移动警务系统解决方案.docx

移动警务系统解决方案目录目 录错误!未定义书签。1. 弓I言32. 系统概述52.1. 系统描述52。2。系统应用形式62.3。设计原则62。4.设计依据72。5。技术路线83. 系统总体架构93.1. 系统组成93.2. 系统总体架构93。3。系统接入模式103。4。系统网络拓扑113.5. 系统应用示意134. 系统功能描述144.1。移动警务安全接入平台 144。1.1.安全体系144。1。2.安全功能实现164。2。移动警务应用平台344。2.1.短消息终端应用344 2。2. GPRSZEQGE/WCDM4 在线终端应用374。2。3。笔记本终端在线应用464。3。移动警务信息管理平台465. 系统配置清单475.1。硬件配置清单475.2. 软件配置清单495.3. 设备选型参考表506. 系统建设526。1.建设模式526.7。7.公安系统出资建设526。1.2.运营商出资建设526。1。3。合作建设模式526.2. 机房建设要求526.2。1。机房基本要求526.2。2. UPS 电源536。2。3.机房空调536.2.4. 机房防雷546.2.5. 接地系统546.2.6. 消防系统556。3。实施安排556。3.1。项目分工556.3。2。进度安排.567。售后服务597.1。售后服务承诺597。2.培训方案597。3.培训具体安排597。4。培训相关事宜608. 力扬视讯移动警务系统特点618.1。安全可靠618.2。双向协同618。3.支持多媒体628.4. 应用全方位628。5。功能积木式62附：力扬视讯公司简介631.引言近几年来,随着科技强警战略的实施和“金盾工程”建设的开展，各地公安行 业在治安、刑侦、交巡警等部门分别建成了各自的信息管理系统，这些信息系统 的建设和应用，提高了公安信息资源的综合利用水平，为公安各部门之间实现信 息共享提供了数据基础。针对基层民警的警务活动具有移动性强、突发性强、任 务紧急性强等特点，民警在实战中更多地是在移动的状态下来面对不同警情和大 量复杂信息进行综合性分析，因而迫切需要公安信息应用向无线方向延伸。根据公安在工作中面临的问题和现实需求，公安部门早在2003年就建设了 一套通过手机短信息进行公安信息查询和传递的公安移动警务应用系统，但是随 着计算技术和通信技术的发展，以及公安业务对新的技术手段(图片、图像)的 应用，现有的短信警务系统已经不能满足公安行业日益增长的信息查询、上传以 及各种图片图像资料的传递需求.所以，如何在新的形式下，为公安一线民警配 备一种便于携带、操作简单又能解决实际问题的移动警务信息终端，一线民警工 作时可使用手持终端通过GPRS/EDGE/WCDMA网络接入公安信息网，进行警 务信息的查询、传递和交互，实时对现场数据进行采集、与数据可数据进行比对 以及对现场事故进行处罚处理等操作，实现民警现场执法取证和源头化管理。提 高一线民警的工作效率、减轻工作压力，更好的服务于城市的社会管理和交通管 理。同时由于一线民警需要查询和交互的警务信息运行于公安信息网中，这就需 要民警使用移动终端通过移动公网访问公安信息网的公安、车辆信息系统进行信 息和数据的交互。这样一个数据存取和交互的过程将给公安信息系统带来可能的 隐患:在基于公用移动通信网络的民警信息交互过程中，非法用户在能够接收到 无线移动信号的任何地方都可以通过公共移动网络发起对公安信息网的攻击，无 须授权即可使用网络服务，这不仅会占用宝贵的无线信道资源，降低合法用户的 服务质量，并且别有用心的人还可以利用这一漏洞进入到公安信息网内部窃取敏 感信息，给公安工作增加可怕地隐患和危险因此，要实现和满足公安行业移动应用的要求，首先要解决好移动设备的安全接入和信息的安全交互问题。建立符合公安部要求的安全接入系统，通过实时在 线方式等多种通讯方式和接入方式下，完成终端通过公网接入，实现公安信息网 基于GSM/GPRS/EDGE/WCDMA等公网的移动延伸和拓展，可满足警务信息的 查询、录入需求，完成公安信息综合查询、刑侦信息、交通管理、社区警务等基 本警务功能。本方案将依据国家相关政策、法规和标准、规范，仅仅围绕公安行业移动信 息化需求，结合我公司多年来在公安行业移动应用建设积累的宝贵经验进行描述， 供系统建设单位决策、参考。2. 系统概述2.1.系统描述公安信息移动接入及应用系统通常称为“警务通”，是公安信息综合业务系 统的无线延伸，依托公用移动通信网络(GSM/GPRS/CDMA/3G)为通道，以便于 携带的手机、PDA、笔记本电脑为终端，通过多媒体(包括文本、图片、语音、 视频等数据)形式，在保障安全的前提下，实现公安综合业务信息的无线沟通和 无线传递，使公安信息能够覆盖凡是移动通信网络通达的任何地方，达到公安部 “三 要求，即：任何地点，任何时间及任何方式都能够保障信息畅通，是金盾工 程的重要建设内容之一。公安信息移动接入及应用系统是科技强警的具体体现.系统投资经济、应用 广泛，既可以通过支持GPRS/EDGE/WCDMA无线传输功能的智能手机、PDA 和笔记本电脑，实现实时在线的综合查询和业务处理;也可以利用现有装备更换 一枚安全手机卡，为每个公安干警提供移动警务信息服务。系统可使公安干警如 虎添翼，大大提升工作效率，在维护治安、震慑犯罪、服务百姓等方面发挥巨大 的作用.整个系统分为移动警务安全接入平台和移动警务应用平台两部分。技术规范 和标准符合公安部下发的公安信息移动接入及应用系统建设技术指导书和移 动警务B/S应用安全接入规范的规定.移动警务安全接入平台采用由国家密码管理局批准生产的，由公安部信通 局主持，力扬视讯承担研发的“SQY42公网移动接入及安全认证系统”。该系统 采用国家密码管理局配发的公安专用密码算法；采用符合国家商用密码产品标准 的安全SIM卡、安全智能TF卡、USB安全存储加密卡等终端产品；终端设备 可采用普通手机、智能手机、PDA、专用设备、笔记本电脑等.共分为三种接入 模式：SQY42A短消息安全接入系统、SQY42B GPRS/CDMA安全接入系统、 SQY42 C IP安全接入系统。移动警务应用平台根据公安业务的需要确定功能。目前，移动警务主要的应 用功能包括：公安信息综合查询及业务查询功能、交通违法信息实时录入与处理 功能、社区警务功能、治安警务功能、短信群呼和协查通报功能、公安信息公众 服务功能、公安信息自动语音查询功能等，其中公安信息综合查询是移动警务必 须提供的基本功能。整个系统由系统硬件、系统软件和应用软件组成。2.2. 系统应用形式1、应用方式：手机短消息应用 GPRS/EDGE/WCDMA实时在线应用无线笔记本实时在线应用2、安全接入方式短消息安全接入 GPRS/EDGE/WCDMA 安全接入 IP 安全接入3、支持终端类型普通手机智能手机、PDA无线笔记本及上网本车载终端2.3. 设计原则标准化、规范化原则系统设计严格遵循公安部、省公安厅相关政策、法规和标准、规范。安全性原则系统设计依照公安部相关要求，建立严格、可靠的安全管理机制，确保系统 的高安全性。稳定高效性原则系统设计采用先进的技术手段和体系架构，确保产品的高稳定性和高效性.先进兼容性原则系统设计充分考虑设备、终端的异构性、高中低端需求，能够尽可能多的兼 容现有设备、终端。便捷可扩展性原则系统设计便于用户使用，不需要进行长期、复杂的培训即可方便应用。同时 系统建设要具有一定的扩展性，以满足不同用户的个性化需求。统一规划、分步实施原则系统建设宜采用统一规划，分步实施的建设原则。逐步完善、分步实施来完 成公安信息的应用，以应用带发展，以效益促应用，逐步实现公安信息移动应用 的各种功能。2.4.设计依据公安信息公网移动接入及应用系统建设技术指导书及公安信息移 动接入及应用系统建设技术指导书管理暂行规定(公信通2006 541 号)移动警务B/S应用安全接入规范国家密码管理局商用密码产品使用管理规定(2007年第8号文)金盾工程总体方案设计金盾工程安全保障体系总体设计方案公安部综合查询系统建设任务书公网(GPRS/CDMA)移动应用信息系统试点项目实施方案公网(GPRS/CDMA)移动应用信息系统试点建设任务书 公安部69号令道路交通安全违法行为处理程序规定公安部111号令机动车驾驶证申领和使用规定 公安部72号令机动车登记规定2.5.技术路线系统采用了基于SOA架构的web service和移动VPN技术相结合的第三 代移动访问技术，使得系统的安全性和交互能力有了极大的提高。系统同时融合了无线接入、身份认证、信息加密等多种移动通讯、信息 处理和计算机网络的最新的前沿技术，以专网和无线通讯技术为依托， 为一线值勤警务执法人员提供了一种跨业务数据库、跨地理阻隔的现代 化移动办公机制。建立全方位、多层次的安全服务体系，确保系统的身份认证、访问控制、 信息安全、网络隔离、日志审计、病毒防范以及系统管理的安全机制。采用多层应用体系结构，采用中间件、组件等先进技术来进行移动终端 应用程序、接入系统管理平台、后台信息交换系统的建设.具有丰富的移动接入终端支持,提供通用普通手机、智能手机、PDA、笔 记本等多种模式的警务通应用。系统严格按照公安信息公网移动接入及应用系统建设技术指导书、 公安信息移动接入及应用系统建设技术指导书管理暂行规定及移 动警务B/S应用安全接入规范进行设计，采用通用的标准和接口规范， 可无缝集成不同厂商的应用系统，具有良好的扩展性和兼容性。3. 系统总体架构3.1. 系统组成移动警务安全接入及应用系统由移动终端、移动通信网、移动接入区、安全 隔离区、公安信息网等五大部分组成。图3。1移动警务安全接入及应用系统组成示意图移动终端：包括普通手机、智能手机、具备无线功能的PDA、便携电脑、车 载移动设备等可移动的终端；移动通信网：采用基础运营商的GSM/GPRS/EDGE/WCDMA移动通信网络；移动接入区：由移动接入服务平台和移动应用服务平台组成，实现移动安全 接入及移动应用服务；安全隔离区：是采用经国家部门认证并由公安部有关部门同意使用的安 全隔离产品；公安信息网：为移动应用提供信息和服务支持。3.2. 系统总体架构图3。2移动警务安全接入及应用系统总体架构第一层是终端接入层:包括公安信息移动应用所使用的普通手机、智能手机、 PDA、车载移动设备、便携电脑等各种移动终端设备。第二层是移动通信网络：采用基础运营商的GSM/GPRS/EDGE/WCDMA移动通信 网络。第三层是移动接入服务平台，负责警务移动终端的安全接入，同时将移动终 端的各种业务请求传递到接入网的应用服务平台，并转换成网络安全隔离设备要 求的数据格式，提交给网络安全隔离设备，进入公安内网的应用服务平台实现直 接访问服务，同时还提供身份验证、安全审计、防病毒、入侵检测等网络安全服 务。第四层是放在移动接入网内的移动应用服务平台，位于网络安全隔离层外， 由网络安全隔离数据接口、移动接入服务平台数据接口、统一移动终端验证、用 户身份认证代理、数据包封装/解析、会话管理、安全审计、数据接口、服务接 口、系统管理等功能模块构成，负责处理来自移动接入平台的移动应用请求的转 递和应答.第五层是网络安全隔离层，它使得公安信息网与移动接入网在任何一个时刻 都不会直接相互连接。它在实现公安信息网和移动接入网的隔离的同时，还负责 公安信息网和移动接入网之间的数据传递和转发.第六层是放在公安信息网内的移动应用服务平台和移动数据同步模块.位于 网络安全隔离层内，移动应用服务平台响应并处理来自移动接入网的移动应用请 求，移动数据同步模块向外网应用数据库提供数据。移动应用服务平台依托各类 公安信息应用系统，共同完成各种移动业务的处理。公安信息移动接入及应用系 统也可通过请求服务或者数据接口的方式获得公安信息网内已有应用系统的服 务支持。第七层是应用支撑平台，它是面向应用程序的，是为应用系统提供运行环境 应用支撑平台中的认证系统对用户提供统一认证，实现一点登录全网漫游。第八层是系统运行环境:包括计算机网络、主机、数据库、应用中间件环境， 它为公安公网移动接入及应用系统提供了物理上的保证。图中左、右、中三部分分别为安全保障体系、运行管理体系和标准规范体系， 它们始终贯穿于该图的各个层面.对各层面的访问操作、运行管理、开发设计进 行有效的控制和规范，保证和维护各个层次正常有序地工作。3.3.系统接入模式A模式:移动应用所需的数据放在移动接入网内，移动终端只能访问移动接 入网内的数据，移动接入网数据通过数据同步更新机制完成数据更新；该模式有 较好的系统响应性能，但由于移动接入网内数据库和公安信息网内数据库之间要 通过网络安全隔离设备定时刷新、同步，所以数据的新鲜度和应用范围受到影响。图3.3 A模式应用示意图B模式：移动应用所需的数据放在公安信息网内，移动终端通过访问移动接 入网内的应用代理服务器，获得数据服务；应用代理服务器通过网络隔离设备访 问公安信息网；该模式提供信息的新鲜度比较高，应用范围大，它实时获取公安 信息网内的数据，通过移动终端采集到的业务数据也能够及时提交到公安信息网 内数据库，但由于所有请求和结果都要通过中间的代理服务器和网络安全隔离设 备转发，所以，对系统的响应性能有影响。图3。4 B模式应用示意图综合考虑系统的响应性能以及数据的新鲜度和应用范围，本系统建设中应将 A、B两种接入模式组合使用，一般查询类使用A模式，如综合查询等业务，所 需的数据放在设置于移动接入网内的数据库服务器中，终端可直接访问接入区内 的数据，有较好的系统响应性能；考虑到业务处理时对实时性的要求，对业务处 理类应用使用B模式：应用所需的数据放在公安信息网内，终端通过访问接入区 内的应用代理服务器，获得数据服务，应用代理服务器通过网络隔离设备访问公 安信息网。这种模式提供信息的新鲜度比较高，应用范围广，它实时获取公安信 息网内的数据，通过终端采集到的业务数据也能够及时提交到公安信息网内数据 库，但由于所有请求和结果都要通过中间的代理服务器和网络安全隔离设备转发， 所以，对系统的响应性能稍有影响。3.4.系统网络拓扑依据公安信息公网移动接入及应用系统建设技术指导书及公安信息移 动接入及应用系统建设技术指导书管理暂行规定(公信通2006541号)、移 动警务B/S应用安全接入规范，公安移动警务安全接入及应用系统的网络拓扑 结构如下图所示：图3。5移动警务安全接入及应用系统网络拓扑由上图可以看出，移动警务安全接入与应用系统由移动接入终端、移动通信 网络、安全接入区、安全隔离区与公安信息网等五大部分组成。移动警务安全接入和应用设备包括移动终端与安全组件(安全SIM卡、安全 智能TF卡、USB安全存储加密卡、车载密码卡)、防火墙、接入网关群组、B/S应用管理系统、B/S应用代理系统、设备证书管理中心、鉴别评估管理系统、隔 离网闸、监控管理探针、监控管理与级联系统、移动应用服务器群组和数据应用 代理系统。上述设备分为移动警务安全接入设备和移动警务应用设备，其中安全 接入设备又分为专用安全设备和通用安全设备。专用安全设备包括终端安全组件、接入网关、B/S应用管理系统、B/S应用 代理系统、鉴别评估管理系统、监控管理探针、监控管理与级联系统等。其中， 终端安全组件、接入网关、鉴别评估管理系统构成的加密传输系统已经获得国家 密码管理局批准的商用密码产品型号证书，所有专用安全设备严格遵循公安部科 技信息化局的相关技术规范，并通过了公安部科技信息化局的认可和备案。通用安全设备包括防火墙、设备证书管理中心、隔离网闸等，这些设备均采 用已获得计算机信息系统安全专用产品销售许可证和商用密码产品型号证书的 厂家品牌，并经过公安部相关部门认可。各地公安认为必要时，可以增加其它的 安全防护设备.该网络拓扑结构有如下特点：网络边界划分明确，在每一个网络边界都提供良好的安全保障；当地基础运营商对公安移动查询用户提供了专用虚网，只有绑定的 手机用户才可以连接到公安移动应用服务网络；公安移动接入网络通过路由器和专线连接到当地基础运营商的移动 服务主干网络；公安移动终端用户拨号到专用APN，经当地基础运营商提供的虚拟专 用私网连接到公安移动接入网；当地基础运营商给公安移动接入网 服务器分配的IP地址是私网地址，不是公网地址，无法直接和 Internet相连，这种方式的优点是加强了系统的安全性，不会直接 受到互联网用户的攻击公安移动接入网中的移动应用服务器受到3Y42安全接入系统的接 入保护，没有经过认证的移动终端即使能连接到接入也无法访问 相应的应用服务；移动接入网和当地公安信息网通过安全隔离与信息交换系统实现逻 辑隔离，保证公安信息网络不受外部攻击;这种方案充分利用了当地基础运营商的安全措施，但系统的安全性 能主要靠终端安全组件、安全接入系统、安全隔离与信息交换系统等设备的保护，符合公安部的指导思想3.5.系统应用示意图3. 6力扬视讯移动警务安全接入平台应用示意首先,配置了安全加密卡和安装了安全客户端的各类移动终端通过移动通信 网络以不同的通信方式(短消息、GPRS/EDGE/WCDMA在线)通过终端发送链 接请求；安全接入网关在收到终端的连接请求后，在鉴别评估管理系统的配合下对移 动终端进行身份认证；终端身份认证通过后，安全接入网关与移动终端协商会话密钥(即本次通信 采用何种加密算法，通常采用国密算法SM1.)；密钥协商完成后，安全接入网关建立了一条移动终端到移动应用服务器之间 的加密安全通道；通过部署在移动应用服务器的各类应用服务模块，移动终端和移动应用服务 器之间实现了数据的安全通信和传输。同时，针对笔记本终端的可信安全防护，根据公安部及用户的实际安全要求， 配置一定的安全防护策略，鉴别评估管理系统通过部署在笔记本终端的可信终端 安全防护程序实时监测笔记本终端的运行情况，及时阻止笔记本的非法行为。4. 系统功能描述公安信息移动接入及应用系统通常称为“警务通，是公安信息综合业务系 统的无线延伸，依托公用移动通信网络(GSM/GPRS/EDGE/WCDMA)为通道，以便 于携带的手机、PDA、笔记本电脑为终端，通过多媒体(包括文本、图片、语音、 视频等数据)形式,在保障安全的前提下，实现公安综合业务信息无线沟通和无 线传递，使公安信息能够覆盖凡是移动通信网络通达的任何地方，是金盾工程的 重要建设内容之一.根据公安部下发的公安信息移动接入及应用系统建设技术指导书和移 动警务B/S应用安全接入规范中的技术规范和标准，通过对公安行业对移动应用 的真实需求，整个系统分为移动警务安全接入平台、移动警务应用平台、移动警 务信息管理平台三部分.4.1. 移动警务安全接入平台移动警务作为公安这一特殊行业信息的移动应用，保障其信息传输的安全是 系统建设的首要条件。公安部公金盾2004 240号关于做好公安信息移动接 入及应用系统安全建设的通知明确指出：“公安信息化和公安工作的特点决定 了公安机关建设公安信息移动接入及应用系统的必要性，要建设移动接入及应用 系统就必须解决好安全和加密问题。”4.1.1. 安全体系由于终端的移动性、使用场景的开放性和不可监督性、无线传输安全的脆弱 性、网络环境的复杂性，这就要求移动警务安全接入采用包括“终端加固”、“信 道加密”、“认证接入”、“访问控制”、“网闸隔离”、“级联监控”和“安全管理” 等七大安全措施，见图4.1。七大安全措施环环相扣，缺一不可，共同构成独立 完整的安全接入体系。图4.1公安信息公网移动接入安全体系架构终端加固.基于硬件密码对终端进行安全加固，保证终端计算环境、资源和 网络访问的安全和控制。信道加密。基于我国密码管理局批准公安机关专用的密码算法实现移动终端 到移动接入区端到端的通信加密，保证公安信息在传输过程中的机密性和完整性。 加密信道建立在基础运营商提供的辅助安全措施(APN)之上。认证接入。基于移动警务身份证书实现移动终端和移动接入区接入设备之间 的双向身份认证，保证持有合法身份证书的移动终端才能接入移动接入区，防止 合法移动终端接入非法网络。访问控制.在移动警务B/S应用模式下，访问控制保证公安信息网资源只能 被授权的终端访问，并对异常的访问进行阻断。网闸隔离。实现移动接入区和公安信息网之间的网络隔离。针对移动警务 B/S应用模式，对出入公安信息网的HTTP数据进行协议剥离和内容过滤；针对 移动警务C/S应用模式，实现移动接入区和公安信息网之间的数据信息交换安全管理。对移动警务系统的安全策略进行统一管理，保证系统安全策略的 安全性和一致性。级联监控.对移动警务系统进行统一监控、审计和管理，发现系统异常，及 时调整系统安全策略，确保整个系统的安全.向移动警务监管中心上报相关信息。4.1.2.安全功能实现力扬视讯移动警务安全接入平台围绕SQY42安全体系，从可信终端、终端接 入、安全认证与管理、网络监管、边界安全等方面建立起了多层次、全方位的安 全接入平台。保证了整个平台从终端接入、终端访问、通信应用、网络行为等的 整体安全。4.1.2.1.移动终端安全移动终端安全主要通过配备移动终端安全组件来保证终端的安全可信针对普通手机、智能手机或PDA、笔记本、车载终端等不同类型的移动终 端，我公司分别生产了安全SIM卡、安全智能TF卡、USB安全存储加密卡、 车载加密卡等安全组件。安全SIM卡、安全智能TF卡、USB安全存储加密卡、车载加密卡是SQY42 安全接入系统的重要组成部分，也是SQY42系统的基本组成部分。作为移动终 端的安全承载模块，安全SIM卡、安全智能TF卡、USB安全存储加密卡、车 载加密卡不仅配合后台鉴别评估管理系统完成移动终端的安全接入与身份认证 功能，还与SQY42密码机共同完成信息传送中的加解密功能同时负责移动终端 的通讯功能，包括语音、短消息、数据传送、IP包形式的无线上网等移动终端 的正常通讯功能。4。1.2。1。1手机终端安全一、手机终端分类移动终端是移动警务应用的具体承载者之一，主要包括：手持设备、车载专 用终端和笔记本三类。手持设备包括:普通手机、智能手机/PDA和专用手持设备 等;车载专用终端指配置在标准警用巡逻车上的专用信息终端设备；笔记本指笔 记本电脑和各种上网本。1、手机终端按照手机功能可以分为：普通手机：具备基本的短信、语音通话功能。智能手机/PDA:拥有操作系统平台和丰富的扩展接口，支持存储扩展卡、蓝牙、GPRS等基本功能。2、按照使用的移动网络类型，手机终端又可分为：GSM手机终端：指支持并使用GSM网络的手机终端。GRPS手机终端:指支持GPRS/EDGE网络的手机终端。3G手机终端：指支持WCDMA网络的手机终端。3、按照手机终端所使用的操作系统类型，手机终端又可分为：Windows Mobile手机终端：指使用Window Mobile操作系统的手机终端， 系统目前支持Window Mobile5.0以上版本。Window CE手机终端：指使用Window CE操作系统的手机终端，系统目前可 支持Window CE 6。0以上版本。Symbian手机终端:指使用Symbian操作系统的手机终端，系统目前可支持 Symbian S60 第 3 版.Andriod手机终端：指使用Andriod操作系统的手机终端。其它手机终端:指使用其它操作系统的智能手机终端，如使用Linux、Briew 等操作系统的手机终端。二、移动终端安全组件移动终端安全组件提供对移动接入的密码服务和系统安全加固功能,包括终 端安全卡和安全加固组件。移动警务以B/S应用模式工作时，必须配置终端安全 加固组件。终端安全卡用于配合各种移动终端完成数据加解密、数字签名和签名验证、 消息摘要和消息完整性检验等操作。卡内必须支持商用分组密码算法SM1和 RSA公钥密码算法.为适应不同类型的移动终端，移动警务接入终端安全卡目前 有安全SIM卡、TF和USB等接口形式安全卡。移动终端通过安装终端加固组 件实现安全防护，安全防护措施不能被旁路或失效。1、普通手机安全普通手机安全主要通过配置安全SIM卡来实现。安全SIM卡由力扬视讯与制卡商共同开发完成，并通过国家商业密码局的 安全审核，除具备普通SIM卡的正常通讯功能外，在卡上集成了加密芯片与身份 认证芯片，负责完成SQY42安全接入系统中的-A短消息子系统安全接入功能, 负责移动终端端的身份认证与数据加解密的工作。安全SIM卡中采用国家密码 管理局对SQY42系统审核批复的商业密码算法，符合国家对信息公网安全移动 接入的规定与规范.安全SIM卡在不增加终端设备的情况下完成移动数据接入中的短消息、 GPRS方式下的安全接入和移动应用，支持市场上主流终端，无移动接入网络的 限制；同时，简单的更换安全SIM卡成本投入相对很少，在移动电子政务/电子 商务大面积的应用推广中有很强的优势.2、智能手机/PDA终端安全智能手机/PDA终端安全主要通过配置安全智能TF卡来实现.安全智能TF卡是用于对PC、PDA、智能终端数据进行安全处理的TF卡， 与终端配合工作。安全智能TF卡经国家密码管理局安全审查通过，配用SM1算法。安全TF卡 提供的主要密码服务包括：(1)用于存储个人数字身份证书和签名私钥，为移动 终端提供数字签名、签名验证和数据加解密等密码服务；(2)用于实现SM1算法 和密钥管理，为移动终端提供基于SM1算法的数据加解密服务。智能手机/PDA终端配备了安全智能TF卡，安装安全客户端软件后，将具备 以下功能：1、用户识别功能安全智能TF卡提供基于PIN码的用户识别功能，合法用户可以设置和修改 用户口令，非法用户无法通过口令验证，因而也无法使用移动应用功能；此外， PIN码验证提供防暴力破解功能，口令最多连续重试3次，连续3次以上错误输 入口令将导致安全TF卡PIN码被锁定。2、信息安全存储功能安全智能TF卡通过访问控制应提供两个层次的安全存储功能。一种是密钥 等关键信息的安全存储，该信息的存储对访问进行了特殊标记；对称密钥信息加 密存储，必须通过用户身份识别后才能进行读写。另一种是用户敏感信息的安全 存储，只有通过验证的合法用户才能访问加密信息。3、密码学运算功能安全智能TF卡主要提供的密码学运算主要有：随机数生成、SM1加解密，HASH计算,HMAC计算等。支持1024位RSA算法产生、加解密及签名功能.4、信息加解密封装安全智能TF卡对需要加解密的信息利用SM1密钥和SM1加解密功能按照定 义的格式进行完整性和机密性封状和解封，该功能实现信息加密.5、SM1密钥协商安全智能TF卡通过证书与SSL安全接入网关进行身份认证，并用专有的安 全认证密钥协商协议进行SM1密钥协商，该功能是实现信息加密的基础。支持终端平台类型： Window Mobile5.0 以上 Symbian S60第三版、第五版 Window CE6。0 以上 Brwe3.15 Andriod1。5/2.0/2。24。1.2.1。2车载终端安全由于车载终端是通过借助GPRS/EDGE/WCDMA网络实现无线安全接入的，可以 通过安全客户端通过SQY42B安全接入网关实现安全接入。车载终端安全主要通过配置车载卡来实现.车载卡是专门针对车载移动设备开发研制的具备加密、通信功能的安全 卡。除了不具备存储功能外，其它身份认证和信息加解密功能和安全智能TF 卡基本类似。目前,该卡主要用于一些定制设备的集成。4。1.2.1。3笔记本终端安全笔记本终端安全主要通过配置USB安全存储加密卡来实现。USB安全存储加密卡是一种符合USB接口标准的密码产品，是整个PKI安全 认证体系的重要组成部分，它一方面配合应用及安全认证系统提供基于SM1密码 算法的加密、解密功能，支持CBC、ECB、OFB、CBCMAC等多种操作模式；提供 基于RSA1024非对称密码算法的加密、解密、签名、验证等功能；提供基于SHA1 和SHA256算法的杂凑功能；提供密钥的安全存储和管理以及通过口令机制实现 的权限管理。另一方面做为独立产品为用户提供磁盘文件加密存储功能；同时还 提供了对终端设备进行安全加固的功能，包括基于引导系统的进程控制，网络过 滤，端口安全控制等.因此，USB安全存储加密卡提供的功能归纳起来主要包括三大部分：密码服 务、加密存储和终端安全加固。1、密码服务密码服务基于已通过国家密码管理局审查通过的SJK0921T密码卡COS系统， 具体包括:存储个人数字身份证书和签名私钥，为终端设备提供数字签名、签名 验证和数据加解密等密码服务；以及实现SM1算法和密钥管理，为终端设备提供 基于SM1算法的数据加解密服务。该服务是需要配合整个安全认证体系来实现 的.2、加密存储透明的磁盘加密功能。将重要信息加密存储在USB安全存储加密卡的加密区 中。写入USB盘时对文件进行加密存储，从盘内读出时对文件解密，实现透明的 加密存储。3、终端安全加固终端安全加固主要用来实现对终端系统进行安全加固.主要包括：安全引导、 系统检验、安全策略设置等基本功能。目前，力扬视讯针对笔记本终端的安全加固主要采用两种策略：1) 在笔记本上安装可信安全终端加固客户端组件，与部署在鉴别评估管理服 务器上的终端加固管理系统前后端协同，通过对笔记本的进程监测、网络行为监 测、端口及外设监测、文件保护等，实现对笔记本终端的安全加固。2) 在USB盘中集成XPE操作系统，使笔记本终端可以直接从USB盘启动，不 使用笔记本现有的硬盘及操作系统，USB盘内的操作系统可以根据用户的需求进 行定制，并可以通过后端的终端加固管理系统针对每个用户定制不同的安全策略，同时XPE操作系统本身集成终端加固客户端组件，因此，较之第1)种方式安全 性、可靠性更高。4.1.2.2.移动通信网络安全移动警务安全接入对移动通信网络的要求，包括：1、提供移动通信网络到移动接入区的APN专线接入，保证稳定可靠的传输 服务；2、提供必要的网络安全隔离措施，建立公安APN虚拟专用网络，减少公安 信息被泄漏、窃取和篡改的安全风险；3、采用必要的防范措施，防止对移动警务安全接入及应用系统的攻击；对 网络安全事件的调查、发现和解决进行积极配合，并提供相关保障措施和承诺.在本方案中，移动通信网络采用基础运营商的GSM/GPRS/EDGE/WCDMA通信网 络.为了确保网络接入安全，防止非授权用户的非法接入和攻击，系统采用APN接 入方式，用户通过拨号，经基础运营商提供虚拟专用私网连到公安安全接入网； 基础运营商给公安安全接入网服务器分配的IP地址应是私网地址，不是公网地 址，不能直接和Internet相连，确保系统的安全性。4.1.2.3.安全接入区安全安全接入区包括边界保护、移动警务安全接入服务和移动警务应用服务三大 部分.4.1。2.3.1边界保护安全接入区边界防护用于增强移动接入区自身的安全性，由防火墙等设备承 担。一、防火墙防火墙本身可以提供完整的访问控制功能，可以自由地采用路由、透明及混 合等多种方式集成到客户网络环境中，为客户网络提供强大的安全保护功能。同 时，客户还可以通过原有的网络管理平台(如SNMP管理器或日志服务器)对防火 墙的运行状况进行查询、监控和日志分析。另外，防火墙还提供了与其他厂家安 (第21页共75页全产品的联动功能(如入侵检测系统)，极大地方便了系统功能的扩展。一般防火墙具有如下特点：1。采用多接口设计，具有良好的网络应用可扩展性.2。高效的应用层访问控制.传统的应用层控制采用代理技术，系统需频繁地 在系统核心和应用层以及进程之间切换，消耗了大量系统资源，影响性能。网络 卫士防火墙采用核检测技术，深度过滤应用深度过滤策略在系统内核实现应用层 过滤，并可以实现基于会话的认证。3。灵活的管理。实现了 TOPSEC防火墙管理协议，管理员可以从防火墙的任 何接口登录防火墙，实现类似交换机设备的中央管理。4。全新的管理端口协议。该协议实现了在防火墙的唯一服务端口上同时运行 多个管理事务服务。5。支持基于TOPSEC协议的IDS和反病毒联动。实现TOPSEC联动协议，可 与基于TOPSEC协议的IDS和反病毒产品进行联动，提供智能的网络安全保护。6。高性能的内容过滤.系统核心层实现传输内容的还原、安全检测，实现高 性能的TOPSEC内容安全协议，支持病毒检测和垃圾邮件过滤。7。系统升级与容错。防火墙可以通过命令行方式进行系统升级，同时防火 墙采用双系统设计，在主系统发生故障时，用户可以在启动时选择BACKUP方式， 用备份系统引导系统.4。1。2.3。2移动警务安全接入服务移动警务安全接入服务保证合法终端的接入，实现移动终端的认证接入、端 到端信道加密、B/S应用访问控制等安全接入和控制功能，同时提供终端和接入 设备身份注册、终端安全评估与管理服务、安全策略统一管理和监控管理信息收 集等功能.移动警务安全接入服务平台由接入网关群组、B/S应用管理系统、设 备证书管理中心、鉴别评估管理系统、监控管理探针等设备组成.一、接入网关群组接入网关群组包括IPSec VPN网关、SSL VPN网关和安全短消息网关。基于 移动警务身份证书实现和移动终端的双向认证，保证移动公网传输信息的机密性、完整性和不可抵赖性。平台的通信与应用安全主要通过SQY42安全体系来实现。通信安全通过应采用安全的密钥管理方案、可靠加密算法和数据加密封装传 输实现了通信过程的机密性和完整性.密钥管理方案应通过了国家密码管理局专 家的安全性审查，认定为安全的密码管理方案。而且数据加密封装和传输协议也 经过国家密码管理局专家的审查，认定为安全传输协议。通过安全SIM卡、安全智能TF卡、USB安全存储加密卡、车载加密卡、安 全接入网关实现信息在移动公网传输中的通信安全。应用安全主要通过建立严格的安全认证和管理机制，实现应用层次的用户认 证和授权管理;并且通过对应用层用户的识别和权限管理，对不同的警种和职级 开放不同的应用访问权限;应用层用户审计功能对分析应用使用合法性提供了监 督和分析。1、SQY42A安全短消息接入网关短消息分为 SMS（Short Messaging Service 短消息服务）和 MMS（Multimedia Messaging Se