上海安达通安全解决方案案例
www.adtsec.com 19 Tel,021-64325693; 64325694
政府行业案例
案例一 某省公安厅指纹数据库系统安全方案
一、安全需求
某省公安厅的指纹中心局域网内有 1 台小型机和 2 台服务器,里面存有重要的指纹信息。数据库虽然处在公安专网之内,但由于使用专网的人过多,经常有些非正常的访问,导致数据库 的安全得不到保证。
二、安全方案
为了保证数据库的安全,我们建议把指纹中心的局域网作访问控制,方案如下,只允许南部 7 个 市公安局的 7 台计算机访问服务器 1;只允许北部 7 个 市公安局的 7 台计算机访问服务器 2(控制到 IP 地址); 指纹中心局域网的其他 计算机均不可被外部主机主动访问;但 同时 又要保证除服务器 1 和服务器 2 之外的 其他 机 器 能正常访问公安 内 网。
因为整个 公安 网络为专网,局域网内的主机都为可在全网路由的 IP 地址,
即公有地址,而且已经具备接入公安网的网关设备(三层交换机或路由器),且不能更改此设备,鉴于此情况,解决办法只有更改指纹中心整个局域网的 IP 地
上海安达通安全解决方案案例
www.adtsec.com 20 Tel,021-64325693; 64325694
址为私有的 IP 地址,用安全网关做地址转换( NAT)来实现内部主机访问公安网和提供对外的服务。
以上要求的具体实现依赖于安全网关上的访问控制策略,用静态 NAT 把内部的服务器映射到外部地址,从而向外提供服务,用地址池映射来实现内部主机访问外部的公安网,用 Discard 策略实现服务器和外部通信的控制。
把指纹中心局域网的地址改为 192.168.1.0/24,在局域网和上级网络之间插入安全网关,网关的内外口地址分别为 192.168.1.253 和 10.32.X.X,更改后的地址分配如下图,
通过安全网关的安全策略设定和地址映射,公安厅指纹中心的数据得到了有效的保护,非法访问和针对数据库系统的试探性连接得到了有效的控制。
