肖 翔
(中國人民公安大學(xué),北京 100038)
21世紀(jì),人類已經(jīng)進(jìn)入了信息化時代,信息技術(shù)在社會生活中的應(yīng)用越來越廣泛。社會發(fā)展對于信息化依賴程度的日益增大使得信息安全問題成為影響信息化發(fā)展和應(yīng)用的重要因素。在公安機(jī)關(guān),由于其工作性質(zhì)的特殊性,公安信息安全將面臨著更嚴(yán)格的要求和更嚴(yán)峻的考驗(yàn),因此,公安信息的安全性成為迫切需要解決的問題。
為了維護(hù)公安信息安全,確保公安工作正常進(jìn)行,公安信息安全保障工作必須因時而動,緊跟社會發(fā)展形勢。公安理論表明,有效的公安信息安全保障措施對公安信息的安全將是一道有力的保護(hù)屏障。在大力建設(shè)公安信息化的今天,公安信息安全保障問題備受關(guān)注。
公安信息的安全是信息安全的一部分,屬于行業(yè)信息安全問題,它是一種綜合性的安全,涉及公安計算機(jī)及其相關(guān)的配套設(shè)備和公安專用網(wǎng)絡(luò)的安全、運(yùn)行環(huán)境的安全、運(yùn)行環(huán)境的安全信息的安全以及公安計算機(jī)及其網(wǎng)絡(luò)功能的正常發(fā)揮。確保公安信息的安全就是要實(shí)現(xiàn)系統(tǒng)內(nèi)信息的保密、完整、真實(shí)、可用。公安信息安全的基本內(nèi)容具體包括以下內(nèi)容。
信息或數(shù)據(jù)經(jīng)過加密變換后,將明文變成密文形式,表面上無法識別,只有那些經(jīng)過授權(quán)的合法用戶掌握密鑰,才能通過解密算法將密文還原成明文。而未授權(quán)的用戶因?yàn)椴恢烂荑€,而無法獲得明文的信息,從而起到對信息保密的作用。
完整性指的是將信息或數(shù)據(jù)附加上特定的信息塊,系統(tǒng)可以用這個信息塊檢驗(yàn)數(shù)據(jù)信息的完整性,特點(diǎn)是信息塊的內(nèi)容通常是原信息或數(shù)據(jù)的函數(shù)。只有那些經(jīng)過授權(quán)的用戶,才允許對數(shù)據(jù)或信息進(jìn)行增加、刪除和修改。而未經(jīng)過授權(quán)的用戶,只要對數(shù)據(jù)或信息進(jìn)行改動就會立刻被發(fā)現(xiàn),同時系統(tǒng)會自動采取保護(hù)措施,確保信息的完整性。
真實(shí)性指的是防止系統(tǒng)內(nèi)的信息感染病毒。由于計算機(jī)病毒泛濫,目前已經(jīng)很難保證計算機(jī)系統(tǒng)內(nèi)的信息不被病毒侵害,因此,要保障信息安全就必須使用防病毒技術(shù),通過人工方法和高效反病毒軟件,隨時監(jiān)測計算機(jī)系統(tǒng)內(nèi)的數(shù)據(jù)文件是否感染病毒,一旦發(fā)現(xiàn)應(yīng)及時清除,以確保信息的真實(shí)可靠。
可用性指的是安全系統(tǒng)能夠?qū)τ脩羰跈?quán),提供其某些服務(wù),即經(jīng)過授權(quán)的用戶可以得到系統(tǒng)資源,并且享受到系統(tǒng)提供的服務(wù)。防止非法地址或拒絕對系統(tǒng)資源、系統(tǒng)服務(wù)的訪問和利用,增強(qiáng)系統(tǒng)的效用。
當(dāng)今信息技術(shù)的飛速發(fā)展,可以說是日新月異,竊密與反竊密的斗爭日趨尖銳、激烈。隨著我國經(jīng)濟(jì)社會的高速發(fā)展,中國在國際上的重要地位日益顯現(xiàn),西方敵對勢力把戰(zhàn)略的重點(diǎn)轉(zhuǎn)移到了中國,不擇手段地對我國進(jìn)行滲透、策反和竊密活動,并通過各種渠道竊取、刺探和搜集我國政治、經(jīng)濟(jì)、軍事、科技、外交等各個領(lǐng)域的國家秘密。公安機(jī)關(guān)擔(dān)負(fù)著鞏固共產(chǎn)黨執(zhí)政地位、維護(hù)國家長治久安、保障人民安居樂業(yè)的重大政治和社會責(zé)任,其性質(zhì)、特點(diǎn)和擔(dān)負(fù)的職責(zé)、任務(wù)決定了公安機(jī)關(guān)歷來就是境內(nèi)外敵對勢力滲透、破壞的重點(diǎn)目標(biāo),公安信息和網(wǎng)絡(luò)也必然是其攻擊和竊密對象中的重中之重,竊密與反竊密的斗爭也將日趨尖銳和激烈,公安信息的安全問題迫切需要解決。
近年來,尤其隨著公安信息化(金盾工程)建設(shè)的不斷發(fā)展,公安計算機(jī)信息網(wǎng)絡(luò)廣泛應(yīng)用于各項(xiàng)公安業(yè)務(wù),全國和各地方的公安網(wǎng)絡(luò)不斷接入,打防控、旅館業(yè)等應(yīng)用系統(tǒng)的建設(shè)不斷投入使用,為各項(xiàng)公安業(yè)務(wù)管理和打擊各類違法犯罪提供了快速、準(zhǔn)確、全面的服務(wù)??梢钥闯?新時期的公安工作對信息的依賴程度越來越高,對信息服務(wù)的準(zhǔn)確性和處理的及時性要求越來越強(qiáng),“網(wǎng)上追逃”、“網(wǎng)上打拐”等已成為基本的偵查破案手段,利用信息技術(shù)進(jìn)行破案在一些地方已成重要的破案手段之一,戶籍管理、交通管理、出入境管理等部門基本實(shí)現(xiàn)了網(wǎng)上辦公,不少地方公安機(jī)關(guān)實(shí)現(xiàn)了“文件網(wǎng)上傳,案件網(wǎng)上辦,考核網(wǎng)上評”,可以說,公安信息網(wǎng)絡(luò)已經(jīng)成為公安工作正常運(yùn)轉(zhuǎn)的重要載體,成為打擊、防范、管理、服務(wù)不可缺少的重要工具。
而且,公安信息網(wǎng)作為我國政府的重要信息網(wǎng)之一,它在公安工作中的基礎(chǔ)性、全局性作用日益突顯,網(wǎng)絡(luò)和信息安全問題也日益凸顯。隨著國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈,全球范圍內(nèi)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)竊密和網(wǎng)上違法犯罪等問題日漸突出,公安信息網(wǎng)絡(luò)安全問題已成為與國家政治安全、經(jīng)濟(jì)安全、文化安全同等重要、事關(guān)國家安全的重大戰(zhàn)略問題。
公安信息網(wǎng)絡(luò)一旦發(fā)生安全問題,就會造成系統(tǒng)中斷、網(wǎng)絡(luò)癱瘓、病毒爆發(fā)或者重要信息數(shù)據(jù)丟失、泄露,勢必導(dǎo)致災(zāi)難性的后果,給公安工作的正常運(yùn)轉(zhuǎn)帶來重大損失。可以說,公安信息安全工作是公安工作的生命線,是做好公安工作和維護(hù)國家安全的重要保證。因此,加強(qiáng)公安信息的安全保障工作,確保公安信息網(wǎng)絡(luò)安全,已成為擺在我們面前的一項(xiàng)十分重要而又緊迫的任務(wù)。
1.管理人員。建立安全管理崗位,明確安全管理職責(zé),做好日常安全管理工作,針對發(fā)現(xiàn)的安全問題能夠及時果斷采取有效措施,確保公安計算機(jī)信息系統(tǒng)運(yùn)行穩(wěn)定暢通。加大專業(yè)技術(shù)培訓(xùn)力度,提高管理人員的技術(shù)水平,了解和掌握最新最前沿的安全防范技術(shù),制定更為有效的安全策略,是保證公安信息系統(tǒng)安全管理工作取得成效的重要保障。
2.普通使用者。廣大的普通民警是公安計算機(jī)信息系統(tǒng)的使用者,由于缺乏專業(yè)知識,大多數(shù)民警安全防范意識淡薄,日常應(yīng)用時時常發(fā)生錯誤操作、帶來重大的安全隱患,極易造成系統(tǒng)不可用。因此,各級公安機(jī)關(guān)要針對普通民警進(jìn)行基礎(chǔ)性的安全培訓(xùn)與教育,講解信息系統(tǒng)安全管理的重要性與必要性,講授安全防范措施,提高其安全意識,這不僅有利于安全管理制度的貫徹與落實(shí),而且能夠有效地降低系統(tǒng)安全風(fēng)險,是提高公安信息系統(tǒng)安全性最為有效的途徑。
3.加快信息安全人才培養(yǎng),建設(shè)專業(yè)的信息安全保障隊(duì)伍。要采取多種培訓(xùn)方式,培養(yǎng)精通信息安全防護(hù)的專業(yè)人才和熟悉信息攻防技術(shù)的復(fù)合型技術(shù)人才,逐步提高公安信息安全防護(hù)系統(tǒng)的建設(shè)質(zhì)量和水平。各級公安機(jī)關(guān)應(yīng)把信息安全隊(duì)伍建設(shè)作為發(fā)展安全保密事業(yè)的一項(xiàng)重要任務(wù),逐步建立起一支信息安全技術(shù)隊(duì)伍和公安信息安全保障管理以及應(yīng)急響應(yīng)處置隊(duì)伍,履行系統(tǒng)安全防護(hù)職責(zé),完善信息安全保障體系。
1.建立民警計算機(jī)操作技能、網(wǎng)絡(luò)安全知識的教育培訓(xùn)制度。針對當(dāng)前部分民警計算機(jī)基本知識匱乏、操作技能低下、網(wǎng)絡(luò)安全意識不強(qiáng)的現(xiàn)狀,有計劃、有針對性地開展培訓(xùn),使民警的教育培訓(xùn)制度化、規(guī)范化、系統(tǒng)化。不斷提高民警的計算機(jī)知識水平和操作技能,確保公安信息網(wǎng)絡(luò)安全。
2.建立網(wǎng)絡(luò)安全考核制度。根據(jù)制定的管理制度和規(guī)定,落實(shí)責(zé)任,把計算機(jī)病毒防范、安全管理、保密制度的落實(shí)情況等與實(shí)際工作捆綁考核,以監(jiān)督信息網(wǎng)絡(luò)安全責(zé)任的落實(shí),確保公安機(jī)關(guān)信息警務(wù)的健康發(fā)展。
3.建立針對移動存儲介質(zhì)的使用管理制度。嚴(yán)禁在未采取保密措施的情況下,在不同網(wǎng)絡(luò)中交叉使用同一移動存儲介質(zhì) (如 U盤、移動硬盤等),嚴(yán)禁將自帶的存儲設(shè)備 (個人 U盤、MP3、數(shù)碼相機(jī)、手機(jī)等)接入涉密網(wǎng)絡(luò)和內(nèi)部工作網(wǎng)絡(luò)。存儲有涉及公安機(jī)關(guān)秘密及其他重要資料信息的存儲介質(zhì)(如軟盤、光盤、U盤等),必須進(jìn)行登記、編號,按照所存儲涉密信息的最高密級標(biāo)示存儲介質(zhì)的密級,并集中指定專人妥善保管,不得隨意修改、復(fù)制、刪除、遺棄。
4.嚴(yán)格執(zhí)行內(nèi)、外網(wǎng)物理隔離制度,不得擅自將計算機(jī)及相關(guān)設(shè)備在內(nèi)外網(wǎng)上相互切換;確因工作需要使用內(nèi)外網(wǎng)網(wǎng)絡(luò)的,必須書面報本機(jī)關(guān)領(lǐng)導(dǎo)批準(zhǔn)同意,加裝內(nèi)外網(wǎng)絡(luò)物理隔離設(shè)備,經(jīng)檢查符合安全防范條件后方可使用。嚴(yán)禁在各級公安機(jī)關(guān)的計算機(jī)上擅自安裝使用調(diào)制解調(diào)器,無線網(wǎng)絡(luò)接收、發(fā)射裝置,上網(wǎng)手機(jī)以及其他可能危及公安網(wǎng)絡(luò)系統(tǒng)安全的設(shè)備。
1.物理隔離技術(shù)。實(shí)施網(wǎng)絡(luò)隔離是防止公安信息系統(tǒng)被入侵的最基本的措施,其方法主要是實(shí)施物理隔離,使局域網(wǎng)成為獨(dú)立封閉的網(wǎng)絡(luò)系統(tǒng)。公安信息網(wǎng)絡(luò)是公安機(jī)關(guān)內(nèi)部應(yīng)用網(wǎng)絡(luò),與互聯(lián)網(wǎng)和其他外網(wǎng)完全物理隔離。隨著公安工作發(fā)展的需要,大量數(shù)據(jù)需要在內(nèi)、外部網(wǎng)絡(luò)之間進(jìn)行傳輸,如何解決內(nèi)、外網(wǎng)絡(luò)物理隔離與數(shù)據(jù)傳輸之間的矛盾,成為亟待解決的新問題。網(wǎng)絡(luò)隔離網(wǎng)閘的出現(xiàn)很好地解決了這一問題,它使內(nèi)、外網(wǎng)絡(luò)相互隔離,利用高效的傳輸技術(shù),將通過安全檢查的外部數(shù)據(jù)傳送至內(nèi)部網(wǎng)絡(luò)中指定地址。此類產(chǎn)品還處于初步應(yīng)用階段,但其在網(wǎng)絡(luò)隔離方面的巨大作用日漸顯現(xiàn)出來。
2.防火墻與入侵檢測技術(shù)。防火墻是近年來維護(hù)計算機(jī)網(wǎng)絡(luò)安全的重要手段,用于監(jiān)視和控制可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的訪問通道。防火墻主要采用數(shù)據(jù)包過濾、服務(wù)代理和狀態(tài)分析三種技術(shù)。數(shù)據(jù)包過濾技術(shù)是防火墻技術(shù)的核心和基礎(chǔ),是指對可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的數(shù)據(jù)包進(jìn)行檢查,并按照既定規(guī)則判斷是否允許其到達(dá)目的地址。在公安計算機(jī)網(wǎng)絡(luò)中部署防火墻,根據(jù)信息安全保密級別的要求,將網(wǎng)絡(luò)劃分成具有不同安全級別的幾個部分,有針對性地實(shí)施安全策略,制定安全規(guī)則,能夠有效保護(hù)網(wǎng)絡(luò)資源不被破壞。
3.采用加密技術(shù),確保信息安全。數(shù)據(jù)加密的基本過程就是對原來的文件或數(shù)據(jù) (明文)按某種算法進(jìn)行處理,使其成為不可讀的一種代碼 (密文),使其只能在利用相應(yīng)的密鑰處理后才能看出本來的內(nèi)容(解密)?!靶畔⒓用堋痹诒Wo(hù)網(wǎng)絡(luò)安全尤其是數(shù)據(jù)信息的安全方面有著不可替代、無可比擬的作用。其主要措施有存儲加密、終端加密等。
4.對數(shù)據(jù)和軟件及時備份。備份數(shù)據(jù)也是保障信息安全的重要措施,當(dāng)系統(tǒng)受到攻擊或破壞,系統(tǒng)內(nèi)的數(shù)據(jù)丟失或無法使用后,可以啟用備份的軟件和數(shù)據(jù),確保數(shù)據(jù)的完整、可用。
公安信息安全的機(jī)制保障主要是指建立安全評估機(jī)制,對其進(jìn)行安全評估,確保公安信息的整體安全。
1.開展安全評估和檢測。建立安全評估機(jī)制,就要對目前的公安網(wǎng)絡(luò)進(jìn)行一次全面的安全評估和測試,查看公安信息的安全現(xiàn)狀如何,分析公安信息管理的整個業(yè)務(wù)流程上存在哪些風(fēng)險,有哪些信息需要保護(hù),找出在安全管理方面公安機(jī)關(guān)所面臨問題的主要癥結(jié),為保障公安信息的安全提供真實(shí)有效的依據(jù)。
2.根據(jù)安全評估和檢測的結(jié)果,制定相應(yīng)的政策和措施。
3.對建成的安全評估機(jī)制進(jìn)行安全審計。為保證公安機(jī)關(guān)的“安全評估機(jī)制”真正有效,還需接受第三方對信息安全系統(tǒng)進(jìn)行審計,收集并評估證據(jù)以判斷“安全評估機(jī)制”是否能有效保護(hù)信息資產(chǎn)、維護(hù)數(shù)據(jù)完整,并有效地完成組織目標(biāo)。通過信息系統(tǒng)審計的“安全評估機(jī)制”,才能成為組織可信賴的信息安全縱深防御體系。
4.對建成的“安全評估機(jī)制”進(jìn)行持續(xù)改進(jìn)。為保證“安全評估機(jī)制”長期、持續(xù)有效,我們不能把某一階段通過審計的“安全評估機(jī)制”看成是“萬里長城永不倒”,因?yàn)樾畔⒕W(wǎng)絡(luò)所處的內(nèi)外環(huán)境是不斷變化的,在這個不斷變化的環(huán)境中,我們要想把風(fēng)險控制在一個可以接受的范圍內(nèi),就要定期按照既定的建設(shè)步驟,對“安全評估機(jī)制”進(jìn)行持續(xù)的改進(jìn),使之在理論上、標(biāo)準(zhǔn)上及方法上與時俱進(jìn)。
公安部在2003年制定并頒布實(shí)施了《公安計算機(jī)信息系統(tǒng)安全保護(hù)規(guī)定》,其中第十二條就規(guī)定各級信息安全管理機(jī)構(gòu)和計算機(jī)使用單位應(yīng)當(dāng)依據(jù)《中華人民共和國計算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》以及該規(guī)定,制定保障公安計算機(jī)信息系統(tǒng)安全的管理制度。除此之外,公安部還下發(fā)了一系列有關(guān)的通知和規(guī)定,例如《公安部關(guān)于加強(qiáng)公安信息網(wǎng)規(guī)范化管理工作的通知》、《關(guān)于組織開展對公安信息網(wǎng)網(wǎng)上信息進(jìn)行清理的通知》、《關(guān)于加強(qiáng)公安信息網(wǎng)站對轉(zhuǎn)載新聞管理的通知》、《關(guān)于開展公安信息網(wǎng)安全檢查工作的通知》、《公安部關(guān)于禁止公安業(yè)務(wù)用計算機(jī)“一機(jī)兩用”的通知》、《關(guān)于加強(qiáng)公安信息網(wǎng)接入安全管理的通知》、公安部關(guān)于印發(fā)《公安機(jī)關(guān)人民警察使用公安信息網(wǎng)違規(guī)行為行政處分暫行規(guī)定》等等,這些通知和規(guī)定為公安信息的安全保障提供了有力的政策依據(jù)。
當(dāng)今社會,信息網(wǎng)絡(luò)技術(shù)使世界發(fā)生了徹底的改變,但其產(chǎn)生的安全問題已成為網(wǎng)絡(luò)應(yīng)用的巨大阻礙。信息網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性及信息系統(tǒng)的脆弱性,決定了信息網(wǎng)絡(luò)安全威脅的客觀存在,決定了安全與非安全的對抗將是一場持久戰(zhàn)。要解決好公安信息網(wǎng)絡(luò)安全問題,各級公安機(jī)關(guān)必須將法律、管理和技術(shù)等要素有機(jī)結(jié)合并形成合力,同時國家應(yīng)加快法律體系的建設(shè),強(qiáng)化安全管理體系,注重發(fā)揮協(xié)會等行業(yè)組織機(jī)構(gòu)的力量,重視自主技術(shù)研發(fā)。只有這樣,才能構(gòu)建一個全面的網(wǎng)絡(luò)安全防御體系,為國家的經(jīng)濟(jì)安全、文化安全、社會穩(wěn)定提供良好的網(wǎng)絡(luò)環(huán)境。
公安信息安全是一個持續(xù)不斷的動態(tài)過程,面對越來越嚴(yán)重的安全威脅,必須不斷增強(qiáng)管理部門和使用者的安全意識,普及公安信息安全知識,提高安全技術(shù)水平。只有嚴(yán)格按照公安部“三建,三防,一保障”的要求,建立一套完善的安全保障體系和安全機(jī)制,才能夠從根本上保障公安信息系統(tǒng)安全穩(wěn)定地運(yùn)行。
[1]林柏鋼.網(wǎng)絡(luò)與信息安全教程[M].北京:機(jī)械工業(yè)出版社,2004.