“金盾工程”是全国公安信息化工程。该工程利用现代技术，使公安业务运作信息化，增强公安机关统一指挥、快速反应、协同作战、打击犯罪的能力；实现信息高度共享，提高公安机关的工作效率和侦察破案水平；满足公安机关实施动态管理和打击犯罪、更好地为民服务的需要。

　　在金盾工程的整个实施过程中，安全保障体系是实现公安系统信息共享、快速反应和高效运行的重要保证。金盾工程安全保障体系的核心是保证公安信息的安全，在保证信息、网络、计算机系统的安全和可靠运行基础上，保证应用系统的安全，保障信息的机密、完整、抗否认和可用性。根据公安部要求，公安信息网与外网必须采取物理隔离措施，以保证公安信息网的安全。外部业务网络和公安专网之间必须保证网络断开，不允许直接通过网络进行访问。

　　公安部金盾工程有许多特殊的应用系统，如人口管理系统、户籍管理系统、驾驶执照管理系统、旅馆业治安管理系统、交警综合信息无线数据系统、民用爆炸物品信息管理系统、印章治安管理系统、无线综合信息查询系统及其他的应用系统，这些数据必须在公安信息网与外网进行交换，因此必须在隔离断开的前提下进行数据交换，即用网闸来提供隔离的安全保护和应用的数据交换。在公安信息网络的安全保障系统建设中，既要确保公安内网的安全，又要实现公安政务信息的公开性、透明性、即时性和有效性。网闸技术成为金盾工程的首选安全产品。

　　网络现状

　　某省公安内部信息网络的主要连接方式是：通过路由器和公安专用数据信道将各级公安机关局域网，基层科、队、所连接在一起；形成省厅到地、地到县、基层所队的星形加环型三级网络。各级公安机关都建有自己的局域网。在信息系统安全方面，公安信息网同公众网是物理断开的。

　　由于这些业务系统是必须面向社会进行服务的，因此在公安对应的省地县三层都有对应的连接互联网的信息服务网络（以下称为外网）。内网与外网之间既要隔离又要数据交换。目前已经上网的系统包括网上印章系统、网上户籍管理系统、网上车辆管理系统、网上交通违规处理系统、移动警务查询系统等。交换的主要方式是公安信息网与外网的文件交换、数据库同步和消息传递应用。

　　网闸应用需求

　　网闸的应用需求主要表现在三个方面。一是严格控制重要网段与其他网段的连接，必须采用网闸。对于系统内部重要网段需要与其他网段进行物理隔离，确保重要网段的绝对安全。二是严格控制重要服务器的安全，必须采用网闸。公安系统内部网络中各种重要的服务器需要极高的安全性，在必要时需要在服务器前面部署网闸，确保服务器的安全。三是公安内网与公安对外服务查询网络间的连接需要，必须采用网闸。公安外部信息服务网直接与Internet相连接，对外提供各种服务，比如印章管理和交通管理服务等等，在提供服务的同时，外部服务器需要对内网中的中心数据库服务器进行数据交换，由于是直接相连存在极大的安全问题，因此必须禁止。目前的解决方案是采用隔离网闸来保障其安全性。

　　中网X-GAP网闸

　　中网公司是目前国内的最大的网闸产品供应商之一。中网X-GAP网闸产品符合国家安全主管部门的要求，产品需具有我国公安部门颁发的计算机信息系统安全专用产品销售许可证，中国信息安全产品测评认证中心的认证证书，中国人民解放军测评认证中心的认证证书和国家保密主管部门的产品鉴定和认证。硬件设计、生产图纸和源代码已经在国家保密主管部门存档备查。中网公司采用的是目前国际上最主流的SCSI技术的网闸，确保断开OSI面向的全部七层，阻断网络的链路层、网络层、传输层和应用层的直接连接。即两个网络间不能直接转发IP包，两个网络之间不能建立TCP连接。系统采用2＋1架构，外部主机、内部主机和固态存储介质的隔离硬件。中网网闸支持多种协议和应用，包括数据库。内外网数据能够做到实时单、双向交换。支持Oracle、Sybase、MSSQL等主流数据库，主持数据库的同步。最大交换速率可主持高达5G。隔离硬件切换时间小于12.5纳秒。可组成双机热备系统。

　　解决方案

　　采用中网X-GAP 8500隔离网闸，可以实现公安信息内网与外网的网络隔离断开，并支持HTTP，SMTP，POP3，数据库，文件交换，消息传递等应用交换。方案结构如图所示。

　　中网X-GAP隔离网闸，实现了在两个相互隔离断开的网络间，模拟人工拷盘的机制进行可靠的数据交换。X-GAP中断了网络的链路连接、网络连接、TCP/IP连接和应用连接。X-GAP对协议进行了剥离，还原成原始数据才准许进行交换，提供网闸后，又进行了协议的恢复和重建，保证了用户原有的投资，应用不需要改变，就可以进行隔离断开。中网X-GAP还支持白名单黑名单、内容过滤、数字签名、病毒查杀、身份认证、访问控制和安全审计等多种安全技术，对传输数据的类型、内容等进行检查和过滤，支持禁止URL路径和文件名的高安全性机制，提供可信任的专用信息交换服务，有效地克服了由于物理隔离引起的数据孤岛，是在隔离断开的前提下进行数据交换的极佳安全产品。

　　经过比较和选择，某省公安厅全面采用中网X-GAP隔离网闸，实现了公安内网与外网在隔离断开的前提下进行安全的数据交换。

中网X-GAP隔离网闸方案结构示意图

联系电话:010-87494812

邮件:white.lu@email.netchina.com.cn