【安防知識網(wǎng)】：隨著公安機關計算機網(wǎng)絡建設的快速發(fā)展，公安網(wǎng)絡的使用率和依賴程度不斷提高。當前，為保障公安網(wǎng)絡的正常運行、規(guī)范公安網(wǎng)計算機使用主要依靠各級部門建設的規(guī)章制度，但是，僅僅依靠制度性措施很難杜絕公安網(wǎng)計算機違規(guī)行為的發(fā)生。因此，采用網(wǎng)絡行為管理和桌面管理的技術性手段規(guī)范公安網(wǎng)絡行為，堵塞網(wǎng)絡運行中存在的各種隱患和漏洞，成為當前一項重要的課題。

        PKI／PMI公安專網(wǎng)監(jiān)控管理系統(tǒng)借助現(xiàn)有網(wǎng)絡行為管理和桌面管理軟件資源，研究開發(fā)利用公安數(shù)字身份證書實現(xiàn)對公安網(wǎng)計算機管理到人，利用技術手段實現(xiàn)對公安網(wǎng)計算機的管理和控制，實現(xiàn)公安網(wǎng)絡管理的自動化和科學化，將以往違規(guī)問題事后處理、安全事故事后解決變成事前杜絕和防范，為公安網(wǎng)計算機的規(guī)范使用、公安網(wǎng)絡的安全高效運行提供有力保障。

        當前，南開分局三級計算機網(wǎng)絡建設取得了較快發(fā)展，公安網(wǎng)絡的使用率和依賴程度不斷提高。為了保障公安網(wǎng)絡的正常運行，分局建立了多項網(wǎng)絡使用的規(guī)章制度，落實了網(wǎng)絡日常維護和安全監(jiān)控的各項工作措施，網(wǎng)絡的日常運行和應用平穩(wěn)正常。但是，公安網(wǎng)絡使用過程中的一些違規(guī)行為仍有發(fā)生，一些隱患和漏洞仍然存在，威脅和阻礙著網(wǎng)絡的安全和正常運行。因此，加強公安網(wǎng)絡行為管理，規(guī)范公安網(wǎng)絡行為，堵塞網(wǎng)絡運行中存在的各種隱患和漏洞，成為當前一項重要而迫切的任務。

公安網(wǎng)絡使用中存在的主要問題和隱患
        綜合來看，公安網(wǎng)絡的使用主要存在以下幾個問題。   
         一、信息安全隱患。分局各單位中的大部分信息資料是存儲在計算機中的，所以，加強對存有重要資料數(shù)據(jù)的計算機的保護，杜絕安全隱患就成為十分重要的問題。首先要考慮內部人員對重要信息的泄露，其次是外部人員對信息的拷貝。

         二、軟硬件資產(chǎn)管理問題。計算機使用者常會有意無意地破壞或更換計算機的硬件設備，硬盤、內存條丟失時有發(fā)生，或隨意安裝盜版軟件，這不僅是單位硬件資產(chǎn)上的損失，更嚴重的后果是無形的信息技術資產(chǎn)的流失以及侵權行為的產(chǎn)生。

        三、管理員維護工作繁重。分局網(wǎng)內不斷增加新的計算機，一些基層單位的民警計算機和網(wǎng)絡維護知識又比較薄弱，因此網(wǎng)絡管理員的日常維護工作十分繁重，難以及時對數(shù)量龐大的計算機進行維護和維修，更難以隨時對計算機使用情況開展監(jiān)控。

        四、利用公安網(wǎng)絡從事與工作無關的活動。目前公安網(wǎng)絡已經(jīng)成為民警日常工作中獲取和傳遞信息的主要途徑，為公安工作提供了便利和快捷的通信手段。分局局域網(wǎng)內的計算機作為提高辦公效率工具的同時也出現(xiàn)玩游戲以及安裝使用“迅雷”等違規(guī)軟件的現(xiàn)象。這些與工作無關的計算機行為是引入病毒、網(wǎng)絡攻擊等有害結果的主要原因，還會占用大量計算機資源并浪費工作時間。與此同時，公安網(wǎng)絡上也存在著一些與公安工作無關的網(wǎng)頁和內容，一些民警在工作時間瀏覽與公安工作無關的網(wǎng)頁，影響了正常的工作。由于缺乏一定的權限管理和瀏覽限制，這種行為很難有效制約。

產(chǎn)生問題和隱患的主要原因
        那么，產(chǎn)生上述問題的主要原因可以從以下三方面來看。

        第一，缺乏主動防御的機制和措施。目前我分局已經(jīng)建立了比較完善的網(wǎng)絡管理行政制度，并且采取了一些安全監(jiān)控措施，但是目前公安網(wǎng)絡的管理和監(jiān)控還停留在事后發(fā)現(xiàn)問題的階段，網(wǎng)絡管理人員的日常維護工作繁瑣，疲于應付各種安全和日常維護事件，缺乏對安裝和運行游戲、違規(guī)軟件，感染計算機病毒等行為和安全隱患進行主動防御的機制和手段，因此難以從源頭上杜絕違規(guī)行為和安全隱患。

        第二，個別存在遵守規(guī)章制度的自覺性不強。我分局按照公安部和市局的有關要求，制定下發(fā)了公安網(wǎng)絡使用管理的規(guī)章制度，并多次下發(fā)通知規(guī)范公安網(wǎng)絡的使用，定期進行督促、檢查。但個別民警對網(wǎng)絡違規(guī)行為的危害性認識不夠，遵守規(guī)章制度的自覺性不強，造成了個別違規(guī)事件的發(fā)生。

        第三，民警計算機和網(wǎng)絡維護知識欠缺。目前一部分民警計算機及網(wǎng)絡的使用和維護知識相對欠缺，對于計算機病毒防治、信息安全保障等方面的措施掌握很少，造成網(wǎng)絡管理員日常維護、故障維修等工作量很大，影響了網(wǎng)絡監(jiān)控工作的開展。[nextpage]

加強公安網(wǎng)絡行為管理的工作對策
        為確保公安網(wǎng)絡的安全、高效運行，應當在制度規(guī)范的同時，變以往事后查為事前主動防御。我分局使用相關的網(wǎng)絡管理軟件及硬件設備，利用技術手段進行上網(wǎng)行為審計、應用程序安裝和使用控制、網(wǎng)內共享資源管理和端口監(jiān)測、外部存儲設備管理、遠程網(wǎng)絡配置、硬件和軟件信息統(tǒng)計，實現(xiàn)杜絕網(wǎng)絡違規(guī)行為、記錄并審計違規(guī)行為，同時建立PKI／PMI認證制度可以實現(xiàn)對上網(wǎng)行為的制約和對違規(guī)行為的事后調查。

使用“內網(wǎng)管理系統(tǒng)"加強對分局公安網(wǎng)絡行為的管理
        本系統(tǒng)在網(wǎng)絡中安裝數(shù)據(jù)庫，用于存儲網(wǎng)絡客戶端設備信息。當上述系統(tǒng)數(shù)據(jù)庫、網(wǎng)頁管理平臺、區(qū)域管理器安裝完畢后，即可以對網(wǎng)絡中客戶端進行注冊。用戶在取得注冊程序，執(zhí)行后添加計算機使用信息，如使用人姓名、單位、聯(lián)系方式等，注冊程序自動采集系統(tǒng)的硬件設備信息，經(jīng)過區(qū)域管理器處理后存入數(shù)據(jù)庫，同時區(qū)域管理器將代理駐留程序發(fā)送到計算機終端，實時運行。通過探頭、區(qū)域掃描器等對計算機的網(wǎng)絡連接行為實施探測，根據(jù)需要發(fā)送本機缺少的相關系統(tǒng)補丁、安全策略、命令或文件等，在遇到數(shù)據(jù)庫中定義的非法行為時實施阻斷。具體來說包括以下五點。

        1、加強進程及軟件管理。一是針對已知的300余種游戲軟件安裝程序信息，制定出軟件安裝監(jiān)控策略，包括大型網(wǎng)絡游戲、單機游戲、小型桌面游戲，一旦公安網(wǎng)計算機安裝這些游戲，系統(tǒng)將自動阻止。同時制定“游戲進程執(zhí)行監(jiān)控”策略，將具有進程的近100種游戲添加到策略中，一旦公安網(wǎng)計算機運行這些游戲，系統(tǒng)將自動阻止。此策略是軟件安裝監(jiān)控的補充，防止人為斷開網(wǎng)絡安裝游戲。以上兩種策略有效避免了此類違規(guī)行為的發(fā)生。二是根據(jù)市局關于公安網(wǎng)絡運行管理的有關通知要求，公安網(wǎng)絡中嚴禁使用迅雷、電驢等P2P類下載工具。針對這一規(guī)定，制定了違規(guī)軟件安裝監(jiān)控和進程執(zhí)行監(jiān)控策略，使違規(guī)軟件無法正常安裝和運行，有效防止了此類違規(guī)事件的發(fā)生。

        2、加強對計算機病毒的防控。一是制定病毒監(jiān)控策略，將已知的病毒進程、木馬的服務名稱添加到策略中，防止了眾多病毒和木馬程序的運行；二是每三天更新一次分局病毒庫并制定瑞星進程執(zhí)行監(jiān)控策略，控制每臺公安網(wǎng)計算機必須運行瑞星殺毒軟件，防止瑞星程序因人為或病毒原因停止運行；三是每周通過漏洞掃描程序進行分局網(wǎng)段內漏洞掃描，根據(jù)服務器、計算機漏洞情況制定“補丁分發(fā)策略”，提供客戶端補丁的自動下載及安裝，同時制定分發(fā)時間、補丁檢測周期、運行參數(shù)、運行形式等策略，發(fā)送到網(wǎng)絡客戶端統(tǒng)一執(zhí)行。

        3、加強安全管理。一是利用“主機安全策略”對公安網(wǎng)計算機的用戶密碼、用戶權限、IP與MAC綁定、硬件設備接口等進行監(jiān)控，使計算機設置密碼符合要求，監(jiān)控用戶、用戶組和用戶權限的變化，監(jiān)控選定用戶計算機在網(wǎng)絡上的地址和其MAC地址的變化情況，控制和管理硬件設備。二是利用“違規(guī)外聯(lián)監(jiān)控策略”進行“一機兩用”監(jiān)控，檢測計算機的網(wǎng)絡使用是否符合制定的原則，對不符合原則的計算機進行處理，及時發(fā)現(xiàn)違反“一機兩用”規(guī)定的行為。三是利用“終端配置策略“進行終端代理掃描、ARP阻斷以及各種信息的上報等設置，實現(xiàn)服務器對客戶端的點對點控制。

        4、加強流量管理。制定“流量管理策略”進行流量采樣和流量控制，通過設置選定用戶計算機網(wǎng)絡的平均流量和并發(fā)連接數(shù)，以及可疑發(fā)包等網(wǎng)絡流量策略來審計網(wǎng)絡的使用，并根據(jù)系統(tǒng)對選定用戶網(wǎng)絡使用的監(jiān)測，協(xié)調整個網(wǎng)絡的流量。

        5、增加其他管理功能。開發(fā)審計訪問分局網(wǎng)段內網(wǎng)頁情況的功能，該功能使客戶端能夠向服務器上報上網(wǎng)時間、URL、IP地址、MAC地址。

接入上網(wǎng)行為管理設備
        上網(wǎng)行為管理設備采用旁路方式接入分局網(wǎng)絡，將用戶的網(wǎng)絡交換機中一個可用的端口設置為鏡像方式，然后將鏡像端口連接到網(wǎng)絡審計引擎其中一個偵采集接口上，不影響網(wǎng)絡性能。分局網(wǎng)絡內計算機訪問分局以外的網(wǎng)站、主頁均通過此設備實時審計，網(wǎng)絡管理員可以第一時間看到關心的審計內容，針對不同類型的審計結果可以輸出報表。具有高效采集和組報技術，完整記錄網(wǎng)絡會話過程。深層次的信息內容分析技術，對信息內容全文(包括網(wǎng)頁、郵件正文與附件、BBS、FTP、0ffice文件，RAR，ZIP等)進行關鍵詞、組合詞、條件組合詞和模糊詞的內容搜索匹配。

PKI／PMI二次開發(fā)
        分局組織技術力量利用現(xiàn)有的公安數(shù)字證書進行二次開發(fā)，將PKI的身份認證信息與“一機兩用”監(jiān)控系統(tǒng)和行為管理設備建立關聯(lián)，建立一套完整的PKI／PMI公安專網(wǎng)監(jiān)控管理系統(tǒng)。民警使用計算機時必須使用PKI／PMI證書，經(jīng)過身份認證后，民警使用計算機的情況將被認證系統(tǒng)記錄，這樣民警的違規(guī)上網(wǎng)行為將受到制約，一旦出現(xiàn)問題也便于排查。該項目借助網(wǎng)絡行為管理、桌面管理軟件、PKI/PMI數(shù)字證書等資源實現(xiàn)了對公安網(wǎng)計算機的管理和控制，對公安網(wǎng)計算機管理到人，有效控制了各類違規(guī)行為，將以往違規(guī)問題事后處理、安全事故事后解決變成事前杜絕和防范。(作者:天津市公安分局南開分局  劉莎)