楊奕琦

(廣東警官學(xué)院 計(jì)算機(jī)系，廣東 廣州 510232)

在公安教育信息化進(jìn)程中，網(wǎng)絡(luò)信息安全始終貫穿整個(gè)過程，引起各級領(lǐng)導(dǎo)和公安教育工作者的重視，隨著互聯(lián)網(wǎng)技術(shù)和校園信息化應(yīng)用的發(fā)展，其成因越來越復(fù)雜，造成的災(zāi)難和影響越來越大。一般來講，公安院校的網(wǎng)絡(luò)建設(shè)基本上都有三網(wǎng):一是與中國教科網(wǎng)、互聯(lián)網(wǎng)連接的校園網(wǎng);二是與全國公安信息專網(wǎng)連接的公安子網(wǎng);三是因校務(wù)管理、教學(xué)、培訓(xùn)、辦公等需要而建成的校園內(nèi)網(wǎng)。當(dāng)前，公安院校的數(shù)字校園、網(wǎng)絡(luò)教學(xué)很多都是把校園內(nèi)網(wǎng)做為第一選擇。公安子網(wǎng)與校園網(wǎng)雖是絕對的物理隔離，但也對網(wǎng)絡(luò)安全管理，特別是校園內(nèi)網(wǎng)的安全造成很大的難題和壓力。因此，有效防止校園內(nèi)網(wǎng)的安全事件發(fā)生，保障基于內(nèi)網(wǎng)的校務(wù)、教學(xué)系統(tǒng)的信息數(shù)據(jù)的安全是公安教育信息化工作的重中之重。

一、安全隱患的成因分析

內(nèi)網(wǎng)的安全越來越重要，建網(wǎng)初期都做了應(yīng)對策略，比如在邊界處安裝了防火墻和入侵檢測系統(tǒng) (IDS)，配置防攻擊策略及入侵檢測策略，采取聯(lián)動(dòng)措施，同時(shí)在終端計(jì)算機(jī)或服務(wù)器上部署殺毒軟件。但是仍然發(fā)生應(yīng)用系統(tǒng)受攻擊、網(wǎng)速突然大面積變慢、內(nèi)外網(wǎng)無法訪問、IP地址被盜用等安全事故。特別是公安警察院校，黑客往往就是沖著這個(gè)“品牌”而來，專門對專業(yè)系部的網(wǎng)站下手，這些安全隱患的發(fā)生，究其原因，發(fā)現(xiàn)很多問題既有本身網(wǎng)絡(luò)設(shè)備、技術(shù)手段的缺陷，更重要的是來自用戶終端安全防護(hù)不足或安全防范意識薄弱而導(dǎo)致，具體分析其原因，主要如下:

1.上網(wǎng)計(jì)算機(jī)未實(shí)施安全訪問機(jī)制，導(dǎo)致終端用戶訪問的計(jì)算機(jī)無法進(jìn)行實(shí)名制管理。大多數(shù)警察院校，其電腦機(jī)房、電子閱覽室、多媒體課室等公用場所，主要開放給學(xué)生和培訓(xùn)班學(xué)員臨時(shí)使用，行政管理部門也有部分用于業(yè)務(wù)辦公的公共用機(jī)，這些終端用戶的不固定性，使計(jì)算機(jī)終端未實(shí)行用戶訪問實(shí)名化，引發(fā)的結(jié)果:一是計(jì)算機(jī)終端用戶管理混亂，甚至在安全事件發(fā)生后無法找到肇事者;二是由于計(jì)算機(jī)允許用戶隨意訪問，特別是在訪問互聯(lián)網(wǎng)的論壇或微博方面，容易給較為敏感的警察院校造成不良影響，甚至帶來一些法律問題，而又無法找到對應(yīng)用戶。

2.缺乏有效的外設(shè)管理，數(shù)據(jù)泄密、病毒傳播無法控制。已經(jīng)感染病毒、木馬的U盤隨意插入終端計(jì)算機(jī)，內(nèi)部存有敏感數(shù)據(jù)的移動(dòng)介質(zhì)毫無防范地拿到外部使用，特別是在個(gè)別公安業(yè)務(wù)教研室，辦公室內(nèi)既安裝有校園網(wǎng)，也有公安網(wǎng)，往往都給內(nèi)部安全管理帶來極大的挑戰(zhàn)，單純地封端口、制度要求均無法同時(shí)滿足安全性與業(yè)務(wù)便利性的要求。

3.應(yīng)用程序沒有統(tǒng)一的應(yīng)用規(guī)劃和管理，非法應(yīng)用程序時(shí)刻威脅著計(jì)算機(jī)系統(tǒng)安全。在用戶的計(jì)算機(jī)終端上隨意使用應(yīng)用程序，極容易把病毒、木馬帶到內(nèi)網(wǎng)，這樣使到內(nèi)網(wǎng)的敏感數(shù)據(jù)被收集后而發(fā)出去，導(dǎo)致學(xué)校內(nèi)部校務(wù)、教學(xué)、科研、培訓(xùn)、師生的一些敏感信息泄密;另外由于隨意使用應(yīng)用程序，常導(dǎo)致辦公、管理、教學(xué)計(jì)算機(jī)癱瘓或死機(jī)，耽誤工作時(shí)間，同時(shí)也給IT管理人員帶來了巨大的工作量。

4.軟硬件設(shè)備濫用、資產(chǎn)安全無法保障。計(jì)算機(jī)終端資產(chǎn) (CPU、內(nèi)存、硬盤、光驅(qū)等)被隨意更換，缺乏有效的技術(shù)跟蹤手段;終端用戶隨時(shí)更改辦公終端的IP地址等配置，安裝并運(yùn)行與工作無關(guān)甚至嚴(yán)重影響網(wǎng)絡(luò)運(yùn)行的軟件，不僅難于整體管理，而且一旦出現(xiàn)攻擊行為或安全事件，責(zé)任定位非常困難。

5.終端電腦桌面應(yīng)用缺乏監(jiān)控，網(wǎng)絡(luò)利用效率無法提高。據(jù)了解，上班時(shí)間長時(shí)間瀏覽網(wǎng)頁、上網(wǎng)聊天、玩網(wǎng)絡(luò)游戲、看視頻等行為在各高校時(shí)有存在，既影響網(wǎng)絡(luò)的工作效率，甚至?xí)硇畔⑿姑苁录l(fā)生;用戶使用Bit、電驢等工具下載電影、游戲、軟件等大型文件，占用大量網(wǎng)絡(luò)寬帶，導(dǎo)致內(nèi)網(wǎng)資源、管理、教學(xué)等關(guān)鍵業(yè)務(wù)系統(tǒng)受到影響。

6.移動(dòng)電腦隨意接入、邊界安全岌岌可危。隨著筆記本電腦、掌上電腦等移動(dòng)終端的普及和個(gè)性化，為使用方便，很多教員和學(xué)員，尤其是來參訓(xùn)的公安機(jī)關(guān)基層所隊(duì)長都擁有自己移動(dòng)電腦，這些未經(jīng)任何安全檢查和認(rèn)證的終端隨意接入校園內(nèi)網(wǎng)或辦公網(wǎng)，導(dǎo)致病毒、木馬輕松感染內(nèi)網(wǎng)，給院校日常辦公、教學(xué)帶來巨大威脅。

7.無線上網(wǎng)、3G、WLAN給校園網(wǎng)絡(luò)安全帶來空前的壓力。目前，中移動(dòng)、聯(lián)通、電信三大網(wǎng)絡(luò)運(yùn)營商借建設(shè)無線城市契機(jī)，大舉搶占高校陣地，公安院校不可避免，甚至為了商業(yè)效應(yīng)，會成為他們首攻對象。往往為貪圖方便，接入內(nèi)網(wǎng)處理公務(wù)、辦公的計(jì)算機(jī)會發(fā)生“一機(jī)二用”，“ ” ，一條獲取網(wǎng)內(nèi)信息系統(tǒng)數(shù)據(jù)捷徑。與此同時(shí)，學(xué)生上網(wǎng)行為也得不到有效監(jiān)控和處理。

二、解決方案和策略

針對公安院校內(nèi)網(wǎng)安全的復(fù)雜性和安全管理的緊迫性，從技術(shù)、行為以及制度建設(shè)層面對內(nèi)網(wǎng)設(shè)備、終端計(jì)算機(jī)系統(tǒng)全方位加強(qiáng)監(jiān)控顯得尤為重要，具體可以從以下幾方面對校園內(nèi)部進(jìn)行安全防護(hù)與安全管理:

1.終端實(shí)施實(shí)名認(rèn)證控制，確保入網(wǎng)終端訪問的合法性和有效性，通過用戶身份認(rèn)證機(jī)制，把好終端管理的第一道關(guān)口。教育行業(yè)常見的身份認(rèn)證技術(shù)有幾種:Web網(wǎng)關(guān)認(rèn)證、802.1x準(zhǔn)入認(rèn)證、Web準(zhǔn)入認(rèn)證等，可以采用刷卡、指紋、強(qiáng)口令等方式。通過對計(jì)算機(jī)IP地址、MAC地址、IP/MAC綁定等手段加強(qiáng)終端計(jì)算機(jī)的管理和用戶訪問管理。有的院校在校園網(wǎng)內(nèi)部部署了第三方認(rèn)證系統(tǒng)——城市熱點(diǎn) (DRCOM)計(jì)費(fèi)認(rèn)證系統(tǒng)，學(xué)員上網(wǎng)需進(jìn)行用戶認(rèn)證，并使用該套系統(tǒng)記錄用戶在線上網(wǎng)時(shí)間及目標(biāo)網(wǎng)站。

2.強(qiáng)化網(wǎng)內(nèi)終端外設(shè)管理。通過計(jì)算機(jī)終端外設(shè)安全策略，嚴(yán)格管控計(jì)算機(jī)的USB存儲接口、串口、并口、光驅(qū)、軟驅(qū)等端口，有效控制非法外設(shè)接入計(jì)算機(jī)，特別針對USB存儲和文件操作進(jìn)行嚴(yán)格的授權(quán)、過程監(jiān)控、日志記錄等手段來保證內(nèi)網(wǎng)計(jì)算機(jī)終端中信息安全和外設(shè)端口的合理使用。此外，公安信息網(wǎng)使用的USB存儲務(wù)必與互聯(lián)網(wǎng)使用的要分開，專盤專用，并在系統(tǒng)設(shè)有報(bào)警功能。

3.進(jìn)程和桌面管理。通過應(yīng)用程序安全策略，根據(jù)用戶、用戶組的方式進(jìn)行應(yīng)用程序黑白名單策略測試，把不需要運(yùn)行的應(yīng)用程序設(shè)置為黑名單，這樣可以防止應(yīng)用程序在內(nèi)網(wǎng)計(jì)算機(jī)終端上運(yùn)行，同時(shí)保證了病毒木馬程序的入侵。通過對進(jìn)網(wǎng)的計(jì)算機(jī)桌面活動(dòng)程序?qū)嵭屑小⒔y(tǒng)一監(jiān)控和管理、桌面遠(yuǎn)程監(jiān)控和管理、計(jì)算機(jī)信息監(jiān)測，隨時(shí)了解計(jì)算機(jī)在線狀態(tài)、用戶在線狀態(tài)等情況，有效地防止內(nèi)部文檔泄漏和擴(kuò)散的問題，最終解決計(jì)算機(jī)端口的安全管理和控制需要。

4.上網(wǎng)行為與日志審計(jì)管理。公安院校在建網(wǎng)開展信息化業(yè)務(wù)時(shí)，基本上都部署行為審計(jì)管，、認(rèn)證而實(shí)現(xiàn)用戶實(shí)名上網(wǎng)，采用分級別管理機(jī)制，控制不同部門不同人員的訪問權(quán)限。通過監(jiān)測用戶上網(wǎng)瀏覽、QQ聊天、MSN聊天、發(fā)郵件、發(fā)帖、下載、玩游戲等行為而進(jìn)行審計(jì);通過準(zhǔn)確、有效地日志而進(jìn)行事件定位和溯源。對終端系統(tǒng)、應(yīng)用、用戶行為、接入設(shè)備等進(jìn)行全面審計(jì)，在安全事件爆發(fā)的第一時(shí)間，以告警的形式告知，管理員依據(jù)報(bào)警和日志實(shí)施對應(yīng)的安全應(yīng)對策略。比如我院，先階段已安裝了QQSG帶寬管理審計(jì)系統(tǒng)，該系統(tǒng)可以記錄用戶訪問網(wǎng)絡(luò)的時(shí)間、用戶名、IP地址、目標(biāo)IP、訪問域名、URL地址等情況，可有效的反查用戶的某些網(wǎng)絡(luò)行為，并留存60天日志，在幾次協(xié)助公安機(jī)關(guān)落地倒查行動(dòng)中發(fā)揮了很好的作用。

5.配置內(nèi)網(wǎng)架構(gòu)，防控網(wǎng)絡(luò)病毒傳播。采用vlan技術(shù)將網(wǎng)絡(luò)劃分為若干個(gè)子網(wǎng)，配置路由器和交換機(jī)訪問控制列表策略，做好病毒端口控制及vlan子網(wǎng)間的互訪，防止利用廣播方式傳播的網(wǎng)絡(luò)病毒的擴(kuò)散，盡量避免病毒大規(guī)模的傳播而導(dǎo)致網(wǎng)絡(luò)癱瘓。通過分配及配置靜態(tài)IP地址和端口MAC地址雙向綁定，盡量避免IP沖突及vlan內(nèi)的互相攻擊，有效防范ARP病毒破壞。

三、實(shí)施原則

1.針對一些對外開放的辦公窗口或辦公終端，采用審計(jì)為主、控制為輔策略。通過對各種網(wǎng)絡(luò)協(xié)議 (Http、Https、SMTP、POP3、telnet、FTP、Post等)或IM應(yīng)用協(xié)議分析與審計(jì)，做好全面、細(xì)粒度的審計(jì)工作，在此基礎(chǔ)之上，增加關(guān)鍵字檢測與報(bào)警、網(wǎng)絡(luò)阻斷等策略。

2.針對一些重要的、關(guān)鍵的部門，比如教務(wù)、培訓(xùn)、財(cái)務(wù)、辦公，采用終端控制為主，審計(jì)為輔。對于終端外設(shè)的使用，以合理的規(guī)劃和控制為主，確保終端用戶不能隨意插入外設(shè)，特別是移動(dòng)存儲設(shè)備、光盤、軟盤等可以攜帶數(shù)據(jù)的外設(shè)類型，同時(shí)盡量控制具體的訪問權(quán)限，在確保數(shù)據(jù)安全的同時(shí)降低U盤病毒傳播的可能性。在此基礎(chǔ)上，做到外設(shè)使用的全面審計(jì)，例如從移動(dòng)存儲設(shè)備的插入，文件操作到拔出，均須有詳細(xì)的日志記錄。還要針對桌面一些應(yīng)用程序，進(jìn)行規(guī)劃和提前定義，保證非法的應(yīng)用程序不能在這些終端上運(yùn)行。

3.針對校園內(nèi)部所有計(jì)算機(jī)的訪問，需要強(qiáng)化身份認(rèn)證、上網(wǎng)行為管理、訪問權(quán)限控制、檢查取證等手段，保證內(nèi)網(wǎng)計(jì)算機(jī)的訪問的合法化，上網(wǎng)行為的規(guī)范化，取證審計(jì)的實(shí)名化，最終通過技術(shù)防范手段，強(qiáng)化公安院校校園內(nèi)網(wǎng)的安全防護(hù)。

［1］馮兵．自由中求“生存” ［J］．中國教育網(wǎng)絡(luò)，2010，(1):56．

［2］許元朋．淺談校園網(wǎng)內(nèi)網(wǎng)安全 ［J］．淮南職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2010，10(35):105－106．

［3］龔靜．高校校園網(wǎng)的安全與防護(hù)［J］．教育信息化，2005，(4):42－43．

［4］盧凱．校園網(wǎng)安全建設(shè)探討 ［J］．軟件導(dǎo)刊，2008，7(8):80－81．