CEAC 分布式讲义_某省公安厅指纹数据库系统安全方案

DADT 上海安达通安全解决方案案例 政府行业案例 案例一某省公安厅指纹数据库系统安全方案 、安全需求 某省公安厅的指纹中心局域网内有1台小型机和2台服务器,里面存有重要 的指纹信息。数据库虽然处在公安专网之内,但由于使用专网的人过多,经常有 些非正常的访问,导致数据库的安全得不到保证。 二、安全方案 为了保证数据库的安全,我们建议把指纹中心的局域网作访问控制,方案如 下:只允许南部7个市公安局的7台计算机访问服务器1:只允许北部7个市公 安局的7台计算机访问服务器2(控制到IP地址);指纹中心局域网的其他计算 机均不可被外部主机主动访问;但同时又要保证除服务器1和服务器2之外的其 他机器能正常访问公安内网。 北部A市公安指纹库 北部8市公安指纹库 北市公安指纹库 旦旦旦 共14个市 长省公安指纹中心局域网}一 公安专网 南部G市公安指纹库 服务器1(南部)服务器2(北部 南部B市公安指绞库 南部A市公安指纹库 因为整个公安网络为专网,局域网内的主机都为可在全网路由的IP地址, 即公有地址,而且己经具备接入公安网的网关设备(三层交换机或路由器),且 不能更改此设备,鉴于此情况,解决办法只有更改指纹中心整个局域网的IP地 yw. adtsec com Tek021-64325693;64325694

上海安达通安全解决方案案例 www.adtsec.com 19 Tel：021-64325693；64325694 政府行业案例 案例一 某省公安厅指纹数据库系统安全方案 一、安全需求 某省公安厅的指纹中心局域网内有 1 台小型机和 2 台服务器，里面存有重要 的指纹信息。数据库虽然处在公安专网之内，但由于使用专网的人过多，经常有 些非正常的访问，导致数据库的安全得不到保证。 二、安全方案 为了保证数据库的安全，我们建议把指纹中心的局域网作访问控制，方案如 下：只允许南部 7 个市公安局的 7 台计算机访问服务器 1；只允许北部 7 个市公 安局的 7 台计算机访问服务器 2（控制到 IP 地址）；指纹中心局域网的其他计算 机均不可被外部主机主动访问；但同时又要保证除服务器 1 和服务器 2 之外的其 他机器能正常访问公安内网。 因为整个公安网络为专网，局域网内的主机都为可在全网路由的 IP 地址， 即公有地址，而且已经具备接入公安网的网关设备（三层交换机或路由器），且 不能更改此设备，鉴于此情况，解决办法只有更改指纹中心整个局域网的 IP 地

DADT 上海安达通安全解决方案案例 址为私有的IP地址,用安全网关做地址转换(NAT)来实现内部主机访问公安 网和提供对外的服务 以上要求的具体实现依赖于安全网关上的访问控制策略,用静态NAT把内 部的服务器映射到外部地址,从而向外提供服务,用地址池映射来实现内部主机 访问外部的公安网,用 Discard策略实现服务器和外部通信的控制。 把指纹中心局域网的地址改为192.168.1024,在局域网和上级网络之间插 入安全网关,网关的内外口地址分别为192.168.1.253和10.32XX,更改后的地 址分配如下图 10..X,X X.x.X 旦 共14个市 1.A92181.x 1921681024 默认网关 100.0.0 10.X.X.X 192.168.1.50 内192.168.1.253 外10.32.15.63 缺省路由10.32.15.253 192.168.1.15192.168.1.8 10.X.X.X 通过安全网关的安全策略设定和地址映射,公安厅指纹中心的数据得到了 有效的保护,非法访问和针对数据库系统的试探性连接得到了有效的控制。 yw. adtsec com Te021-64325693:64325694

上海安达通安全解决方案案例 www.adtsec.com 20 Tel：021-64325693；64325694 址为私有的 IP 地址，用安全网关做地址转换（NAT）来实现内部主机访问公安 网和提供对外的服务。 以上要求的具体实现依赖于安全网关上的访问控制策略，用静态 NAT 把内 部的服务器映射到外部地址，从而向外提供服务，用地址池映射来实现内部主机 访问外部的公安网，用 Discard 策略实现服务器和外部通信的控制。 把指纹中心局域网的地址改为 192.168.1.0/24，在局域网和上级网络之间插 入安全网关，网关的内外口地址分别为 192.168.1.253 和 10.32.X.X，更改后的地 址分配如下图： 通过安全网关的安全策略设定和地址映射，公安厅指纹中心的数据得到了 有效的保护，非法访问和针对数据库系统的试探性连接得到了有效的控制