郭會(huì)茹，孫靜靜

（1.天津公安警官職業(yè)學(xué)院，天津 300382；2.安徽大學(xué)，安徽 合肥 230601）

公安網(wǎng)絡(luò)信息安全及其防范措施的研究

郭會(huì)茹1，孫靜靜2

（1.天津公安警官職業(yè)學(xué)院，天津 300382；2.安徽大學(xué)，安徽 合肥 230601）

本文從公安網(wǎng)絡(luò)安全的現(xiàn)狀入手，對(duì)其目前存在的問題和威脅進(jìn)行了分析研究，并針對(duì)性地提出了保障網(wǎng)絡(luò)安全的技術(shù)與管理措施，從理論與實(shí)踐兩個(gè)層面對(duì)公安網(wǎng)絡(luò)信息安全問題提出了建設(shè)性的解決途徑.

公安網(wǎng)絡(luò)；信息安全；安全管理

公安網(wǎng)絡(luò)信息安全問題是公安部門網(wǎng)絡(luò)系統(tǒng)建設(shè)必須考慮的首要問題.公安網(wǎng)絡(luò)信息安全泛指公安網(wǎng)絡(luò)系統(tǒng)如何保證其信息不受破壞，并在給定的時(shí)間和權(quán)限范圍內(nèi)提供保證質(zhì)量的確定服務(wù)，其涉及面從保護(hù)數(shù)據(jù)安全擴(kuò)大到保證交易安全、服務(wù)安全等諸多方面[1].

1 公安網(wǎng)絡(luò)面臨的安全威脅

公安網(wǎng)絡(luò)是獨(dú)立于互聯(lián)網(wǎng)的應(yīng)用專網(wǎng)，與外部互聯(lián)網(wǎng)采用物理方式隔離.隨著“金盾工程”建設(shè)的深入展開，目前，各地市基本上實(shí)現(xiàn)了市局、分局、派出所的三級(jí)聯(lián)網(wǎng).公安網(wǎng)絡(luò)覆蓋了廣闊的地域范圍，服務(wù)眾多的公安干警，同時(shí)還與全國(guó)公安一級(jí)網(wǎng)互聯(lián)，在如此復(fù)雜的應(yīng)用環(huán)境下，任何內(nèi)部人員的誤操作或有故意的非法操作都可能導(dǎo)致信息的泄露或破壞.特別是公安網(wǎng)絡(luò)目前在全市范圍內(nèi)是一個(gè)統(tǒng)一的網(wǎng)絡(luò)，任何非法攻擊者只要突破網(wǎng)絡(luò)中最薄弱的一點(diǎn)就有機(jī)會(huì)訪問到全國(guó)資源，對(duì)信息資源安全造成巨大的威脅.目前公安網(wǎng)絡(luò)面臨的安全威脅主要包括以下幾個(gè)方面：

1.1 來自外部互聯(lián)網(wǎng)的安全威脅

公安網(wǎng)絡(luò)雖然沒有與Int ernet互聯(lián)，但基于Int ernet的開放性、國(guó)際性與自由性，我們的網(wǎng)絡(luò)每天都有很多來自互聯(lián)網(wǎng)的信息，其中間介質(zhì)多為U盤、移動(dòng)硬盤等，所以公安網(wǎng)絡(luò)也面臨嚴(yán)重的安全威脅.每天網(wǎng)絡(luò)黑客都在試圖闖入Int ernet節(jié)點(diǎn)，對(duì)有安全缺陷的網(wǎng)絡(luò)進(jìn)行攻擊，對(duì)有價(jià)值的信息進(jìn)行截取或者惡意篡改，如果我們的網(wǎng)絡(luò)存在缺陷就有可能被攻擊或者成為黑客入侵其他網(wǎng)絡(luò)的跳板[2].公安網(wǎng)絡(luò)中的辦公系統(tǒng)及個(gè)人主機(jī)上一般都有涉密信息，假如網(wǎng)絡(luò)的一臺(tái)機(jī)器被攻擊或者被病毒感染，就會(huì)影響在同一網(wǎng)絡(luò)上的其他系統(tǒng).

1.2 內(nèi)部局域網(wǎng)的安全威脅

公安網(wǎng)絡(luò)中主機(jī)登錄和服務(wù)系統(tǒng)登錄使用的是靜態(tài)口令，口令在一定時(shí)間內(nèi)是不變的，其在數(shù)據(jù)庫(kù)中有存儲(chǔ)記錄，可以重復(fù)使用.這種訪問機(jī)制無法真正實(shí)現(xiàn)將用戶與其本人真實(shí)身份完全一一對(duì)應(yīng)起來.如果口令控制不嚴(yán)就很容易造成敏感信息泄露、內(nèi)部人員（合法用戶）擅自擴(kuò)大權(quán)限、越權(quán)訪問公安系統(tǒng)機(jī)密信息、進(jìn)行數(shù)據(jù)篡改等.非法用戶也可以通過窮舉攻擊、重放攻擊等手段得到靜態(tài)口令，然后利用口令對(duì)公安系統(tǒng)內(nèi)部資源非法訪問或越權(quán)操作.

1.3 系統(tǒng)的安全風(fēng)險(xiǎn)

所謂系統(tǒng)安全通常是指操作系統(tǒng)、應(yīng)用系統(tǒng)的安全.操作系統(tǒng)及應(yīng)用系統(tǒng)軟件不可能是百分之百的無缺陷、無漏洞.漏洞主要有：（1）操作系統(tǒng)的安全漏洞，包括操作系統(tǒng)的BUG、I/O非法訪問、訪問控制混亂等.（2）數(shù)據(jù)庫(kù)及應(yīng)用軟件的安全漏洞，包括數(shù)據(jù)庫(kù)文件格式、文件存放位置、口令加密機(jī)制等.（3）TCP/IP協(xié)議的安全漏洞，IPV4并未考慮安全性，這是IP網(wǎng)絡(luò)不安全的主要原因.（4）網(wǎng)絡(luò)軟件和服務(wù)的安全漏洞，包括Finger漏洞、匿名FTP漏洞、Tel net漏洞、E-m ail漏洞等.（5）編程人員在軟件中遺留下的“后門”.這些漏洞、缺陷以及“后門”正是黑客進(jìn)行攻擊的首選目標(biāo).一旦漏洞及“后門”被泄漏，就會(huì)造成公安網(wǎng)絡(luò)信息丟失、喪失保密性、不能訪問以及系統(tǒng)癱瘓等一系列安全問題.

1.4 應(yīng)用的安全風(fēng)險(xiǎn)

公安網(wǎng)絡(luò)內(nèi)部有自動(dòng)化辦公系統(tǒng).而辦公網(wǎng)絡(luò)常常使用共享網(wǎng)絡(luò)資源，比如文件共享、打印機(jī)共享等.如果缺少必要的訪問控制策略，工作人員就可能有意、無意的把硬盤中的重要信息目錄共享，長(zhǎng)期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部工作人員竊取并傳播出去造成泄密.

1.5 管理的安全風(fēng)險(xiǎn)

管理層面的安全風(fēng)險(xiǎn)主要表現(xiàn)在安全組織的建設(shè)、安全管理策略和制度的制定與執(zhí)行、人員的管理等方面.

1.5.1 管理的脆弱性 公安網(wǎng)絡(luò)管理的脆弱性主要表象在缺乏針對(duì)性的安全策略、安全技術(shù)規(guī)范、安全事件應(yīng)急計(jì)劃，管理制度不完善，安全管理和運(yùn)行維護(hù)組織不健全，對(duì)規(guī)章、制度落實(shí)的檢查不夠等.

1.5.2 安全組織建設(shè)風(fēng)險(xiǎn) 隨著公安網(wǎng)絡(luò)的發(fā)展，信息系統(tǒng)安全體系的建設(shè)對(duì)組織保障提出了更高的要求，公安信息系統(tǒng)各部門現(xiàn)有的機(jī)構(gòu)設(shè)置、崗位設(shè)定、人員配備等不能完全滿足對(duì)信息系統(tǒng)安全管理的需求，這些問題在很大程度上制約了安全體系建設(shè)的發(fā)展.

1.5.3 安全管理風(fēng)險(xiǎn) 安全管理制度的建設(shè)還不全面，用戶、口令、權(quán)限的管理不嚴(yán)密，系統(tǒng)的安全配置一般都是缺省配置，風(fēng)險(xiǎn)很大.

1.5.4 人員管理風(fēng)險(xiǎn) 公安系統(tǒng)內(nèi)部人員對(duì)網(wǎng)絡(luò)信息安全的認(rèn)識(shí)相對(duì)較高，但在具體執(zhí)行和落實(shí)、安全防范的技能等方面還有待提高.

2 公安網(wǎng)絡(luò)信息安全防范措施

保證公安網(wǎng)絡(luò)安全運(yùn)行的策略關(guān)鍵在于建立和完善公安網(wǎng)絡(luò)信息安全防護(hù)體系，在技術(shù)層面上建立完整的網(wǎng)絡(luò)安全解決方案，在管理層面上制定和落實(shí)一套嚴(yán)格的網(wǎng)絡(luò)安全管理制度.二者之間，管理是基礎(chǔ)，技術(shù)是保障.

2.1 技術(shù)措施

2.1.1 防火墻技術(shù) 防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于局域網(wǎng)和專用網(wǎng)絡(luò).防火墻系統(tǒng)主要被部署在網(wǎng)絡(luò)邊界，可以實(shí)現(xiàn)安全的訪問控制與邊界隔離，防范攻擊行為.

2.1.2 入侵檢測(cè)技術(shù)和系統(tǒng) 入侵檢測(cè)技術(shù)是通過從計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為或遭到入侵的跡象，并依據(jù)既定的策略采取一定措施的技術(shù)[3].

入侵檢測(cè)系統(tǒng)（IDS）是網(wǎng)絡(luò)安全的第二道閘門，它與防火墻系統(tǒng)配合工作，在遇到可疑行為時(shí)向系統(tǒng)管理員報(bào)警.這些可疑的行為可能預(yù)示著將發(fā)生網(wǎng)絡(luò)入侵活動(dòng)或者顯示網(wǎng)絡(luò)入侵活動(dòng)的結(jié)果.入侵檢測(cè)系統(tǒng)能及時(shí)監(jiān)控網(wǎng)絡(luò)資源運(yùn)行狀況，為網(wǎng)絡(luò)管理員及時(shí)提供網(wǎng)絡(luò)入侵預(yù)警和防范解決方案，還使得對(duì)于檢查黑客入侵，變得有跡可循，為用戶采取進(jìn)一步行動(dòng)提供了強(qiáng)有力的技術(shù)支持.

2.1.3 安全審計(jì)系統(tǒng) 網(wǎng)絡(luò)安全審計(jì)系統(tǒng)作為一個(gè)完整安全框架中的一個(gè)必要環(huán)節(jié)，一般在入侵檢測(cè)系統(tǒng)之后，作為對(duì)防火墻系統(tǒng)和入侵檢測(cè)系統(tǒng)的一個(gè)補(bǔ)充，其功能：首先它能夠檢測(cè)出某些特殊的IDS無法檢測(cè)的入侵行為（比如時(shí)間跨度很大的長(zhǎng)期攻擊特征）；其次它可以對(duì)入侵行為進(jìn)行記錄并可以在任何時(shí)間對(duì)其進(jìn)行再現(xiàn)以達(dá)到取證的目的；最后它可以用來提取一些未知的或者未被發(fā)現(xiàn)的入侵行為模式等.

2.1.4 漏洞掃描技術(shù) 對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行漏洞掃描可幫助系統(tǒng)管理人員發(fā)現(xiàn)入侵者潛在的進(jìn)入點(diǎn).其原理是采用模擬黑客攻擊的形式對(duì)目標(biāo)（工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象）可能存在的安全漏洞和弱點(diǎn)進(jìn)行逐項(xiàng)掃描和檢查，根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)[4].

2.1.5 防病毒系統(tǒng) 作為網(wǎng)絡(luò)防病毒系統(tǒng)需要對(duì)整個(gè)局域網(wǎng)內(nèi)的服務(wù)器和計(jì)算機(jī)進(jìn)行病毒防范，更加重要的是能夠通過防病毒軟件對(duì)網(wǎng)絡(luò)進(jìn)行集中管理和統(tǒng)一配置.具有一個(gè)完善的病毒防護(hù)管理體系，負(fù)責(zé)防病毒軟件的自動(dòng)升級(jí)、定時(shí)掃描、集中管理、日志記錄等，保證整個(gè)網(wǎng)絡(luò)范圍內(nèi)病毒防護(hù)體系的一致性、完整性、及時(shí)性.目前公安內(nèi)網(wǎng)的防病毒系統(tǒng)還沒有建立起來，基本上都是單機(jī)版的殺毒軟件.

2.2 網(wǎng)絡(luò)安全管理措施

一個(gè)完整的網(wǎng)絡(luò)安全體系應(yīng)該是安全管理和安全技術(shù)實(shí)施的結(jié)合，兩者缺一不可.網(wǎng)絡(luò)安全管理就是通過一系列的策略和制度來協(xié)調(diào)這二者之間的關(guān)系，明確技術(shù)實(shí)施和安全操作中相關(guān)人員的安全職責(zé)，從而達(dá)到對(duì)安全風(fēng)險(xiǎn)的及時(shí)發(fā)現(xiàn)和有效控制，提高安全問題發(fā)生時(shí)的反應(yīng)速度和恢復(fù)能力，增強(qiáng)網(wǎng)絡(luò)的整體安全保障能力.

2.2.1 健全信息安全管理制度 健全的安全管理制度是公安網(wǎng)絡(luò)信息安全的重要保證.這些制度包括：密碼管理制度、數(shù)據(jù)加密規(guī)范、身份認(rèn)證規(guī)范、區(qū)域劃分原則及訪問控制策略、病毒防范制度、安全監(jiān)控制度、安全審計(jì)制度、應(yīng)急反應(yīng)機(jī)制、安全系統(tǒng)升級(jí)制度等.建議成立專門信息安全管理和監(jiān)督機(jī)構(gòu)，人員包括領(lǐng)導(dǎo)和專業(yè)人員，按照不同任務(wù)進(jìn)行分工，確立各自的職責(zé).有了組織機(jī)構(gòu)和相應(yīng)的制度，還要將強(qiáng)領(lǐng)導(dǎo)、督促和檢查工作，使制度真正落實(shí)到實(shí)處.

2.2.2 強(qiáng)化思想教育、提高安全意識(shí).廣大民警要認(rèn)真學(xué)習(xí)有關(guān)安全管理制度和相關(guān)法律文件，增長(zhǎng)網(wǎng)絡(luò)安全保密知識(shí)，加強(qiáng)網(wǎng)絡(luò)安全意識(shí)，提高網(wǎng)絡(luò)安全認(rèn)識(shí).開展網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，提高全體民警的安全意識(shí)和安全技能，從深層次上杜絕安全事件的發(fā)生.

2.2.3 注重網(wǎng)絡(luò)信息安全人才的培養(yǎng).要培養(yǎng)一批高水平的網(wǎng)絡(luò)管理人員，對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)行期間出現(xiàn)的問題給予及時(shí)的響應(yīng)和反饋，保障安全系統(tǒng)的長(zhǎng)期穩(wěn)定運(yùn)行.防范網(wǎng)絡(luò)安全事件的發(fā)生，提高對(duì)安全事件的反應(yīng)處理能力，在網(wǎng)絡(luò)安全事件發(fā)生時(shí)盡量減少事件造成的損失.

3 結(jié)束語(yǔ)

總之，網(wǎng)絡(luò)安全是一項(xiàng)綜合性的課題，它涉及技術(shù)、管理、應(yīng)用等許多方面，既包括信息系統(tǒng)本身的安全問題，又有物理的和邏輯的技術(shù)措施.我們必須綜合考慮安全因素，在采用各種安全技術(shù)控制措施的同時(shí)，制定層次化的安全策略，完善安全管理組織機(jī)構(gòu)和人員配備，才能有效地實(shí)現(xiàn)網(wǎng)絡(luò)信息的安全.同時(shí)，世界上不存在絕對(duì)安全的網(wǎng)絡(luò)系統(tǒng)，隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全防范技術(shù)也必然隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展而不斷發(fā)展.

〔1〕段瑩.網(wǎng)絡(luò)信息安全問題及對(duì)策[J].情報(bào)探索，2006（12）：65-66.

〔2〕公安部.信息安全等級(jí)保護(hù)培訓(xùn)教材[M].2007.

〔3〕徐濤.網(wǎng)絡(luò)安全防范體系及設(shè)計(jì)原則分析[J].電腦知識(shí)與技術(shù)，2009,5(9):2089-2090.

〔4〕解永鋒.保定市國(guó)稅局網(wǎng)絡(luò)信息系統(tǒng)安全分析與改進(jìn)研究[D].天津大學(xué)，2004.

TP393.08

A

1673-260X（2011）08-0035-02