郭会茹，孙静静

（1.天津公安警官职业学院，天津 300382；2.安徽大学，安徽 合肥 230601）

公安网络信息安全及其防范措施的研究

郭会茹1，孙静静2

（1.天津公安警官职业学院，天津 300382；2.安徽大学，安徽 合肥 230601）

本文从公安网络安全的现状入手，对其目前存在的问题和威胁进行了分析研究，并针对性地提出了保障网络安全的技术与管理措施，从理论与实践两个层面对公安网络信息安全问题提出了建设性的解决途径.

公安网络；信息安全；安全管理

公安网络信息安全问题是公安部门网络系统建设必须考虑的首要问题.公安网络信息安全泛指公安网络系统如何保证其信息不受破坏，并在给定的时间和权限范围内提供保证质量的确定服务，其涉及面从保护数据安全扩大到保证交易安全、服务安全等诸多方面[1].

1 公安网络面临的安全威胁

公安网络是独立于互联网的应用专网，与外部互联网采用物理方式隔离.随着“金盾工程”建设的深入展开，目前，各地市基本上实现了市局、分局、派出所的三级联网.公安网络覆盖了广阔的地域范围，服务众多的公安干警，同时还与全国公安一级网互联，在如此复杂的应用环境下，任何内部人员的误操作或有故意的非法操作都可能导致信息的泄露或破坏.特别是公安网络目前在全市范围内是一个统一的网络，任何非法攻击者只要突破网络中最薄弱的一点就有机会访问到全国资源，对信息资源安全造成巨大的威胁.目前公安网络面临的安全威胁主要包括以下几个方面：

1.1 来自外部互联网的安全威胁

公安网络虽然没有与Int ernet互联，但基于Int ernet的开放性、国际性与自由性，我们的网络每天都有很多来自互联网的信息，其中间介质多为U盘、移动硬盘等，所以公安网络也面临严重的安全威胁.每天网络黑客都在试图闯入Int ernet节点，对有安全缺陷的网络进行攻击，对有价值的信息进行截取或者恶意篡改，如果我们的网络存在缺陷就有可能被攻击或者成为黑客入侵其他网络的跳板[2].公安网络中的办公系统及个人主机上一般都有涉密信息，假如网络的一台机器被攻击或者被病毒感染，就会影响在同一网络上的其他系统.

1.2 内部局域网的安全威胁

公安网络中主机登录和服务系统登录使用的是静态口令，口令在一定时间内是不变的，其在数据库中有存储记录，可以重复使用.这种访问机制无法真正实现将用户与其本人真实身份完全一一对应起来.如果口令控制不严就很容易造成敏感信息泄露、内部人员（合法用户）擅自扩大权限、越权访问公安系统机密信息、进行数据篡改等.非法用户也可以通过穷举攻击、重放攻击等手段得到静态口令，然后利用口令对公安系统内部资源非法访问或越权操作.

1.3 系统的安全风险

所谓系统安全通常是指操作系统、应用系统的安全.操作系统及应用系统软件不可能是百分之百的无缺陷、无漏洞.漏洞主要有：（1）操作系统的安全漏洞，包括操作系统的BUG、I/O非法访问、访问控制混乱等.（2）数据库及应用软件的安全漏洞，包括数据库文件格式、文件存放位置、口令加密机制等.（3）TCP/IP协议的安全漏洞，IPV4并未考虑安全性，这是IP网络不安全的主要原因.（4）网络软件和服务的安全漏洞，包括Finger漏洞、匿名FTP漏洞、Tel net漏洞、E-m ail漏洞等.（5）编程人员在软件中遗留下的“后门”.这些漏洞、缺陷以及“后门”正是黑客进行攻击的首选目标.一旦漏洞及“后门”被泄漏，就会造成公安网络信息丢失、丧失保密性、不能访问以及系统瘫痪等一系列安全问题.

1.4 应用的安全风险

公安网络内部有自动化办公系统.而办公网络常常使用共享网络资源，比如文件共享、打印机共享等.如果缺少必要的访问控制策略，工作人员就可能有意、无意的把硬盘中的重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部工作人员窃取并传播出去造成泄密.

1.5 管理的安全风险

管理层面的安全风险主要表现在安全组织的建设、安全管理策略和制度的制定与执行、人员的管理等方面.

1.5.1 管理的脆弱性 公安网络管理的脆弱性主要表象在缺乏针对性的安全策略、安全技术规范、安全事件应急计划，管理制度不完善，安全管理和运行维护组织不健全，对规章、制度落实的检查不够等.

1.5.2 安全组织建设风险 随着公安网络的发展，信息系统安全体系的建设对组织保障提出了更高的要求，公安信息系统各部门现有的机构设置、岗位设定、人员配备等不能完全满足对信息系统安全管理的需求，这些问题在很大程度上制约了安全体系建设的发展.

1.5.3 安全管理风险 安全管理制度的建设还不全面，用户、口令、权限的管理不严密，系统的安全配置一般都是缺省配置，风险很大.

1.5.4 人员管理风险 公安系统内部人员对网络信息安全的认识相对较高，但在具体执行和落实、安全防范的技能等方面还有待提高.

2 公安网络信息安全防范措施

保证公安网络安全运行的策略关键在于建立和完善公安网络信息安全防护体系，在技术层面上建立完整的网络安全解决方案，在管理层面上制定和落实一套严格的网络安全管理制度.二者之间，管理是基础，技术是保障.

2.1 技术措施

2.1.1 防火墙技术 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于局域网和专用网络.防火墙系统主要被部署在网络边界，可以实现安全的访问控制与边界隔离，防范攻击行为.

2.1.2 入侵检测技术和系统 入侵检测技术是通过从计算机网络和系统的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或遭到入侵的迹象，并依据既定的策略采取一定措施的技术[3].

入侵检测系统（IDS）是网络安全的第二道闸门，它与防火墙系统配合工作，在遇到可疑行为时向系统管理员报警.这些可疑的行为可能预示着将发生网络入侵活动或者显示网络入侵活动的结果.入侵检测系统能及时监控网络资源运行状况，为网络管理员及时提供网络入侵预警和防范解决方案，还使得对于检查黑客入侵，变得有迹可循，为用户采取进一步行动提供了强有力的技术支持.

2.1.3 安全审计系统 网络安全审计系统作为一个完整安全框架中的一个必要环节，一般在入侵检测系统之后，作为对防火墙系统和入侵检测系统的一个补充，其功能：首先它能够检测出某些特殊的IDS无法检测的入侵行为（比如时间跨度很大的长期攻击特征）；其次它可以对入侵行为进行记录并可以在任何时间对其进行再现以达到取证的目的；最后它可以用来提取一些未知的或者未被发现的入侵行为模式等.

2.1.4 漏洞扫描技术 对计算机系统进行漏洞扫描可帮助系统管理人员发现入侵者潜在的进入点.其原理是采用模拟黑客攻击的形式对目标（工作站、服务器、交换机、数据库应用等各种对象）可能存在的安全漏洞和弱点进行逐项扫描和检查，根据扫描结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平提供重要依据[4].

2.1.5 防病毒系统 作为网络防病毒系统需要对整个局域网内的服务器和计算机进行病毒防范，更加重要的是能够通过防病毒软件对网络进行集中管理和统一配置.具有一个完善的病毒防护管理体系，负责防病毒软件的自动升级、定时扫描、集中管理、日志记录等，保证整个网络范围内病毒防护体系的一致性、完整性、及时性.目前公安内网的防病毒系统还没有建立起来，基本上都是单机版的杀毒软件.

2.2 网络安全管理措施

一个完整的网络安全体系应该是安全管理和安全技术实施的结合，两者缺一不可.网络安全管理就是通过一系列的策略和制度来协调这二者之间的关系，明确技术实施和安全操作中相关人员的安全职责，从而达到对安全风险的及时发现和有效控制，提高安全问题发生时的反应速度和恢复能力，增强网络的整体安全保障能力.

2.2.1 健全信息安全管理制度 健全的安全管理制度是公安网络信息安全的重要保证.这些制度包括：密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等.建议成立专门信息安全管理和监督机构，人员包括领导和专业人员，按照不同任务进行分工，确立各自的职责.有了组织机构和相应的制度，还要将强领导、督促和检查工作，使制度真正落实到实处.

2.2.2 强化思想教育、提高安全意识.广大民警要认真学习有关安全管理制度和相关法律文件，增长网络安全保密知识，加强网络安全意识，提高网络安全认识.开展网络安全技术培训，提高全体民警的安全意识和安全技能，从深层次上杜绝安全事件的发生.

2.2.3 注重网络信息安全人才的培养.要培养一批高水平的网络管理人员，对网络系统运行期间出现的问题给予及时的响应和反馈，保障安全系统的长期稳定运行.防范网络安全事件的发生，提高对安全事件的反应处理能力，在网络安全事件发生时尽量减少事件造成的损失.

3 结束语

总之，网络安全是一项综合性的课题，它涉及技术、管理、应用等许多方面，既包括信息系统本身的安全问题，又有物理的和逻辑的技术措施.我们必须综合考虑安全因素，在采用各种安全技术控制措施的同时，制定层次化的安全策略，完善安全管理组织机构和人员配备，才能有效地实现网络信息的安全.同时，世界上不存在绝对安全的网络系统，随着计算机网络技术的发展，网络安全防范技术也必然随着网络应用的发展而不断发展.

〔1〕段莹.网络信息安全问题及对策[J].情报探索，2006（12）：65-66.

〔2〕公安部.信息安全等级保护培训教材[M].2007.

〔3〕徐涛.网络安全防范体系及设计原则分析[J].电脑知识与技术，2009,5(9):2089-2090.

〔4〕解永锋.保定市国税局网络信息系统安全分析与改进研究[D].天津大学，2004.

TP393.08

A

1673-260X（2011）08-0035-02