试论公安信息安全管理.doc

1、 中国人民公安大学本科自学考试毕业论文 试论公安信息安全管理 姓 名： 孙艳君 单位名称：吉林警察学院 准考证号： 291810200121 论文字数： 5091 邮政编码： 130117 联系电话： 13624304650 地 址：长春市净月开发区博硕路 1399 号 目 录 摘要 1 一、信息安全概念 1 二、信息安全现状分析 2 （一）网络信息安全地位举足轻重 2 （二）网络信息安全防范任务繁重 3 （三）加强网络安全防范措施 3 三、我国信息安全建设发展历程 5 四、公安信息与网络安全保障体系总体架构 6 （一）安全保障体系的层次 6 （二）安全保障策略 8 五、安全管理 8 参考文献

2、 11 1 试论公安信息安全管理 摘要 ： 随着信息技术的飞速发展，社会与经济正在快速信 息化。但是公安计算机信息网络安全仍处于有待规范的开发阶段。随着“金盾工程”的逐步实施，公安信息化建设将进入一个迅猛发展时期。它将实现全国公安工作的信息共享、快速反应和高效运行，使全国的公安基层单位和移动执勤的警员可以随时随地的访问网络信息资源。而这时公安计算机信息网络安全就显得尤为重要。因此，加强公安计算机信息网络安全技术和安全管理建设迫在眉睫。 关键词： 信息安全 ； 公安信息 ； 网络安全 ； 安全管理 21 世纪 以来，人类进入信息化时代。近几年，全国公安现役部队深入贯彻公安部“科技强警”的方针 。

3、伴随着公安部门信息化工程的建设与发展，为全体官兵搭上“信息快车”提供了一个平台。不可否认，科技是把双刃剑，公安部门信息化建设也不例外。公安部门的信息化建设极大的提高了自身的工作效率，但同时也给我们工作人员提出了一个新课题。即在操作和使用的过程中如何保证信息的安全。 一、信息安全概念 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不 受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。 所有的信息安全技术都是为了达到一定的安全目标，其核心包括真实性、 保密性、完整性 、可用性、可控 制性、不可抵赖 性 和可审查性七 个安全目标。 2 1.真实性：对信

4、息的来源进行判断，能对伪造来源的信息、信息安全相关书籍予以鉴别。 2.保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。 3.完整性：保证数据的一致性，防止数据被非法用户篡改。 4.可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。 5.可控制性：对信息的传播及内容具有控制能力。 6.不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其 重要的。 7.可审查性：对出现的网络安全问题提供调查的依据和手段 。 二、信息安全现状分析 随着网络信息安全重要性的日益突出，网络与信息安全的理论概念、技术应用、人才需要、管理模式等诸多方面都发生了重大变化。 （一）

5、 网络信息安全地位举足轻重 网络和信息安全的隐患是与信息化建设同步增长的，这是全世界的共性。当前，预防和对抗信息恐怖主义已成为各国政府重中之重的任务，针对管理与技术脱节的全球通病，各国政府都在积极调整其网络与信息安全的政策和策略。比如，加强国际合作，强化政府安全管理，配合国家政策抓 住机遇发展信息安全产业调整，加速发展信息安全防范能力，突出网络与信息安全产品的高可靠性等等，这是一种明显的发展趋势。 3 信息安全本意是指保证我方信息系统的正常运行，从而实现网络通信的信息完整性、保密性、可用性和可靠性。同时并能有效遏制、削弱、破坏、反击 对我方信息及信息系统的攻击和破坏行为。随着网络的发展，现在，

6、世界各国都普遍认识到信息安全的重要性，并提升为国家安全概念来理解。因为它是维护国家安全的坚实基础，是赢得未来军事斗争胜利的重要技术因素，也是保障国家经济持续发展的重要条件，更是保持民族文化传统的必然选择 。因此，提升它的地位，这是网络与信息安全形势发展的必然结果。 （二）网络信息安全防范任务繁重 面对日益严重的黑客攻击、病毒危害、网络安全漏洞以及传输脆弱性等诸多因素的影响，目前我国的网络与信息安全形势仍然十分严峻，伴随电子商务、电子政务步伐的加快，网络信息犯罪的比重将会更大。黑客攻击的势头不会减弱，反而会提升，整体安全形势更加严峻，安全防范的任务也更重。 尽管我国成立网络与信息安全应急处理的时

7、间不长，但发挥的作用是明显的。因此，当前的关键任务是落实。需要建立分级保护制度，加快制定有关的网络信息安全的标准，建立合理的信息安全标准体系，成立联网式的信息安全快速反应队伍，以应付突发事件发生。预计我国将在今后的一段时间，也会更加完善网络信息安全服务，包括安全救急、安全咨询、安全教育、网络信息安全保险与社会义务安全服务等专门行业。 （三 ） 加强网络安全防范 措施 1.增强安全防范意识 4 提高网络安全防范意识是解决安全问题的根本，对于来自网上的东西都要谨慎。下载软件应该尽量从知名软件开发商的站点下载，执行前最好都要用正版最新杀毒软件进行病毒查杀；对于网上下载的压缩软件正确的做法是在解压之前

8、就进行病毒查杀工作；对于电子邮件中的附件，如果来历不明则轻易不要用 WORD 或 EXCEL 打开。以免感染上病毒。 2.控制访问权限 访问权限控制技术是在保证资源安全的前提下规定主体（如用户 ） 对客体（如文字、数据库、设备）的访问权限（如可读、可写），从而实现对资源的安全共享。该技术一般被用在网络中的文件系统、数据库系统、设备管理系统以及信息网络之中，这一技术使得每个用户只能在自己的权限范围内使用网络资源。 3.选用防火墙系统 防火墙是一种企业内部网和公众可访问网（例如因特网）分开的系统 ，相当于在他们之间设一道屏障，用以对所有进出内部网的数据进行 分析，或对用户身份进行认证，从而防止有害

9、信息的侵入和非法用户的进入，达到保护网络安全的目的。实际上，防火墙系统可以放置在任何两个网络之间。 4.设置网络口令 对于一个用户来说设置网络口令是一种最容易实现的安全防范措施。用户在设计自己口令时，应尽量采取不宜被别人猜测和破解的口令，以避免口令形同虚设。另外口令应该常变换，使用时间不宜太5 长，这样即使有人破解了用户的口令，由于口令及时的更换，他人也不能顺利的进行到该用户的系统。 5.数据加密方法 数据加密技术是采用一些计算法和密码将数据转换成一堆杂乱的符号，然后再保 存或发送出去，对于加密者由于手中有密钥就能轻易破解还原；而对于其他人，即使得到了这些信息，也会因破解困难而罢手，从而达到对

10、数据保密的目的。这一方法的关键是算法和密码，不易被别人破解才能真正达到目的。 三、 我国信息安全建设发展历程 2003年 9 月，中央颁布了国家信息化领导小组关于加强信息安全保障工作的意见（ 27 号 文件），提出要在五年内建设中国信息安全保障体系。 2007 年，是这一目标实现的倒数第二个年份。在国务院信息化办公室的大力推进下， 27 号文件提出的十项基本任务目前已经正在或基本落实。由于信 息安全是这样一个复杂和关系重大的领域，国家采取了谨慎前行的方式。 2006 年之前，各种政策制度均处于试点阶段， 2007 年，将进入普及推广阶段。 信息安全的等级保护制度是国家大力倡导的信息安全基本政策

11、。经过两年多的探索， 2005 年，公安部出台了等级保护规范， 2006 年对等级保护制度进行了重点试点，并总结出了很好的经验和汲取的教训。 2007年 ，毫无疑问，等级保护工作将在中国的各个重要的基础行业广泛推广。 灾难备份标准已经在 2005 年出台， 2006 年在中国的基础性行业，6 比如金融、电信、民航等，积极探 索灾备和业务连续性模式已经有了明确的结果， 2007 年有望在更广泛的领域推广。 2006年，信息安全 管理规范的试点工作也基本完成。从结果来看，基本取得了预期的效果。 2007 年，这一成果同样将在更广泛的领域 中 采用。 经过多年的筹备， 2006 年 6 月，中国信息

12、安全认证中心获中编办正式批准。至此，我国信息安全认证认可体系的建设构架基本形成，工作机制基本确定，对信息安全产品实施统一认证的条件基本准备就绪，标志着我国信息安全认证认可体系建设迈出了重要步伐。 目前我国信息安全建设正处在一个关键时期， 发展可信计算是具有战略意义的事情，我们必须把握住正确的研究方向，制定相应的发展战略，自主创新。 四、 公安信息与网络安全保障体系总体架构 网络安全体系是一个在网络系统内结合安全技术和安全管理，以实现系统多层次安全保证的应用体系。此体系结合网络系统用户应用及数据方面的安全措施，对网络系统的使用实施统一的安全规划。从技术上和管理上解决网络的安全问题，主要从以下层次

13、加强措施： （一）安全保障体系的层次 1.实体安全 实体安全包括：机房安全、设施安全、动力安全、灾难预防与恢复，检测优化实施过程按照国家相关标准 和公安部颁发的实体安全标准。 7 2平 台安全 平台安全包括以下内容： （ 1）操 作系统漏洞检测与修复； （ 2） 网络基础设施漏洞检测与修复； （ 3） 通用基础应用程序漏洞检测与修复； （ 4） 网络安全产品部署，平台安全实施需要用到防火墙、入侵检测、脆弱性扫描和防病毒产品； （ 5） 整体网络系统平台安全综合测试，模拟入侵与安全优化。 3 数据安全 数据安全提供的实施内容有：介质与载体安全保护、数据访问控制。 4 通信安全 保障系统自检通信的

14、安全采取的措施，通信线路和网络基础设施安全性测试与优化，安装网络加密设施，设置通信 加密软件，设置身份鉴别机制，设置并测试安全通道，测试各项网络协议运行漏洞。 5 应用安全 应用安全提供的保护措施，业务软件的程序安全性测试，业务交往的防抵赖，业务资源的访问控制验证，业务实体的身份鉴别检测。 6 运行安全 以网络安全系统工程方法论为依据，为运行安全提供的实施措施有：应急处置机制和配套服务，网络系统安全性检测，网络安全产品运行监测，定期检查和评估，系统升级和补丁提供，跟踪最新安全漏8 洞及通报，灾难恢复机制与预防，系统改造管理，网络安全专业技术咨询服务。 7 管理安全 为管理安全设 置的机制有：人

15、员管理、培训管理、应用系统管理、软件管理、设备管理、文档管理、数据管理、操作管理、运行管理、机房管理。 （二）安全保障策略 1 用户认证 对用户进行身份鉴别，认证及记账，是保障系统安全的重要措施。通过采用口令、密钥、数字签名、证书等方式等手段对登录用户进行认证，能有效保证用户的合法性，防止非法用户的入侵。 2 访问控制 访问控制是整个企业信息系统中的中央管理平台。 3 数据安全 数据资源的安全保障是网络和信息系统安全的核心。 4 安全审计 安全审计是网络安全系统中的一个 重要的环节。 5 集中管理 集中安全管理平台通过统一的管理平台，对系统内的安全设备与系统安全策略进行管理，实现全系统安全策略的统一配置、分发和管理。 五、安全管理