多種機制并舉確保公安信息化的深度應用

劉琦 河南警察學院信息安全系，鄭州河南 450002

多種機制并舉確保公安信息化的深度應用

劉琦 河南警察學院信息安全系，鄭州河南 450002

為保障公安信息化建設的順利運行，更好地服務公安實戰，本文提出使用多種機制建立信息化保障體系的思路。文中借鑒國際標準ISO/IEC9000及ISO/IEC27000中所使用的PDCA模型，通過循環方式，以期發現并不斷改進公安機關運行信息系統過程中爆發出的或潛在的問題，更好的保證信息化的深度應用。

多種機制；公安信息化；深度應用

various mechanisms；public security information technology; deepening application

引言

上個世紀我們已經進入了信息時代。人們已經完成了從以制造業為基礎的工業社會時代到以知識為基礎的信息時代[1]。在這個時代，公安信息化建設是我們公安系統需要考慮的重點之一。公安系統必須堅持向科技要警力，深入推進公安信息化建設，才能有效提升社會管理服務的整體水平[2]-[5]。公安系統通過使用信息化方法，利用網絡等平臺共享資源，實現了各警種、各地區整體作戰，從而節省了破案時間，提高了破案效率。在河南省委省政府、河南省公安廳黨委領導下創建了“新鄉警務模式”。但是，推行科技強警、公安信息化建設的同時，我們公安系統的各項工作對信息系統的依賴性與日俱增。如果信息系統出現問題，無法正常運行，或出現機密信息的泄露甚至篡改等問題，會嚴重影響到公安案件偵破、打擊犯罪等正常工作，甚至對公安系統、人民群眾，乃至整個社會造成無法估量的損失。必須綜合考慮組織機制、人力管理機制、軟硬件安全機制等各個要素，建立完善的信息化保障體系，才能確保公安信息化的深度應用。

筆者經過深入調研，發現不少地市已采取了相應的信息化保障技術及措施，具體包括：組建專門信息化保障管理機構及常設辦公機構，制定并實施了相關管理制度，指定專門管理人員，并制定了一些應急響應措施及災備預案，進行著一些不定期技術培訓等等。但也存在一些問題，比如管理制度的落實沒有完善的監督、測評體制；信息化建設整體規劃問題；個別民警存在的信息安全意識問題；應急預案沒有定期演練；各個地市信息化保障體系完善程度差別懸殊等等問題。希望今后能夠有機會到河南省各地市進行相關調研，并明確河南公安信息化進展情況。

根據我們調研的結果及與地方公安機關各級領導同志的交流與探索，我們認為，梳理各種機制之間的聯系，構建一個有效保障信息化建設的體系是保障各項制度落實、提高民警信息化意識、提高公安民警對信息化突發事件應急響應能力，提高民警保障信息化正常運行的積極主動性，提高地市公安機關保障信息化系統的前瞻性的必要措施。借鑒國際質量管理體系ISO/IEC 9000，國際信息安全管理體系ISO/IEC 27000及我國警界諸多專家學者的論文著作，在與我省個別地市公安機關各級領導交流探討的基礎上，本文提出了多種體制確保信息化深度應用的具體思路，及初步的量化測評體系。

1 信息化保障體系中多種機制的工作思路

建立信息化保障體系的目標在于指明公安信息化建設、運行等每個階段各崗位民警的職責、權限，以保證信息化過程中信息及資源的安全性[6]。即建立訪問控制機制，保障各警種公安信息系統不被非授權者截獲及篡改；保障授權用戶能夠正常使用信息系統；保障個公安系統信息能夠正常傳遞；保障出現異常事件后的可核查性[7]等等。結合ISO/IEC9000中的PDCA模型（即：規劃(Plan)—實施(Do)—檢查(Check)—處置(Act)，循環改進的模型）提出為保障信息化深度應用，多種機制的運行模式如下所述。

1.1 組織管理機制

各地市公安機關需要建立或完善能夠保障信息化建設的健全的組織管理機制，制定信息化保障體系完善的方針政策及管理制度、提供必要的人力、物力、財力等資源，保證定期實施測評及審核；據調研，河南省各地市公安局基本已經建立相應的組織管理機制，但制度的落實是難點。一般地，各地市均建立了圖1所示的工作架構。

圖1 信息化保障體系組織架構圖

為了確保信息化的落實及應用，建議地市公安局的信息化領導小組能夠定期召開會議，健全信息化保障相關規章制度、部署及督促信息化，保障監督、審核、測評、賞罰等各項工作。信息化保障工作小組（可由信息化相關部門承擔），下發信息化保障領導組的各項決議，敦促各部門、各派出所按規定及時執行。建議各部門指定的專人能夠切實落實信息化保障工作小組下發下來的各項任務。通過領導批示、工作組協調、各部門專人執行的分級工作制度，確保各項制度的落實與執行。

1.2 定期審核與不定時檢查相結合的機制

為保障信息系統正常運轉，相關人員沒有工作上的疏漏，建議采取定期審核及不定期抽查相結合的機制。建議選拔內部民警進行專門培訓，深入了解該地市信息化建設的整體規劃，并定期到各部門進行審核。為了使得審核更具客觀性，建議制定并實施詳細的、行之有效的測評體系，并聘請第三方機構的專家定期到地市公安機關進行審核工作。并由審核小組相關人員書寫“審核報告”，匯報審核的具體情況，并針對存在問題的地方，結合一線工作民警提出改進合理的改進建議，提交信息化保障協調組研究批示。

1.3 定期匯報及持續改進機制

審核小組成員應定期（建議一年至少一次）向信息化保障領導組匯報保障體系的運轉工作，以便信息化保障領導組能夠識別保障體系是否有效運行，哪些地方亟待改進，審核組提出的改建建議是否合理等等，并綜合這些建議制定出未來一段時間的發展規劃。

2 信息化保障體系量化測評構架

為確保審核的客觀性，建議可借鑒ISO/IEC TR 13335-3[8]，OCTAVE[9]，NIST SP800-30[10]等風險管理相關標準，對信息化建設中的相關資產進行測評，評價出存在較高風險的資產，并對高風險資產重點處理。信息化保障體系量化測評構架如圖2所示。

圖2 信息化保障體系量化測評構架

如圖所示，建議根據各個警種不同職能，對信息化資產進行分類并確定其級別。重點分析重要信息資產所面臨的外部威脅；自身存在的脆弱性及漏洞；并確認對此已經采取的控制策略，已經采取控制策略的有效性等。根據分析的結果對信息資產進行綜合評價，根據量化的測評結果，甄選出亟待解決的嚴重問題。匯總各方面意見，依據信息保障領導組的決議，確定是否規劃控制策略來處理這些存在著的問題及隱患，最后，落實并實施這些規劃好的控制策略，使得這些殘余風險落到可接受的范圍之內，以保障公安信息化建設的正常運行。

3 結論

公安信息化建設是公安部門實現科技強警的重要部分，是保證公安系統案件偵破時資源共享、各警種、各地區聯合作戰的基石。本文主要對如何保障信息化的深度應用提出了一些觀點及看法，以期能構建出一種完善的、簡單可行的、能夠更好地保障信息化服務公安實戰的監督、測評體系。

[1]信息安全管理體系教程.中國標準出版社.2007.3

[2]孟建柱在廣東調研時強調要牢固樹立人民公安為人民的宗旨努力把社會管理創新成果惠及于民.汪洋黃華會見孟建柱一行

[3]包麗茹, 田銳. 科技引領和支撐現代警務機制初探.內蒙古科技與經濟. 2009(24)

[4]朱明. 科技強警與公安科技管理. 科技管理研究. 2009(7)

[5]陸克泉, 吳向明, 虞小立. 依托科技強警建設推動公安科技和信息化應用大發展. 廣西警官高等專科學校校報. 2009年增刊

[6]ISO/IEC 27001 Information Technology—Security techniques—Information security—management systems—Requirements. ISO, 2005

[7]王靖亞, 黃明, 鞏榮. 公安信息化信息安全指標體系研究. 中國人民公安大學學報(自然科學版). 2008(4)

[8] ISO/IEC 13335-1:2004 Information technology—Security techniques—Management of information and communications technology security—Part1: Concepts and models for information and communications technology security management. ISO, 2004

[9] OCTAVE Operationally Critical Treat, Asset, and Vulnerability Evaluation.

[10] NIST SP800-30 Risk Management Guide for Information Technology Systems. NIST, 2002

Various Mechanisms Guarantee the Deepening Application of Information Technology

LIU Qi (Department of information security, Henan Police College Zhengzhou Henan 450002)

An information technology guarantee system using various mechanisms was proposed in this paper, to guarantee smooth running of information technology, and serve public security practice. Referenced on PDCA model used in ISO/IEC 9000 and ISO/IEC 27000, through circulating mode, the potential or existing problems could be found and modified to guarantee the deepen application of information technology.

10.3969/j.issn.1001-8972.2011.15.044