公安内部安全管理制度(通用7篇)
【中文摘要】公安内网管理监控系统已经在全国得到了部署和使用,一些现成的商业或者组织研制的监控系统已经能很好的解决了“一机两用”问题和公安内网客户端安全管理等关键问题。课题研究开发了一款简易初步的局域网监控系统,适合于地市级单位使用,以节约成本。论文首先对目前的内网使用安全状况及其原因分析做了简要介绍,并介绍了课题研究的背景,提出了本课题的研发内容。其次,对系统研发过程中所用到的数据库知识、开发环境知识进行了介绍,为后续的描述做了铺垫。随后,对系统的用户需求进行了详细的分析,并设计了各个功能的用例。在通过对用例的初步分析的基础上,对系统进行了概要设计,得到了系统框架结构与类结构。第四章则重点阐述了系统各个模块的详细设计。最后,讲述了系统的实现与测试方案设计。本研究实现了如下模块:1)检测和发现网络中存在的计算机通过MODEM,ADSL,双网卡及其离线方式等设备接入网络行为。2)记录各种非法上网的计算机信息,如上网时间,持续时间,客户端地址,计算机的IP地址,MAC地址等。3)详细记录非法上网计算机的计算机名称,单位,上网方式(代理,拨号)。4)便捷的查询设计功能,多种条件查询支持对一机两用信息进行信息查询统计。5)能够将本级监控系统管辖范围内的监控信息以数据库形式分类存储并上报,并实现监控或者病毒信息发布平台,实现数据上传邮箱备分。本文所设计的内网监控管
理信息平台特点如下:1)本文所构建的监控平台采用服务器/浏览器(B/S)框架构建系统,在服务器端以ACCESS和SQL Server 2000作为数据库服务器提供了数据库服务功能。2)本系统设计采用面向对象的分析和设计策略,用了三层架构的框架进行开发,使各模块的类结构非常清晰。在数据库设计方面,使用了数据关系图,比较直观、易懂。在整个系统的研发过程中,有效的提高了效率,同时最小化了设计错误。3)本系统充分利用了Visual Studio 2005的集成开发环境在界面和数据库开发上的优势进行了系统实现,使用了.Net Framework 2.0的框架和VB.Net的开发语言,使得开发效率非常高,并且框架比较成熟和稳定。4)在系统测试方案设计上,本文在对传统V型和X型测试设计方案的分析基础上,采用了一种改进的测试方案对系统各个模块进行了测试。整个测试方案以黑盒和白盒单元测试相结合的方式实现,使测试更有效,更灵活。
【英文摘要】At present, the network controlling and management systems have been widely applied in the whole nation for security purposes.Currently, a series of available monitoring systems have been developed by a number of commercial and organizational agencies, for solving the problem of“one machine, dual use”.Here, we developed a simple preliminary LAN monitoring system, suitable for being applied in city-level governments to reduce costs.The first chapter is dealing with the current security situatuion of internal
network of the security departments.We also give a brief introduction, describe the research background, and propose the major contents of the present study.In the second chapter, we introduce the knowledge of database and programming environmet in detail.In the third chapter, we analyze the customer requirements for security monitoring, and design the principal modules for the whole system.In the fourth chapter, we mainly present the implementation of the modules of the systems.Finally, in the last chapter, the test design and cases for the system are present.Our study achieved the following modules:1)Detecting and identifying the connection way for the computers being monitored, including MODEM, ASDL, pairs of network cards, and offline behaviors.2)Recording the information all kinds of illegal access to internet for the computer, including online time, duration time, computer’s IP and MAC addresses and so on.3)Recording the detailed information on the illegal computer, including name, department, network connection ways(proxy or dial-up).4)Easy query of data sets for the purpose of security searching and checking.5)Saving and uploading the suspected alert data to the high-level security monitoring center;developing the platform of information sharing and publishing;realizing the
submission of alert data using email system.Features of present network monitoring security system:1)The monitoring platform is built on the basis of server/browser(B/S)framework.On the server side, SQL Server 2000 and ACCESS database software are used.2)The system design follows the object-oriented strategy, developed under the three-tier framework, therefore the class structure for each module can be clearly present.In the design of database, we graph the relationships among the data, which can be vividly understood.In the whole development process, we can effectively accelerate the programming and reduce the design mistakes.3)Our system extensively used the developing environment of Visual Studio 2005, which can easily make the system realized.By using.Net Framework 2.0 and VB.Net, the developing effectiveness is very high, and the system is stable.4)On the design of system testing, we not only used the traditional V-and X-type testing design, but also introduced an improved testing method.The entire testing is carried out by the combination of the black and white box units, to make the testing more efficient and flexible.【关键词】内网监控 一机两用 数据上报 信息发布 系统测试 【英文关键词】Monitoring within the network One machine Data reporting Information dissemination
System testing 【目录】公安内部网络安全监控系统管理系统的设计与实现摘要4-6Abstract6-7
11-12
第一章 绪论11-171.2 课题研究现状12
1.1 1.3 一1.5 论文公安内网建设背景机两用问题12-13组织结构15-16背景介绍17-26
1.4 课题主要内容13-151.6 本章小结16-17
第二章 系统技术
2.2 系
2.1 网络安全监控系统17-18
2.2.1 软件开发技术统技术基础分析18-1918-1919-22术20-22发环境22-23建模工具24-252.2.2 数据库技术192.3 开发技术和编程语言
2.3.2 ASP.NET 技2.4.1 ASP.NET 开
2.5 UML 2.3.1 系统开发体系19-202.4 系统开发工具22-24
2.4.2 数据库工具选择23-242.6 本章小结25-26
第三章 系统需求
3.2 系统3.4 数据分析与概要设计26-32架构设计26-28管理功能30-31设计32-41计32-33辑处理33辑设计33-36据库表设计34-36信息查询流程设计
3.1 成熟系统案例26
3.3 系统数据流分析28-303.5 本章小结31-324.1 监控系统功能设计
第四章 系统详细4.2 系统性能设4.2.2 业务逻4.3 数据库逻
4.3.2 数
4.4.1 4.2.1 以XML 传递数据32-334.2.3 统一管理业务接口33
4.3.1 数据E-R 图设计33-34
4.4 系统主要流程设计36-3836-37
4.4.2 信息删除流程设计
374.4.3 信息添加流程设计37-38
4.5.1 CA 认证体系
38-39
4.5 系统安全体系4.5.2 数据加密设计38-40394041-6141-424.5.3 用户权限控制39-404.6 本章小结40-415.1 系统实现平台41
4.5.4 日志管理
第五章 系统实现与测试
5.2 数据接口格式规范
5.4 系统功5.3 监控网络布线模块实现42-44能模块实现44-5744-47
5.4.1 联机设备注册管理实现
5.4.3 客5.4.2 监控信息数据管理实现47-49户端数据收集管理实现49-5252-56测试57-605757-58试59-6061-6362-63
5.4.4 报警数据上报模块实现
5.5 系统5.4.5 内网信息共享平台实现56-57
5.5.1 测试需求57
5.5.2 测试计划5.5.3 测试目标575.5.4 黑盒测试
5.5.6 系统性能测第六章 总结与展望6.2 研究展望64-66 5.5.5 白盒单元测试58-595.6 本章小结60-616.1 全文总结61-62致谢
63-64
1.1 网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护, 不受偶然的或者恶意的原因而遭到破坏、更改、泄露, 系统连续可靠正常地运行。从其本质上讲, 网络安全就是网络上的信息安全。从广义上来说, 凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全。
网络安全分为两大范畴, 即通信安全范畴和计算机安全范畴。通信安全是对通信过程中所传输的信息施加保护, 它包含操作系统安全、数据库系统安全和网络站点安全。通信安全和计算机安全措施需要与其它类型的安全措施, 诸如物理安全和人员安全措施配合使用, 才能更有效地发挥作用。
随着计算机网络的不断发展, 全球信息化已成为人类发展的大趋势。但由于计算机网络具有连接形式多样性、终端分布不均匀性和网络的开放性、互联性等特征, 致使网络易受黑客、恶意软件等其他不轨的攻击, 所以网络与信息安全已成为影响国家大局和长远利益、亟待解决的重大关键问题。对于公安机关, 网上信息的安全和保密尤为重要, 因此, 网络的安全措施应能全方位地针对各种不同的威胁和脆弱性, 这样才能确保网络信息的保密性、完整性和可用性。
1.2 计算机网络面临的威胁
计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。针对网络安全的威胁主要有以下几种:一是人为的无意失误, 如由于配置问题造成的安全漏洞, 用户口令太弱等;二是人为的恶意攻击, 计算机犯罪就属于这一类。主要分为主动攻击和被动攻击;三是网络软件的漏洞和“后门”, 这类威胁所引起的事件主要还是因为安全措施不健全的缘故。表1列出了典型的网络安全威胁的名称, 并分别进行了解释和描述。图1列出了一些典型的威胁以及它们之间的相互关系。
1.3 公安内部网存在的安全问题
公安信息网的安全保障是实现信息共享、快速反应和高效运行的重要保证。安全保障体系首先要保证网络的安全、可靠运行, 其次保证应用系统和业务数据的保密、完整和高度的可用性, 同时还要为将来的信息化应用提供可扩展的空间。因此, 安全保障体系是金盾工程建设的重要组成部分。
安全保障体系涉及到机房、网络、计算机系统、应用系统、数据的安全存储与传输、用户的安全认证、管理规章制度等各方面的内容。目前, 公安网内存在的安全隐患主要有以下几个方面:
①没有建成整个网络的路由备份和网络线路备份策略, 从而不具备较强的容错、容灾能力, 无法保证网络的高可靠性。
②没有在网络的汇接点处配备防火墙等网络安全设备, 没有制定网络与应用的访问控制策略, 从而无法有效防范非法访问网络。
③没有建立一套完备的防病毒体系, 从而无法有效防、查、杀各类病毒, 保障专网与应用系统、计算机资源、公安业务信息的安全。
④没有对操作系统、数据库等系统软件做好安全配置。
⑤没有配备漏洞扫描系统, 从而无法及时发现并弥补系统漏洞, 加强入侵检测系统建设, 及时发现、追踪并制止非法访问行为。
⑥没有采用数据、信道加密与涉密系统安全认证等手段, 无法保证涉密信息的安全存储与传输。
⑦没有在整个公安PKI的框架下, 设立本地CA中心, 实现“单点登陆, 全网漫游”。
⑧没有建立数据异地备份机制, 防止突发性时间与自然灾害对公安信息的危害。
⑨没有建立一套行之有效地安全管理规章制度, 保证各类公安应用系统安全、稳定运行。
2 公安内部网安全风险评估
安全风险评估是指依据有关安全技术与管理标准, 对内部网涉及到的网络、信息、系统等的保密性、完整性和可用性等安全属性进行评价的过程。风险评估主要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性, 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。安全风险评估是公安建立信息安全管理体系的关键环节, 它贯穿于管理体系的规划、设计、实施、运维、废弃的整个生命周期中。目前公安内部网风险安全评估主要还存在以下几个问题:
①仅从网络和信息的机密性、完整性、可用性、可追溯性、抗抵赖性等进行分析, 对网络和信息内容安全性考虑较少。
②威胁识别和脆弱性识别的方法多借助于入侵检测、漏洞扫描等信息安全产品对网络和信息存在的技术漏洞进行分析, 对人员上网行为的安全分析不够。
③风险评估与等级保护不协调。如资产识别与定级指南, 风险分析和检查准则是否相互一致。
为了更好地提高风险评估的成效, 应从以下几方面进行着手:
①提高安全风险认识, 加强风险评估中的内容安全风险识别。当前的风险评估, 很少考虑信息资产可能遭受的内容安全风险, 其实对一些政务系统, 信息内容安全所带来的风险可能比黑客、恶意代码等所带来的风险更大, 所以进行评估的时候, 应该参照有关法律法规, 识别不安全的信息内容。
②利用计算机取证鉴定的技术, 提高风险评估的威胁识别和脆弱性识别能力。计算机取证包括动态取证和静态取证两个方面, 动态取证主要针对的是网络上传输的电子数据和内存中运行的电子数据;静态取证主要是针对磁盘等存储设备的电子数据。实践证明内部人员的非法操作是信息安全的最大隐患, 因此不仅要从网络中获取威胁, 更应该检查主机内存、磁盘, 通过对其检查, 发现已发生的威胁。
③加强等级保护观念, 使风险评估与等级保护相统一。等级保护和风险评估都强调分级的原则, 等级保护分为自主性保护、指导性保护、监督性保护、强制性保护、专控性保护五大级别;风险评估则对资金进行分级, 不同价值的资产采取不同的评估方法, 如基线评估和详细评估等。为将两者统一起来, 一是风险评估的方式可借鉴等级保护的责任制度, “谁主管谁负责”;二是风险评估的过程要完成等级保护制度要求。测评准备包括安全技术测评和安全管理测评两个方面, 安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全、数据安全;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运行维护管理。
3 公安内部网的安全策略
保障网络安全, 关键是靠人、技术、管理三者的有机结合。公安内部网的安全策略应该由安全标准、管理制度、安全技术三部分组成。下面主要从物理环境、链路、计算机系统、数据、身份认证与访问授权等方面进行阐述, 使读者明白通过综合部署和合理运用这些技术和产品, 可解决大部分网络安全问题。
3.1 物理环境安全设计
3.1.1 机房安全
按照《中华人民共和国国家标准电子计算机机房设计规范》中的要求, 机房建设在机房位置、设备布置、环境条件、建筑、空气调节、电气技术、给水排水、消防安全等方面分为A、B、C三级。根据公安部的要求, 市级以上公安机关机房建设要达到A级, 分县局网络中心机房达到B级, 基层科所队等单位的设备机房要求达到C级。
3.1.2 设备安全
设备主要指网络专用设备 (如路由器、交换机等) 和主机设备 (终端计算机、服务器、防火墙等) 。设备环境安全主要包括设备的防盗、防电磁辐射、防止搭线窃听、抗电磁干扰及电源保护等, 设备冗余备份。设备存放环境如温度、湿度等符合设备的要求, 设备的安装要坚固耐用, 尽量隔离存放, 做到最终用户难以私自安装、拆卸设备的配件, 用户能够接触的只有键盘和屏幕。
3.2 链路与网络安全
3.2.1 链路安全
所有租用的通信线路必须配备防火墙, 各级公安机关须与线路提供商协商共同解决安全问题;为防止被侦听窃听数据, 根据需要可对光纤两端进行加密, 防止其他项目工程实施时破坏公安的光纤线路, 造成线路中断。
3.2.2 网络安全
通过辅助的安全工具与手段进一步加强各级公安内部网的高度安全, 网络设备配置要安全, 尽量采用高质量、高可靠的设备, 如有必要, 优先采用双机或多机冗余设计方案, 如核心交换机/路由器。在网内配置认证服务器, 对网络设备、主机设备、安全设备等的访问进行统一的认证、授权、审计 (AAA) 管理。要严格控制与公网的连接, 与政府部门、企事业单位连接, 要通过专用安全平台, 在保证安全的前提下, 实现信息资源共享。在各级公安机关局域网出入口处配备防火墙, 防止局域网外部用户的非法访问。
防火墙作为隔离网络安全域的有效手段被广泛使用, 是一种被动防卫技术, 适合于相对独立的与外部网络互联途径有限、网络服务种类相对集中的单一网络。通常分为网络级防火墙和应用级防火墙。网络级防火墙只检查地址和端口, 对网络更高协议层的信息没有办法理解。应用级防火墙可以理解应用层协议, 能够做复杂的访问控制, 但效率不如前者。图2是防火墙在公安内部网中的部署示意图。
3.3 计算机系统安全
3.3.1 操作系统安全。
操作系统是应用软件和服务运行的公共平台, 操作系统安全漏洞是网络入侵的重要因素。因此, 首先必须选择安全的操作系统平台, 充分利用操作系统提供的安全功能, 并及时升级操作系统的补丁程序。
3.3.2 数据库系统安全
选用安全级别较高的数据库系统, 必要时对数据库系统实施字段加记录级加密保护。对数据库管理的数据和资源提供安全保护, 主要包括以下几点:
物理完整性, 保证数据能免于物理方面的破坏, 如掉电、火灾等;
逻辑完整性, 能够保持数据库的结构, 如对一个字段的修改不至于影响其他字段;
元素完整性, 包括每个元素中的数据都是准确的;
数据的加密;
用户鉴别, 确保每个用户被正确识别, 避免非法用户入侵;
可获得性, 指一般用户可访问数据库和所有授权访问的数据;
可审计性, 能够追踪到数据库。
要实现对数据库的安全保护, 一是选择安全数据库系统, 即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略;二是以现有的数据库系统所提供的功能为基础做安全模块, 增强现有数据库系统的安全性。
3.4 数据安全
①数据传输安全。
采用数据加密实现数据的安全传输, 加密主要采用以下三种方法:对路由包加密、应用软件实现加密、硬件加密机加密。
②数据存储安全。
应用系统应采用在线备份方式, 并按如下方法进行备份:完全备份, 一周一次;增量备份或差异备份, 每天一次。条件允许的情况下, 对重要应用系统应实现异地容灾备份。
③安全工具配备。
市级以上公安机关维护人员需配备网络入侵检测工具与漏洞扫描工具, 及时发现系统存在的漏洞, 随时进行升级;要能及时发现、追踪并制止非法访问行为。县级公安机关可视自己具体情况进行配备。
④建设完善的病毒防范体系。
提供全方位的病毒防护, 要具备集中网络管理功能, 安装正版的、最好国产的网络版防病毒软件, 提供远程自动安装功能、定式扫描功能、病毒源跟踪与隔离功能、网络报警功能等。要提醒广大用户周期性备份工作文件, 维护人员周期性备份源代码文件、数据库文件。
3.5 身份认证与访问授权系统
由于公安系统信息的特殊性以及管理机制的特殊性, 基于数据库技术的数据管理手段难以满足实际应用中不同级别访问用户对不同信息资源访问的需要, 为此需要构造独立于应用系统的访问控制安全机制。在公安金盾工程中, 明确提出建设全国PKI系统和两级RA中心、三级CA中心的构想, 并已逐步实施。
PKI (Public Key Infrastructure) /PMI (Privilege Management Infrastructure) 身份认证和访问控制技术, 在单点登录、全网漫游、访问控制、电子政务、无纸办公以及身份鉴别和授权等方面有着广泛的应用。
PKI即公开密钥基础设施, 是包括硬件、软件、人员、策略和规程的集合, 用于实现基于公钥密码体制密钥和证书的产生、管理、存储、分发和撤销等功能。它通过第三方的可信机构CA (Certification Authority) 把用户的公钥和其它标识信息 (如姓名、身份证号码等) 捆绑在一起, 实现身份的验证。PKI系统主要包括:密钥管理中心 (KMC) 子系统、认证中心 (CA) 子系统、注册中心 (RA) 子系统、发布中心 (DA) 子系统等。
PMI即权限管理基础设施或授权管理基础设施, 是属性证书 (AC) 、属性权威 (AA) 、属性证书库等部件的集合体。PMI主要负责向业务应用系统提供与应用相关的授权服务管理, 提供用户身份到应用授权的映射功能, 实现与具体应用开发和管理无关的访问控制机制, 简化应用中访问控制和权限管理系统的开发与维护。PMI系统包括属性证书签发子系统 (AA) 和属性证书注册子系统 (ARA) 两部分。
4 安全管理建设
做好公安内部网安全工作, 解决安全问题, 关键要做到人、技术、管理三位一体, 就是说, 要实现三分技术和七分管理。加强安全管理, 原因有以下几个:一是保密与窃密的斗争日趋尖锐;二是公安工作对网络和应用系统的依赖程度日益加深;三是快速发展的信息技术给安全保密带来的难度日益加大;四是当前公安网络和信息的安全保密工作存在不少突出问题和重大隐患, 严重危害网络和信息安全。
4.1 安全管理的作用
安全管理是网络信息系统安全的重要组成部分, 是管理者实施系统监管的有力工具, 它的实施促进了安全与应用的真正一体化, 使得各类信息系统逐步过渡到安全信息系统上来。
安全管理不仅是技术层面上的, 更多地涉及到制度以及人的因素。因此必须建立一套科学的、严格的安全管理制度, 才能真正保证公安内部网及其信息系统整体的安全。
4.2 安全管理制度建设
2003年11月, 公安部出台了《公安计算机信息系统安全保护规定》, 明确了公安计算机安全保护工作的任务、主管机构、处罚等, 并要求制定一系列规章制度, 确保各项安全措施的落实。这些制度主要包括:人员安全管理制度 (安全审查制度、岗位安全考核制度、安全培训制度、安全保密契约管理制度、离岗人员安全管理制度等) ;文档管理制度;系统运行环境安全管理制度;软硬件系统的选购、使用和维护制度;应用系统运营安全管理制度;应用系统开发安全管理制度;应急安全管理制度;安全领导小组职责和工作制度;安全事故处理程序规定;访问国际互联网管理规定等。
2005年4月, 公安部为加强公安信息网的安全管理工作, 规范公安机关人民警察使用公安信息网, 出台了《公安机关人民警察使用公安信息网违规行为行政处分暂行规定》, 对规范人民警察上网行为具有很大的约束力和强制力。《暂行规定》明确了7类违规行为和6项行政处分, 对加强安全管理起到了很好的作用。
4.3 内部网安全大检查
根据安全管理的需要, 各级公安机关每年都会进行不定期的安全大检查。大检查主要包含以下几个方面的内容:
公安计算机和服务器的注册、使用情况, 包括IP使用情况、使用人准确度情况;
涉密信息清除情况, 包括涉密机器不联网, 联网机器不涉密等;
违规软件清查情况, 包括各类游戏清查, 禁用软件清查等;
应用系统等级情况, 包括应用系统登记备案情况, 开放端口情况等;
安全设备使用情况, 包括策略设置、维护制度落实等。
从以上可以看出, 安全管理工作在解决内部网安全问题上的重要作用。做好公安网络安全问题, 一方面要加大宣传、教育和培训力度, 另一方面, 要抓好制度、措施的落实, 并及时进行完善。
本文结合山东公安机关的实际和本人多年从事公安信息化工作的阅历, 强调了加强内部网安全管理对实现公安信息化的重要作用, 旨在通过一些探讨, 促进内部网安全策略的强化。当然, 安全问题不可能一下子就彻底解决, 还需要各级公安机关经过上至领导下到普通民警的共同努力, 从制度落实、人员管理、安全技术配备上着手, 真正落实“谁主管、谁负责”、“谁使用、谁负责”的管理责任制, 齐抓共管, 共同努力把公安内部网打造成为公安信息化的坚强后盾。
摘要:公安内部网络, 简称公安网, 采用了Internet的组网技术和应用技术, 也同样存在着当今互联网络共通的安全问题。随着公安网在公安信息化中的重要性越来越大, 构建公安网络和信息安全保障体系就迫在眉睫。本文结合山东公安的实际, 就公安网涉及到的安全问题进行了深入研究, 分析了目前公安网已发现的一系列安全问题以及存在的安全隐患, 提出了相应的解决方法。
关键词:公安内部网,网络安全,病毒防治,安全管理,身份认证
参考文献
[1]吴亚非, 李新友, 禄凯主编.信息安全风险评估.清华大学出版社,
[2]信息安全风险管理指南.
[3]信息安全风险评估规范.
[4]信息系统安全等级保护实施指南.
[5]信息系统安全保护等级定级指南.
[6]信息系统安全等级保护测评准则.
[7]AndrewS.Tanenbuam.计算机网络 (第四版) [M].北京:清华大学出版社, 2002.
[8]邓秀华.计算机网络病毒的危害与防治[J].电脑知识与技术, 2005.7.
[9]Vito Amato.思科网络技术学院教程[M].北京:人民邮电出版社, 2003.
[10]刘建伟, 王育民编著.网络安全-技术与实践.北京:清华大学出版社, 2005.
[11]李文燕主编.计算机犯罪研究.北京:中国方正出版社, 2001.
【关键词】公安 信息 网络安全 管理 对策
【中图分类号】D631.1 【文献标识码】A 【文章编号】1672-5158(2013)04-0488-01
信息网络安全是影响国家政治、经济安全和社会稳定的重要因素。在信息化飞速发展的今天,信息网络的犯罪行为愈演愈烈,严重危害到我国的国家安全和社会秩序,阻碍了构建和谐社会。公安机关作为负有保护公安信息网络安全重要职能的机构,必须加强信息网络安全管理,针对面临的挑战,采取有效措施打赢这场现代化的信息战。
一、公安机关信息网络安全的现状
(一)信息网络过于脆弱
计算机信息系统虽然功能多,但本身也存在着许多薄弱环节。首先,计算机信息系统靠程序控制,系统程序相互联系,一旦一处受到攻击,会引起全系统不能正常工作;其次,抵御外界影响的能力不强,容易受自然环境的影响;再次,系统本身电磁辐射较强,易引起泄密;还有,计算机信息系统直接与国家政治、经济、科学、军事机密有密切关系;最后,网络本身具有的超时空、虚拟的特性,决定了网上活动的不确定性和隐蔽性。
(二)信息网络安全问题突出,网络安全泄密
部分公安网络技术操作人员的保密意识不强。在公安信息工作中不能时刻保持严谨认真的工作作风,在与非公安系统人员的交流泄露了公安涉密信息等。
公安网络信息的操作人员缺少专业、系统的技能培训,在未进行安全检查的情况下,使用非公安系统专用u盘对信息进行拷贝,增加了木马等恶意软件的入侵几率。
(三)信息网络安全防范不足,系统安全漏洞百出
由于没有及时打好系统补丁,多数公安网计算机存在安全漏洞,一些内部网站服务器和重要应用系统服务器也或多或少存在安全漏洞,有些计算机安全漏洞甚至达到几十个。系统漏洞的存在给公安信息网络攻击事件的发生提供了条件,公安网内计算机的安全漏洞严重影响到全局网络的整体安全。
二、面临的挑战
(一)不能及时发现犯罪和预测犯罪
与其他犯罪形势相比,计算机犯罪以及网络罪隐蔽性更强、智能化更高、实施犯罪速度更快。随着这类犯罪的增加,公安机关网络安全保卫部门必须具备极高的发现犯罪能力和快速反应能力,抓住战机,打击犯罪。但是某些部门网络安全意识不强。一是少数干警缺乏网络安全意识,计算机知识和操作技能水平较低,对自己危及公安信息网络安全的违规行为一无所知,危害了网络的安全;二是非公安机关编制人员操作使用公安网计算机的现象较多。一些基层单位非公安机关编制人员未经审批和相关教育就使用公安网,且没有指定管理责任官兵对其进行监督。同时由于地方人员的政治敏感性、纪律性和流动性等问题,使公安信息网络出现了许多安全隐患;三是电脑在发生故障后没有按规定程序报修。直接外送外单位、外公司维修。存在严重的安全隐患;四是保密意识薄弱。个别单位公安网电脑不设置开机密码,电脑一开就能随意访问公安网,非公安机关编制人员很容易进入公安信息网络进行操作。
(二)存在安全组织建设风险
随着公安网络的发展,信息系统安全体系的建设对组织保障提出了更高的要求,公安信息系统各部门现有的机构设置、岗位设定、人员配备等不能完全满足对信息系统安全管理的需求,这些问题在很大程度上制约了安全体系建设的发展。
三、加强公安机关公共信息网络安全管理的对策
对于公安机关来说,全面构建公共信息安全网络,既是严峻挑战,也是良好机遇,更是公安机关网络安全保卫部门的神圣职责。
(一)健全信息安全管理制度
健全的安全管理制度是公安网络信息安全的重要保证。这些制度包括:密码管理制度、数据加密规范、身份认证规范、区域划分原则及访问控制策略、病毒防范制度、安全监控制度、安全审计制度、应急反应机制、安全系统升级制度等,建议成立专门信息安全管理和监督机构,人员包括领导和专业人员,按照不同任务进行分工,确立各自的职责。有了组织机构和相应的制度,还要将强领导、督促和检查工作,使制度真正落实到实处。
(二)机制安全保护对策
必须有相关的法律法规约束网络涉密问题,相关的部门也要根据时代的需求和国内公安网络的实际情况,并借鉴国外的先进管理模式,制定适合的管理措施,积极提倡奖励制度与惩罚制度并举,适时收放,真正做到标本兼治。一是制定完善的公安机关信息网络安全管理规定和网络信息安全检查日等规章制度,实行公安信息网安全通报制度,定期对公安信息网络安全工作的开展情况、网内设备技术防范情况以及发生问题情况进行通报,以使网络安全工作走入规范化、经常化的轨道;二是联合电信、移动等网络运营商、应用系统开发商等外部辅助技术力量,建立网络应急保障队伍,制定各种应急方案。一旦网络及应用系统出现故障,能够及时采取应急措施;三是制定网上巡检制度,加强日常巡检,落实值班查勤,同时通过建立集中运行管理平台、建设机房环境监控系统和容灾备份系统等,进一步强化网络信息中心运行维护系统建设,提高信息保障水平。
(三)加强队伍建设,提高公安信息网络安全管理水平
一是建立健全网络安全管理员队伍。在机关各部门、支队各基层单位确定网络水平较好、工作责任心强的官兵,担任本部门、本单位的专职网络安全管理员,协助所属领导做好本级的信息网络安全管理工作;二是按期培训安全管理员,并积极创造出外学习新知识的机会,不断提高安全管理员的管理水平,打造高素质网络安全管理队伍;三是制定安全管理员职责。使他们切实担负起监督、检查信息网络安全违规行为的责任,使信息网络安全工作延伸到各部门及基层单位;四是建立安全管理通报制度,通过网页、文件通报方式定期向全市公安部队的网络安全主管领导及管理员通报杀毒软件覆盖率、打全系统补丁进度、计算机注册率等安全管理排名等信息。实时通报“一机两用”违规外联、违规使用P2P软件、违规使用网络游戏等违规事件,使各单位举一反三,杜绝此类事件再发。
(四)网络安全技术保护对策
【发布文号】京公技防字[2001]187号 【发布日期】2001-09-02 【生效日期】2001-09-02 【失效日期】 【所属类别】地方法规 【文件来源】中国法院网
北京市公安局安全技术防范工程监督管理办法
(京公技防字〔2001〕187号)
第一章 总则
第一条 第一条 为加强本市安全技术防范工程管理,依据《北京市安全技术防范管理规定》和其他有关规定,制定本办法。
第二条 第二条 本办法所称安全技术防范工程(以下简称技防工程),是指用于预防、制止违法犯罪或者重大治安事件的报警、电视监控、出入口控制等工程。
第三条 第三条 本办法适用于在本市行政区域内从事技防工程设计、施工、建设和使用的单位。
第二章 管理职责
第四条 第四条 北京市安全技术防范管理办公室(以下简称市技防办)是全市安全技术防范工程的主管部门,负责本市技防工程的监督管理,履行下列职责:
(一)对从事技防工程设计、施工企业的资质实行审批制度;
(二)对部分技防工程的开工和投入使用实行审批验收制度;
(三)对外地企业在京从事技防工程设计、施工资质实行备案登记制度;
(四)指导市局所属各单位技防管理部门的技防工程管理工作;
(五)依据《北京市安全技术防范管理规定》查处违法行为。
第五条 第五条 市局所属单位技防管理部门负责本辖区内技防工程的监督管理,履行下列职责:
(一)对部分技防工程实行审批验收制度;
(二)对经市技防办审批的技防工程实行登记备查制度并参与工程验收;
(三)对本辖区内技防工程的施工及运行情况进行监督管理;
(四)依据《北京市安全技术防范管理规定》查处违法行为;
(五)在市局指导下开展技防工程监督管理工作。
第三章 资质审批
第六条 第六条 技防工程设计、施工实行等级资格制度。凡在本市承接技防工程设计、施工的企业,应取得市技防办核发的安全技术防范工程资质等级证书,方可承接技防工程。
第七条 第七条 资质等级分为暂三级、三级、二级、一级。
第八条 第八条 按照下列要求申办资质等级证书:
(一)申办企业向市技防办递交申请报告;
(二)企业技术(管理)人员参加市技防办组织的技防工程资质培训班;
(三)申办企业至少有3人经培训、考试合格后,企业填写《北京市安全技术防范工程设计、施工资格证申请表》,并附加如下材料:
1、本市企业法人营业执照;
2、在京办公地点的房产证明或租赁合同复印件;
3、企业人员登记表;
4、企业管理人员(法人、正副总经理、财会、文秘)、技术人员的身份证、学历证和职称证复印件;
5、企业管理人员、技术人员《未受刑事制裁证明书》;
6、企业组织结构、人员分工及岗位责任制文件;
7、工程设计、施工、维修手册及质量保障体系文件;
8、企业简介材料。
第九条 第九条 核发工程资质等级证书。
市技防办在受理申报材料后,25个工作日内对企业进行审查并做出答复。审查合格,由市技防办出具暂三级资质等级证书,企业进入暂三级,有效期为一年。有效期满20日内,可以申报三级资质等级资格,逾期10天不办理者,视为自动放弃申请。
第十条 第十条 市技防办对三级以上资质等级资格实行年审制度。证书有效期四年,每年年审一次,年审材料申报期为当年12月1日至12月20日,逾期10天未申报年审材料的,取消其年审资格。
第十一条 第十一条 参加年审的企业向市技防办报送如下材料:
(一)工程资质等级证书原件;
(二)企业营业执照复印件;
(三)技防工程统计表和相应的安装状况统计表(经检验、验收工程的材料有效);
(四)本市工程附《北京市安全防范工程报申表》,外地工程附检验、验收报告原件和复印件(复印件存档);
(五)人员变动情况登记表。
第十二条 第十二条 各级资质企业的年工程定额标准:
1、一级资质企业当年应完成工程定额300万元;
2、二级资质企业当年应完成工程定额200万元;
3、三级资质企业当年应完成工程定额100万元;
4、暂三级资质企业当年应完成工程定额60万元。
市技防办根据企业完成工程总额数量及工程质量,进行年审,对合格企业核发下资质等级证书。
第十三条 第十三条 具有资质等级证书的企业,在年审时可根据升级条件和自身业绩提出申报上一级资质;申请升级需要提交书面申请和申办材料。
第十四条 第十四条 晋升资质等级条件(见附件)。
第十五条 第十五条 下列情况予以降级处理:
(一)未达到本级工程定额的;
(二)偷工减料及工程投入使用后不能及时维修的;
(三)单项工程系统检测、验收两次以上不合格的。
第十六条 第十六条 资质等级证书是技防工程设计、施工企业的资质证明,遇有下列情况视为无效:
(一)企业停产、转产、解散;
(二)在15日内,未到市技防办办理企业办公地址、电话、邮编或联系人变更手续;
(三)在15日内,未到市技防办办理企业名称变更、改组或法人变更换证手续。
第十七条 第十七条 遇有下列情况取消其年审资格:
(一)未办理工程审批手续施工的;
(二)企业在年审材料中,弄虚作假、虚报业绩。
第十八条 第十八条 转让、借用、变造工程资质证书的企业,取消其年审资格,三年内不得申办资质证书。
第四章 工程审批
第十九条 第十九条 技防工程应由技防管理部门审核同意后交付施工,竣工后经验收合格方可投入使用。
第二十条 第二十条 工程审批权限如下:
(一)市技防办负责审批下列工程:
1、投资额为三十万元(含)以上的工程;
2、分险等级为一级或二级单位的工程。
(二)其他技防工程分别由工程所在地的区(县)技防办或保卫关系隶属的局(处)技防管理部门负责审批。
第二十一条 第二十一条 工程建设单位(或委托设计、施工企业)按照工程审批权限,向相关技防管理部门提出开工申请,填写《北京市安全防范工程报申表》,并提供如下材料:
(一)工程项目合同文本;
(二)全套正式施工蓝图;
(三)报审材料依据GA/T75-94《安全防范工程程序与要求》中6.2至6.3的内容申报,包括下列内容:
1、技术设计,包括:设计任务书、现场勘察记录、设计方案、系统工作原理、设备器材清单、中心控制设备和各种探测器、监控器材极其他前端装置的产品型号、制造厂家、产品主要功能。
2、施工图设计,施工图包括:探测器布防平面图、中心设备布置图、系统及分系统连线图、管线要求及管线敷设图、设备器材安装要求及安装图纸。
3、工程费用预算,包括:器材设备预算、设计、施工费用预算、系统维护、修理费用预算。
4、指定中介机构对工程方案的评估意见。以上材料需装订成册,装订规格为20厘米×30厘米。
第二十二条 第二十二条 技防管理部门受理材料后,在5个工作日内完成对工程方案的审核,通报审核结果。
经市技防办审批的工程、开工前工程施工企业持开工通知单到工程所在地或保卫关系隶属的技防管理部门登记备查。
第二十三条 第二十三条 工程竣工初验后,建设单位向原审批部门提出验收申请,持审批部门出具的检验委托书,备齐下列材料,到指定的检验机构办理系统检验:
(一)技防工程甲乙方合同副本以及补充文件复印件1份;
(二)技防工程设计施工方案(包括:系统组成概况、防范或监控区域;探测器或摄像机的安装位置、系统原理图或方框图)1份;
(三)技防工程系统操作说明书1份;
(四)技防工程审批材料(表)4份;
(五)技防工程所使用的主要仪器、设备和器材清单(包括产品名称、规格型号、制造厂名称、数量、产品单价)1份;
(六)技防工程所使用的主要仪器、设备和器材的出厂合格证、产品检测合格报告、商检合格证书及安全认证证书的影印件各1份。
第二十四条 第二十四条 下列工程需要系统检验:
(一)单位分险等级为一级或二级;
(二)投资额在30万元(含)以上;
(三)投资额在30万元以下20万元以上的综合系统工程;
(四)投资额在15万元(含)以上的报警工程。
第二十五条 第二十五条 申请验收企业向原审批部门送交如下材料:
(一)指定检验机构的检验合格报告;
(二)试运行报告;
(三)初验报告;
(四)竣工报告;
(五)竣工资料和图纸;
(六)审批部门填发的工程审查文件、备忘录及落实情况。
第二十六条 第二十六条 技防管理部门接到验收申请和有关材料后10个工作日内,依据国家标准、地方标准及行业标准组织验收,对不合格企业,提出整改意见,限期改正。验收合格后5个工作日内,签署工程验收意见,批准工程使用。
第二十七条 第二十七条 外省市企业承接本市技防工程设计、施工项目的,须持下列材料到市技防办进行资质备案并按本办法要求办理工程的审批手续:
(一)企业所在地省、自治区、直辖市公安厅(局)级技防管理部门核发的工程资质证书和证明公函;
(二)与在京具有相应工程资质单位签署的工程维修维护委托协议。
第五章 企业责任
第二十八条 第二十八条 建设单位和承建企业对工程项目和图纸资料均应妥善保管,将参与工程设计、施工和维修的人员记录在工程档案中。
第二十九条 第二十九条 承接技防工程的企业在该工程投入使用后负有维护责任,在接到维修报告时应按时限或合同要求组织维修。
第三十条 第三十条 承接技防工程的企业,应当严格执行国家标准和公共安全行业标准,采用符合国家相关标准的合格产品,使用的进口器材应有国家认可的检验机构出具的检验报告。
第三十一条 第三十一条 使用技防工程的单位,要接受技防管理部门的监督检查,发现问题及时整改。
第六章 附则
第三十二条 第三十二条 本办法由北京市安全技术防范管理办公室负责解释。
第三十三条 第三十三条 本办法自颁布之日起实行,原《北京市安全技术防范工程管理暂行办法》(京公技防字〔1999〕108号)同时废止。
附件: 资质等级升级条件表
┌──┬───┬───────┬─────────────┬─────┐
│资质│注册 │ │ │ 工程质量 │ │级别│资金 │ 工程数量要求 │ 技术人员要求 │ 管理 │
│ │万元 │ │ │ │ ├──┼───┼───────┼─────────────┼─────┤
│ │ │200万元以上│从事防盗报警网络、电视监控│ │ │ │ │工程竣工4个;│、出入口控制、计算机应用、│ │ │ │ │50万元以上工│管线设计、安装调试、工程维│ │ │一级│200│程竣工6个 │修、工程概预算或相关专业工│ │ │ │ │ │作的技术人员不少于15人,│ │ │ │ │ │其中高工3人,工程师6人,│ │ │ │ │ │初级职称技术人员6人 │有专职质量│ ├──┼───┼───────┼─────────────┤监督部门、│
│ │ │100万元以上│从事防盗报警、电视监控、出│完整的工程│ │ │ │工程竣工2个;│入口控制、计算机应用、管线│质量管理手│ │ │ │50万元以上工│设计、安装调试、工程维修、│册和工程维│ │二级│100│程竣工5个 │工程概预算或相关专业工作的│修手册以及│
│ │ │ │技术人员不少于10人,其中│相应的施工│ │ │ │ │高工2人,工程师5人,初级│设备、调试│ │ │ │ │职称技术人员3人 │维修设备和│ ├──┼───┼───────┼─────────────┤上岗培训手│
│ │ │暂三级一年内完│从事防盗报警、电视监控、计│册 │ │ │ │成30万元以上│算机应用、管线设计、安装调│ │ │ │ │工程1个并工程│试、工程维修、工程概预算或│ │ │三级│50 │额度超过60万│相关专业工作的技术人员不少│ │ │ │ │元 │于5人,其中高工1人,工程│ │ │ │ │ │师2人,初级职称技术人员2│ │ │ │ │ │人 │ │└──┴───┴───────┴─────────────┴─────┘
||法律
专业回答
jbpbe655d3778
2013-07-15 14:40
公安机关机构设置主要为三部分,即:执法勤务机构、综合管理机构、派出所及监管场所。
(一)执法勤务机构设置
1、指挥中心(挂办公室牌子)负责接报警和指挥处警工作;负责授权的警务指挥及协调工作;负责公安情报信息的收集、汇总和研判工作;负责调查研究和起草重要文件工作;负责机要、通信等工作。
2、国内安全保卫大队 负责国内安全保卫、反邪教等工作;负责对维权活动、非政府组织进行调查工作;负责民族、宗教、意识形态领域等方面维护国家安全工作。
3、治安管理大队(挂爆炸危险物品监管大队牌子)负责治安管理、户政管理、出入境管理等工作;负责对公共场所、特种行业的管理,依法对社会上吸毒、卖淫嫖*、赌博等违法活动进行治理;负责突发事件处置等工作。下设:⑴治安管理中队;⑵户政管理中队;(3)基层指导中队;(4)危爆中队;(5)治安行动队。
4、刑事侦查大队 负责刑事侦查、反恐怖、禁毒工作;负责刑事科学技术工作;承担县级禁毒委员会的日常工作等。下设:⑴内勤中队;(2)技术中队;(3)基层基础中队;(4)法医中队(5)刑侦中队;(6)反恐怖中队;(10)禁毒中队;(11)大案中队
5、交通警察大队 负责交通管理工作;承担道路治安巡逻任务。下设:⑴内勤中队;⑵车管中队;⑶宣传秩序中队;⑷事故处理中队;⑸法制中队
6、经济犯罪侦查大队 负责掌握和综合分析经济犯罪规律特点,研究制定对策工作;负责查处各类经济犯罪案件。
7、公安信息网络安全监察大队 负责指导互联网监控点建设和网上信息监控、电子侦控工作;负责研究公共信息网络违法犯罪规律特点及对策工作;负责查处危害公共信息网络的违法犯罪案件。
8、巡警特警大队 负责治安巡逻,预防突发性事件;预防和制止犯罪行为;制止公共场所发生的民间纠纷、治安案件;值勤、备勤,接受110报警指令,随时出警处警。下设内勤中队。
(二)综合管理机构
9、政工监督室(挂纪委、监察室、警务督察大队、控申科牌子)负责公安政治工作;负责公安纪检、监察、督察、审计工作;负责维护民警合法权益工作;负责公安信访工作。
10、法制室 负责公安法制方面的工作。
11、警务保障室 负责财务装备、警务保障、科技管理和后勤服务工作。
(三)派出所及监管场所
12、看守所 负责犯罪嫌疑人、被告人、人犯的管理工作。
13、行政拘留所 负责治安行政拘留人员的管理工作。
14、基层派出所 警衔等级的设置
人民警察警衔设五等十三级,即:
1、总警监、副总警监;
2、警监(一级、二级、三级);
3、警督(一级、二级、三级);
4、警司(一级、二级、三级);
5、警员(一级、二级)。担任专业技术职务的人民警察的警衔,在警衔前冠以“专业技术”。
人民警察实行警察职务等级编制警衔。担任行政职务的人民警察实行下列职务等级编制警衔:
1、部级正职:总警监;
2、部级副职:副总警监;
3、厅(局)级正职:一级警监至二级警监;
4、厅(局)级副职:二级警监至三级警监;
5、处(局)级正职:三级警监至二级警督;
6、处(局)级副职:一级警督至三级警督;
7、科(局)级正职:一级警督至一级警司;
8、科(局)级副职:二级警督至二级警司;
9、科员(警长)职:三级警督至三级警司;
10、办事员(警员)职:一级警司至二级警员。
担任专业技术职务的人民警察实行下列职务等级编制警衔:
1、高级专业技术职务:一级警监至二级警督;
2、中级专业技术职务:一级警督至二级警司;
3、初级专业技术职务:三级警督至一级警员。
警衔标志的式样和佩带
人民警察换发“九九”式警服后,警衔标志的式样为:
总警监、副总警监警衔标志由银色橄榄枝环绕银色国徽组成。其中,总警监警衔标志缀钉一枚橄榄枝环绕一周的国徽,副总警监警衔标志缀钉一枚橄榄枝环绕半周的国徽。
警监警衔标志由一枚银色橄榄枝和银色四角星花组成。其中,一级警监警衔标志缀钉三枚四角星花;二级警监警衔标志缀钉二枚四角星花;三级警监警衔标志缀钉一枚四角星花。
警督、警司警衔标志由银色横杠和银色四角星花组成。其中,警督警衔标志缀钉二道横杠,一级警督警衔标志缀钉三枚四角星花,二级警督警衔标志缀钉二枚四角星花,三级警督警衔标志缀钉一枚四角星花。警司警衔标志缀钉一道横杠,一级警司警衔标志缀钉三枚四角星花,二级警司警衔标志缀钉二枚四角星花,三级警司警衔标志缀钉一枚四角星花。
警员警衔标志由银色四角星花组成。其中,一级警员警衔标志缀钉二枚四角星花;二级警员警衔标志缀钉一枚四角星花。
道路交通安全保卫工作方案
为加强国庆节期间辖区道路交通安全管理工作,预防和减少道路交通事故,维护交通秩序,结合辖区道路交通管理现状及近期重大安全保卫活动,特制定如下安全保卫方案:
一、指导思想
充分认识做好国庆节期间道路交通安全保卫工作的重要性,认真贯彻《预防群死群伤特大道路交通事故工作意见》及省公安厅交管局有关精神,动员全体民警全身心投入国庆节期间道路交通安全保卫工作,为人民群众出行、旅游创造一个安全畅通的交通环境。
二、组织领导
为加强国庆节期间道路交通安全保卫工作,市公安交管局成立由局长罗水华任总指挥,副局长赵海涛任副总指挥,各大队主要负责人为成员的国庆道路交通安全保卫工作指挥部,负责国庆节期间道路交通安全保卫工作的组织协调检查督办工作。
三、工作目标
国庆节期间,各大队要严防死守,力争辖区道路不发生特大道路交通事故;不发生有影响的剧毒危险化学品道路运输安全事故;不发生因交警工作不力而导致的严重道路交通堵塞;不发生因交警执法引发的群体事件;不发生民警自身安全事故。
四、工作措施及要求
(一)开展交通安全宣传活动,提高全民交通安全意识。国庆节期间,一是各大队宣传民警要充分利用电视、广播、报纸、互联网等大众传媒手段,播出公益广告,广泛宣传道路交通安全知识,鼓励乘客监督和举报客运车辆超速、超员等交通违法行为,自觉抵制乘坐违法营运车辆。二是在双峰山旅游度假区、客运站、火车站、大型商场、游乐场所、公路沿线重要集镇等人员流动集中的地方,悬挂宣传标语,摆放宣传展板,播放宣传光盘,发放宣传资料。三是会同交通、安全监管等部门,组织对运输企业管理人员、驾驶人、售票人、安全员以及危险化学品运输人员进行一次交通安全教育,观看宣传光盘、挂图,通报各地客运车辆、危险化学品运输车辆交通事故情况,提醒行车安全注意事项等。
(二)加强路面巡逻管控,严查各种严重交通违法行为。一是进一步落实交警管段责任制,严格目标管理制度,加大路面管控力度,认真落实对客运车辆的监管,掌握道路交通流特点,突出安全监管重点。加大国道、省道主干线巡逻力度,确保辖区道路安全畅通。二是要充分发挥和进一步强化交通安全服务站、点职能,严格实行24小时工作制度,对过往客运车辆逐车进行安全检查登记。三是严格依法查处机动车超速、客车超员、货车和拖拉机载人的违法行为。四是组织开展涉牌涉证和反酒后驾驶和反疲劳驾驶专项行动,力争消除交通事故隐患。五是要借助社会力量。进一步落实交通违法行为有奖举报制度,发动群众对客运车辆超员、超速行驶、疲劳驾驶和货车违法载人等严重交通违法行为进行举报。对举报查实的,在对交通违法人依法从重处罚的同时,要严格按照有关规定,给予举报人兑现奖金。
(三)严格客运车辆、危险化学品运输车辆及驾驶员的管理,消除安全隐患。要对客运车辆、驾驶员和危险化学品运输车辆、驾驶员严格实行户籍化管理,掌握车辆技术状况和驾驶员情况。继续严格实行民警驻站工作制度,督促客运企业认真落实各项安全管理措施,严格车辆出站前的“门检”制度,确保超员车、带病车不出站、不上路。对剧毒危险品运输驾驶员有2次以上超速、超载记录或者存在其它安全隐患的驾驶人,要责令运输单位调整其工作岗位,对从业资格经验不满1年的客运驾驶员,要认真做好安全知识教育。
(四)严格把好国庆节期间单位集体旅游车辆及驾驶员的审批和安全教育,加强旅游风景区的道路交通安全管理。对于机关、团体、企事业单位、工厂、学校等自行组织的集体旅游活动,要与其单位签订责任状,一律实行“谁组织、谁负责”的原则,做到责任到人。同时,要对其车辆及驾驶员进行严格的检审,符合安全条件的在行驶证和驾驶证副本上加盖“准予进入旅游区”条章,对于不符合安全要求的,一律不予批准。要在辖区的路口设立检查站进行检查,凡无公安交警部门“准予进入旅游区”条章的车辆,一律不准驶出辖区。三级以下路段夜间严格禁止客车通行,并要加强检查登记制度,凡因失控造成的交通事故,都要进行严格的倒查。
(五)严格纪律。所有参战民警要做到令行禁止,绝对服从统一调配,召之即来,来之能战。要切实做好处置各类涉车、涉路突
发事件的工作预案,加强值班备勤工作,提高处置突发事件的能力。同时,要积极配合其它警种认真处置各类突发事件,注意把握政策界限,防止激化矛盾,扩大事态。
(六)密切关注天气变化,切实做好恶劣天气条件下道路交通管理工作。针对秋季天气变化快,尤其是山区雨、雾较多的特点,要提前制定恶劣天气条件下的道路交通管理工作预案,随时关注天气变化情况,一旦发生雨、雾等恶劣天气以及因恶劣天气引发的影响交通安全的自然灾害或突发事件,要立即启动工作预案,迅速组织警力,协调有关部门,采取分流、封闭等交通管制措施,确保道路交通安全畅通。
(七)加强信息反馈。要加强24小时值班制度,保证通讯渠道的畅通。严格实行道路交通安全工作情况日报制度,每日下午5时前向指挥室报告当日交通安全情况,重特大事故要在2小时内上报指挥室,重大情况随时上报。同时,“十一”期间省公安厅交管局将组成工作组到各地检查督导道路交通安全保卫工作,各大队领导要深入一线,靠前指挥,及时解决工作中存在的问题,确保各项安全措施的落实到位,并认真做好迎接检查验收汇报的各项准备工作。
(八)加强督导检查。市公安交管局督导人员负责对公车封存、各院落卫生,执勤值班等情况进行检查登记。值班、执勤人员到位情况由督导人员督促检查落实,凡发现脱岗、坐岗、不到岗等现象,一律扣除节日加班补助并通报批评。
五、具体工作安排
10月1、2、3、4日,各单位按照值班表进行正常值班备勤,10月5、6、7日每天分三个时段执勤,执勤人员要按时到岗,着装整齐,配戴多功能腰带,带电台,重点对过往客运车辆进行检查,疏导交通,严查机动车涉牌涉证和酒后驾驶违法行为,有情况及时向各大队值班领导和督导人员汇报。备勤人员为当日执勤民警,遇有紧急情况,备勤人员必须按照值班领导和督导人员的通知及时出警。各大队主要分工如下:
(一)直属一大队和支队机关主要负责城区道路交通事故的预防;城区交通违法行为的整治;城区交通安全的宣传;客运站、火车站大型商场等交通秩序的维护;孝感第八届孝文化艺术节的安全保卫工作等。
(二)直属二大队主要负责辖区107国道、316国道等交通事故的预防;辖区内交通违法行为的整治;辖区交通安全的宣传;龙王恨集团组织的全国钓鱼比赛安全保卫工作等。
(三)直属三大队主要负责辖区内交通事故的接警、处警、处理等。
关键词:内部网络;安全;Web Service
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2011) 11-0000-02
Analysis of Internal Network Security Management System
Wang Wei
(Heilongjiang Land Reclamation College,Harbin150025,China)
Abstract:The current network security products within a category and technical analysis,information system security through research P2DR theoretical system model proposed regulation within the network security audit system.Internal network security management system is based on static security strategy,covering P2DR security model of protection,detection and response in three stages,internal computer network device management,management covers access control,behavioral monitoring,network management,patch management,asset management,auditing platform six areas,support large-scale multi-stage deployment for intranet Security Management provides a unified platform.And internal network security management system through the application of implementation,further confirmed its feasibility and efficiency.
Keywords:Internal network;Security;Web service
一、系统安全模型
内网即Intranet,是相对于外网Extranet而言的。广义上人们认为所有的党政机关、企事业单位的内部网络都称为内网,而狭义上我们认为与互联网物理隔离的办公网、局域网、城域网或是广域网都可能是内网。在内网安全监管审计系统中,我们所定义的内网是指物理上直接连接或通过交换机、路由器等设备间接连接的企业内部信息网络,它可以是单一的局域网,也可以是跨越Internet的多个局域网的集合。如图1所示,是典型企业局域网网络拓扑图。
图1.企业局域网网络拓扑图
内部网络安全管理系统的目的就是通过系统部署,能在企业内网中,建立一种更加全面、客观和严格的信任体系和安全体系,通过更加细粒度的安全控制措施,对内网的计算机终端行为进行更加具有针对性的管理和审计,对信息进行生命周期的完善管理,借助这个整体一致的内网安全管理平台,为内网构建一个立体的防泄密体系,使内网达到可信任、可控制和可管理的目的。根据P2DR安全模型得出结论,要实现内网的安全,必须做到及时的检测、响应。因此,内部网络安全管理系统的安全模型是基于静态的安全防护策略,覆盖了P2DR安全模型中的防护、检测和响应三个阶段,由安全策略、策略执行、监控响应、审计和管理支持五个环节组成。
安全策略是整个内网安全监管审计系统的核心,它渗透到系统的策略执行、监控响应、审计、管理支持等各个环节,所有的监控响应、审计都是依据安全策略实施的。安全策略包括监控策略、审计策略、响应策略、系统管理策略。管理支持是指系统管理员操作的相关接口,即用户界面。它提供对系统运行相关参数的配置、各类策略的制定、系统的授权管理操作。策略执行是指通知发布制定的策略,并确保策略的成功实施。监控响应是根据制定的安全策略,对系统管理员和内网的计算机终端活动进行监测和响应,提供对安全事件的记录和上报。它是强制实施安全策略的有利工具,也是内网安全监管审计系统最为重要的一个环节,是系统功能的核心,主要通NDIS-HOOK数据包技术、Win Pcap网络管理技术等来实现。审计是指对安全事件的报警、日志的统计分析。安全事件是由“监控响应”环节生成的。根据安全事件的严重程度,按照报警策略,向系统管理员提供能够报警信息。
二、系统结构设计
(一)系统功能
系统的总体设计,旨在从系统应用的角度,明确系统的功能;从系统开发的角度,设计系统的逻辑结构模块,便于编程实现;从系统部署的角度,规划系统的物理结构分布以实施系统的运行。内网安全网络管理系统的目的是构建一个整体一致的内网安全体系,从网络协议方面看,内网安全监管审计系统适合于任何基于TCP/IP协议的网络,不管是Internet还是Intranet,都能充分发挥作用。从操作系统方面看,内网安全监管审计系统主要针对目前主流的Windows桌面操作系统,包括Windows2000,Windows XP,可随着操作系统的发展和用户的实际需求,开发相应的适用版本。
从用户群方面看,内网安全监管审计系统适用于几乎所有对内网安全管理有需求的单位,特别是党政军警机要部门、国家核心技术研究院所、高新科技企业、金融机构等部门。根据对内网安全产品的分析和内网安全的特点,内部网络安全管理系统的功能主要包括接入控制,行为监控,网络管理,补丁管理,实时监听,WEB管理平台六个方面,并且这六个方面是紧密结合、相互联动的。
(二)客户端模块设计
1.接入控制线程:包括终端接入控制,非法外联实时监测和策略管理模块,实现终端信息注册、用户登录、登录策略更新、客户端软件安装版本验证、客户端操作系统版本及补丁验证、客户端杀毒软件版本验证、安全策略版本验证、安全策略更新以及网络层防护策略,包括IP地址访问控制、TCP端口访问控制、UDP端口访问控制、IP地址+端口号的访问控制,终端流量的监控等功能。
2.客户端监控线程:包括终端软件安装管理,终端进程管理,终端杀毒软件管理模块,用于监控终端行为并根据策略对违规行为进行处理,同时加密发送事件报警信息并记录日志。具体做法是读取终端安全策略,根据安全策略进行进程运行监控、服务运行监控、软件安装监控、网络流量监控,并对违规事件进行事件告警和日志记录等功能。
3.终端实时控制监听线程:包括点对点实时监控管理模块,接收服务端实时查询消息,获取客户端运行时信息,包括系统CPU使用率,内存,硬盘使用情况,系统进程列表,系统服务列表、硬件清单、安装程序清单和网络流量,并把终端信息加密发送到服务器。
4.补丁管理线程:包括操作系统版本和补丁管理模块,扫描本机注册表中的Hot fix项,得到本机的补丁安装信息,对比指派给本机的补丁策略,得到需要下载安装的补丁列表,再从局域网服务器下载并安装相应补丁。
(三)服务器模块设计
1.内网终端安全主程序:负责启动或停止登录验证进程、运行状态监控进程、终端实时控制信息进程。维护进程之间的共享数据(终端会话列表),实时策略下发功能。
2.登录验证进程:包括终端注册管理、终端登录管理、TCP监听、加解密密钥协商、策略下发模块。实现监听终端请求,接收并解密客户端消息,处理终端注册请求,并记入数据库;处理终端的登录请求,验证终端的登录信息,验证通过后向客户端发送最新安全策略。
3.运行状态监控进程:包括探测消息,终端告警消息处理模块,实现探测消息接收,以确定客户端是否在线,并修改终端会话状态;接收终端告警消息,进行解密处理并将相关信息记入数据库,以便管理员查询。
4.终端实时控制信息进程:包括终端信息实时查询和策略下发模块。接收客户端程序发来的终端信息,为WEB服务提供终端信息实时查询的功能。另外在管理员通过WEB界面更改策略后,后实时向相关终端下发最新策略。
5.网络管理进程:基于Win Pcap实现防止局域网A印欺骗的功能。Win Pcap(windows packet capture)它具有访问网络底层的能力,提供了捕获原始数据包,按照一定规则过滤数据包,以及发送原始数据包功能。通过捕获并分析局域网的网络数据包,可以判断局域网是否发生欺骗,进而采取措施来防止欺骗。
6.补丁管理进程:基于CXF和WSS4J的安全的Web.Service实现,通过这种方式从远程TJHN服务器获取最近补丁列表,通过比对当前本机服务器获取远程补丁列表,从官方网站下载所需补丁。
(四)Web管理平台模块设计
用户管理模块:对可以登录Web的用户进行管理;提供用户登录。终端审批模块:对申请接入的终端请求进程审批。策略配置模块:对单个策略进行管理,主要包括进程,服务,安装软件的黑白名单策略,网络过滤策略,流量阂值设置;对策略分组进行管理。终端查询模块:向终端发送点对点消息,查询并展示实时的终端运行信息,包括CPU占用率,硬盘,内存使用情况,运行进程,服务,安装软件,实时流量信息。日志查询模块:查询终端运行告警日志,包括运行进程告警,服务告警,安装软件告警,流量异常告警,网络阻断告警。
参考文献:
[1]黄泽界.一种远程视频监控系统的实现[J].安防科技,2008,2
[2]胡爱闽.基于DM642的网络视频监控系统[J].安防科技,2008,9
[3]王文联,侯整风,周先存.基于NDIS中间驱动程序的防火墙的研究与实现[J].安徽建筑工业学院学报(自然科学版),2004,1
[4]胡珊,张冰.利用SPI控制计算机上网[J].鞍山科技大学学报,2004,5
[5]杨延朋.校园网络ARP协议欺骗的检测与防御[J].鞍山科技大学学报,2007,2
【公安内部安全管理制度】推荐阅读:
医院内部安全管理制度06-24
部门内部安全管理制度09-23
内部消防交通安全管理制度10-14
河北省公安厅安全技术防范管理办公室07-03
公安网络安全方案07-19
公安窗口考评制度06-26
公安机关会议制度10-02
北京市公安局公安交通管理局开发区交通大队09-23
内部牵制制度06-26
内部审计管理06-23
