成 果

(廣東警官學(xué)院 偵查系，廣東 廣州 510232)

淺議公安情報信息系統(tǒng)安全管理的組織保障

成 果

(廣東警官學(xué)院 偵查系，廣東 廣州 510232)

公安情報信息系統(tǒng)是為公安情報建成的一個信息系統(tǒng)。對公安情報信息系統(tǒng)進行安全管理，是公安日常工作的一個重要組成部分。由于公安情報信息系統(tǒng)天生的特殊性、機密性和敏感性，要求更高的安全性，所以相關(guān)的組織保障工作顯得尤為重要。公安情報信息系統(tǒng)安全管理的組織保障是在公安情報信息系統(tǒng)安全管理機構(gòu)的基礎(chǔ)上，涵蓋了安全管理制度，以及工作人員的條件以及對其進行管理的原則。

公安;情報信息系統(tǒng);安全管理;組織保障

我國公安情報工作自中國人民公安機關(guān)誕生之初就已經(jīng)產(chǎn)生，一直是公安工作的重要組成部分。依托公安信息化建設(shè)，建立在公安情報基礎(chǔ)之上的公安情報信息系統(tǒng)也越來越多地用于公安業(yè)務(wù)當(dāng)中。為了支持、促進公安情報的長遠發(fā)展，必須對公安情報信息系統(tǒng)進行安全管理。組織保障是公安情報信息系統(tǒng)安全管理重要的一環(huán)，必要的組織保障，不僅可以保證公安情報信息系統(tǒng)安全管理正常運行，還可以充分發(fā)揮公安情報信息系統(tǒng)安全管理工作人員的主觀能動性，進而提高公安情報信息系統(tǒng)的安全性能。

一、公安情報信息系統(tǒng)

根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》，所謂信息系統(tǒng)，是指由計算機及其相關(guān)配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成，按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。英國信息系統(tǒng)學(xué)會(UKAIS)將信息系統(tǒng)定義為人們和組織利用技術(shù)，收集、加工、存儲、使用和傳播信息的手段?？梢姡鞣綄W(xué)者及組織對信息系統(tǒng)的定義更偏向于技術(shù)，而我國則更偏向于整合后的系統(tǒng)。

關(guān)于公安情報信息系統(tǒng)的概念，學(xué)術(shù)界還沒有權(quán)威的解釋。結(jié)合我國計算機系統(tǒng)安全保護條例給出的信息系統(tǒng)概念，可以認為，公安情報信息系統(tǒng)是指公安機關(guān)情報部門中，由計算機硬件、網(wǎng)絡(luò)和通訊設(shè)備、計算機軟件、情報信息資源、相關(guān)警察用戶和規(guī)章制度組成的以處理情報信息流為目的的人機一體化系統(tǒng)。簡而言之，公安情報信息系統(tǒng)就是指為公安情報建成的一個信息系統(tǒng)。它具有以人的智能為主導(dǎo)，以公安信息化為支撐，以情報信息處理為主要內(nèi)容，以服務(wù)于公安決策為目標(biāo)的特點。它包括人員、信息資源、工作平臺、組織機構(gòu)和工作制度五個基本要素。

在公安情報部門中，情報信息系統(tǒng)安全管理是從該機構(gòu)的安全目標(biāo)出發(fā)，分析并理解機構(gòu)自身的管理運行架構(gòu)，從中加入安全管理理念，對實現(xiàn)公安情報信息系統(tǒng)所采用的安全管理措施進行描述，包括信息系統(tǒng)的安全目標(biāo)、安全需求、風(fēng)險評估、管理機制、管理原則和系統(tǒng)監(jiān)督檢查等方面，以期長遠實現(xiàn)機構(gòu)的全面可持續(xù)的安全目標(biāo)。同時，安全管理貫穿于公安情報信息系統(tǒng)設(shè)計和運行的各個階段，它既包括了行政手段，也含有技術(shù)措施。

安全管理的實現(xiàn)依賴于組織行為，僅靠一個人或者幾個人的高技術(shù)是無法保障信息系統(tǒng)安全的。因此，機構(gòu)必須建立安全的組織，完善管理制度，建立有效的工作機制，對機構(gòu)的錄用人員進行嚴(yán)格的審查，明確人員的安全職責(zé)和保密要求。尤為重要的是，要對內(nèi)部人員進行有組織的業(yè)務(wù)培訓(xùn)、安全意識培訓(xùn)和教育，并建立考核和獎懲機制，使公安情報信息系統(tǒng)安全融入組織的整個環(huán)境和文化中，減少有意、無意的內(nèi)外部威脅，確保組織機構(gòu)順利完成系統(tǒng)使命。

二、公安情報信息系統(tǒng)安全管理機構(gòu)

為了實現(xiàn)安全管理，應(yīng)該具備以下 “四有”：(1)有專門的安全管理機構(gòu)。(2)有專門的安全管理人員。(3)有逐步完善的安全管理制度。(4)有逐步提高的安全技術(shù)設(shè)施。機構(gòu)和部門是進行情報信息系統(tǒng)安全管理的重要保障。世界許多國家都擁有自己的信息安全與管理研究機構(gòu)。在美國，有美國信息安全監(jiān)察辦公室(Information Security Oversight Office),它隸屬于行政管理和預(yù)算局，主要為執(zhí)行美國總統(tǒng)1995年4月17日發(fā)布的12958號行政命令“國家安全信息的保密工作”制定訓(xùn)令以及監(jiān)督訓(xùn)令的執(zhí)行情況；美國國家安全局(National Security Agency, NSA),是1952年根據(jù)美國總統(tǒng)杜魯門的總統(tǒng)令建立的獨立情報機構(gòu)，隸屬于美國國防部，主要負責(zé)保密信息系統(tǒng)和通信手段的安全工作；美國總務(wù)管理局信息安全辦公室(General Service Administration/Office of Information Security, GSA/OIS),是專門負責(zé)美國聯(lián)邦政府雇員安全的機構(gòu)，其信息安全辦公室是向其他聯(lián)邦政府部門提供范圍廣泛的技術(shù)系統(tǒng)安全服務(wù)的專門機構(gòu)，其范圍涉及保密應(yīng)用系統(tǒng)和敏感應(yīng)用系統(tǒng)。在澳大利亞，有澳大利亞計算機應(yīng)急處理小組(AUSCERT)，它為澳大利亞學(xué)術(shù)研究網(wǎng)(AARNet)的用戶提供有關(guān)計算機方面的服務(wù)，以期降低計算機攻擊成功的概率，減少各機構(gòu)安全工作的直接支出，使計算機受攻擊的損害降低到最小程度，它與澳大利亞聯(lián)邦警察保持著密切聯(lián)系。在英國，有英國通信電子安全小組(CommunicationsElectronics Security Group, CESG),這是英國政府與1985年設(shè)立的政府電子安全主管部門，它負責(zé)對政府計算機系統(tǒng)的安全性進行評價。在加拿大，有加拿大通信安全局(Communication Security Establishment, CSE),它的前身是加拿大國家研究委員會通信分部，根據(jù)1988年加拿大安全情報評估委員會的年報介紹，CSE有雙重任務(wù)，即負責(zé)通信情報及聯(lián)邦機構(gòu)的通信和數(shù)據(jù)處理安全問題。在俄羅斯，俄成立了“國家安全會議”作為國家戰(zhàn)略安全的直轄機構(gòu)，國家安全會議下屬的俄聯(lián)邦安全局主管其情報信息系統(tǒng)安全。在法國，管理其唯一的國國家警察使用的網(wǎng)絡(luò)系統(tǒng)——ACROPOL(警用通信自動化)系統(tǒng)是法國國家警察信息中心。

在我國，公安部主管全國計算機信息系統(tǒng)安全保護工作，其下屬的公共信息網(wǎng)絡(luò)安全監(jiān)察局主要行使公安機關(guān)行使計算機安全監(jiān)察的職權(quán)。這里說的監(jiān)察局，其安全管理的對象是全國范圍內(nèi)的互聯(lián)網(wǎng)和信息系統(tǒng)，而公安情報信息系統(tǒng)安全具有高度的敏感性和特殊性，其情報保護和系統(tǒng)的安全保護應(yīng)由國家通過制定法律、法規(guī)和內(nèi)部規(guī)定，安排專門的主管機關(guān)執(zhí)行國家強制性管理。這個專門的主管機關(guān)就是公安情報部門。以“金盾工程”建設(shè)為契機，在情報主導(dǎo)警務(wù)浪潮的背景下，各地的公安情報機構(gòu)設(shè)立已經(jīng)初具規(guī)模。

從各地的探索來看，設(shè)立公安情報機構(gòu)主要有以下幾種做法:一是在綜合部門設(shè)立情報機構(gòu)的模式。這種模式的主要做法是在辦公室或指揮部門設(shè)綜合情報機構(gòu)，主要職能指導(dǎo)謀劃全局情報工作，對重要情報進行歸口處理研判，不負責(zé)指揮中心接處警工作，同時在以綜合情報機構(gòu)為核心的前提下，從“條”、“塊”兩個方面加快各業(yè)務(wù)部門和各地區(qū)情報機構(gòu)建設(shè)。另一方面，將反恐工作歸口到綜合情報機構(gòu)，依托“反恐”，有效拓展了公安機關(guān)的情報領(lǐng)域。二是在指揮中心內(nèi)設(shè)立情報機構(gòu)的模式。這種模式的主要做法是將指揮中心與辦公室分離，在指揮中心單設(shè)綜合情報機構(gòu)，下設(shè)情報信息中心或情報處，主要負責(zé)全局性情報工作的組織指導(dǎo)、日常情報的匯集處理、分析研判、預(yù)警通報、實戰(zhàn)應(yīng)用和考核獎懲等工作。在此基礎(chǔ)上，主要業(yè)務(wù)部門設(shè)立專門情報機構(gòu)或配備專門力量，具體負責(zé)情報收集報送和分析研判工作。三是整合資源設(shè)立綜合情報機構(gòu)的模式。這種模式的主要做法是:整合現(xiàn)有資源，依托指揮中心成立綜合情報機構(gòu)，實行兩塊牌子一套班子，同時增加專門負責(zé)情報工作的科室和力量，主要負責(zé)整個公安機關(guān)情報工作的籌劃指導(dǎo)、綜合研判、歸口編報和管理、協(xié)調(diào)和督辦等。

三、公安情報信息系統(tǒng)安全管理制度

系統(tǒng)面臨不安全的威脅有多方面的因素，任何管理制度都無法做到絕對杜絕風(fēng)險，但事前若有妥善的預(yù)防措施，就能大大降低因安全問題帶來的威脅，降低風(fēng)險。同時，完善的管理制度也是上面談到的“四有”要求之一。

(一)明確權(quán)限制度

公安情報信息系統(tǒng)是涉及公安工作事務(wù)、有關(guān)案情、敵情、社情等領(lǐng)導(dǎo)的重要信息系統(tǒng)，應(yīng)嚴(yán)格按照國家有關(guān)規(guī)定，不得與外網(wǎng)連接。對從事與計算機相關(guān)的工作人員要明確責(zé)任和權(quán)限，嚴(yán)格分工，相互制約，系統(tǒng)管理員、程序員和操作員不得相互兼任，以確保信息系統(tǒng)工作人員僅能在授權(quán)范圍內(nèi)進行工作。對程序開發(fā)用機和業(yè)務(wù)運行用機西部嚴(yán)格區(qū)分開來，不能一機兩用。應(yīng)用程序經(jīng)鑒定、測試、驗收后投入使用，程序編制者不得再接觸這些程序的運行過程，系統(tǒng)賬戶和密碼要絕對保密并定期更換。各種帳表資料要齊全，隨時備查。當(dāng)對機器或系統(tǒng)出現(xiàn)的故障進行維修時要登記，并將故障記錄在案。情報部門應(yīng)規(guī)定調(diào)離崗位的人員及時移交所有系統(tǒng)資料，并對系統(tǒng)口令進行更換。重申離崗后，相關(guān)人員應(yīng)盡到安全與保密的責(zé)任和義務(wù)。

另外，防止外部人員進入系統(tǒng)進行非法操作，杜絕外部隱患。嚴(yán)格禁止無關(guān)人員進入機房操作機器，對于系統(tǒng)中的刪除、資料查詢等重要環(huán)節(jié)，應(yīng)加強監(jiān)控。

(二)內(nèi)部安全稽核制度

計算機安全稽核，是指對計算機安全控制措施實施評價的方法，以保證系統(tǒng)財產(chǎn)有適當(dāng)?shù)谋Ｗo，數(shù)據(jù)處理系統(tǒng)擁有和產(chǎn)生的數(shù)據(jù)正確可靠，不受潛在威脅和危害。內(nèi)部安全稽核主要靠系統(tǒng)內(nèi)部提供的功能來實現(xiàn)，其主要任務(wù)是稽核系統(tǒng)內(nèi)部數(shù)據(jù)處理情況和系統(tǒng)運行情況。按時間順序內(nèi)部安全稽核分為三種：一是預(yù)先稽核，即對正在建立的系統(tǒng)或新的應(yīng)用開發(fā)項目進行稽核或檢查，確保系統(tǒng)或新的應(yīng)用開發(fā)項目進行稽核或檢查，確保系統(tǒng)或開發(fā)項目的每一步都復(fù)合規(guī)定的安全要求；二是事后稽核，即系統(tǒng)建成后或應(yīng)用開發(fā)項目完成后的稽核，對系統(tǒng)安全是否符合要求進行驗收；三是生存稽核，即對數(shù)據(jù)的正確性、可靠性、實用性和不可抵賴性。這樣，既可以防患于未然，也能檢查事故發(fā)生的真正原因。

(三)使用審批制度

公安情報信息系統(tǒng)屬于涉密系統(tǒng)，應(yīng)建立使用審批制度。保密部門對涉密系統(tǒng)的主管部門(公安情報部門/中心)報送保密設(shè)施情況的書面材料要認真審查，并現(xiàn)場進行考查和測試。在此基礎(chǔ)上，組織有關(guān)主管部門、專家對涉密系統(tǒng)的安全保密情況進行評估論證，合格后才予以批準(zhǔn)使用。

(四)內(nèi)部監(jiān)察制度

內(nèi)部監(jiān)察主要是依據(jù)國家有關(guān)法律、法規(guī)和行業(yè)標(biāo)準(zhǔn)規(guī)范，制定防止非授權(quán)或越權(quán)使用計算機系統(tǒng)的制度，系統(tǒng)安全分析、設(shè)計、測試和評價的方法與標(biāo)準(zhǔn)，以及計算機設(shè)備、程序、數(shù)據(jù)媒體等保護措施和各類應(yīng)急計劃等。內(nèi)部監(jiān)察隊伍一般由系統(tǒng)安全人員負責(zé)人、內(nèi)部審計師、系統(tǒng)分析員、管理員、程序員等組成，平時對系統(tǒng)進行例行檢查，及時發(fā)現(xiàn)漏洞，提出補救辦法；系統(tǒng)安全正面臨威脅或已經(jīng)發(fā)生泄密事件時應(yīng)及時上報有關(guān)部門，并配合執(zhí)法部門的調(diào)查處理。

四、公安情報信息系統(tǒng)安全管理工作人員

“人”是公安情報信息系統(tǒng)建設(shè)和應(yīng)用中的主體，也是系統(tǒng)安全保密面臨威脅的主體。對系統(tǒng)安全管理的核心是管好人，這是安全管理的前提條件，這個問題解決不好，其他的措施再好，也不能保證安全。因此，在選人、用人等源頭問題上一定要把好關(guān)，人的問題處理好，其實就是在系統(tǒng)安全與系統(tǒng)威脅之間安裝了一道“防火墻”。公安情報信息系統(tǒng)安全管理工作人員包括：

(1)情報安全管理員；(2)系統(tǒng)管理員；(3)情報安全分析員；(4)軟硬件維修人員；(5)警衛(wèi)人員。在引進和挑選系統(tǒng)崗位人才時，不能只注重其技術(shù)水平而忽視其內(nèi)在素質(zhì)，不能只強調(diào)精簡人員、減少成本而將管理員、程序員和操作員的職責(zé)集于一人之身。要因崗位制定選人、用人標(biāo)準(zhǔn)，如系統(tǒng)管理員除具備一定的技術(shù)水準(zhǔn)之外，還應(yīng)具備遵紀(jì)守法、責(zé)任心強等內(nèi)在素質(zhì)。在實際操作中，應(yīng)遵循先測評、后上崗，先試用、后聘用，有問題、即撤換的原則，嚴(yán)把人才使用的各個環(huán)節(jié)，避免出現(xiàn)漏洞。

(一)工作人員的條件

信息系統(tǒng)安全管理工作人員的條件相對來說比較嚴(yán)格，不僅要求技術(shù)上過硬，更要求很強的安全意識。尤其在公安情報部門這種涉密的機構(gòu)，必須把好用人關(guān)。

首先，應(yīng)先對人員進行審查。選用的人員應(yīng)當(dāng)具備政治可靠、思想進步、作風(fēng)正派和技術(shù)過硬等基本素質(zhì)。在實際操作中，應(yīng)當(dāng)遵循先測評、后上崗，先試用、后聘用，有問題、即撤換的原則。所有人員的工作、活動范圍應(yīng)當(dāng)被限制在其完成任務(wù)的最小范圍內(nèi)。對于可能涉及重大機密的人員，應(yīng)當(dāng)明確其需要承擔(dān)的保密義務(wù)和相關(guān)責(zé)任，并要求做出書面的保證和承諾。

其次，對選用人員進行人事安全考查。在選用人員時，必須注意人事安全。人事安全是指對某人參與信息系統(tǒng)安全和接觸敏感信息是否合適，是否值得信任的一種審查。可以從以下幾個方面進行：

(1)政治思想方面的表現(xiàn)；(2)是否具有較強的保密觀念；(3)是否具有相應(yīng)的技術(shù)背景；(4)遵守規(guī)章制度情況；(5)業(yè)務(wù)熟練程度；(6)對情報安全的認識程度；(7)平時工作表現(xiàn)。

最后，對人員進行安全培訓(xùn)和考核。人不同于機器，人的行為很容易受到自身生理和心理因素的影響，此外，還受到技術(shù)熟練程度、責(zé)任心等素質(zhì)方面的。因此，人員的教育、培養(yǎng)、訓(xùn)練，以及合理的人機界面都與系統(tǒng)的安全相關(guān)。情報部門應(yīng)定期對從事操作和維護系統(tǒng)安全的工作人員培訓(xùn)，包括系統(tǒng)安全培訓(xùn)、政策法規(guī)培訓(xùn)等。

(二)人員管理的原則

情報部門必須注意人員管理中的一些關(guān)鍵原則和概念，當(dāng)中包括：

1．職責(zé)分離(Separation of Duties)原則。職責(zé)分離是一種確保機構(gòu)內(nèi)不可能有單獨一個人能破壞機構(gòu)安全或欺詐性活動的控制措施。高風(fēng)險的活動應(yīng)分成幾個分離的部分，并分發(fā)給不同人員。通過這種方法，組織機構(gòu)不需要將危險的高級別信任放在一個人身上，因為欺騙活動將需要多人的同意而不是單獨一個人就可以做的。職責(zé)分離也能幫助預(yù)防危險的人為錯誤。例如， 一個情報安全分析員不應(yīng)是僅有的測試其系統(tǒng)是否安全的人；另一個人，應(yīng)對此系統(tǒng)進行功能測試，因為安全分析員可能對出現(xiàn)什么樣的測試結(jié)果預(yù)先確定的看法。

2．崗位輪換(Job Rotation)原則。崗位輪換意味著機構(gòu)內(nèi)有多人受到一個特定崗位的培訓(xùn)，即機構(gòu)內(nèi)將有多個人能理解特定崗位的任務(wù)和職責(zé)，如果人員離開情報部門或者由于各種原因而缺席，這種安排將提供一種備份和冗余。崗位輪換也可以幫助識別欺詐性活動，例如，情報部門內(nèi)部某人員利用其崗位從系統(tǒng)內(nèi)竊得情報，那么隨著崗位輪換，其他人員就可能及時發(fā)現(xiàn)在這個崗位上所發(fā)生的一些違法或不良事件。

值得注意的是，崗位輪換可能會帶來授權(quán)蔓延(Authorization creep)的后果。當(dāng)每次人員從一個崗位變動到另一個崗位的時候，授權(quán)蔓延都可能發(fā)生，并且可能累計越來越多的權(quán)限和特權(quán)。情報部門應(yīng)經(jīng)常和及時地評價人員權(quán)限并取消那些完成其任務(wù)不再需要的權(quán)限。

3．最小特權(quán)(Least Privilege)和需要知道(NeedtoKnow)原則。最小特權(quán)意味著部門內(nèi)的每一個人員只能執(zhí)行其崗位最低需要的許可和權(quán)限。如果一個人有過多的許可和權(quán)限，可能為他打開了一扇濫用的大門并將為部門帶來更大的風(fēng)險。“最小特權(quán)”和“需要知道”有著共生的關(guān)系。每個民警應(yīng)該只能方位他所被允許的需要知道的資源。

4．限幅級別(Clipping Levels)原則。限幅級別是部門為特定錯誤建立的一個閾值。它定義了錯誤發(fā)生多少次時被認為是可疑的并且需要特別注意的，一旦達到這個幾倍系統(tǒng)就應(yīng)該發(fā)生報警，一旦超過這個級別應(yīng)該帶對進一步的違反行為進行記錄和審計。

五、結(jié)語

公安情報信息系統(tǒng)安全管理是一項復(fù)雜但卻十分必要的工作，相關(guān)的組織保障是其重要的組成部分。在實踐中，公安情報信息系統(tǒng)安全管理中的組織保障工作系統(tǒng)化、規(guī)范化和科學(xué)化地展開時間較晚，相關(guān)理論也比較欠缺。本文分析了公安情報信息系統(tǒng)安全管理的組織和制度建設(shè)，說明了如何培養(yǎng)和考核公安情報信息系統(tǒng)安全管理人員的安全保密意識，只有從這幾方面共同完善組織保障工作，公安情報信息系統(tǒng)安全管理才能更好地為公安情報信息系統(tǒng)保駕護航。

[1]吳曉平，付鈺．信息系統(tǒng)安全風(fēng)險評估理論與方法[M]．北京：科學(xué)出版社，2010．

[2]Ward,J，Peppard,J．Strategic Planning for Information Systems[M]．USA：John Wiley&Sons：2002．

[3]付德棣．信息戰(zhàn)與信息安全戰(zhàn)略[M]．北京：金城出版社，1996．

[4]劉助仁．受總統(tǒng)青睞的俄羅斯情報安全體系[J]．中國公共安全·學(xué)術(shù)版，2006，26(3)：113.

[5]伊文．法國警方的情報信息系統(tǒng)概括[J]．外警快訊，2008，108(3)：95.

責(zé)任編輯：韓 靜

A Probe on the Organizational Guarantee of Security Management of Public Security Information System

Cheng Guo

(Dept. of Investigation, Guangdong Police College, Guangzhou 510232, China)

Public security information system is an information system for public security information. The security management of public security information system is a major part of daily public security work. Due to the specialty, confidentiality and sensitiveness of public security information system, the organizational guarantee becomes rather important. The organizational guarantee of security management of public security information system includes security management system, the qualifications of personnel and the management principles of personnel.

public security; information system; security management; organizational guarantee

2014-12-10

成果(1988-)，女，廣東連州人，廣東警官學(xué)院偵查系助教，碩士，從事偵查學(xué)、公安情報學(xué)教育與研究。

D631

A

1009-3745(2015)01-0120-05