【安防知识网】：随着公安机关计算机网络建设的快速发展，公安网络的使用率和依赖程度不断提高。当前，为保障公安网络的正常运行、规范公安网计算机使用主要依靠各级部门建设的规章制度，但是，仅仅依靠制度性措施很难杜绝公安网计算机违规行为的发生。因此，采用网络行为管理和桌面管理的技术性手段规范公安网络行为，堵塞网络运行中存在的各种隐患和漏洞，成为当前一项重要的课题。

        PKI／PMI公安专网监控管理系统借助现有网络行为管理和桌面管理软件资源，研究开发利用公安数字身份证书实现对公安网计算机管理到人，利用技术手段实现对公安网计算机的管理和控制，实现公安网络管理的自动化和科学化，将以往违规问题事后处理、安全事故事后解决变成事前杜绝和防范，为公安网计算机的规范使用、公安网络的安全高效运行提供有力保障。

        当前，南开分局三级计算机网络建设取得了较快发展，公安网络的使用率和依赖程度不断提高。为了保障公安网络的正常运行，分局建立了多项网络使用的规章制度，落实了网络日常维护和安全监控的各项工作措施，网络的日常运行和应用平稳正常。但是，公安网络使用过程中的一些违规行为仍有发生，一些隐患和漏洞仍然存在，威胁和阻碍着网络的安全和正常运行。因此，加强公安网络行为管理，规范公安网络行为，堵塞网络运行中存在的各种隐患和漏洞，成为当前一项重要而迫切的任务。

公安网络使用中存在的主要问题和隐患
        综合来看，公安网络的使用主要存在以下几个问题。   
         一、信息安全隐患。分局各单位中的大部分信息资料是存储在计算机中的，所以，加强对存有重要资料数据的计算机的保护，杜绝安全隐患就成为十分重要的问题。首先要考虑内部人员对重要信息的泄露，其次是外部人员对信息的拷贝。

         二、软硬件资产管理问题。计算机使用者常会有意无意地破坏或更换计算机的硬件设备，硬盘、内存条丢失时有发生，或随意安装盗版软件，这不仅是单位硬件资产上的损失，更严重的后果是无形的信息技术资产的流失以及侵权行为的产生。

        三、管理员维护工作繁重。分局网内不断增加新的计算机，一些基层单位的民警计算机和网络维护知识又比较薄弱，因此网络管理员的日常维护工作十分繁重，难以及时对数量庞大的计算机进行维护和维修，更难以随时对计算机使用情况开展监控。

        四、利用公安网络从事与工作无关的活动。目前公安网络已经成为民警日常工作中获取和传递信息的主要途径，为公安工作提供了便利和快捷的通信手段。分局局域网内的计算机作为提高办公效率工具的同时也出现玩游戏以及安装使用“迅雷”等违规软件的现象。这些与工作无关的计算机行为是引入病毒、网络攻击等有害结果的主要原因，还会占用大量计算机资源并浪费工作时间。与此同时，公安网络上也存在着一些与公安工作无关的网页和内容，一些民警在工作时间浏览与公安工作无关的网页，影响了正常的工作。由于缺乏一定的权限管理和浏览限制，这种行为很难有效制约。

产生问题和隐患的主要原因
        那么，产生上述问题的主要原因可以从以下三方面来看。

        第一，缺乏主动防御的机制和措施。目前我分局已经建立了比较完善的网络管理行政制度，并且采取了一些安全监控措施，但是目前公安网络的管理和监控还停留在事后发现问题的阶段，网络管理人员的日常维护工作繁琐，疲于应付各种安全和日常维护事件，缺乏对安装和运行游戏、违规软件，感染计算机病毒等行为和安全隐患进行主动防御的机制和手段，因此难以从源头上杜绝违规行为和安全隐患。

        第二，个别存在遵守规章制度的自觉性不强。我分局按照公安部和市局的有关要求，制定下发了公安网络使用管理的规章制度，并多次下发通知规范公安网络的使用，定期进行督促、检查。但个别民警对网络违规行为的危害性认识不够，遵守规章制度的自觉性不强，造成了个别违规事件的发生。

        第三，民警计算机和网络维护知识欠缺。目前一部分民警计算机及网络的使用和维护知识相对欠缺，对于计算机病毒防治、信息安全保障等方面的措施掌握很少，造成网络管理员日常维护、故障维修等工作量很大，影响了网络监控工作的开展。[nextpage]

加强公安网络行为管理的工作对策
        为确保公安网络的安全、高效运行，应当在制度规范的同时，变以往事后查为事前主动防御。我分局使用相关的网络管理软件及硬件设备，利用技术手段进行上网行为审计、应用程序安装和使用控制、网内共享资源管理和端口监测、外部存储设备管理、远程网络配置、硬件和软件信息统计，实现杜绝网络违规行为、记录并审计违规行为，同时建立PKI／PMI认证制度可以实现对上网行为的制约和对违规行为的事后调查。

使用“内网管理系统"加强对分局公安网络行为的管理
        本系统在网络中安装数据库，用于存储网络客户端设备信息。当上述系统数据库、网页管理平台、区域管理器安装完毕后，即可以对网络中客户端进行注册。用户在取得注册程序，执行后添加计算机使用信息，如使用人姓名、单位、联系方式等，注册程序自动采集系统的硬件设备信息，经过区域管理器处理后存入数据库，同时区域管理器将代理驻留程序发送到计算机终端，实时运行。通过探头、区域扫描器等对计算机的网络连接行为实施探测，根据需要发送本机缺少的相关系统补丁、安全策略、命令或文件等，在遇到数据库中定义的非法行为时实施阻断。具体来说包括以下五点。

        1、加强进程及软件管理。一是针对已知的300余种游戏软件安装程序信息，制定出软件安装监控策略，包括大型网络游戏、单机游戏、小型桌面游戏，一旦公安网计算机安装这些游戏，系统将自动阻止。同时制定“游戏进程执行监控”策略，将具有进程的近100种游戏添加到策略中，一旦公安网计算机运行这些游戏，系统将自动阻止。此策略是软件安装监控的补充，防止人为断开网络安装游戏。以上两种策略有效避免了此类违规行为的发生。二是根据市局关于公安网络运行管理的有关通知要求，公安网络中严禁使用迅雷、电驴等P2P类下载工具。针对这一规定，制定了违规软件安装监控和进程执行监控策略，使违规软件无法正常安装和运行，有效防止了此类违规事件的发生。

        2、加强对计算机病毒的防控。一是制定病毒监控策略，将已知的病毒进程、木马的服务名称添加到策略中，防止了众多病毒和木马程序的运行；二是每三天更新一次分局病毒库并制定瑞星进程执行监控策略，控制每台公安网计算机必须运行瑞星杀毒软件，防止瑞星程序因人为或病毒原因停止运行；三是每周通过漏洞扫描程序进行分局网段内漏洞扫描，根据服务器、计算机漏洞情况制定“补丁分发策略”，提供客户端补丁的自动下载及安装，同时制定分发时间、补丁检测周期、运行参数、运行形式等策略，发送到网络客户端统一执行。

        3、加强安全管理。一是利用“主机安全策略”对公安网计算机的用户密码、用户权限、IP与MAC绑定、硬件设备接口等进行监控，使计算机设置密码符合要求，监控用户、用户组和用户权限的变化，监控选定用户计算机在网络上的地址和其MAC地址的变化情况，控制和管理硬件设备。二是利用“违规外联监控策略”进行“一机两用”监控，检测计算机的网络使用是否符合制定的原则，对不符合原则的计算机进行处理，及时发现违反“一机两用”规定的行为。三是利用“终端配置策略“进行终端代理扫描、ARP阻断以及各种信息的上报等设置，实现服务器对客户端的点对点控制。

        4、加强流量管理。制定“流量管理策略”进行流量采样和流量控制，通过设置选定用户计算机网络的平均流量和并发连接数，以及可疑发包等网络流量策略来审计网络的使用，并根据系统对选定用户网络使用的监测，协调整个网络的流量。

        5、增加其他管理功能。开发审计访问分局网段内网页情况的功能，该功能使客户端能够向服务器上报上网时间、URL、IP地址、MAC地址。

接入上网行为管理设备
        上网行为管理设备采用旁路方式接入分局网络，将用户的网络交换机中一个可用的端口设置为镜像方式，然后将镜像端口连接到网络审计引擎其中一个侦采集接口上，不影响网络性能。分局网络内计算机访问分局以外的网站、主页均通过此设备实时审计，网络管理员可以第一时间看到关心的审计内容，针对不同类型的审计结果可以输出报表。具有高效采集和组报技术，完整记录网络会话过程。深层次的信息内容分析技术，对信息内容全文(包括网页、邮件正文与附件、BBS、FTP、0ffice文件，RAR，ZIP等)进行关键词、组合词、条件组合词和模糊词的内容搜索匹配。

PKI／PMI二次开发
        分局组织技术力量利用现有的公安数字证书进行二次开发，将PKI的身份认证信息与“一机两用”监控系统和行为管理设备建立关联，建立一套完整的PKI／PMI公安专网监控管理系统。民警使用计算机时必须使用PKI／PMI证书，经过身份认证后，民警使用计算机的情况将被认证系统记录，这样民警的违规上网行为将受到制约，一旦出现问题也便于排查。该项目借助网络行为管理、桌面管理软件、PKI/PMI数字证书等资源实现了对公安网计算机的管理和控制，对公安网计算机管理到人，有效控制了各类违规行为，将以往违规问题事后处理、安全事故事后解决变成事前杜绝和防范。(作者:天津市公安分局南开分局  刘莎)