李曦+周嵩岑

摘 要：移動(dòng)警務(wù)系統(tǒng)的快速發(fā)展，提升了公安執(zhí)法效率，同時(shí)安全性問題也日益突出。論文從移動(dòng)警務(wù)系統(tǒng)的安全性入手，根據(jù)移動(dòng)警務(wù)系統(tǒng)所面臨的安全威脅，將移動(dòng)警務(wù)系統(tǒng)分為操作系統(tǒng)、應(yīng)用軟件、硬件以及網(wǎng)絡(luò)環(huán)境四個(gè)部分，利用等級(jí)保護(hù)測(cè)評(píng)架構(gòu)針對(duì)這四個(gè)部分進(jìn)行安全評(píng)估，展開移動(dòng)警務(wù)系統(tǒng)安全評(píng)估方法的研究。

關(guān)鍵詞：移動(dòng)警務(wù)系統(tǒng)；安全評(píng)估；等級(jí)保護(hù)

中圖分類號(hào)： TP393 文獻(xiàn)標(biāo)識(shí)碼：A

Research on Safety Assessment of Mobile Police System under Classified Protection Framework

Li Xi， Zhou Song-cen

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： The rapid development of mobile police system has enhanced the efficiency of public security law enforcement， and the security problem has become increasingly prominent. In this paper， we began the research from the security of mobile police system， according to the security threats faced by mobile police system， the mobile police system is divided into four parts： the operating system， application software， hardware and network environment， we Research on safety assessment methods of mobile police system， using classified protection evaluation architecture for safety evaluation.

Key words： Mobile Police System； Safety Assessment； Classified Protection

1 引言

隨著信息技術(shù)、通信技術(shù)和移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，社會(huì)對(duì)公安執(zhí)法的工作效率提出了更高的要求，將最新的信息技術(shù)應(yīng)用到公安實(shí)戰(zhàn)，成為科技強(qiáng)警的重要落腳點(diǎn)。智能移動(dòng)警務(wù)系統(tǒng)的研發(fā)問世，公安隊(duì)伍也開始邁向移動(dòng)信息化的高效執(zhí)法之路。然而，伴隨著效率的大幅提升，移動(dòng)警務(wù)系統(tǒng)的安全性問題也日漸突出，尤其是涉及到的公民隱私信息及執(zhí)法數(shù)據(jù)的安全性。

等級(jí)保護(hù)要求作為我國(guó)信息安全保護(hù)的基本制度，廣泛應(yīng)用于各行各業(yè)開展信息系統(tǒng)安全等級(jí)保護(hù)的建設(shè)和測(cè)評(píng)工作中。本文主要從移動(dòng)警務(wù)系統(tǒng)的安全性入手，利用等級(jí)保護(hù)測(cè)評(píng)架構(gòu)，展開移動(dòng)警務(wù)系統(tǒng)安全評(píng)估方法的研究。

2 移動(dòng)警務(wù)系統(tǒng)安全威脅

移動(dòng)警務(wù)系統(tǒng)是一種利用無(wú)線網(wǎng)絡(luò)實(shí)現(xiàn)警察現(xiàn)場(chǎng)執(zhí)法的信息化移動(dòng)執(zhí)法系統(tǒng)，它利用終端、PDA或筆記本電腦等移動(dòng)終端，實(shí)現(xiàn)與公安內(nèi)網(wǎng)的警務(wù)數(shù)據(jù)交互。作為移動(dòng)警務(wù)行業(yè)中的核心裝備，移動(dòng)警務(wù)系統(tǒng)所用終端從最初通過(guò)打電話或發(fā)短信等通訊手段與移動(dòng)警務(wù)后臺(tái)進(jìn)行數(shù)據(jù)請(qǐng)求與采集的普通終端，發(fā)展為定制開發(fā)的移動(dòng)警務(wù)專用終端，靈活性和易用性大大增強(qiáng)。與此同時(shí)，也因傳輸和存儲(chǔ)大量執(zhí)法數(shù)據(jù)，存在極大的安全隱患。

根據(jù)移動(dòng)警務(wù)系統(tǒng)所面臨的安全威脅，將移動(dòng)警務(wù)系統(tǒng)分為操作系統(tǒng)、應(yīng)用軟件、硬件以及網(wǎng)絡(luò)環(huán)境四個(gè)部分，本文針對(duì)這四個(gè)部分進(jìn)行安全性技術(shù)研究，支持相關(guān)系統(tǒng)的研發(fā)和評(píng)估，以保障移動(dòng)警務(wù)系統(tǒng)的安全，如圖1所示。

2.1 操作系統(tǒng)安全威脅

從移動(dòng)警務(wù)終端安全架構(gòu)來(lái)說(shuō)，操作系統(tǒng)安全是整個(gè)移動(dòng)警務(wù)系統(tǒng)安全的基礎(chǔ)。長(zhǎng)期以來(lái)，我國(guó)移動(dòng)警務(wù)終端主流操作系統(tǒng)多數(shù)都是直接采用國(guó)外的Android等系統(tǒng)，再根據(jù)需要定制開發(fā)，其操作系統(tǒng)的安全問題較為突出。

移動(dòng)警務(wù)操作系統(tǒng)管理著警務(wù)終端軟硬件的資源及服務(wù)，是移動(dòng)警務(wù)系統(tǒng)安全評(píng)估的重要目標(biāo)。移動(dòng)警務(wù)操作系統(tǒng)保護(hù)的資產(chǎn)包括四個(gè)方面。

用戶數(shù)據(jù)：包含用戶個(gè)人賬戶、通信記錄、聯(lián)系人等。

業(yè)務(wù)數(shù)據(jù)：移動(dòng)警務(wù)應(yīng)用軟件產(chǎn)生和使用的相關(guān)執(zhí)法數(shù)據(jù)，如照片、音視頻等。

敏感資源：包含通信資源和外設(shè)接口等，如攝像頭、藍(lán)牙、GPS信息等。

安全功能數(shù)據(jù)：包含鑒別數(shù)據(jù)、安全屬性、安全策略等。

綜上，移動(dòng)警務(wù)操作系統(tǒng)的威脅來(lái)自：授權(quán)用戶（一線執(zhí)勤人員、系統(tǒng)維護(hù)人員、授權(quán)應(yīng)用軟件）的過(guò)失行為，和自身存在的漏洞引發(fā)的非授權(quán)用戶的侵入行為。威脅起因可能來(lái)自：非授權(quán)訪問以及錯(cuò)誤配置等；受威脅的資產(chǎn)包括：用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、系統(tǒng)敏感資源和安全功能數(shù)據(jù)等。

2.2 應(yīng)用軟件安全威脅

隨著移動(dòng)警務(wù)應(yīng)用的快速增長(zhǎng)，警務(wù)軟件涵蓋綜合應(yīng)用、治安管理、交通管理、出入境管理、指揮調(diào)度等業(yè)務(wù)，其業(yè)務(wù)數(shù)據(jù)涉及到普通公民個(gè)人信息、犯罪分子信息等高敏感度信息，移動(dòng)警務(wù)應(yīng)用軟件的安全在警務(wù)系統(tǒng)中是值得重點(diǎn)關(guān)注的問題。

由于應(yīng)用軟件來(lái)源并非完全受控，無(wú)法驗(yàn)證其可靠性，使得針對(duì)應(yīng)用軟件的攻擊是最容易的攻擊手段。惡意軟件可通過(guò)偽造簽名等方式，獲取系統(tǒng)權(quán)限。一方面在安裝過(guò)程，用戶很難辨識(shí)惡意軟件和正常軟件，往往會(huì)選擇信任應(yīng)用軟件，忽略相關(guān)的安全提示，而給予軟件所申明的所有權(quán)限。另一方面正常應(yīng)用軟件在開發(fā)過(guò)程中未考慮安全性設(shè)計(jì)，軟件自身存在漏洞或后門，易被劫持遭受攻擊，引發(fā)安全性問題。endprint

2.3 硬件安全威脅

移動(dòng)警務(wù)系統(tǒng)安全性不僅依賴于其操作系統(tǒng)和應(yīng)用軟件，同時(shí)依賴于部分硬件化的功能模塊。警務(wù)終端所用的系統(tǒng)引導(dǎo)、身份驗(yàn)證和環(huán)境交互的模塊也可能存在被攻擊的漏洞。此外，在移動(dòng)智能終端中，基于智能卡進(jìn)行移動(dòng)網(wǎng)絡(luò)通信的終端占據(jù)了很大份額，智能卡本身的安全問題也會(huì)影響移動(dòng)警務(wù)終端安全，如針對(duì)SIM卡的旁路攻擊等。此外，移動(dòng)警務(wù)終端的外圍接口，如藍(lán)牙、WiFi、NFC和 USB接口等，這些外圍接口如果使用不當(dāng)，被非授權(quán)用戶連通進(jìn)行數(shù)據(jù)訪問和傳輸，造成隱私信息的泄露。

2.4 網(wǎng)絡(luò)環(huán)境安全威脅

移動(dòng)警務(wù)系統(tǒng)通過(guò)開放的無(wú)線公網(wǎng)接入公安內(nèi)部，信息在公開信道中傳播，就存在受到攻擊導(dǎo)致數(shù)據(jù)泄密的問題，因此網(wǎng)絡(luò)環(huán)境安全問題也是移動(dòng)警務(wù)系統(tǒng)的關(guān)鍵部分。

根據(jù)上述分析，移動(dòng)警務(wù)系統(tǒng)的安全總結(jié)為四個(gè)方面的問題：（1）操作系統(tǒng)存在漏洞，導(dǎo)致惡意代碼感染與入侵；（2）應(yīng)用軟件易被劫持，或未識(shí)別偽裝的惡意軟件，導(dǎo)致數(shù)據(jù)泄露等安全性問題；（3）硬件缺少保護(hù)措施，從物理上導(dǎo)致數(shù)據(jù)失竊與被破壞；（4）通信過(guò)程欠缺保護(hù)措施，導(dǎo)致數(shù)據(jù)泄露等安全性問題。本質(zhì)上都是數(shù)據(jù)的安全受到威脅。

3 移動(dòng)警務(wù)系統(tǒng)安全評(píng)估

安全評(píng)估是確認(rèn)評(píng)估對(duì)象（例如操作系統(tǒng)、應(yīng)用軟件、硬件、網(wǎng)絡(luò)環(huán)境等稱為評(píng)估對(duì)象）滿足特定安全目標(biāo)的有效性的過(guò)程。根據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求，現(xiàn)有三種評(píng)估方法：測(cè)試（Testing）、檢查（Inspecting）和訪談（Interviewing）。測(cè)試是指在特定條件下運(yùn)行一個(gè)或多個(gè)評(píng)估對(duì)象，比較其實(shí)際行為和預(yù)期行為的過(guò)程。檢查是指檢驗(yàn)、審查、觀察、研究或分析一個(gè)或多個(gè)評(píng)估對(duì)象，使之便于理解、達(dá)到釋明或獲得證據(jù)的過(guò)程。訪談是指組織一個(gè)機(jī)構(gòu)里的個(gè)人或群體進(jìn)行商討，達(dá)到理解、釋明或獲得證據(jù)目的的過(guò)程。評(píng)估結(jié)果將用于支持對(duì)安全控制時(shí)效力的決策。

等級(jí)保護(hù)基本要求從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全幾個(gè)層面提出。根據(jù)此架構(gòu)，移動(dòng)警務(wù)系統(tǒng)從操作系統(tǒng)、應(yīng)用軟件、硬件以及網(wǎng)絡(luò)環(huán)境四個(gè)部分提出評(píng)估要求。針對(duì)移動(dòng)警務(wù)系統(tǒng)的不同層面的安全威脅，分析各個(gè)層面的測(cè)試評(píng)估要點(diǎn)。

3.1 操作系統(tǒng)安全評(píng)估

操作系統(tǒng)的安全是保證移動(dòng)警務(wù)系統(tǒng)整體安全的基礎(chǔ)，整個(gè)安全方面的評(píng)估項(xiàng)圍繞著操作系統(tǒng)的安全功能，包括基本的身份鑒別、訪問控制、安全審計(jì)功能和數(shù)據(jù)保護(hù)等，以及運(yùn)行安全保護(hù)及升級(jí)要求。

身份鑒別為一般系統(tǒng)的基本要求，從基本鑒別方式、用戶標(biāo)識(shí)及口令復(fù)雜度、鑒別信息保護(hù)和鑒別失敗處理等方面提出要求。操作系統(tǒng)的訪問控制規(guī)定了授權(quán)用戶（包括系統(tǒng)使用者和應(yīng)用軟件）的可用權(quán)限，明確需要的最小權(quán)限，不能越權(quán)操作。安全審計(jì)為追溯每個(gè)用戶的行為提供了保障，對(duì)于審計(jì)內(nèi)容需保護(hù)其不受到未授權(quán)的用戶訪問，且容易跟蹤管理。對(duì)于操作系統(tǒng)中的數(shù)據(jù)，包括前文所述的用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、敏感資源等，應(yīng)能提供數(shù)據(jù)保護(hù)措施，保障數(shù)據(jù)的保密性和完整性，且對(duì)剩余信息也應(yīng)提供保護(hù)功能。除上述基本項(xiàng)要求，操作系統(tǒng)還應(yīng)具備升級(jí)能力，對(duì)升級(jí)包的來(lái)源和升級(jí)數(shù)據(jù)的完整性進(jìn)行校驗(yàn)。

3.2 應(yīng)用軟件安全評(píng)估

針對(duì)應(yīng)用軟件的安全威脅，應(yīng)用軟件的評(píng)估內(nèi)容，除了通用的身份鑒別、訪問控制、安全審計(jì)和數(shù)據(jù)保護(hù)，對(duì)應(yīng)用軟件審核與檢測(cè)提出要求，保障應(yīng)用軟件的自身安全；應(yīng)用軟件的安裝需得到明確授權(quán)，卸載時(shí)應(yīng)能刪除由其生成的所有數(shù)據(jù)和信息；能夠?qū)χ匾臄?shù)據(jù)定期進(jìn)行備份，以備出現(xiàn)問題時(shí)可及時(shí)恢復(fù)；應(yīng)具備升級(jí)能力，對(duì)升級(jí)包的來(lái)源和升級(jí)數(shù)據(jù)的完整性進(jìn)行校驗(yàn)。

3.3 硬件安全評(píng)估

針對(duì)移動(dòng)警務(wù)系統(tǒng)硬件模塊，主要對(duì)智能卡和外圍接口提出要求。在警務(wù)終端上使用的SIM卡應(yīng)進(jìn)行鑒權(quán)以防止未授權(quán)的接入，以臨時(shí)代號(hào)（TMSI）替代用戶標(biāo)識(shí)，使第三方無(wú)法在無(wú)線信道上跟蹤用戶信息，SIM卡防克隆和數(shù)據(jù)安全性評(píng)估；根據(jù)業(yè)務(wù)需求，關(guān)閉不必要的外圍接口，對(duì)開放的外圍接口進(jìn)行數(shù)據(jù)交互的安全性評(píng)估。

3.4 網(wǎng)絡(luò)環(huán)境安全評(píng)估

對(duì)于移動(dòng)警務(wù)系統(tǒng)的網(wǎng)絡(luò)環(huán)境，通過(guò)多項(xiàng)措施建立嚴(yán)格的訪問控制策略：在默認(rèn)情況下，應(yīng)禁止所有通信；設(shè)置訪問控制規(guī)則限制警務(wù)終端可訪問的等級(jí)保護(hù)對(duì)象資源；對(duì)來(lái)自警務(wù)終端的數(shù)據(jù)流量、數(shù)據(jù)包和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包通過(guò)，在無(wú)線接入網(wǎng)關(guān)上對(duì)進(jìn)出無(wú)線網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行內(nèi)容過(guò)濾；整個(gè)通信過(guò)程應(yīng)加密傳輸，并保障通信數(shù)據(jù)的完整性。

上文從操作系統(tǒng)、應(yīng)用軟件、硬件和網(wǎng)絡(luò)環(huán)境方面進(jìn)行移動(dòng)警務(wù)系統(tǒng)安全評(píng)估的探討，每個(gè)層面面臨的威脅不同，因而有不同的安全需求，所要采取的安全防護(hù)技術(shù)也不同，因此對(duì)移動(dòng)警務(wù)系統(tǒng)進(jìn)行全方位的安全評(píng)估，這四個(gè)方面必不可少，任何一個(gè)層面的某種安全措施缺失，都可能導(dǎo)致移動(dòng)警務(wù)系統(tǒng)數(shù)據(jù)的保密性、完整性和可用性遭到破壞。

4 結(jié)束語(yǔ)

移動(dòng)警務(wù)系統(tǒng)是警務(wù)信息化建設(shè)的重要內(nèi)容，移動(dòng)互聯(lián)網(wǎng)技術(shù)的進(jìn)步也促使了警務(wù)工作的技術(shù)革新，移動(dòng)警務(wù)系統(tǒng)已經(jīng)廣泛應(yīng)用于一線警務(wù)工作，并取得了顯著的成效。移動(dòng)互聯(lián)網(wǎng)的安全威脅也隨之引入到了移動(dòng)警務(wù)工作，由于公安工作的私密性和重要性，這些安全威脅如果沒有被有效規(guī)避和處理，將會(huì)對(duì)警務(wù)工作產(chǎn)生極大的安全影響。

本文通過(guò)對(duì)移動(dòng)警務(wù)安全領(lǐng)域進(jìn)行現(xiàn)狀調(diào)研，分析移動(dòng)警務(wù)系統(tǒng)安全評(píng)估方法，從操作系統(tǒng)、應(yīng)用軟件、硬件和網(wǎng)絡(luò)環(huán)境等方面進(jìn)行移動(dòng)警務(wù)系統(tǒng)安全評(píng)估的研討，結(jié)合移動(dòng)警務(wù)工作的特點(diǎn)，將等級(jí)保護(hù)測(cè)評(píng)的體系和方法應(yīng)用到移動(dòng)警務(wù)系統(tǒng)之中，為提升現(xiàn)有移動(dòng)警務(wù)系統(tǒng)的安全性提供決策支撐。

參考文獻(xiàn)

[1] 郭啟全.國(guó)家信息安全等級(jí)保護(hù)制度的貫徹與實(shí)施[J].信息網(wǎng)絡(luò)安全，2008年05期.

[2] 符易陽(yáng)，周丹平. Android安全機(jī)制分析[J].信息網(wǎng)絡(luò)安全，2011年09期.

[3] 陳萱華，李學(xué)亞，楊玲.移動(dòng)警務(wù)安全接入控制系統(tǒng)研究[J].計(jì)算機(jī)與現(xiàn)代化，2013年04期.

[4] 張濱.移動(dòng)終端安全關(guān)鍵技術(shù)與應(yīng)用分析[M].北京：人民郵電出版社，2015.

[5] GB/T 22239.3，信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求[S].endprint