探討公安消防信息網絡存在的安全問題及解決方法

陳思

【摘要】近年來，隨著計算機網絡技術的不斷發展，網絡得到了普及，在消防領域中也得到了廣泛應用。但是在實際工作中由于部隊內部信息保密性的要求，網絡自身存在的脆弱性以及搭建系統平臺不夠成熟，不可避免會產生一些安全問題，而這些問題將有可能直接導致病毒傳播、非法入侵、秘密信息泄漏甚至平臺崩潰。基于此，本文主要對消防信息網絡存在的安全問題及其解決方法進行研究探討。

【關鍵詞】網絡安全；操作系統；一機兩用；入侵檢測

【中圖分類號】TP393.08 【文獻標識碼】A 【文章編號】1672-5158（2013）01—0129-02

1、消防信息網絡安全的基本內容

1.1 網絡安全的概念

網絡安全是利用各種網絡管理、控制和技術措施，使網絡系統的硬件、軟件及其系統中的數據資源受到保護，不會因為一些不利因素而使這些資源遭到破壞、更改、泄露。

1.2 網絡安全的定義

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護，不會因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網絡服務不中斷。包括：網絡運行系統安全、網絡上系統信息的安全、網絡上信息傳播的安全和網絡上信息內容的安全。

2、消防信息網絡中存在的安全問題

2.1 使用網絡類型的不同

消防部隊由于工作的特殊性，既有基于Internet的公眾網絡辦公系統，又有基于公安網的內部網絡辦公系統。在日常辦公時這兩種網絡都會被用到，如果電腦使用者不能區分開這兩種網絡，不注意而將兩種網絡混淆使用，就會導致“一機兩用”的發生，甚至會使計算機受到病毒、黑客的攻擊，發生重要數據的丟失或機密信息遭到竊取。“一機兩用”是指計算機或者網絡設備在未采取安全措施情況下既連接公安信息網絡又連接互聯網（含同時連接與不同時連接）。容易發生“一機兩用”的途徑和方式：

1）計算機同時聯入互聯網和公安信息內網；

2）公安信息內網專用移動存儲設備在公安信息內網和互聯網之間交叉使用。

3）外單位計算機維修人員對公安專網計算機進行維修。

4）將無線上網系統連接到公安網計算機。

5）使用筆記本電腦在公安信息內網和互聯網之間交叉連接。

2.2 網絡系統的脆弱性

2.2.1 網絡自身的脆弱性

網絡安全問題是Internet中的一個重要問題。計算機網絡是使用TCP/IP協議的，而其所提供的FTP、E-Mail、RPC和NFS服務都包含許多不安全的因素，存在一些漏洞。

同時，網絡的普及使信息共享達到了一個新的層次，信息被泄露的機會大大增多。Internet網絡是一個不設防的開放大系統，誰都可以通過未受保護的外部環境和線路訪問系統內部，隨時可能發生搭線竊聽、遠程監控、攻擊破壞。

2.2.2 操作系統存在的安全問題

操作系統是作為一個支撐軟件，使得程序或別的應用系統在上面正常運行的一個環境。操作系統提供了很多的管理功能，主要是管理系統的軟件資源和硬件資源。操作系統軟件自身的不安全性，系統開發設計的不周而留下的破綻，都給網絡安全留下隱患。主要表現在：

1）操作系統結構體系的缺陷。操作系統本身有內存管理、CPU管理、外設的管理，每個管理都涉及到一些模塊或程序，如果在這些程序里面存在問題，比如內存管理的問題，外部網絡的一個連接過來，剛好連接一個有缺陷的模塊，可能出現的情況是，計算機系統會因此崩潰。

2）操作系統支持在網絡上傳送文件、加載或安裝程序，包括可執行文件，這些功能也會帶來不安全因素。網絡很重要的一個功能就是文件傳輸功能，比如FTP，這些安裝程序經常會帶一些可執行文件，這些可執行文件都是人為編寫的程序，如果某個地方出現漏洞，那么系統可能就會造成崩潰。

3）操作系統不安全的一個原因在于它可以創建進程，支持進程的遠程創建和激活，支持被創建的進程繼承創建的權利，這些機制提供了在遠端服務器上安裝“間諜”軟件的條件。若將間諜軟件以打補丁的方式“打”在一個合法用戶上，特別是“打”在一個特權用戶上，黑客或間諜軟件就可以使系統進程與作業的監視程序監測不到它的存在。

4）操作系統會提供一些遠程調用功能，所謂遠程調用就是一臺計算機可以調用遠程一個大型服務器里面的一些程序，可以提交程序給遠程的服務器執行。遠程調用要經過很多的環節，中間的通訊環節可能會出現被人監控等安全的問題。

5）操作系統的后門和漏洞。后門程序是指那些繞過安全控制而獲取對程序或系統訪問權的程序方法。在軟件開發階段，程序員利用軟件的后門程序得以便利修改程序設計中的不足。一旦后門被黑客利用，或在發布軟件前沒有刪除后門程序，容易被黑客當成漏洞進行攻擊，造成信息泄密和丟失。

2.2.3 防火墻的局限性

在網絡中，所謂“防火墻”，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。

盡管利用防火墻可以保護安全網免受外部黑客的攻擊，但它只能提高網絡的安全性，不能保證網絡的絕對安全，它也難以防范網絡內部的攻擊和病毒的侵犯。

2.3 基于消防信息網絡進行的入侵

由于消防工作的社會性，消防信息化建設的一個重要方面就是利用信息化手段強化為社會服務的功能，積極利用網絡載體為社會提供各類消防信息；在網上受理消防業務，公布依法行政的有關信息，為社會提供服務，增強群眾對消防工作的滿意度。在利用網絡提高工作效率和簡化日常工作流程的同時，也面臨許多信息安全方面的問題，主要表現在：

2.3.1 內部資料被竊取

現在消防機關上傳下達的各種文件資料基本上都要先經過電腦錄入并打印后再送發出去，電腦內一般都留有電子版的備份，若此電腦是接入內部公安網或互聯網的，那么就有可能受到來自內部或外部人員的威脅，其主要方式有：

1）利用系統漏洞入侵，瀏覽、拷貝甚至刪除重要文件。

2）電腦操作人員安全意識薄弱，系統安全設置較低，隨意共享文件等；系統用戶使用空口令，不設置登錄密碼，或將系統帳號隨意轉借他人，都會導致重要內容被非法訪問，甚至失去系統控制權。

2.3.2 Web服務被非法利用

目前全國各級公安消防部門在互聯網上已建立了很多的網站，這些網站主要是用來提供消防法規、發布產品質量信息、消防技術標準、消防宣傳資料等重要信息，部分支隊面向社會群眾開辟了網上受理業務服務，極大地提高了工作效率，但基于網頁的入侵及欺詐行為也在威脅著網站數據的安全性及可信性。其主要表現在：CGI欺騙。

CGI（Common Gateway Interface）即通用網關接口，許多網站頁面上允許用戶輸入相關信息，進行一定程度的交互。還有一些搜索引擎允許用戶查找特定信息的站點，這些一般都通過執行CGI程序來完成。一些系統配置不當或本身存在漏洞的CGI程序，能被攻擊者利用并執行一些系統命令，如創建具有管理員權限的用戶，開啟共享、系統服務，上傳并運行木馬等。在奪取系統管理權限后，攻擊者還可在系統內安裝嗅探器，記錄用戶敏感數據，或隨意更改頁面內容，對站點信息的真實性及保密性造成威脅。

2.3.3 網絡服務的潛在安全隱患

一切網絡功能的實現，都基于相應的網絡服務才能實現，如IIS服務、FTP服務、E-Mail服務等。但這些有著強大功能的服務，在一些有針對性的攻擊面前，也顯得十分脆弱。以下列舉幾種常見的攻擊手段。

1）分布式拒絕服務攻擊

攻擊者通過發送大量無效的請求數據包造成服務器進程無法短期釋放，大量積累而耗盡系統資源，使得服務器無法對正常請求進行響應，造成服務器癱瘓。對任何連接到Internet上并提供基于TCP的網絡服務（如Web服務器、FTP服務器或郵件服務器）的系統都有可能成為被攻擊的目標。大多數情況下，遭受攻擊的服務很難建立新的連接，系統通常會因此而耗盡內存、死機或系統崩潰等問題。

2）口令攻擊

基于網絡的辦公過程中不免會有利用共享、FTP或網頁形式來傳送一些秘密文件，這些形式都可以通過設置密碼的方式來提高文件的安全性，但多數不會使用一些諸如123、abc等簡單的數字或英文字母組合作為密碼，或是用自己的生日、姓名作為口令，由于人們主觀方面的原因，使得這些密碼形同虛設，攻擊者一旦識別了一臺主機而且發現了可利用的用戶賬號，便可通過詞典、組合或暴力破解等手段得到用戶密碼，從而達到訪問敏感信息的目的。

3）路由攻擊

路由攻擊是指通過發送偽造路由信息，產生錯誤的路由干擾正常的路由過程。攻擊者可通過攻擊路由器，更改路由設置，使得路由器不能正常轉發用戶請求，從而使得用戶無法訪問外網，或向路由器發送一些經過精心修改的數據包使得路由器停止響應，斷開網絡連接。

3、解決網絡安全問題的主要方法

3.1 安全技術手段

1）網絡安全隔離技術。

消防部隊在處理日常事務上主要是用公安內網，由于內部公安網涉密信息較多，為了杜絕泄密事件的發生，一定要將其與互聯網進行隔離的。網絡隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網絡（如：TCP/IP）通過不可路由的協議（如：IPX/SPX、NetBEUI等）進行數據交換而達到隔離目的。網絡安全隔離技術可以實現內、外網絡或外部網絡與涉密信息的物理隔離，因而可以保證網絡的相對安全。網絡隔離有兩種方式，一種是采用隔離卡來實現的，一種是采用網絡安全隔離網閘實現的。隔離卡主要用于對單臺機器的隔離，網閘主要用于對于整個網絡的隔離。

2）入侵檢測技術。

入侵檢測是指“通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作，檢測到對系統的闖入或闖入的企圖”。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。入侵檢測是對防火墻的合理補充，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力和范圍（包括安全審計、監視、進攻識別和響應），提高信息安全基礎結構的完整性。

3）訪問控制技術。

訪問控制技術是對系統內部合法用戶的非授權訪問進行實時控制，可分為以下兩種類型：①任意訪問控制。指用戶可以任意在系統中規定訪問對象，優點是成本小且方便用戶，缺點是安全系數較低。②強制訪問控制。可以通過無法回避的訪問限制來防止對系統的非法入侵，其缺點是費用較高、靈活性小。對于安全性要求較高的系統，可以采用兩種類型結合的方法來維護網絡系統的安全。

3.2 網絡安全管理方面的措施

1）成立網絡安全領導小組。

應該建立由單位領導牽頭、網絡管理員參與的網絡安全領導小組，重點加強本單位網絡安全有關項目的管理和應用，負責貫徹國家和公安部有關網絡安全的法律、法規，落實各項網絡安全制度；督促和加強對本單位人員的網絡安全教育培訓，監督、檢查、指導網絡安全工作。同時，將計算機網絡安全的投入作為消防信息網絡建設的基礎投入來抓，同步建設。

2）加強網絡管理人才引進和培訓。

要保證消防網絡信息系統在一個安全環境里發展，必須大力加強網絡管理人才的引進，應該把招收計算機專業的人才列入消防部隊招收大學畢業生的計劃之中，提高消防部隊網絡管理人員的知識結構。同時，結合計算機網絡技術的飛速發展，應當出臺相關的培訓制度，大力加強對現有網絡管理人員、使用人員的培訓。

3）制定并執行網絡安全管理制度。

在系統安全處理的同時，應建立并完善各項安全管理制度，以此來確保計算機網絡安全，如外聘人員簽訂安全責任書制度，外來人員網絡訪問制度，網絡管理員定期檢查維護制度等。

4）按規定做好公安內網專用計算機的聯網注冊工作。

按照規定，連接公安內部網絡的計算機都需要經過領導審批才能實施聯網，并逐臺登記，進行實名注冊，落實到民警個人。這樣一方面能加強使用人的安全意識；另一方面對責任人敲響警鐘，防患于未然。

5）在有多種網絡的辦公室，分清和梳理好各種網絡接口和網線。

對于有兩種或兩種以上網絡的辦公室，必須對每個網絡接口、每根網線、每臺計算機都貼上醒目的標簽，避免因接錯網絡而導致“一機兩用”的發生。

6）組建安全保障體系。

根據各單位的實際情況組建安全保障體系是必需的，如網管人員安全培訓、可靠的數據備份、緊急事件響應措施、定期系統安全評估及更新升級系統，這些都能為系統的安全提供有力的保障，確保系統能一直處于最佳的安全狀態，即便系統受到攻擊，也能最大程度地挽回損失。

4、結語

綜上所述，網絡安全問題的存在是顯而易見的，而其所造成的威脅是不容忽視的，因此，在今后的消防信息化工作中，必須高度重視計算機網絡的安全，只有不斷加強技術和管理方面的工作，提高計算機安全意識人手，才能保障消防網絡能夠在一個安全的、穩定的環境中運行，才能夠使得各項消防工作正常順利的運行，信息的通暢可靠。

參考文獻

[1]田庚林，田華，張少芳.計算機網絡安全與管理[M].北京：清華大學出版社，2010

[2]曾明，李建軍等.網絡工程與網絡管理[M].北京：電子工業出版社，2003