浅析PKI／PMI公安专网监控管理工作(2)

主页（http://www.pttcn.net）：浅析PKI／PMI公安专网监控管理工作(2)

        2、加强对计算机病毒的防控。一是制定病毒监控策略，将已知的病毒进程、木马的服务名称添加到策略中，防止了众多病毒和木马程序的运行；二是每三天更新一次分局病毒库并制定瑞星进程执行监控策略，控制每台公安网计算机必须运行瑞星杀毒软件，防止瑞星程序因人为或病毒原因停止运行；三是每周通过漏洞扫描程序进行分局网段内漏洞扫描，根据服务器、计算机漏洞情况制定“补丁分发策略”，提供客户端补丁的自动下载及安装，同时制定分发时间、补丁检测周期、运行参数、运行形式等策略，发送到网络客户端统一执行。

        3、加强安全管理。一是利用“主机安全策略”对公安网计算机的用户密码、用户权限、IP与MAC绑定、硬件设备接口等进行监控，使计算机设置密码符合要求，监控用户、用户组和用户权限的变化，监控选定用户计算机在网络上的地址和其MAC地址的变化情况，控制和管理硬件设备。二是利用“违规外联监控策略”进行“一机两用”监控，检测计算机的网络使用是否符合制定的原则，对不符合原则的计算机进行处理，及时发现违反“一机两用”规定的行为。三是利用“终端配置策略“进行终端代理扫描、ARP阻断以及各种信息的上报等设置，实现服务器对客户端的点对点控制。

        4、加强流量管理。制定“流量管理策略”进行流量采样和流量控制，通过设置选定用户计算机网络的平均流量和并发连接数，以及可疑发包等网络流量策略来审计网络的使用，并根据系统对选定用户网络使用的监测，协调整个网络的流量。

        5、增加其他管理功能。开发审计访问分局网段内网页情况的功能，该功能使客户端能够向服务器上报上网时间、URL、IP地址、MAC地址。

接入上网行为管理设备
        上网行为管理设备采用旁路方式接入分局网络，将用户的网络交换机中一个可用的端口设置为镜像方式，然后将镜像端口连接到网络审计引擎其中一个侦采集接口上，不影响网络性能。分局网络内计算机访问分局以外的网站、主页均通过此设备实时审计，网络管理员可以第一时间看到关心的审计内容，针对不同类型的审计结果可以输出报表。具有高效采集和组报技术，完整记录网络会话过程。深层次的信息内容分析技术，对信息内容全文(包括网页、邮件正文与附件、BBS、FTP、0ffice文件，RAR，ZIP等)进行关键词、组合词、条件组合词和模糊词的内容搜索匹配。

PKI／PMI二次开发
        分局组织技术力量利用现有的公安数字证书进行二次开发，将PKI的身份认证信息与“一机两用”监控系统和行为管理设备建立关联，建立一套完整的PKI／PMI公安专网监控管理系统。民警使用计算机时必须使用PKI／PMI证书，经过身份认证后，民警使用计算机的情况将被认证系统记录，这样民警的违规上网行为将受到制约，一旦出现问题也便于排查。该项目借助网络行为管理、桌面管理软件、PKI/PMI数字证书等资源实现了对公安网计算机的管理和控制，对公安网计算机管理到人，有效控制了各类违规行为，将以往违规问题事后处理、安全事故事后解决变成事前杜绝和防范。(作者:天津市公安分局南开分局  刘莎)