劉琦 河南警察學(xué)院信息安全系，鄭州河南 450002

多種機(jī)制并舉確保公安信息化的深度應(yīng)用

劉琦 河南警察學(xué)院信息安全系，鄭州河南 450002

為保障公安信息化建設(shè)的順利運(yùn)行，更好地服務(wù)公安實(shí)戰(zhàn)，本文提出使用多種機(jī)制建立信息化保障體系的思路。文中借鑒國際標(biāo)準(zhǔn)ISO/IEC9000及ISO/IEC27000中所使用的PDCA模型，通過循環(huán)方式，以期發(fā)現(xiàn)并不斷改進(jìn)公安機(jī)關(guān)運(yùn)行信息系統(tǒng)過程中爆發(fā)出的或潛在的問題，更好的保證信息化的深度應(yīng)用。

多種機(jī)制；公安信息化；深度應(yīng)用

various mechanisms；public security information technology; deepening application

引言

上個世紀(jì)我們已經(jīng)進(jìn)入了信息時代。人們已經(jīng)完成了從以制造業(yè)為基礎(chǔ)的工業(yè)社會時代到以知識為基礎(chǔ)的信息時代[1]。在這個時代，公安信息化建設(shè)是我們公安系統(tǒng)需要考慮的重點(diǎn)之一。公安系統(tǒng)必須堅(jiān)持向科技要警力，深入推進(jìn)公安信息化建設(shè)，才能有效提升社會管理服務(wù)的整體水平[2]-[5]。公安系統(tǒng)通過使用信息化方法，利用網(wǎng)絡(luò)等平臺共享資源，實(shí)現(xiàn)了各警種、各地區(qū)整體作戰(zhàn)，從而節(jié)省了破案時間，提高了破案效率。在河南省委省政府、河南省公安廳黨委領(lǐng)導(dǎo)下創(chuàng)建了“新鄉(xiāng)警務(wù)模式”。但是，推行科技強(qiáng)警、公安信息化建設(shè)的同時，我們公安系統(tǒng)的各項(xiàng)工作對信息系統(tǒng)的依賴性與日俱增。如果信息系統(tǒng)出現(xiàn)問題，無法正常運(yùn)行，或出現(xiàn)機(jī)密信息的泄露甚至篡改等問題，會嚴(yán)重影響到公安案件偵破、打擊犯罪等正常工作，甚至對公安系統(tǒng)、人民群眾，乃至整個社會造成無法估量的損失。必須綜合考慮組織機(jī)制、人力管理機(jī)制、軟硬件安全機(jī)制等各個要素，建立完善的信息化保障體系，才能確保公安信息化的深度應(yīng)用。

筆者經(jīng)過深入調(diào)研，發(fā)現(xiàn)不少地市已采取了相應(yīng)的信息化保障技術(shù)及措施，具體包括：組建專門信息化保障管理機(jī)構(gòu)及常設(shè)辦公機(jī)構(gòu)，制定并實(shí)施了相關(guān)管理制度，指定專門管理人員，并制定了一些應(yīng)急響應(yīng)措施及災(zāi)備預(yù)案，進(jìn)行著一些不定期技術(shù)培訓(xùn)等等。但也存在一些問題，比如管理制度的落實(shí)沒有完善的監(jiān)督、測評體制；信息化建設(shè)整體規(guī)劃問題；個別民警存在的信息安全意識問題；應(yīng)急預(yù)案沒有定期演練；各個地市信息化保障體系完善程度差別懸殊等等問題。希望今后能夠有機(jī)會到河南省各地市進(jìn)行相關(guān)調(diào)研，并明確河南公安信息化進(jìn)展情況。

根據(jù)我們調(diào)研的結(jié)果及與地方公安機(jī)關(guān)各級領(lǐng)導(dǎo)同志的交流與探索，我們認(rèn)為，梳理各種機(jī)制之間的聯(lián)系，構(gòu)建一個有效保障信息化建設(shè)的體系是保障各項(xiàng)制度落實(shí)、提高民警信息化意識、提高公安民警對信息化突發(fā)事件應(yīng)急響應(yīng)能力，提高民警保障信息化正常運(yùn)行的積極主動性，提高地市公安機(jī)關(guān)保障信息化系統(tǒng)的前瞻性的必要措施。借鑒國際質(zhì)量管理體系ISO/IEC 9000，國際信息安全管理體系ISO/IEC 27000及我國警界諸多專家學(xué)者的論文著作，在與我省個別地市公安機(jī)關(guān)各級領(lǐng)導(dǎo)交流探討的基礎(chǔ)上，本文提出了多種體制確保信息化深度應(yīng)用的具體思路，及初步的量化測評體系。

1 信息化保障體系中多種機(jī)制的工作思路

建立信息化保障體系的目標(biāo)在于指明公安信息化建設(shè)、運(yùn)行等每個階段各崗位民警的職責(zé)、權(quán)限，以保證信息化過程中信息及資源的安全性[6]。即建立訪問控制機(jī)制，保障各警種公安信息系統(tǒng)不被非授權(quán)者截獲及篡改；保障授權(quán)用戶能夠正常使用信息系統(tǒng)；保障個公安系統(tǒng)信息能夠正常傳遞；保障出現(xiàn)異常事件后的可核查性[7]等等。結(jié)合ISO/IEC9000中的PDCA模型（即：規(guī)劃(Plan)—實(shí)施(Do)—檢查(Check)—處置(Act)，循環(huán)改進(jìn)的模型）提出為保障信息化深度應(yīng)用，多種機(jī)制的運(yùn)行模式如下所述。

1.1 組織管理機(jī)制

各地市公安機(jī)關(guān)需要建立或完善能夠保障信息化建設(shè)的健全的組織管理機(jī)制，制定信息化保障體系完善的方針政策及管理制度、提供必要的人力、物力、財(cái)力等資源，保證定期實(shí)施測評及審核；據(jù)調(diào)研，河南省各地市公安局基本已經(jīng)建立相應(yīng)的組織管理機(jī)制，但制度的落實(shí)是難點(diǎn)。一般地，各地市均建立了圖1所示的工作架構(gòu)。

圖1 信息化保障體系組織架構(gòu)圖

為了確保信息化的落實(shí)及應(yīng)用，建議地市公安局的信息化領(lǐng)導(dǎo)小組能夠定期召開會議，健全信息化保障相關(guān)規(guī)章制度、部署及督促信息化，保障監(jiān)督、審核、測評、賞罰等各項(xiàng)工作。信息化保障工作小組（可由信息化相關(guān)部門承擔(dān)），下發(fā)信息化保障領(lǐng)導(dǎo)組的各項(xiàng)決議，敦促各部門、各派出所按規(guī)定及時執(zhí)行。建議各部門指定的專人能夠切實(shí)落實(shí)信息化保障工作小組下發(fā)下來的各項(xiàng)任務(wù)。通過領(lǐng)導(dǎo)批示、工作組協(xié)調(diào)、各部門專人執(zhí)行的分級工作制度，確保各項(xiàng)制度的落實(shí)與執(zhí)行。

1.2 定期審核與不定時檢查相結(jié)合的機(jī)制

為保障信息系統(tǒng)正常運(yùn)轉(zhuǎn)，相關(guān)人員沒有工作上的疏漏，建議采取定期審核及不定期抽查相結(jié)合的機(jī)制。建議選拔內(nèi)部民警進(jìn)行專門培訓(xùn)，深入了解該地市信息化建設(shè)的整體規(guī)劃，并定期到各部門進(jìn)行審核。為了使得審核更具客觀性，建議制定并實(shí)施詳細(xì)的、行之有效的測評體系，并聘請第三方機(jī)構(gòu)的專家定期到地市公安機(jī)關(guān)進(jìn)行審核工作。并由審核小組相關(guān)人員書寫“審核報告”，匯報審核的具體情況，并針對存在問題的地方，結(jié)合一線工作民警提出改進(jìn)合理的改進(jìn)建議，提交信息化保障協(xié)調(diào)組研究批示。

1.3 定期匯報及持續(xù)改進(jìn)機(jī)制

審核小組成員應(yīng)定期（建議一年至少一次）向信息化保障領(lǐng)導(dǎo)組匯報保障體系的運(yùn)轉(zhuǎn)工作，以便信息化保障領(lǐng)導(dǎo)組能夠識別保障體系是否有效運(yùn)行，哪些地方亟待改進(jìn)，審核組提出的改建建議是否合理等等，并綜合這些建議制定出未來一段時間的發(fā)展規(guī)劃。

2 信息化保障體系量化測評構(gòu)架

為確保審核的客觀性，建議可借鑒ISO/IEC TR 13335-3[8]，OCTAVE[9]，NIST SP800-30[10]等風(fēng)險管理相關(guān)標(biāo)準(zhǔn)，對信息化建設(shè)中的相關(guān)資產(chǎn)進(jìn)行測評，評價出存在較高風(fēng)險的資產(chǎn)，并對高風(fēng)險資產(chǎn)重點(diǎn)處理。信息化保障體系量化測評構(gòu)架如圖2所示。

圖2 信息化保障體系量化測評構(gòu)架

如圖所示，建議根據(jù)各個警種不同職能，對信息化資產(chǎn)進(jìn)行分類并確定其級別。重點(diǎn)分析重要信息資產(chǎn)所面臨的外部威脅；自身存在的脆弱性及漏洞；并確認(rèn)對此已經(jīng)采取的控制策略，已經(jīng)采取控制策略的有效性等。根據(jù)分析的結(jié)果對信息資產(chǎn)進(jìn)行綜合評價，根據(jù)量化的測評結(jié)果，甄選出亟待解決的嚴(yán)重問題。匯總各方面意見，依據(jù)信息保障領(lǐng)導(dǎo)組的決議，確定是否規(guī)劃控制策略來處理這些存在著的問題及隱患，最后，落實(shí)并實(shí)施這些規(guī)劃好的控制策略，使得這些殘余風(fēng)險落到可接受的范圍之內(nèi)，以保障公安信息化建設(shè)的正常運(yùn)行。

3 結(jié)論

公安信息化建設(shè)是公安部門實(shí)現(xiàn)科技強(qiáng)警的重要部分，是保證公安系統(tǒng)案件偵破時資源共享、各警種、各地區(qū)聯(lián)合作戰(zhàn)的基石。本文主要對如何保障信息化的深度應(yīng)用提出了一些觀點(diǎn)及看法，以期能構(gòu)建出一種完善的、簡單可行的、能夠更好地保障信息化服務(wù)公安實(shí)戰(zhàn)的監(jiān)督、測評體系。

[1]信息安全管理體系教程.中國標(biāo)準(zhǔn)出版社.2007.3

[2]孟建柱在廣東調(diào)研時強(qiáng)調(diào)要牢固樹立人民公安為人民的宗旨努力把社會管理創(chuàng)新成果惠及于民.汪洋黃華會見孟建柱一行

[3]包麗茹, 田銳. 科技引領(lǐng)和支撐現(xiàn)代警務(wù)機(jī)制初探.內(nèi)蒙古科技與經(jīng)濟(jì). 2009(24)

[4]朱明. 科技強(qiáng)警與公安科技管理. 科技管理研究. 2009(7)

[5]陸克泉, 吳向明, 虞小立. 依托科技強(qiáng)警建設(shè)推動公安科技和信息化應(yīng)用大發(fā)展. 廣西警官高等?？茖W(xué)校校報. 2009年增刊

[6]ISO/IEC 27001 Information Technology—Security techniques—Information security—management systems—Requirements. ISO, 2005

[7]王靖亞, 黃明, 鞏榮. 公安信息化信息安全指標(biāo)體系研究. 中國人民公安大學(xué)學(xué)報(自然科學(xué)版). 2008(4)

[8] ISO/IEC 13335-1:2004 Information technology—Security techniques—Management of information and communications technology security—Part1: Concepts and models for information and communications technology security management. ISO, 2004

[9] OCTAVE Operationally Critical Treat, Asset, and Vulnerability Evaluation.

[10] NIST SP800-30 Risk Management Guide for Information Technology Systems. NIST, 2002

Various Mechanisms Guarantee the Deepening Application of Information Technology

LIU Qi (Department of information security, Henan Police College Zhengzhou Henan 450002)

An information technology guarantee system using various mechanisms was proposed in this paper, to guarantee smooth running of information technology, and serve public security practice. Referenced on PDCA model used in ISO/IEC 9000 and ISO/IEC 27000, through circulating mode, the potential or existing problems could be found and modified to guarantee the deepen application of information technology.

10.3969/j.issn.1001-8972.2011.15.044