公安網絡信息安全及其防范措施的研究

郭會茹，孫靜靜

（1.天津公安警官職業學院，天津 300382；2.安徽大學，安徽 合肥 230601）

公安網絡信息安全及其防范措施的研究

郭會茹1，孫靜靜2

（1.天津公安警官職業學院，天津 300382；2.安徽大學，安徽 合肥 230601）

本文從公安網絡安全的現狀入手，對其目前存在的問題和威脅進行了分析研究，并針對性地提出了保障網絡安全的技術與管理措施，從理論與實踐兩個層面對公安網絡信息安全問題提出了建設性的解決途徑.

公安網絡；信息安全；安全管理

公安網絡信息安全問題是公安部門網絡系統建設必須考慮的首要問題.公安網絡信息安全泛指公安網絡系統如何保證其信息不受破壞，并在給定的時間和權限范圍內提供保證質量的確定服務，其涉及面從保護數據安全擴大到保證交易安全、服務安全等諸多方面[1].

1 公安網絡面臨的安全威脅

公安網絡是獨立于互聯網的應用專網，與外部互聯網采用物理方式隔離.隨著“金盾工程”建設的深入展開，目前，各地市基本上實現了市局、分局、派出所的三級聯網.公安網絡覆蓋了廣闊的地域范圍，服務眾多的公安干警，同時還與全國公安一級網互聯，在如此復雜的應用環境下，任何內部人員的誤操作或有故意的非法操作都可能導致信息的泄露或破壞.特別是公安網絡目前在全市范圍內是一個統一的網絡，任何非法攻擊者只要突破網絡中最薄弱的一點就有機會訪問到全國資源，對信息資源安全造成巨大的威脅.目前公安網絡面臨的安全威脅主要包括以下幾個方面：

1.1 來自外部互聯網的安全威脅

公安網絡雖然沒有與Int ernet互聯，但基于Int ernet的開放性、國際性與自由性，我們的網絡每天都有很多來自互聯網的信息，其中間介質多為U盤、移動硬盤等，所以公安網絡也面臨嚴重的安全威脅.每天網絡黑客都在試圖闖入Int ernet節點，對有安全缺陷的網絡進行攻擊，對有價值的信息進行截取或者惡意篡改，如果我們的網絡存在缺陷就有可能被攻擊或者成為黑客入侵其他網絡的跳板[2].公安網絡中的辦公系統及個人主機上一般都有涉密信息，假如網絡的一臺機器被攻擊或者被病毒感染，就會影響在同一網絡上的其他系統.

1.2 內部局域網的安全威脅

公安網絡中主機登錄和服務系統登錄使用的是靜態口令，口令在一定時間內是不變的，其在數據庫中有存儲記錄，可以重復使用.這種訪問機制無法真正實現將用戶與其本人真實身份完全一一對應起來.如果口令控制不嚴就很容易造成敏感信息泄露、內部人員（合法用戶）擅自擴大權限、越權訪問公安系統機密信息、進行數據篡改等.非法用戶也可以通過窮舉攻擊、重放攻擊等手段得到靜態口令，然后利用口令對公安系統內部資源非法訪問或越權操作.

1.3 系統的安全風險

所謂系統安全通常是指操作系統、應用系統的安全.操作系統及應用系統軟件不可能是百分之百的無缺陷、無漏洞.漏洞主要有：（1）操作系統的安全漏洞，包括操作系統的BUG、I/O非法訪問、訪問控制混亂等.（2）數據庫及應用軟件的安全漏洞，包括數據庫文件格式、文件存放位置、口令加密機制等.（3）TCP/IP協議的安全漏洞，IPV4并未考慮安全性，這是IP網絡不安全的主要原因.（4）網絡軟件和服務的安全漏洞，包括Finger漏洞、匿名FTP漏洞、Tel net漏洞、E-m ail漏洞等.（5）編程人員在軟件中遺留下的“后門”.這些漏洞、缺陷以及“后門”正是黑客進行攻擊的首選目標.一旦漏洞及“后門”被泄漏，就會造成公安網絡信息丟失、喪失保密性、不能訪問以及系統癱瘓等一系列安全問題.

1.4 應用的安全風險

公安網絡內部有自動化辦公系統.而辦公網絡常常使用共享網絡資源，比如文件共享、打印機共享等.如果缺少必要的訪問控制策略，工作人員就可能有意、無意的把硬盤中的重要信息目錄共享，長期暴露在網絡鄰居上，可能被外部人員輕易偷取或被內部工作人員竊取并傳播出去造成泄密.

1.5 管理的安全風險

管理層面的安全風險主要表現在安全組織的建設、安全管理策略和制度的制定與執行、人員的管理等方面.

1.5.1 管理的脆弱性 公安網絡管理的脆弱性主要表象在缺乏針對性的安全策略、安全技術規范、安全事件應急計劃，管理制度不完善，安全管理和運行維護組織不健全，對規章、制度落實的檢查不夠等.

1.5.2 安全組織建設風險 隨著公安網絡的發展，信息系統安全體系的建設對組織保障提出了更高的要求，公安信息系統各部門現有的機構設置、崗位設定、人員配備等不能完全滿足對信息系統安全管理的需求，這些問題在很大程度上制約了安全體系建設的發展.

1.5.3 安全管理風險 安全管理制度的建設還不全面，用戶、口令、權限的管理不嚴密，系統的安全配置一般都是缺省配置，風險很大.

1.5.4 人員管理風險 公安系統內部人員對網絡信息安全的認識相對較高，但在具體執行和落實、安全防范的技能等方面還有待提高.

2 公安網絡信息安全防范措施

保證公安網絡安全運行的策略關鍵在于建立和完善公安網絡信息安全防護體系，在技術層面上建立完整的網絡安全解決方案，在管理層面上制定和落實一套嚴格的網絡安全管理制度.二者之間，管理是基礎，技術是保障.

2.1 技術措施

2.1.1 防火墻技術 防火墻技術是建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術，越來越多地應用于局域網和專用網絡.防火墻系統主要被部署在網絡邊界，可以實現安全的訪問控制與邊界隔離，防范攻擊行為.

2.1.2 入侵檢測技術和系統 入侵檢測技術是通過從計算機網絡和系統的若干關鍵點收集信息并對其進行分析，從中發現網絡或系統中是否有違反安全策略的行為或遭到入侵的跡象，并依據既定的策略采取一定措施的技術[3].

入侵檢測系統（IDS）是網絡安全的第二道閘門，它與防火墻系統配合工作，在遇到可疑行為時向系統管理員報警.這些可疑的行為可能預示著將發生網絡入侵活動或者顯示網絡入侵活動的結果.入侵檢測系統能及時監控網絡資源運行狀況，為網絡管理員及時提供網絡入侵預警和防范解決方案，還使得對于檢查黑客入侵，變得有跡可循，為用戶采取進一步行動提供了強有力的技術支持.

2.1.3 安全審計系統 網絡安全審計系統作為一個完整安全框架中的一個必要環節，一般在入侵檢測系統之后，作為對防火墻系統和入侵檢測系統的一個補充，其功能：首先它能夠檢測出某些特殊的IDS無法檢測的入侵行為（比如時間跨度很大的長期攻擊特征）；其次它可以對入侵行為進行記錄并可以在任何時間對其進行再現以達到取證的目的；最后它可以用來提取一些未知的或者未被發現的入侵行為模式等.

2.1.4 漏洞掃描技術 對計算機系統進行漏洞掃描可幫助系統管理人員發現入侵者潛在的進入點.其原理是采用模擬黑客攻擊的形式對目標（工作站、服務器、交換機、數據庫應用等各種對象）可能存在的安全漏洞和弱點進行逐項掃描和檢查，根據掃描結果向系統管理員提供周密可靠的安全性分析報告，為提高網絡安全整體水平提供重要依據[4].

2.1.5 防病毒系統 作為網絡防病毒系統需要對整個局域網內的服務器和計算機進行病毒防范，更加重要的是能夠通過防病毒軟件對網絡進行集中管理和統一配置.具有一個完善的病毒防護管理體系，負責防病毒軟件的自動升級、定時掃描、集中管理、日志記錄等，保證整個網絡范圍內病毒防護體系的一致性、完整性、及時性.目前公安內網的防病毒系統還沒有建立起來，基本上都是單機版的殺毒軟件.

2.2 網絡安全管理措施

一個完整的網絡安全體系應該是安全管理和安全技術實施的結合，兩者缺一不可.網絡安全管理就是通過一系列的策略和制度來協調這二者之間的關系，明確技術實施和安全操作中相關人員的安全職責，從而達到對安全風險的及時發現和有效控制，提高安全問題發生時的反應速度和恢復能力，增強網絡的整體安全保障能力.

2.2.1 健全信息安全管理制度 健全的安全管理制度是公安網絡信息安全的重要保證.這些制度包括：密碼管理制度、數據加密規范、身份認證規范、區域劃分原則及訪問控制策略、病毒防范制度、安全監控制度、安全審計制度、應急反應機制、安全系統升級制度等.建議成立專門信息安全管理和監督機構，人員包括領導和專業人員，按照不同任務進行分工，確立各自的職責.有了組織機構和相應的制度，還要將強領導、督促和檢查工作，使制度真正落實到實處.

2.2.2 強化思想教育、提高安全意識.廣大民警要認真學習有關安全管理制度和相關法律文件，增長網絡安全保密知識，加強網絡安全意識，提高網絡安全認識.開展網絡安全技術培訓，提高全體民警的安全意識和安全技能，從深層次上杜絕安全事件的發生.

2.2.3 注重網絡信息安全人才的培養.要培養一批高水平的網絡管理人員，對網絡系統運行期間出現的問題給予及時的響應和反饋，保障安全系統的長期穩定運行.防范網絡安全事件的發生，提高對安全事件的反應處理能力，在網絡安全事件發生時盡量減少事件造成的損失.

3 結束語

總之，網絡安全是一項綜合性的課題，它涉及技術、管理、應用等許多方面，既包括信息系統本身的安全問題，又有物理的和邏輯的技術措施.我們必須綜合考慮安全因素，在采用各種安全技術控制措施的同時，制定層次化的安全策略，完善安全管理組織機構和人員配備，才能有效地實現網絡信息的安全.同時，世界上不存在絕對安全的網絡系統，隨著計算機網絡技術的發展，網絡安全防范技術也必然隨著網絡應用的發展而不斷發展.

〔1〕段瑩.網絡信息安全問題及對策[J].情報探索，2006（12）：65-66.

〔2〕公安部.信息安全等級保護培訓教材[M].2007.

〔3〕徐濤.網絡安全防范體系及設計原則分析[J].電腦知識與技術，2009,5(9):2089-2090.

〔4〕解永鋒.保定市國稅局網絡信息系統安全分析與改進研究[D].天津大學，2004.

TP393.08

A

1673-260X（2011）08-0035-02