浅析公安院校内网安全管理及解决方案

杨奕琦

(广东警官学院 计算机系，广东 广州 510232)

在公安教育信息化进程中，网络信息安全始终贯穿整个过程，引起各级领导和公安教育工作者的重视，随着互联网技术和校园信息化应用的发展，其成因越来越复杂，造成的灾难和影响越来越大。一般来讲，公安院校的网络建设基本上都有三网:一是与中国教科网、互联网连接的校园网;二是与全国公安信息专网连接的公安子网;三是因校务管理、教学、培训、办公等需要而建成的校园内网。当前，公安院校的数字校园、网络教学很多都是把校园内网做为第一选择。公安子网与校园网虽是绝对的物理隔离，但也对网络安全管理，特别是校园内网的安全造成很大的难题和压力。因此，有效防止校园内网的安全事件发生，保障基于内网的校务、教学系统的信息数据的安全是公安教育信息化工作的重中之重。

一、安全隐患的成因分析

内网的安全越来越重要，建网初期都做了应对策略，比如在边界处安装了防火墙和入侵检测系统 (IDS)，配置防攻击策略及入侵检测策略，采取联动措施，同时在终端计算机或服务器上部署杀毒软件。但是仍然发生应用系统受攻击、网速突然大面积变慢、内外网无法访问、IP地址被盗用等安全事故。特别是公安警察院校，黑客往往就是冲着这个“品牌”而来，专门对专业系部的网站下手，这些安全隐患的发生，究其原因，发现很多问题既有本身网络设备、技术手段的缺陷，更重要的是来自用户终端安全防护不足或安全防范意识薄弱而导致，具体分析其原因，主要如下:

1.上网计算机未实施安全访问机制，导致终端用户访问的计算机无法进行实名制管理。大多数警察院校，其电脑机房、电子阅览室、多媒体课室等公用场所，主要开放给学生和培训班学员临时使用，行政管理部门也有部分用于业务办公的公共用机，这些终端用户的不固定性，使计算机终端未实行用户访问实名化，引发的结果:一是计算机终端用户管理混乱，甚至在安全事件发生后无法找到肇事者;二是由于计算机允许用户随意访问，特别是在访问互联网的论坛或微博方面，容易给较为敏感的警察院校造成不良影响，甚至带来一些法律问题，而又无法找到对应用户。

2.缺乏有效的外设管理，数据泄密、病毒传播无法控制。已经感染病毒、木马的U盘随意插入终端计算机，内部存有敏感数据的移动介质毫无防范地拿到外部使用，特别是在个别公安业务教研室，办公室内既安装有校园网，也有公安网，往往都给内部安全管理带来极大的挑战，单纯地封端口、制度要求均无法同时满足安全性与业务便利性的要求。

3.应用程序没有统一的应用规划和管理，非法应用程序时刻威胁着计算机系统安全。在用户的计算机终端上随意使用应用程序，极容易把病毒、木马带到内网，这样使到内网的敏感数据被收集后而发出去，导致学校内部校务、教学、科研、培训、师生的一些敏感信息泄密;另外由于随意使用应用程序，常导致办公、管理、教学计算机瘫痪或死机，耽误工作时间，同时也给IT管理人员带来了巨大的工作量。

4.软硬件设备滥用、资产安全无法保障。计算机终端资产 (CPU、内存、硬盘、光驱等)被随意更换，缺乏有效的技术跟踪手段;终端用户随时更改办公终端的IP地址等配置，安装并运行与工作无关甚至严重影响网络运行的软件，不仅难于整体管理，而且一旦出现攻击行为或安全事件，责任定位非常困难。

5.终端电脑桌面应用缺乏监控，网络利用效率无法提高。据了解，上班时间长时间浏览网页、上网聊天、玩网络游戏、看视频等行为在各高校时有存在，既影响网络的工作效率，甚至会带来信息泄密事件发生;用户使用Bit、电驴等工具下载电影、游戏、软件等大型文件，占用大量网络宽带，导致内网资源、管理、教学等关键业务系统受到影响。

6.移动电脑随意接入、边界安全岌岌可危。随着笔记本电脑、掌上电脑等移动终端的普及和个性化，为使用方便，很多教员和学员，尤其是来参训的公安机关基层所队长都拥有自己移动电脑，这些未经任何安全检查和认证的终端随意接入校园内网或办公网，导致病毒、木马轻松感染内网，给院校日常办公、教学带来巨大威胁。

7.无线上网、3G、WLAN给校园网络安全带来空前的压力。目前，中移动、联通、电信三大网络运营商借建设无线城市契机，大举抢占高校阵地，公安院校不可避免，甚至为了商业效应，会成为他们首攻对象。往往为贪图方便，接入内网处理公务、办公的计算机会发生“一机二用”，“ ” ，一条获取网内信息系统数据捷径。与此同时，学生上网行为也得不到有效监控和处理。

二、解决方案和策略

针对公安院校内网安全的复杂性和安全管理的紧迫性，从技术、行为以及制度建设层面对内网设备、终端计算机系统全方位加强监控显得尤为重要，具体可以从以下几方面对校园内部进行安全防护与安全管理:

1.终端实施实名认证控制，确保入网终端访问的合法性和有效性，通过用户身份认证机制，把好终端管理的第一道关口。教育行业常见的身份认证技术有几种:Web网关认证、802.1x准入认证、Web准入认证等，可以采用刷卡、指纹、强口令等方式。通过对计算机IP地址、MAC地址、IP/MAC绑定等手段加强终端计算机的管理和用户访问管理。有的院校在校园网内部部署了第三方认证系统——城市热点 (DRCOM)计费认证系统，学员上网需进行用户认证，并使用该套系统记录用户在线上网时间及目标网站。

2.强化网内终端外设管理。通过计算机终端外设安全策略，严格管控计算机的USB存储接口、串口、并口、光驱、软驱等端口，有效控制非法外设接入计算机，特别针对USB存储和文件操作进行严格的授权、过程监控、日志记录等手段来保证内网计算机终端中信息安全和外设端口的合理使用。此外，公安信息网使用的USB存储务必与互联网使用的要分开，专盘专用，并在系统设有报警功能。

3.进程和桌面管理。通过应用程序安全策略，根据用户、用户组的方式进行应用程序黑白名单策略测试，把不需要运行的应用程序设置为黑名单，这样可以防止应用程序在内网计算机终端上运行，同时保证了病毒木马程序的入侵。通过对进网的计算机桌面活动程序实行集中、统一监控和管理、桌面远程监控和管理、计算机信息监测，随时了解计算机在线状态、用户在线状态等情况，有效地防止内部文档泄漏和扩散的问题，最终解决计算机端口的安全管理和控制需要。

4.上网行为与日志审计管理。公安院校在建网开展信息化业务时，基本上都部署行为审计管，、认证而实现用户实名上网，采用分级别管理机制，控制不同部门不同人员的访问权限。通过监测用户上网浏览、QQ聊天、MSN聊天、发邮件、发帖、下载、玩游戏等行为而进行审计;通过准确、有效地日志而进行事件定位和溯源。对终端系统、应用、用户行为、接入设备等进行全面审计，在安全事件爆发的第一时间，以告警的形式告知，管理员依据报警和日志实施对应的安全应对策略。比如我院，先阶段已安装了QQSG带宽管理审计系统，该系统可以记录用户访问网络的时间、用户名、IP地址、目标IP、访问域名、URL地址等情况，可有效的反查用户的某些网络行为，并留存60天日志，在几次协助公安机关落地倒查行动中发挥了很好的作用。

5.配置内网架构，防控网络病毒传播。采用vlan技术将网络划分为若干个子网，配置路由器和交换机访问控制列表策略，做好病毒端口控制及vlan子网间的互访，防止利用广播方式传播的网络病毒的扩散，尽量避免病毒大规模的传播而导致网络瘫痪。通过分配及配置静态IP地址和端口MAC地址双向绑定，尽量避免IP冲突及vlan内的互相攻击，有效防范ARP病毒破坏。

三、实施原则

1.针对一些对外开放的办公窗口或办公终端，采用审计为主、控制为辅策略。通过对各种网络协议 (Http、Https、SMTP、POP3、telnet、FTP、Post等)或IM应用协议分析与审计，做好全面、细粒度的审计工作，在此基础之上，增加关键字检测与报警、网络阻断等策略。

2.针对一些重要的、关键的部门，比如教务、培训、财务、办公，采用终端控制为主，审计为辅。对于终端外设的使用，以合理的规划和控制为主，确保终端用户不能随意插入外设，特别是移动存储设备、光盘、软盘等可以携带数据的外设类型，同时尽量控制具体的访问权限，在确保数据安全的同时降低U盘病毒传播的可能性。在此基础上，做到外设使用的全面审计，例如从移动存储设备的插入，文件操作到拔出，均须有详细的日志记录。还要针对桌面一些应用程序，进行规划和提前定义，保证非法的应用程序不能在这些终端上运行。

3.针对校园内部所有计算机的访问，需要强化身份认证、上网行为管理、访问权限控制、检查取证等手段，保证内网计算机的访问的合法化，上网行为的规范化，取证审计的实名化，最终通过技术防范手段，强化公安院校校园内网的安全防护。

［1］冯兵．自由中求“生存” ［J］．中国教育网络，2010，(1):56．

［2］许元朋．浅谈校园网内网安全 ［J］．淮南职业技术学院学报，2010，10(35):105－106．

［3］龚静．高校校园网的安全与防护［J］．教育信息化，2005，(4):42－43．

［4］卢凯．校园网安全建设探讨 ［J］．软件导刊，2008，7(8):80－81．