念,打破行業格局

風險分析

Risk analysis

“一機兩用”就像我們人為在公安專網與互聯網搭建了一個傳輸平台,嚴重影響公安網的安全。

專網與互聯網設備混用。

公安信息内網專用移動存儲設備在公安信息内網和互聯網之間交叉使用。

外單位計算機維修人員對公安專網計算機進行維修。

将無線上網系統連接到公安信息網計算機。

使用筆記本電腦在公安信息内網和互聯網之間交叉連接。

防止“一機兩用”的主流方法

The main way to prevent "one machine and two uses"

公安部統一解決方案

  • “一機兩用”監控:

    實時檢測公安網中存在的同互聯網連接的計算機,
    及時發現“一機兩用”行為并作詳細記錄。

  • “一機兩用”阻斷:

    發現違規計算機後,自動阻斷違規其非法聯網行為,
    同時向管理中心上報違規記錄。

  • “一機兩用”監控:

    發現違規行為後在控制台報警,并逐級報送給上
    級管理台。

  • 設備登記注冊:

    自動掃描發現網絡中存在的網絡設備,支持用戶
    手動或系統自動注冊。

  • 未注冊計算機定位:

    時時發現未注冊設備,并對該設備進行阻斷與公
    安信息網隔離,使其無法聯入公安信息網絡中。

  • 病毒檢測定位:

    搜索網絡注冊客戶端系統是否有病毒、木馬等運
    行進程,并能夠定位病毒源計算機。

公安部預防解決方案

作為天網管理部門來說,公安部的“一機兩用”監控系統屬于事後阻斷并上報的運行方式,沒有辦法做到事前防範,隻能事後阻斷并記錄上報,所以對于地方上來說,更應該做好事前預防工作,在違規事件杜絕在發生之前。

安全隔離網閘

安全隔離網閘采用多主機結構設計和專用硬件,切斷TCP/IP協議通信,把内外網通過硬件嚴格隔離。

網絡準入控制

可以實現防止外來非安全主機接入公安内網,降低不安全終端的威脅。并且實現訪問權限設置,防止
合法終端越權訪問,保護公安内網核心資源,并強化行為審計防止惡意終端破壞。

主要問題和缺陷

  • 隻能從網絡層進行準入管理,可以實現網絡級内外網隔離,卻無法防範私接或者旁路非法網絡, 比如私接手機移動熱點,私接 3G/4G/WIFI 網卡而導緻“一機兩用”的發生。

  • 目前在有公安網和互聯網2種網絡的辦公室,極易引起網線接口的亂插而導緻“一機兩用”的發生。

  • 移動存儲設備(U盤、移動硬盤)公安電子信息網和互聯網之間交叉使用而導緻“一機兩用”的發生。

捍衛者為您補充

Defenders complement you

終端準入控制系統

目前在有公安網和互聯網2種網絡的辦公室,極易引起網線接口的亂插而導緻“一機兩用”的發生。目前的一般的管理方法是對每個網絡接口、每根網線、每台計算機都貼上标簽,避免因接錯網絡而造成“一機兩用”,而終端層的網絡準入軟件可以實現終端級的内外隔離,即使網線插錯,公安網主機依然無法連接外網。

從終端層面實現“内外隔離”。徹底杜絕網線亂接可能導緻的“一機兩用”情況。

防私接手機移動熱點,私接 3G/4G/WIFI 網卡。

安裝客戶端軟件并通過服務器連接認證的終端。

綁定終端 IP 和 MAC,防止 ARP 攻擊、其他非法設備僞裝合法終端,私改 IP&MAC,自動斷網,改回後自動聯通。

防私接手機移動熱點,私接 3G/4G/WIFI 網卡。

移動存儲及外設管理系統

民警和公安工作人員在工作中因需要而使用一些移動存儲設備,其中可能存有公安内部涉密資料,而如果在公安電子信息網和互聯網之間交叉使用就有可能導緻洩密,而且有可能引入電腦病毒,影響公安内部網絡和專用計算機的正常運行,嚴重的會導緻網絡和電腦癱瘓。終端層面的移動存儲和外設管控可實現移動存儲的“内外隔離”,做到内盤内用、外盤外用,永不交叉使用。軟件通過通過對USB接口狀态配置實現對非安全U盤、無線網卡、手機、光驅等USB設備進行管控。同時可關閉串口、藍牙、紅外等其他外設接口。

根據需求設置USB接口開放、隻讀、禁用三種模式。

禁用USB存儲設備的同時,不影響鍵盤、鼠标等USB外設的使用。

對普通U盤進行認證授權管理,對不同級别開放不同權限。

配合捍衛者專屬加密U盤,采用硬加密模式,使用更安全。

記錄插拔日志,讓操作有迹可查。

網絡拓補結構圖

Network topology diagram