公安機關信息安全問題的SWOT-AHP分析及對策研究

周 媛

(中國人民公安大學國家安全學院 北京 100038)

(2392233629@qq.com)

信息安全是公安機關信息化發展的命脈.近年來，公安機關信息安全事件頻發，直接影響到國家安全及人民群眾的切身利益.《公安計算機信息系統安全保護規定》中提到，要加強公安機關計算機信息系統安全保護工作，確保公安信息網絡安全運行，要開展安全管理工作，保障公安機關計算機信息系統的信息安全(1)《公安計算機信息系統安全保護規定》(http://www.docin.com/p-17565225.html 2020,11,3).因此，正確分析公安機關信息安全形勢，從實際情況出發，發現公安機關信息安全工作存在的不足，采取相應的應對措施，對于進一步維護公安機關信息安全、推動公安機關信息化建設的穩步可持續發展具有重要意義.

1 公安機關信息安全概述

1.1 公安機關信息安全的概念

公安機關信息安全指的是保護公安機關信息系統軟硬件、數據、人員、物理環境以及基礎設施安全，保證信息的完整性、可用性、保密性不被破壞.

1.2 保護公安機關信息安全的重要性

1.2.1 是維持公安機關工作正常運轉的需要

隨著公安機關信息化建設的不斷加快，信息技術已經滲透到公安工作的方方面面，公安工作對信息系統的依賴程度也越來越高.公安行業信息的高價值性使公安機關信息系統容易成為黑客和病毒的攻擊目標.黑客攻擊和計算機病毒有很強的隱蔽性和破壞性，當公安機關信息系統被黑客入侵或感染病毒以后會導致網絡擁堵、計算機運行速度減慢、降低公安工作效率，嚴重時會造成公安信息系統服務中斷甚至是癱瘓，影響公安工作的正常開展.因此，保障公安機關信息安全是公安信息化建設的重要任務，是維護公安機關各項工作正常運轉的關鍵.

1.2.2 是保護國家安全和公民切身利益的必然要求

公安機關信息系統含有大量基礎信息及敏感信息，涉及國家秘密及公民隱私[1].公安機密信息的泄露、遺失會給國家和公民造成不可估量的損失.從國家層面來看，公安機關的信息安全關乎國家安全，公安信息化的發展提高了公安基礎工作水平，提升了公安機關的核心戰斗力，也為敵對國家的信息入侵創造了條件.國外的各種敵對分子和反華勢力入侵公安信息系統，竊取國家機密信息，會損害國家在政治、國防、外交等領域的利益，危害國家安全和政治穩定[2].從公民切身利益來講，公安機關信息安全與公民個人信息安全密不可分，公安機關信息系統匯集并存儲著海量公民個人信息，當公民的個人信息被非法獲取，不法分子利用掌握的信息進行違法犯罪活動，會給公民的生命和財產安全帶來巨大威脅.因此，維護公安機關信息安全是保障國家安全和公民切身利益的必然要求.

2 公安機關信息安全問題研究現狀

隨著信息化建設的深入，公安機關信息安全問題不斷涌現.近年來，一些學者對公安機關信息安全作了相關的研究：陳謙[3]總結了公安機關信息安全的主要技術風險，從強化公安計算機系統的安全加固、完善技術保障措施、加強管理保障措施3個方面提出了公安機關信息安全風險的防范路徑；代琪怡[4]從黑客入侵、電磁泄露和軟件漏洞3個方面分析了公安計算機信息安全存在的主要問題，并提出相應的應對策略；陳可[5]分析了公安信息系統存在的問題，從物理安全管理、人員安全管理、運行安全管理3個維度提出了公安信息系統安全管理策略.綜上所述，目前對公安機關信息安全的研究主要集中在公安機關信息安全的問題分析和對策研究上，但研究主要針對某個特定的因素，如技術風險、安全管理等層面，且以定性分析為主，缺乏有關數據的支撐.因此，本文采用SWOT與AHP定性與定量相結合的方法，分析公安機關信息安全各影響因素，構建層次分析模型并賦予權重，對其優勢、劣勢，機會、威脅進行系統化的分析，并提出適宜的針對公安機關信息安全問題的對策，以期為公安機關信息安全建設提供一定的借鑒.

3 公安機關信息安全問題的SWOT定性分析

3.1 SWOT分析法簡介

SWOT分析法又稱為態勢分析法，是由美國舊金山大學海因茨·韋里克教授于20世紀80年代提出的，運用SWOT分析法，通過列舉與研究對象相關的內部優勢(strengths)、劣勢(weaknesses)，外部機會(opportunities)、威脅(threats)，可以全面、準確、系統分析研究對象所處情景，最終得出具有決策性的結論、對策等[6].

3.2 模型構建

3.2.1 內部優勢

1) 職能優勢及紀律執行嚴肅性(S1).

公安機關是黨領導下的紀律部隊，有著不同于其他企業、部門的管理制度和紀律要求，公安機關承擔著維護國家和公民合法權益的職責.保證公安機關信息安全是對國家和人民負責的基礎保障.公安機關從國家和人民的利益出發，充分發揮其職能優勢，積極推進信息安全建設，是其目標使然.公安隊伍的紀律是國家法律對警察的要求，是每個公安人員在履行職務活動中必須遵守的行為準則，這種嚴格的紀律性使各級各層的公安機關力量聚集，方向一致，在維護公安機關信息安全方面形成堅強的戰斗力.

2) 信息化建設給信息安全保護帶來機遇(S2).

公安信息化建設是指利用現代化信息技術手段引領和管理公安工作的過程.在公安信息化建設過程中，公安機關積極搭建公安網絡安全保障體系和公安信息系統應用支撐平臺，完善信息基礎設施和基礎通信網絡，加強數據信息規范化治理，確保信息的安全可靠.公安機關還加強公安民警信息技能培訓，大力挖掘和培養具備安全攻防、軟件開發、網絡管理等技能的公安信息專業人才.公安信息化建設給信息安全保護打下了堅實的基礎.

3) 信息安全基礎工作優勢(S3).

為了加強對信息系統的安全保護，各級公安機關為信息系統設置了日志審計、入侵防護等安全防護系統，在公安內外網之間設置防火墻及網閘，配以互聯網控制審計系統并利用公私鑰密碼體系來確保內外網信息交換的安全.且各級公安機關制度性地、經常性地開展信息安全的檢查工作，檢查辦公計算機、網頁等的安全狀況，查找有無被病毒或惡意代碼感染的信息設備、對公開信息進行保密審查等.這些基礎工作明顯增強了公安信息系統的安全防護能力，顯著提高了公安信息網絡的保護能力，為公安機關信息安全工作的健康、有序開展作出了重要貢獻.

3.2.2 內部劣勢

1) 部分公安機關工作人員信息安全意識不強(W1).

公安信息在很大程度上涉及國家安全信息及公民隱私信息，如果發生信息泄露不僅會損害國家及相關人員的利益，還會影響公安機關的執法公信力，所以對信息進行保密非常重要.但在實際工作中，一些公安機關工作人員信息安全意識不強，在信息安全方面警覺性不高，對信息安全保護的重視程度不足，在公安工作中忽略對公安信息系統用戶名及密碼的管理，數字證書外借他人，行業內部信息隨意外傳，非法查詢、售賣公民個人信息，不規范使用移動存儲介質等，這些行為給公安信息安全建設帶來巨大的風險和隱患.

2) 信息安全管理制度不健全(W2).

管理制度是約束工作人員行為的準則，沒有管理制度就沒有約束，完善的管理制度能更好地規范人的行為.各級公安機關為了保證信息安全，在技術方面做了很多的保障工作，卻忽略了信息安全管理制度的建設，雖然出臺了一系列安全管理措施，但措施的整體性和系統性不高，存在信息管理責任不清，信息使用權限不明等漏洞，大大增加了重要信息被破壞的可能性.當前，一些公安機關仍存在“一機兩用”等違規行為，沒有建立一個統一的、完善的管理制度體系，給公安機關信息系統帶來了很多安全隱患.

3) 信息安全事件應急處突能力薄弱(W3).

只有加強公安機關信息安全應急處突能力，完善應急管理措施，才能有效預防、及時控制并最大限度地消除信息安全突發事件帶來的影響和危害.由于公安機關缺乏科學的應急處置預案及應急保障體系,導致無法對公安機關信息安全風險進行前期有效的防范.2017年5月12日，公安信息系統內網大規模被Wanna Cry勒索病毒感染,一度造成公安信息系統癱瘓,嚴重影響公安工作的正常開展.公安機關應急處突能力薄弱，當信息安全事件突發時不能對其進行全局性的管理和控制,將嚴重危害公安信息系統的安全.

3.2.3 外部機會

1) 國家相關政策體系不斷完善(O1).

隨著公安信息化的快速發展，為了保證公安機關信息安全，國家相應出臺《公安機關互聯網安全監督檢查規定》《公安計算機信息系統安全保護規定》《公安身份認證與訪問控制管理系統規范》《公安機關公民個人信息安全管理規定》等一系列政策法規.這些政策規范明確了公安計算機信息系統安全保護工作的基本任務及公安機關訪問信息安全系統的職責權限，給公安機關信息安全保護指明了方向，使公安機關信息安全政策體系不斷完善，安全度也大幅提高.

2) 信息安全保護技術不斷發展(O2).

區塊鏈技術是利用塊鏈式數據結構來驗證和存儲數據，是計算機及信息安全技術的新型應用模式.其綜合運用分布式節點共識機制、密碼學、P2P網絡技術等技術來實現對數據信息的安全傳輸、訪問、存儲和共享等功能，具有不可更改、不可偽造、公開透明等安全特性，能夠防止數據信息的篡改、偽造，減少數據異構并提高數據標準化程度，確保數據信息的安全性、真實性和可用性[7].數字水印技術是新型的信息隱藏技術，利用數字載體所嵌入的數字水印來確認隱秘信息或載體等是否被篡改，具有安全性、隱蔽性和魯棒性等特性(2)百度百科.數字水印(https://baike.so.com/doc/6134379-6347539.html 2020,11,4).區塊鏈技術、數字水印技術等信息安全保護技術可以為公安機關信息安全問題提供新的解決方案.

3) 信息安全投入增加(O3).

為了加強公安機關信息安全建設，各地政府加大了公安信息安全方面的資金投入.北京、福建、甘肅等地逐年增加公安信息網絡及軟硬件配置支出.2018年新疆新增網絡運行及維護專項，增加公安互聯網安全管理中心人員.2019年廣東新增公安信息網絡建設及運維專項(3)我國公安信息化行業面臨的重大發展機遇(http://www.chyxx.com/industry/201909/782630.html 2020.11.5).公安機關信息系統的運維、管理和軟硬件等基礎設施的建設是保證信息安全的基礎工作.政府重視公安機關信息安全發展，不斷增加資金投入，給信息安全建設帶來機遇.

3.2.4 外部威脅

1) 外部惡意攻擊依然嚴峻(T1).

公安機關信息系統機密信息、敏感數據及其他重要資料的集中度遠高于其他行業領域.當下，黑客將攻擊目標指向公安機關主要是因為公安信息的高價值性或出于政治目的.公安機關是大量公共信息及國家安全信息的承載者，加之公安信息權威性強、覆蓋面廣，公安機關信息系統、數據庫等遭到外部惡意攻擊日益增多.公安機關信息系統面臨的外部攻擊主要包括黑客、病毒、網頁篡改、惡意程序、APT攻擊等，這些惡意攻擊給公安機關信息安全工作帶來了嚴峻的挑戰.

2) 軟硬件進口及服務外包安全威脅(T2).

軟硬件安全是公安機關信息安全的重要一環.目前，公安機關信息系統軟硬件設施還未達到完全國產化，很多核心基礎設施及關鍵技術設備依賴于從國外進口.其他國家及敵對勢力很容易通過這些進口設施對公安機關信息系統進行信息竊取、網絡監聽、遠程控制，對信息安全造成嚴重影響.除此之外，公安機關的計算機及網絡運維服務往往交予外包供應商進行管理，外包供應商可以訪問到公安機關的敏感信息，并全面了解公安機關信息系統的安全狀況，這些信息如果被有意或無意外傳，將對公安機關信息安全造成巨大損失.軟硬件進口及相關服務外包加大了公安機關信息安全風險.

3) 新技術的廣泛運用對信息安全提出更高的要求(T3).

當前，大數據、云計算等先進技術被公安機關所應用，這些技術優化了警務資源，提升了警務效能，創新了警務機制，成為警務發展的全新方向[8].但任何事物都具有兩面性，許多公安機關對大數據和云計算的實施都處在嘗試階段，如果未能做好信息安全的風險預防和控制管理，在面對突發風險時會因為經驗不足而造成巨大損失.隨著公安機關信息化建設的深入，云計算信息安全問題逐漸凸顯，一些信息系統部署在云上，海量數據信息存儲在云中，云計算的跨時區分布、資源共享等特性會給信息安全帶來隱患[9].大數據時代下的信息泄露途徑及網絡攻擊更加隱匿，對現有的信息保護措施提出了挑戰，且大數據本身也容易成為網絡攻擊的顯著目標，成為高級持續性攻擊的載體，大數據加大了信息泄露風險.大數據、云計算等技術的運用給公安機關信息安全帶來新的威脅.

4 公安機關信息安全問題的AHP分析法

4.1 AHP分析法簡介

層次分析法(簡稱AHP)是將與決策相關的元素按照目標、準則、方案等進行層次排列，在此基礎上進行定性和定量分析的決策方法[10].層次分析法可以將復雜的系統層次化，逐層比較、分析各關聯因素的重要性，為最終的決策提供定量依據.

4.2 AHP分析過程

4.2.1 層次分析模型構建

根據SWOT分析結果，將公安機關信息安全問題作為目標層，將內部優勢、劣勢，外部機會、威脅作為準則層，把各具體影響因素作為底層方案層，構建的層次分析模型如表1所示:

表1 AHP層次分析模型

4.2.2 權重計算及一致性檢驗步驟

通過專家咨詢法結合問卷調研方式，根據美國國家工程院院士Saaty的1～9標度法，以上層要素為依據，對下層要素的重要性進行兩兩比較并構建判斷矩陣.利用方根法對判斷矩陣的相對權重進行計算，并進行一致性檢驗，具體計算步驟如下.相對重要程度尺度表如表2所示:

表2 相對重要程度尺度表[11]

1) 構建判斷矩陣Aij，計算判斷矩陣各行元素的乘積Wi及Wi的n次方根Ei：

(1)

(2)

2) 對判斷矩陣進行一致性檢驗

一致性指標CI=(λmax-n)(n-1),一致性比例CR=CIRI,如果CR<0.1，則認為判斷矩陣的一致性可以接受，否則需要對判斷矩陣進行修正.平均隨機一致性指標RI的取值如表3所示:

表3 平均隨機一致性指標表[12]

4.2.3 計算權重并進行一致性檢驗

根據調查問卷結果結合專家意見，構建5個判斷矩陣，如表4～8所示:

表4 公安機關信息安全對策層判斷矩陣

表5 內部優勢準則層判斷矩陣

表6 內部劣勢準則層判斷矩陣

表7 外部機會準則層判斷矩陣

表8 外部威脅準則層判斷矩陣

根據上文所述公式用Excel計算相對權重并進行一致性檢驗.相對權重及一致性檢驗結果如表9所示,對策層判斷矩陣的一致性比例CR=0.079 4，各判斷矩陣均通過一致性檢驗.

表9 相對權重及一致性檢驗結果

4.2.4 權重結果分析

根據權重計算結果可以發現：在1級指標中內部優勢權重最大，然后依次是外部機會和內部劣勢，外部威脅權重最小.對組織內部來說，內部優勢對信息安全的影響較內部劣勢大，對于外部環境來說外部機會占有更重要的地位.此外，在內部優勢的影響因素中S3的權重較大，因此應該進一步發揮該方面的優勢，即要進一步加強信息安全基礎保障工作.在內部劣勢的影響因素中W2占據重要地位，因此要努力消除該劣勢，即要加強信息安全管理制度建設.在外部機會的影響因素中O2的權重明顯大于其他因素，因此應努力利用該方面的機會，即要積極向公安機關信息系統引入先進的信息安全保護技術.在外部威脅的影響因素中T1的權重較大，因此應最大程度規避此威脅，即要防范信息系統外部的惡意攻擊.公安機關信息安全工作應依托于內部優勢，抓住外部發展機遇，克服自身劣勢，削減外部威脅.

5 公安機關信息安全問題對策建議

5.1 推進信息安全保障工作，建立健全信息安全管理制度

公安機關在日常信息安全保障工作中，應注意對操作系統、網絡管理系統等的漏洞、安全補丁檢查及補修，對系統設備及網絡安全等情況進行定期檢查并做好記錄，做好病毒防治工作.當信息安全事件發生時，這些基礎工作有助于幫助公安機關迅速對惡意攻擊進行定位，能有效增強公安機關處理突發事件的能力.此外，公安機關在信息化建設過程中要把信息安全放在突出地位，建立健全信息安全管理制度.各級公安機關應結合自身信息安全工作情況，確定信息安全總體工作方針，積極構建權責分明的信息安全管理制度.信息安全管理制度應涵蓋信息安全策略、信息資產管理、物理及環境管理、網絡安全管理、介質管理、人員安全管理、安全培養與考核、數據備份與恢復、信息安全事件處置及日常信息安全檢查機制等方面.管理制度建設有利于信息安全保護工作的程序化和標準化開展，能夠保證信息安全保護工作的規范高效.

5.2 提高工作人員信息安全意識，加強第三方安全管理

公安機關應加強工作人員信息安全意識培養，定期對公安機關工作人員進行計算機技能、安全意識教育、培訓.培訓及教育內容應包括信息安全系統安全性要求、信息設備的正常使用、信息安全管理要求、信息保密責任、信息安全守則、信息安全事故報告及處理程序、移動存儲介質管理要求、賬號密碼及數字證書管理要求、安全事件發生時的應對措施等.除此之外，公安機關應從業務水平、遵守安全規章、工作表現等方面對其進行考核，對違反管理要求的工作人員進行懲處.加強對公安機關工作人員的教育、培訓，規范其工作行為，有助于提高信息系統的安全指數，降低外部威脅、不給外部惡意攻擊以可乘之機.公關機關還應加強軟硬件提供商及網絡服務外包商管理制度建設，明確其職責、義務和需要遵守的規定，并對其對信息系統安全的威脅進行風險評估.以上工作能增強信息系統安全性能，最大限度降低公安信息系統安全威脅.

5.3 引入先進信息安全保護技術，培養信息安全專業人才

公安機關應引入先進的信息安全保護技術，防范信息系統安全威脅：首先應運用入侵檢測預警技術對信息系統進行監控，準確識別、有效預警并及時攔截外部的惡意攻擊；其次對于數據信息的保護，引入區塊鏈、數字水印或公私有密鑰體系等技術，防止數據被竊取、篡改，確保數據信息傳輸、存儲安全.完善“一機兩用”監控技術，通過檢測各聯機主機的安全狀況，監控公安信息系統網絡中的不安全行為并進行記錄警告，降低公安網絡安全風險.公安機關應增加資金投入，努力培養和挖掘適應大數據等先進技術的信息安全專業人才.專業技術人才掌握數據采集、處理、存儲及大數據安全知識，擁有大數據安全架構設計及安全管理能力，能夠發現網絡設備及數據庫等關鍵信息的異常現象，能夠進行信息安全技術的研究與開發.大數據等信息安全專業人才的培養對信息安全問題的防范與解決起到了重要作用，能夠保障信息系統安全、穩定地運行.

5.4 加大信息系統軟硬件建設，提高信息系統安全水平

軟硬件安全直接決定了整個系統的信息安全，公安機關應發揮信息化建設優勢，加強信息系統軟硬件建設，增加軟硬件資金投入.在軟硬件的采購上首先應考慮其穩定性、可用性和安全性，盡量選擇國產的可靠性強的設備，最大限度降低信息泄露風險.公安機關應同時加強對軟硬件的更新升級和管理維護.對于硬件設施要確保機房設備的安全，引入防電磁輻射等保護性設備.對于計算機軟件注意軟件與計算機兼容問題，在安裝之前要進行病毒掃描，定期對軟件漏洞進行修補.加強軟硬件建設能夠提升公安機關信息系統安全防范能力，使信息系統保持安全穩定的運行狀態.

6 結 語

公安機關保障信息安全，提高信息系統安全性是開展公安信息化建設的有力保障，是維護公民利益，保護國家安全，維持公安工作正常運行的必然要求.本文綜合運用SWOT-AHP方法對公安機關信息安全問題展開分析，應用SWOT方法理念分析公安機關信息安全的內外部環境因素，利用AHP方法建立內外部環境因素的層次分析模型，提高了分析的科學性和客觀性，最終根據具體分析結果，提出了針對公安機關信息安全問題的對策建議，能夠為公安機關信息安全工作提供一定的參考和借鑒.