李曦+周嵩岑

摘 要：移動警務(wù)系統(tǒng)的快速發(fā)展，提升了公安執(zhí)法效率，同時安全性問題也日益突出。論文從移動警務(wù)系統(tǒng)的安全性入手，根據(jù)移動警務(wù)系統(tǒng)所面臨的安全威脅，將移動警務(wù)系統(tǒng)分為操作系統(tǒng)、應(yīng)用軟件、硬件以及網(wǎng)絡(luò)環(huán)境四個部分，利用等級保護測評架構(gòu)針對這四個部分進行安全評估，展開移動警務(wù)系統(tǒng)安全評估方法的研究。

關(guān)鍵詞：移動警務(wù)系統(tǒng)；安全評估；等級保護

中圖分類號： TP393 文獻標識碼：A

Research on Safety Assessment of Mobile Police System under Classified Protection Framework

Li Xi， Zhou Song-cen

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： The rapid development of mobile police system has enhanced the efficiency of public security law enforcement， and the security problem has become increasingly prominent. In this paper， we began the research from the security of mobile police system， according to the security threats faced by mobile police system， the mobile police system is divided into four parts： the operating system， application software， hardware and network environment， we Research on safety assessment methods of mobile police system， using classified protection evaluation architecture for safety evaluation.

Key words： Mobile Police System； Safety Assessment； Classified Protection

1 引言

隨著信息技術(shù)、通信技術(shù)和移動互聯(lián)網(wǎng)的高速發(fā)展，社會對公安執(zhí)法的工作效率提出了更高的要求，將最新的信息技術(shù)應(yīng)用到公安實戰(zhàn)，成為科技強警的重要落腳點。智能移動警務(wù)系統(tǒng)的研發(fā)問世，公安隊伍也開始邁向移動信息化的高效執(zhí)法之路。然而，伴隨著效率的大幅提升，移動警務(wù)系統(tǒng)的安全性問題也日漸突出，尤其是涉及到的公民隱私信息及執(zhí)法數(shù)據(jù)的安全性。

等級保護要求作為我國信息安全保護的基本制度，廣泛應(yīng)用于各行各業(yè)開展信息系統(tǒng)安全等級保護的建設(shè)和測評工作中。本文主要從移動警務(wù)系統(tǒng)的安全性入手，利用等級保護測評架構(gòu)，展開移動警務(wù)系統(tǒng)安全評估方法的研究。

2 移動警務(wù)系統(tǒng)安全威脅

移動警務(wù)系統(tǒng)是一種利用無線網(wǎng)絡(luò)實現(xiàn)警察現(xiàn)場執(zhí)法的信息化移動執(zhí)法系統(tǒng)，它利用終端、PDA或筆記本電腦等移動終端，實現(xiàn)與公安內(nèi)網(wǎng)的警務(wù)數(shù)據(jù)交互。作為移動警務(wù)行業(yè)中的核心裝備，移動警務(wù)系統(tǒng)所用終端從最初通過打電話或發(fā)短信等通訊手段與移動警務(wù)后臺進行數(shù)據(jù)請求與采集的普通終端，發(fā)展為定制開發(fā)的移動警務(wù)專用終端，靈活性和易用性大大增強。與此同時，也因傳輸和存儲大量執(zhí)法數(shù)據(jù)，存在極大的安全隱患。

根據(jù)移動警務(wù)系統(tǒng)所面臨的安全威脅，將移動警務(wù)系統(tǒng)分為操作系統(tǒng)、應(yīng)用軟件、硬件以及網(wǎng)絡(luò)環(huán)境四個部分，本文針對這四個部分進行安全性技術(shù)研究，支持相關(guān)系統(tǒng)的研發(fā)和評估，以保障移動警務(wù)系統(tǒng)的安全，如圖1所示。

2.1 操作系統(tǒng)安全威脅

從移動警務(wù)終端安全架構(gòu)來說，操作系統(tǒng)安全是整個移動警務(wù)系統(tǒng)安全的基礎(chǔ)。長期以來，我國移動警務(wù)終端主流操作系統(tǒng)多數(shù)都是直接采用國外的Android等系統(tǒng)，再根據(jù)需要定制開發(fā)，其操作系統(tǒng)的安全問題較為突出。

移動警務(wù)操作系統(tǒng)管理著警務(wù)終端軟硬件的資源及服務(wù)，是移動警務(wù)系統(tǒng)安全評估的重要目標。移動警務(wù)操作系統(tǒng)保護的資產(chǎn)包括四個方面。

用戶數(shù)據(jù)：包含用戶個人賬戶、通信記錄、聯(lián)系人等。

業(yè)務(wù)數(shù)據(jù)：移動警務(wù)應(yīng)用軟件產(chǎn)生和使用的相關(guān)執(zhí)法數(shù)據(jù)，如照片、音視頻等。

敏感資源：包含通信資源和外設(shè)接口等，如攝像頭、藍牙、GPS信息等。

安全功能數(shù)據(jù)：包含鑒別數(shù)據(jù)、安全屬性、安全策略等。

綜上，移動警務(wù)操作系統(tǒng)的威脅來自：授權(quán)用戶（一線執(zhí)勤人員、系統(tǒng)維護人員、授權(quán)應(yīng)用軟件）的過失行為，和自身存在的漏洞引發(fā)的非授權(quán)用戶的侵入行為。威脅起因可能來自：非授權(quán)訪問以及錯誤配置等；受威脅的資產(chǎn)包括：用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、系統(tǒng)敏感資源和安全功能數(shù)據(jù)等。

2.2 應(yīng)用軟件安全威脅

隨著移動警務(wù)應(yīng)用的快速增長，警務(wù)軟件涵蓋綜合應(yīng)用、治安管理、交通管理、出入境管理、指揮調(diào)度等業(yè)務(wù)，其業(yè)務(wù)數(shù)據(jù)涉及到普通公民個人信息、犯罪分子信息等高敏感度信息，移動警務(wù)應(yīng)用軟件的安全在警務(wù)系統(tǒng)中是值得重點關(guān)注的問題。

由于應(yīng)用軟件來源并非完全受控，無法驗證其可靠性，使得針對應(yīng)用軟件的攻擊是最容易的攻擊手段。惡意軟件可通過偽造簽名等方式，獲取系統(tǒng)權(quán)限。一方面在安裝過程，用戶很難辨識惡意軟件和正常軟件，往往會選擇信任應(yīng)用軟件，忽略相關(guān)的安全提示，而給予軟件所申明的所有權(quán)限。另一方面正常應(yīng)用軟件在開發(fā)過程中未考慮安全性設(shè)計，軟件自身存在漏洞或后門，易被劫持遭受攻擊，引發(fā)安全性問題。endprint

2.3 硬件安全威脅

移動警務(wù)系統(tǒng)安全性不僅依賴于其操作系統(tǒng)和應(yīng)用軟件，同時依賴于部分硬件化的功能模塊。警務(wù)終端所用的系統(tǒng)引導(dǎo)、身份驗證和環(huán)境交互的模塊也可能存在被攻擊的漏洞。此外，在移動智能終端中，基于智能卡進行移動網(wǎng)絡(luò)通信的終端占據(jù)了很大份額，智能卡本身的安全問題也會影響移動警務(wù)終端安全，如針對SIM卡的旁路攻擊等。此外，移動警務(wù)終端的外圍接口，如藍牙、WiFi、NFC和 USB接口等，這些外圍接口如果使用不當(dāng)，被非授權(quán)用戶連通進行數(shù)據(jù)訪問和傳輸，造成隱私信息的泄露。

2.4 網(wǎng)絡(luò)環(huán)境安全威脅

移動警務(wù)系統(tǒng)通過開放的無線公網(wǎng)接入公安內(nèi)部，信息在公開信道中傳播，就存在受到攻擊導(dǎo)致數(shù)據(jù)泄密的問題，因此網(wǎng)絡(luò)環(huán)境安全問題也是移動警務(wù)系統(tǒng)的關(guān)鍵部分。

根據(jù)上述分析，移動警務(wù)系統(tǒng)的安全總結(jié)為四個方面的問題：（1）操作系統(tǒng)存在漏洞，導(dǎo)致惡意代碼感染與入侵；（2）應(yīng)用軟件易被劫持，或未識別偽裝的惡意軟件，導(dǎo)致數(shù)據(jù)泄露等安全性問題；（3）硬件缺少保護措施，從物理上導(dǎo)致數(shù)據(jù)失竊與被破壞；（4）通信過程欠缺保護措施，導(dǎo)致數(shù)據(jù)泄露等安全性問題。本質(zhì)上都是數(shù)據(jù)的安全受到威脅。

3 移動警務(wù)系統(tǒng)安全評估

安全評估是確認評估對象（例如操作系統(tǒng)、應(yīng)用軟件、硬件、網(wǎng)絡(luò)環(huán)境等稱為評估對象）滿足特定安全目標的有效性的過程。根據(jù)網(wǎng)絡(luò)安全等級保護基本要求，現(xiàn)有三種評估方法：測試（Testing）、檢查（Inspecting）和訪談（Interviewing）。測試是指在特定條件下運行一個或多個評估對象，比較其實際行為和預(yù)期行為的過程。檢查是指檢驗、審查、觀察、研究或分析一個或多個評估對象，使之便于理解、達到釋明或獲得證據(jù)的過程。訪談是指組織一個機構(gòu)里的個人或群體進行商討，達到理解、釋明或獲得證據(jù)目的的過程。評估結(jié)果將用于支持對安全控制時效力的決策。

等級保護基本要求從物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全幾個層面提出。根據(jù)此架構(gòu)，移動警務(wù)系統(tǒng)從操作系統(tǒng)、應(yīng)用軟件、硬件以及網(wǎng)絡(luò)環(huán)境四個部分提出評估要求。針對移動警務(wù)系統(tǒng)的不同層面的安全威脅，分析各個層面的測試評估要點。

3.1 操作系統(tǒng)安全評估

操作系統(tǒng)的安全是保證移動警務(wù)系統(tǒng)整體安全的基礎(chǔ)，整個安全方面的評估項圍繞著操作系統(tǒng)的安全功能，包括基本的身份鑒別、訪問控制、安全審計功能和數(shù)據(jù)保護等，以及運行安全保護及升級要求。

身份鑒別為一般系統(tǒng)的基本要求，從基本鑒別方式、用戶標識及口令復(fù)雜度、鑒別信息保護和鑒別失敗處理等方面提出要求。操作系統(tǒng)的訪問控制規(guī)定了授權(quán)用戶（包括系統(tǒng)使用者和應(yīng)用軟件）的可用權(quán)限，明確需要的最小權(quán)限，不能越權(quán)操作。安全審計為追溯每個用戶的行為提供了保障，對于審計內(nèi)容需保護其不受到未授權(quán)的用戶訪問，且容易跟蹤管理。對于操作系統(tǒng)中的數(shù)據(jù)，包括前文所述的用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、敏感資源等，應(yīng)能提供數(shù)據(jù)保護措施，保障數(shù)據(jù)的保密性和完整性，且對剩余信息也應(yīng)提供保護功能。除上述基本項要求，操作系統(tǒng)還應(yīng)具備升級能力，對升級包的來源和升級數(shù)據(jù)的完整性進行校驗。

3.2 應(yīng)用軟件安全評估

針對應(yīng)用軟件的安全威脅，應(yīng)用軟件的評估內(nèi)容，除了通用的身份鑒別、訪問控制、安全審計和數(shù)據(jù)保護，對應(yīng)用軟件審核與檢測提出要求，保障應(yīng)用軟件的自身安全；應(yīng)用軟件的安裝需得到明確授權(quán)，卸載時應(yīng)能刪除由其生成的所有數(shù)據(jù)和信息；能夠?qū)χ匾臄?shù)據(jù)定期進行備份，以備出現(xiàn)問題時可及時恢復(fù)；應(yīng)具備升級能力，對升級包的來源和升級數(shù)據(jù)的完整性進行校驗。

3.3 硬件安全評估

針對移動警務(wù)系統(tǒng)硬件模塊，主要對智能卡和外圍接口提出要求。在警務(wù)終端上使用的SIM卡應(yīng)進行鑒權(quán)以防止未授權(quán)的接入，以臨時代號（TMSI）替代用戶標識，使第三方無法在無線信道上跟蹤用戶信息，SIM卡防克隆和數(shù)據(jù)安全性評估；根據(jù)業(yè)務(wù)需求，關(guān)閉不必要的外圍接口，對開放的外圍接口進行數(shù)據(jù)交互的安全性評估。

3.4 網(wǎng)絡(luò)環(huán)境安全評估

對于移動警務(wù)系統(tǒng)的網(wǎng)絡(luò)環(huán)境，通過多項措施建立嚴格的訪問控制策略：在默認情況下，應(yīng)禁止所有通信；設(shè)置訪問控制規(guī)則限制警務(wù)終端可訪問的等級保護對象資源；對來自警務(wù)終端的數(shù)據(jù)流量、數(shù)據(jù)包和協(xié)議等進行檢查，以允許/拒絕數(shù)據(jù)包通過，在無線接入網(wǎng)關(guān)上對進出無線網(wǎng)絡(luò)的數(shù)據(jù)進行內(nèi)容過濾；整個通信過程應(yīng)加密傳輸，并保障通信數(shù)據(jù)的完整性。

上文從操作系統(tǒng)、應(yīng)用軟件、硬件和網(wǎng)絡(luò)環(huán)境方面進行移動警務(wù)系統(tǒng)安全評估的探討，每個層面面臨的威脅不同，因而有不同的安全需求，所要采取的安全防護技術(shù)也不同，因此對移動警務(wù)系統(tǒng)進行全方位的安全評估，這四個方面必不可少，任何一個層面的某種安全措施缺失，都可能導(dǎo)致移動警務(wù)系統(tǒng)數(shù)據(jù)的保密性、完整性和可用性遭到破壞。

4 結(jié)束語

移動警務(wù)系統(tǒng)是警務(wù)信息化建設(shè)的重要內(nèi)容，移動互聯(lián)網(wǎng)技術(shù)的進步也促使了警務(wù)工作的技術(shù)革新，移動警務(wù)系統(tǒng)已經(jīng)廣泛應(yīng)用于一線警務(wù)工作，并取得了顯著的成效。移動互聯(lián)網(wǎng)的安全威脅也隨之引入到了移動警務(wù)工作，由于公安工作的私密性和重要性，這些安全威脅如果沒有被有效規(guī)避和處理，將會對警務(wù)工作產(chǎn)生極大的安全影響。

本文通過對移動警務(wù)安全領(lǐng)域進行現(xiàn)狀調(diào)研，分析移動警務(wù)系統(tǒng)安全評估方法，從操作系統(tǒng)、應(yīng)用軟件、硬件和網(wǎng)絡(luò)環(huán)境等方面進行移動警務(wù)系統(tǒng)安全評估的研討，結(jié)合移動警務(wù)工作的特點，將等級保護測評的體系和方法應(yīng)用到移動警務(wù)系統(tǒng)之中，為提升現(xiàn)有移動警務(wù)系統(tǒng)的安全性提供決策支撐。

參考文獻

[1] 郭啟全.國家信息安全等級保護制度的貫徹與實施[J].信息網(wǎng)絡(luò)安全，2008年05期.

[2] 符易陽，周丹平. Android安全機制分析[J].信息網(wǎng)絡(luò)安全，2011年09期.

[3] 陳萱華，李學(xué)亞，楊玲.移動警務(wù)安全接入控制系統(tǒng)研究[J].計算機與現(xiàn)代化，2013年04期.

[4] 張濱.移動終端安全關(guān)鍵技術(shù)與應(yīng)用分析[M].北京：人民郵電出版社，2015.

[5] GB/T 22239.3，信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求[S].endprint