【安防知識(shí)網(wǎng)】：隨著公安機(jī)關(guān)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)的快速發(fā)展，公安網(wǎng)絡(luò)的使用率和依賴(lài)程度不斷提高。當(dāng)前，為保障公安網(wǎng)絡(luò)的正常運(yùn)行、規(guī)范公安網(wǎng)計(jì)算機(jī)使用主要依靠各級(jí)部門(mén)建設(shè)的規(guī)章制度，但是，僅僅依靠制度性措施很難杜絕公安網(wǎng)計(jì)算機(jī)違規(guī)行為的發(fā)生。因此，采用網(wǎng)絡(luò)行為管理和桌面管理的技術(shù)性手段規(guī)范公安網(wǎng)絡(luò)行為，堵塞網(wǎng)絡(luò)運(yùn)行中存在的各種隱患和漏洞，成為當(dāng)前一項(xiàng)重要的課題。

        PKI／PMI公安專(zhuān)網(wǎng)監(jiān)控管理系統(tǒng)借助現(xiàn)有網(wǎng)絡(luò)行為管理和桌面管理軟件資源，研究開(kāi)發(fā)利用公安數(shù)字身份證書(shū)實(shí)現(xiàn)對(duì)公安網(wǎng)計(jì)算機(jī)管理到人，利用技術(shù)手段實(shí)現(xiàn)對(duì)公安網(wǎng)計(jì)算機(jī)的管理和控制，實(shí)現(xiàn)公安網(wǎng)絡(luò)管理的自動(dòng)化和科學(xué)化，將以往違規(guī)問(wèn)題事后處理、安全事故事后解決變成事前杜絕和防范，為公安網(wǎng)計(jì)算機(jī)的規(guī)范使用、公安網(wǎng)絡(luò)的安全高效運(yùn)行提供有力保障。

        當(dāng)前，南開(kāi)分局三級(jí)計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)取得了較快發(fā)展，公安網(wǎng)絡(luò)的使用率和依賴(lài)程度不斷提高。為了保障公安網(wǎng)絡(luò)的正常運(yùn)行，分局建立了多項(xiàng)網(wǎng)絡(luò)使用的規(guī)章制度，落實(shí)了網(wǎng)絡(luò)日常維護(hù)和安全監(jiān)控的各項(xiàng)工作措施，網(wǎng)絡(luò)的日常運(yùn)行和應(yīng)用平穩(wěn)正常。但是，公安網(wǎng)絡(luò)使用過(guò)程中的一些違規(guī)行為仍有發(fā)生，一些隱患和漏洞仍然存在，威脅和阻礙著網(wǎng)絡(luò)的安全和正常運(yùn)行。因此，加強(qiáng)公安網(wǎng)絡(luò)行為管理，規(guī)范公安網(wǎng)絡(luò)行為，堵塞網(wǎng)絡(luò)運(yùn)行中存在的各種隱患和漏洞，成為當(dāng)前一項(xiàng)重要而迫切的任務(wù)。

公安網(wǎng)絡(luò)使用中存在的主要問(wèn)題和隱患
        綜合來(lái)看，公安網(wǎng)絡(luò)的使用主要存在以下幾個(gè)問(wèn)題。   
         一、信息安全隱患。分局各單位中的大部分信息資料是存儲(chǔ)在計(jì)算機(jī)中的，所以，加強(qiáng)對(duì)存有重要資料數(shù)據(jù)的計(jì)算機(jī)的保護(hù)，杜絕安全隱患就成為十分重要的問(wèn)題。首先要考慮內(nèi)部人員對(duì)重要信息的泄露，其次是外部人員對(duì)信息的拷貝。

         二、軟硬件資產(chǎn)管理問(wèn)題。計(jì)算機(jī)使用者常會(huì)有意無(wú)意地破壞或更換計(jì)算機(jī)的硬件設(shè)備，硬盤(pán)、內(nèi)存條丟失時(shí)有發(fā)生，或隨意安裝盜版軟件，這不僅是單位硬件資產(chǎn)上的損失，更嚴(yán)重的后果是無(wú)形的信息技術(shù)資產(chǎn)的流失以及侵權(quán)行為的產(chǎn)生。

        三、管理員維護(hù)工作繁重。分局網(wǎng)內(nèi)不斷增加新的計(jì)算機(jī)，一些基層單位的民警計(jì)算機(jī)和網(wǎng)絡(luò)維護(hù)知識(shí)又比較薄弱，因此網(wǎng)絡(luò)管理員的日常維護(hù)工作十分繁重，難以及時(shí)對(duì)數(shù)量龐大的計(jì)算機(jī)進(jìn)行維護(hù)和維修，更難以隨時(shí)對(duì)計(jì)算機(jī)使用情況開(kāi)展監(jiān)控。

        四、利用公安網(wǎng)絡(luò)從事與工作無(wú)關(guān)的活動(dòng)。目前公安網(wǎng)絡(luò)已經(jīng)成為民警日常工作中獲取和傳遞信息的主要途徑，為公安工作提供了便利和快捷的通信手段。分局局域網(wǎng)內(nèi)的計(jì)算機(jī)作為提高辦公效率工具的同時(shí)也出現(xiàn)玩游戲以及安裝使用“迅雷”等違規(guī)軟件的現(xiàn)象。這些與工作無(wú)關(guān)的計(jì)算機(jī)行為是引入病毒、網(wǎng)絡(luò)攻擊等有害結(jié)果的主要原因，還會(huì)占用大量計(jì)算機(jī)資源并浪費(fèi)工作時(shí)間。與此同時(shí)，公安網(wǎng)絡(luò)上也存在著一些與公安工作無(wú)關(guān)的網(wǎng)頁(yè)和內(nèi)容，一些民警在工作時(shí)間瀏覽與公安工作無(wú)關(guān)的網(wǎng)頁(yè)，影響了正常的工作。由于缺乏一定的權(quán)限管理和瀏覽限制，這種行為很難有效制約。

產(chǎn)生問(wèn)題和隱患的主要原因
        那么，產(chǎn)生上述問(wèn)題的主要原因可以從以下三方面來(lái)看。

        第一，缺乏主動(dòng)防御的機(jī)制和措施。目前我分局已經(jīng)建立了比較完善的網(wǎng)絡(luò)管理行政制度，并且采取了一些安全監(jiān)控措施，但是目前公安網(wǎng)絡(luò)的管理和監(jiān)控還停留在事后發(fā)現(xiàn)問(wèn)題的階段，網(wǎng)絡(luò)管理人員的日常維護(hù)工作繁瑣，疲于應(yīng)付各種安全和日常維護(hù)事件，缺乏對(duì)安裝和運(yùn)行游戲、違規(guī)軟件，感染計(jì)算機(jī)病毒等行為和安全隱患進(jìn)行主動(dòng)防御的機(jī)制和手段，因此難以從源頭上杜絕違規(guī)行為和安全隱患。

        第二，個(gè)別存在遵守規(guī)章制度的自覺(jué)性不強(qiáng)。我分局按照公安部和市局的有關(guān)要求，制定下發(fā)了公安網(wǎng)絡(luò)使用管理的規(guī)章制度，并多次下發(fā)通知規(guī)范公安網(wǎng)絡(luò)的使用，定期進(jìn)行督促、檢查。但個(gè)別民警對(duì)網(wǎng)絡(luò)違規(guī)行為的危害性認(rèn)識(shí)不夠，遵守規(guī)章制度的自覺(jué)性不強(qiáng)，造成了個(gè)別違規(guī)事件的發(fā)生。

        第三，民警計(jì)算機(jī)和網(wǎng)絡(luò)維護(hù)知識(shí)欠缺。目前一部分民警計(jì)算機(jī)及網(wǎng)絡(luò)的使用和維護(hù)知識(shí)相對(duì)欠缺，對(duì)于計(jì)算機(jī)病毒防治、信息安全保障等方面的措施掌握很少，造成網(wǎng)絡(luò)管理員日常維護(hù)、故障維修等工作量很大，影響了網(wǎng)絡(luò)監(jiān)控工作的開(kāi)展。[nextpage]

加強(qiáng)公安網(wǎng)絡(luò)行為管理的工作對(duì)策
        為確保公安網(wǎng)絡(luò)的安全、高效運(yùn)行，應(yīng)當(dāng)在制度規(guī)范的同時(shí)，變以往事后查為事前主動(dòng)防御。我分局使用相關(guān)的網(wǎng)絡(luò)管理軟件及硬件設(shè)備，利用技術(shù)手段進(jìn)行上網(wǎng)行為審計(jì)、應(yīng)用程序安裝和使用控制、網(wǎng)內(nèi)共享資源管理和端口監(jiān)測(cè)、外部存儲(chǔ)設(shè)備管理、遠(yuǎn)程網(wǎng)絡(luò)配置、硬件和軟件信息統(tǒng)計(jì)，實(shí)現(xiàn)杜絕網(wǎng)絡(luò)違規(guī)行為、記錄并審計(jì)違規(guī)行為，同時(shí)建立PKI／PMI認(rèn)證制度可以實(shí)現(xiàn)對(duì)上網(wǎng)行為的制約和對(duì)違規(guī)行為的事后調(diào)查。

使用“內(nèi)網(wǎng)管理系統(tǒng)"加強(qiáng)對(duì)分局公安網(wǎng)絡(luò)行為的管理
        本系統(tǒng)在網(wǎng)絡(luò)中安裝數(shù)據(jù)庫(kù)，用于存儲(chǔ)網(wǎng)絡(luò)客戶端設(shè)備信息。當(dāng)上述系統(tǒng)數(shù)據(jù)庫(kù)、網(wǎng)頁(yè)管理平臺(tái)、區(qū)域管理器安裝完畢后，即可以對(duì)網(wǎng)絡(luò)中客戶端進(jìn)行注冊(cè)。用戶在取得注冊(cè)程序，執(zhí)行后添加計(jì)算機(jī)使用信息，如使用人姓名、單位、聯(lián)系方式等，注冊(cè)程序自動(dòng)采集系統(tǒng)的硬件設(shè)備信息，經(jīng)過(guò)區(qū)域管理器處理后存入數(shù)據(jù)庫(kù)，同時(shí)區(qū)域管理器將代理駐留程序發(fā)送到計(jì)算機(jī)終端，實(shí)時(shí)運(yùn)行。通過(guò)探頭、區(qū)域掃描器等對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)連接行為實(shí)施探測(cè)，根據(jù)需要發(fā)送本機(jī)缺少的相關(guān)系統(tǒng)補(bǔ)丁、安全策略、命令或文件等，在遇到數(shù)據(jù)庫(kù)中定義的非法行為時(shí)實(shí)施阻斷。具體來(lái)說(shuō)包括以下五點(diǎn)。

        1、加強(qiáng)進(jìn)程及軟件管理。一是針對(duì)已知的300余種游戲軟件安裝程序信息，制定出軟件安裝監(jiān)控策略，包括大型網(wǎng)絡(luò)游戲、單機(jī)游戲、小型桌面游戲，一旦公安網(wǎng)計(jì)算機(jī)安裝這些游戲，系統(tǒng)將自動(dòng)阻止。同時(shí)制定“游戲進(jìn)程執(zhí)行監(jiān)控”策略，將具有進(jìn)程的近100種游戲添加到策略中，一旦公安網(wǎng)計(jì)算機(jī)運(yùn)行這些游戲，系統(tǒng)將自動(dòng)阻止。此策略是軟件安裝監(jiān)控的補(bǔ)充，防止人為斷開(kāi)網(wǎng)絡(luò)安裝游戲。以上兩種策略有效避免了此類(lèi)違規(guī)行為的發(fā)生。二是根據(jù)市局關(guān)于公安網(wǎng)絡(luò)運(yùn)行管理的有關(guān)通知要求，公安網(wǎng)絡(luò)中嚴(yán)禁使用迅雷、電驢等P2P類(lèi)下載工具。針對(duì)這一規(guī)定，制定了違規(guī)軟件安裝監(jiān)控和進(jìn)程執(zhí)行監(jiān)控策略，使違規(guī)軟件無(wú)法正常安裝和運(yùn)行，有效防止了此類(lèi)違規(guī)事件的發(fā)生。

        2、加強(qiáng)對(duì)計(jì)算機(jī)病毒的防控。一是制定病毒監(jiān)控策略，將已知的病毒進(jìn)程、木馬的服務(wù)名稱(chēng)添加到策略中，防止了眾多病毒和木馬程序的運(yùn)行；二是每三天更新一次分局病毒庫(kù)并制定瑞星進(jìn)程執(zhí)行監(jiān)控策略，控制每臺(tái)公安網(wǎng)計(jì)算機(jī)必須運(yùn)行瑞星殺毒軟件，防止瑞星程序因人為或病毒原因停止運(yùn)行；三是每周通過(guò)漏洞掃描程序進(jìn)行分局網(wǎng)段內(nèi)漏洞掃描，根據(jù)服務(wù)器、計(jì)算機(jī)漏洞情況制定“補(bǔ)丁分發(fā)策略”，提供客戶端補(bǔ)丁的自動(dòng)下載及安裝，同時(shí)制定分發(fā)時(shí)間、補(bǔ)丁檢測(cè)周期、運(yùn)行參數(shù)、運(yùn)行形式等策略，發(fā)送到網(wǎng)絡(luò)客戶端統(tǒng)一執(zhí)行。

        3、加強(qiáng)安全管理。一是利用“主機(jī)安全策略”對(duì)公安網(wǎng)計(jì)算機(jī)的用戶密碼、用戶權(quán)限、IP與MAC綁定、硬件設(shè)備接口等進(jìn)行監(jiān)控，使計(jì)算機(jī)設(shè)置密碼符合要求，監(jiān)控用戶、用戶組和用戶權(quán)限的變化，監(jiān)控選定用戶計(jì)算機(jī)在網(wǎng)絡(luò)上的地址和其MAC地址的變化情況，控制和管理硬件設(shè)備。二是利用“違規(guī)外聯(lián)監(jiān)控策略”進(jìn)行“一機(jī)兩用”監(jiān)控，檢測(cè)計(jì)算機(jī)的網(wǎng)絡(luò)使用是否符合制定的原則，對(duì)不符合原則的計(jì)算機(jī)進(jìn)行處理，及時(shí)發(fā)現(xiàn)違反“一機(jī)兩用”規(guī)定的行為。三是利用“終端配置策略“進(jìn)行終端代理掃描、ARP阻斷以及各種信息的上報(bào)等設(shè)置，實(shí)現(xiàn)服務(wù)器對(duì)客戶端的點(diǎn)對(duì)點(diǎn)控制。

        4、加強(qiáng)流量管理。制定“流量管理策略”進(jìn)行流量采樣和流量控制，通過(guò)設(shè)置選定用戶計(jì)算機(jī)網(wǎng)絡(luò)的平均流量和并發(fā)連接數(shù)，以及可疑發(fā)包等網(wǎng)絡(luò)流量策略來(lái)審計(jì)網(wǎng)絡(luò)的使用，并根據(jù)系統(tǒng)對(duì)選定用戶網(wǎng)絡(luò)使用的監(jiān)測(cè)，協(xié)調(diào)整個(gè)網(wǎng)絡(luò)的流量。

        5、增加其他管理功能。開(kāi)發(fā)審計(jì)訪問(wèn)分局網(wǎng)段內(nèi)網(wǎng)頁(yè)情況的功能，該功能使客戶端能夠向服務(wù)器上報(bào)上網(wǎng)時(shí)間、URL、IP地址、MAC地址。

接入上網(wǎng)行為管理設(shè)備
        上網(wǎng)行為管理設(shè)備采用旁路方式接入分局網(wǎng)絡(luò)，將用戶的網(wǎng)絡(luò)交換機(jī)中一個(gè)可用的端口設(shè)置為鏡像方式，然后將鏡像端口連接到網(wǎng)絡(luò)審計(jì)引擎其中一個(gè)偵采集接口上，不影響網(wǎng)絡(luò)性能。分局網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)訪問(wèn)分局以外的網(wǎng)站、主頁(yè)均通過(guò)此設(shè)備實(shí)時(shí)審計(jì)，網(wǎng)絡(luò)管理員可以第一時(shí)間看到關(guān)心的審計(jì)內(nèi)容，針對(duì)不同類(lèi)型的審計(jì)結(jié)果可以輸出報(bào)表。具有高效采集和組報(bào)技術(shù)，完整記錄網(wǎng)絡(luò)會(huì)話過(guò)程。深層次的信息內(nèi)容分析技術(shù)，對(duì)信息內(nèi)容全文(包括網(wǎng)頁(yè)、郵件正文與附件、BBS、FTP、0ffice文件，RAR，ZIP等)進(jìn)行關(guān)鍵詞、組合詞、條件組合詞和模糊詞的內(nèi)容搜索匹配。

PKI／PMI二次開(kāi)發(fā)
        分局組織技術(shù)力量利用現(xiàn)有的公安數(shù)字證書(shū)進(jìn)行二次開(kāi)發(fā)，將PKI的身份認(rèn)證信息與“一機(jī)兩用”監(jiān)控系統(tǒng)和行為管理設(shè)備建立關(guān)聯(lián)，建立一套完整的PKI／PMI公安專(zhuān)網(wǎng)監(jiān)控管理系統(tǒng)。民警使用計(jì)算機(jī)時(shí)必須使用PKI／PMI證書(shū)，經(jīng)過(guò)身份認(rèn)證后，民警使用計(jì)算機(jī)的情況將被認(rèn)證系統(tǒng)記錄，這樣民警的違規(guī)上網(wǎng)行為將受到制約，一旦出現(xiàn)問(wèn)題也便于排查。該項(xiàng)目借助網(wǎng)絡(luò)行為管理、桌面管理軟件、PKI/PMI數(shù)字證書(shū)等資源實(shí)現(xiàn)了對(duì)公安網(wǎng)計(jì)算機(jī)的管理和控制，對(duì)公安網(wǎng)計(jì)算機(jī)管理到人，有效控制了各類(lèi)違規(guī)行為，將以往違規(guī)問(wèn)題事后處理、安全事故事后解決變成事前杜絕和防范。(作者:天津市公安分局南開(kāi)分局  劉莎)