等保架构下移动警务系统安全评估研究

李曦+周嵩岑

摘 要：移动警务系统的快速发展，提升了公安执法效率，同时安全性问题也日益突出。论文从移动警务系统的安全性入手，根据移动警务系统所面临的安全威胁，将移动警务系统分为操作系统、应用软件、硬件以及网络环境四个部分，利用等级保护测评架构针对这四个部分进行安全评估，展开移动警务系统安全评估方法的研究。

关键词：移动警务系统；安全评估；等级保护

中图分类号： TP393 文献标识码：A

Research on Safety Assessment of Mobile Police System under Classified Protection Framework

Li Xi， Zhou Song-cen

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： The rapid development of mobile police system has enhanced the efficiency of public security law enforcement， and the security problem has become increasingly prominent. In this paper， we began the research from the security of mobile police system， according to the security threats faced by mobile police system， the mobile police system is divided into four parts： the operating system， application software， hardware and network environment， we Research on safety assessment methods of mobile police system， using classified protection evaluation architecture for safety evaluation.

Key words： Mobile Police System； Safety Assessment； Classified Protection

1 引言

隨着信息技术、通信技术和移动互联网的高速发展，社会对公安执法的工作效率提出了更高的要求，将最新的信息技术应用到公安实战，成为科技强警的重要落脚点。智能移动警务系统的研发问世，公安队伍也开始迈向移动信息化的高效执法之路。然而，伴随着效率的大幅提升，移动警务系统的安全性问题也日渐突出，尤其是涉及到的公民隐私信息及执法数据的安全性。

等级保护要求作为我国信息安全保护的基本制度，广泛应用于各行各业开展信息系统安全等级保护的建设和测评工作中。本文主要从移动警务系统的安全性入手，利用等级保护测评架构，展开移动警务系统安全评估方法的研究。

2 移动警务系统安全威胁

移动警务系统是一种利用无线网络实现警察现场执法的信息化移动执法系统，它利用终端、PDA或笔记本电脑等移动终端，实现与公安内网的警务数据交互。作为移动警务行业中的核心装备，移动警务系统所用终端从最初通过打电话或发短信等通讯手段与移动警务后台进行数据请求与采集的普通终端，发展为定制开发的移动警务专用终端，灵活性和易用性大大增强。与此同时，也因传输和存储大量执法数据，存在极大的安全隐患。

根据移动警务系统所面临的安全威胁，将移动警务系统分为操作系统、应用软件、硬件以及网络环境四个部分，本文针对这四个部分进行安全性技术研究，支持相关系统的研发和评估，以保障移动警务系统的安全，如图1所示。

2.1 操作系统安全威胁

从移动警务终端安全架构来说，操作系统安全是整个移动警务系统安全的基础。长期以来，我国移动警务终端主流操作系统多数都是直接采用国外的Android等系统，再根据需要定制开发，其操作系统的安全问题较为突出。

移动警务操作系统管理着警务终端软硬件的资源及服务，是移动警务系统安全评估的重要目标。移动警务操作系统保护的资产包括四个方面。

用户数据：包含用户个人账户、通信记录、联系人等。

业务数据：移动警务应用软件产生和使用的相关执法数据，如照片、音视频等。

敏感资源：包含通信资源和外设接口等，如摄像头、蓝牙、GPS信息等。

安全功能数据：包含鉴别数据、安全属性、安全策略等。

综上，移动警务操作系统的威胁来自：授权用户（一线执勤人员、系统维护人员、授权应用软件）的过失行为，和自身存在的漏洞引发的非授权用户的侵入行为。威胁起因可能来自：非授权访问以及错误配置等；受威胁的资产包括：用户数据、业务数据、系统敏感资源和安全功能数据等。

2.2 应用软件安全威胁

随着移动警务应用的快速增长，警务软件涵盖综合应用、治安管理、交通管理、出入境管理、指挥调度等业务，其业务数据涉及到普通公民个人信息、犯罪分子信息等高敏感度信息，移动警务应用软件的安全在警务系统中是值得重点关注的问题。

由于应用软件来源并非完全受控，无法验证其可靠性，使得针对应用软件的攻击是最容易的攻击手段。恶意软件可通过伪造签名等方式，获取系统权限。一方面在安装过程，用户很难辨识恶意软件和正常软件，往往会选择信任应用软件，忽略相关的安全提示，而给予软件所申明的所有权限。另一方面正常应用软件在开发过程中未考虑安全性设计，软件自身存在漏洞或后门，易被劫持遭受攻击，引发安全性问题。endprint

2.3 硬件安全威胁

移动警务系統安全性不仅依赖于其操作系统和应用软件，同时依赖于部分硬件化的功能模块。警务终端所用的系统引导、身份验证和环境交互的模块也可能存在被攻击的漏洞。此外，在移动智能终端中，基于智能卡进行移动网络通信的终端占据了很大份额，智能卡本身的安全问题也会影响移动警务终端安全，如针对SIM卡的旁路攻击等。此外，移动警务终端的外围接口，如蓝牙、WiFi、NFC和 USB接口等，这些外围接口如果使用不当，被非授权用户连通进行数据访问和传输，造成隐私信息的泄露。

2.4 网络环境安全威胁

移动警务系统通过开放的无线公网接入公安内部，信息在公开信道中传播，就存在受到攻击导致数据泄密的问题，因此网络环境安全问题也是移动警务系统的关键部分。

根据上述分析，移动警务系统的安全总结为四个方面的问题：（1）操作系统存在漏洞，导致恶意代码感染与入侵；（2）应用软件易被劫持，或未识别伪装的恶意软件，导致数据泄露等安全性问题；（3）硬件缺少保护措施，从物理上导致数据失窃与被破坏；（4）通信过程欠缺保护措施，导致数据泄露等安全性问题。本质上都是数据的安全受到威胁。

3 移动警务系统安全评估

安全评估是确认评估对象（例如操作系统、应用软件、硬件、网络环境等称为评估对象）满足特定安全目标的有效性的过程。根据网络安全等级保护基本要求，现有三种评估方法：测试（Testing）、检查（Inspecting）和访谈（Interviewing）。测试是指在特定条件下运行一个或多个评估对象，比较其实际行为和预期行为的过程。检查是指检验、审查、观察、研究或分析一个或多个评估对象，使之便于理解、达到释明或获得证据的过程。访谈是指组织一个机构里的个人或群体进行商讨，达到理解、释明或获得证据目的的过程。评估结果将用于支持对安全控制时效力的决策。

等级保护基本要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出。根据此架构，移动警务系统从操作系统、应用软件、硬件以及网络环境四个部分提出评估要求。针对移动警务系统的不同层面的安全威胁，分析各个层面的测试评估要点。

3.1 操作系统安全评估

操作系统的安全是保证移动警务系统整体安全的基础，整个安全方面的评估项围绕着操作系统的安全功能，包括基本的身份鉴别、访问控制、安全审计功能和数据保护等，以及运行安全保护及升级要求。

身份鉴别为一般系统的基本要求，从基本鉴别方式、用户标识及口令复杂度、鉴别信息保护和鉴别失败处理等方面提出要求。操作系统的访问控制规定了授权用户（包括系统使用者和应用软件）的可用权限，明确需要的最小权限，不能越权操作。安全审计为追溯每个用户的行为提供了保障，对于审计内容需保护其不受到未授权的用户访问，且容易跟踪管理。对于操作系统中的数据，包括前文所述的用户数据、业务数据、敏感资源等，应能提供数据保护措施，保障数据的保密性和完整性，且对剩余信息也应提供保护功能。除上述基本项要求，操作系统还应具备升级能力，对升级包的来源和升级数据的完整性进行校验。

3.2 应用软件安全评估

针对应用软件的安全威胁，应用软件的评估内容，除了通用的身份鉴别、访问控制、安全审计和数据保护，对应用软件审核与检测提出要求，保障应用软件的自身安全；应用软件的安装需得到明确授权，卸载时应能删除由其生成的所有数据和信息；能够对重要的数据定期进行备份，以备出现问题时可及时恢复；应具备升级能力，对升级包的来源和升级数据的完整性进行校验。

3.3 硬件安全评估

针对移动警务系统硬件模块，主要对智能卡和外围接口提出要求。在警务终端上使用的SIM卡应进行鉴权以防止未授权的接入，以临时代号（TMSI）替代用户标识，使第三方无法在无线信道上跟踪用户信息，SIM卡防克隆和数据安全性评估；根据业务需求，关闭不必要的外围接口，对开放的外围接口进行数据交互的安全性评估。

3.4 网络环境安全评估

对于移动警务系统的网络环境，通过多项措施建立严格的访问控制策略：在默认情况下，应禁止所有通信；设置访问控制规则限制警务终端可访问的等级保护对象资源；对来自警务终端的数据流量、数据包和协议等进行检查，以允许/拒绝数据包通过，在无线接入网关上对进出无线网络的数据进行内容过滤；整个通信过程应加密传输，并保障通信数据的完整性。

上文从操作系统、应用软件、硬件和网络环境方面进行移动警务系统安全评估的探讨，每个层面面临的威胁不同，因而有不同的安全需求，所要采取的安全防护技术也不同，因此对移动警务系统进行全方位的安全评估，这四个方面必不可少，任何一个层面的某种安全措施缺失，都可能导致移动警务系统数据的保密性、完整性和可用性遭到破坏。

4 结束语

移动警务系统是警务信息化建设的重要内容，移动互联网技术的进步也促使了警务工作的技术革新，移动警务系统已经广泛应用于一线警务工作，并取得了显著的成效。移动互联网的安全威胁也随之引入到了移动警务工作，由于公安工作的私密性和重要性，这些安全威胁如果没有被有效规避和处理，将会对警务工作产生极大的安全影响。

本文通过对移动警务安全领域进行现状调研，分析移动警务系统安全评估方法，从操作系统、应用软件、硬件和网络环境等方面进行移动警务系统安全评估的研讨，结合移动警务工作的特点，将等级保护测评的体系和方法应用到移动警务系统之中，为提升现有移动警务系统的安全性提供决策支撑。

参考文献

[1] 郭启全.国家信息安全等级保护制度的贯彻与实施[J].信息网络安全，2008年05期.

[2] 符易阳，周丹平. Android安全机制分析[J].信息网络安全，2011年09期.

[3] 陈萱华，李学亚，杨玲.移动警务安全接入控制系统研究[J].计算机与现代化，2013年04期.

[4] 张滨.移动终端安全关键技术与应用分析[M].北京：人民邮电出版社，2015.

[5] GB/T 22239.3，信息安全技术 网络安全等级保护基本要求[S].endprint