檢察院信息安全管理思考
前言:本站為你精心整理了檢察院信息安全管理思考范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
隨著檢察機關信息網絡建設的全面開展以及應用的逐步深入,信息安全系統的建設便顯得更為迫在眉睫,對這項工作的絲毫懈怠都將會給未來檢察機關的網絡信息系統帶來致命的危險。本文試圖從實際應用的角度出發,為檢察機關網絡信息系統安全防范體系的構建提供一些思路。
一、生機與準危機中的檢察信息系統
我國檢察機關的信息化建設從2000年起步至今,經歷了由點及面,由弱漸強的發展階段,并在全國范圍內初步形成了較為系統的信息一體化網絡。隨著“科技強檢”進程的逐步深入,檢察人的傳統思維和工作模式勢必會經歷前所未有的變化。也正是在這種網絡化日盛的趨勢下,檢察機關的信息化建設成為了檢察事業發展的重要課題。
1、檢察信息網絡建設的現狀
按照高檢院“213”工程和全國檢察機關信息化建設工作“統一規劃、統一技術、統一規范、統一應用軟件和統一歸口管理”的原則,目前全國省市級檢察機關的二級專線網絡已經逐步進入應用階段,市級院與省級院以及省級院與高檢院之間的專線電話、視頻會議和計算機數據傳輸的“三網合一”也基本能夠實現,而且一些技術較為先進的地區也率先完成了三級專線網絡的搭建。部分基層檢察院的內部局域網絡已經能夠將檢察業務、辦公事務、綜合業務和全面檢索等應用系統運用于實際的檢察工作中,同時依靠較為成型的網絡系統,并輔之以充足的數據庫資源,保證了上下級院之間直接的視頻、數據、語音的傳輸,并基本滿足了與其他兄弟院之間進行廣泛數據交換的互聯要求。
2、檢察信息系統的應用狀況與面臨的困惑
檢察信息系統是檢察業務工作同以計算機技術為核心的信息技術相結合的產物,是管理科學與系統科學在檢察業務實踐中的具體應用。檢察信息化水平的高低是判斷檢察工作的重要標尺。目前在我國,檢察機關已不同程度地將計算機作為辦公、辦案的必要輔助工具,檢察人員的計算機應用能力較之幾年前有了相當程度的提高,檢察業務軟件、網絡辦公軟件以及其他的輔助處理軟件也普遍地應用于日常的工作之中。同時,相當一部分檢察院已經開通了網站,并通過這一媒介,信息、收集反饋,形成了具有自身特色的網絡工作平臺。可以說,檢察信息化的不斷普及為全面建設和完善檢察信息系統提供良好的契機,同時也奠定了應用與發展的必要基礎。
當然,在肯定成績的同時,我們也應清醒地認識到現階段檢察信息化建設中存在的諸多不足。首先,目前我國檢察機關信息化建設還處于剛剛起步階段,網絡應用水平普遍不高,絕大多數的應用還僅局限于檢察業務的某些小的領域,單項應用較為普遍,大而全、廣而深的應用體系尚未成型。其次,檢察信息技術主要仍以平民技術為主,專業化、職業化的應用并不理想,在缺乏相關專業人才的情勢下,技術水平較為幼稚,系統的標準化、通用性和易用性都還處于較低的層面。再則,目前檢察機關網絡信息化建設與檢察業務實際存在明顯的脫節,檢察業務軟件的開發與維護還有許多不盡如人意之處,檢察信息系統的網絡互連效果以及安全保密功能還有待進一步加強。
客觀地講,當前的檢察信息系統仍處于探索和成型階段。做個不形象的比喻,如果將未來成熟的檢察信息系統擬制為一個健康的成年個體的話,目前的檢察信息網絡則像一個處在哺乳期的嬰兒,四肢俱全,生機無限,但未脫襁褓,需要給予更多的關注。
二、流行在檢察信息系統中的sars――網絡不安全因素。
網絡中的不安全因素,之所以稱其為sars,并非危言聳聽。在當前的檢察信息網絡中,存在著種種高危的“致病”因素。這些因素往往顯見的或潛在的、習慣的或不經意的影響著檢察信息系統的穩定和安全。
1、病毒入侵與黑客攻擊
網絡病毒的入侵、感染與黑客的惡意攻擊、破壞是影響當前檢察信息網絡安全的主要因素。目前,全球發現的病毒數以萬計,并以每天十種以上的速度增長,可以說每時每刻網絡都在經受著新的病毒或其變種的沖擊。通過網絡渠道傳播的蠕蟲病毒、木馬程序以及腳本病毒,不管從傳播速度、破壞性還是波及范圍都讓人不可小視。
而對于網絡系統而言,黑客攻擊較之病毒威脅則更加讓人防不勝防。互聯網20多萬個黑客網站上,提供了大量的黑客技術資料,詳細地介紹了黑客的攻擊方法,并提供免費的攻擊軟件。在網絡立法十分匱乏、跟蹤防范手段有限的今天,面對網絡黑客針對操作系統以及應用軟件漏洞的頻繁地、具有隱蔽性的攻擊,我們所要承受的威脅往往是毀滅性的。
2、網絡硬件、軟件方面存在的缺陷與漏洞
檢察信息網絡主要是以各級檢察機關的局域網作為其構成單元。與銀行、郵電等行業相比,目前,檢察機關的局域網建設還存在著明顯的差距。從硬件上講,檢察系統的網絡產品尤其是關鍵部位的配套設施還相對較為落后,核心部件的性能還不能完全滿足檢察機關信息化的發展要求。雖然,部分檢察局域網絡在某些應用功能上能夠基本滿足網上辦公和無紙化辦公的現實需要,但長遠地講,目前檢察機關局域網內部的數據交換設備、服務器設備以及網絡硬件環境的合理性與穩定性并不容樂觀,如不給予足夠地重視,勢必會給網絡運行的穩定和安全留下隱患。
在軟件方面,由于網絡的基礎協議tcp/ip本身缺乏相應的安全機制,所以基與此存在的任何網絡都無法擺脫不安全因素的困擾。而目前廣泛運行在檢察網絡中的微軟windows操作系統更是破綻百出,由于默認的情況下系統開放了絕大多數的端口,所以使得監聽和攻擊變得輕而易舉、防不勝防。再加之相當數量的辦公軟件與網絡軟件自身開發的局限性,存在著這樣或那樣的bug,同時軟件的后期服務又不可避免具有滯后性,所以形容當前的網絡“風雨飄搖”一點也不為過。
3、使用人員的不良習慣與非法操作
如果將以上兩點看作是病源和病毒的話,那么人的因素可能就要算作是將二者緊密結合,產生巨大破壞作用的主要媒介了。客觀的講,目前檢察機關的網絡操作水平仍處在相對較低的水平,網絡使用者中普遍存在著操作不規范和軟件盲目應用的現象。相當一部分檢察網絡用戶對于網絡存儲介質的使用缺乏安全和保密意識,對硬件的維護缺少必要的常識,帶來涉密數據在存儲與傳遞環節不必要的隱患。同時,由于操作熟練程度的原因,網絡中的誤操作率相對較高,系統宕機的情況時有發生,一方面造成了網絡資源的浪費,另一方面也給本地數據帶來了一定的危險。
此外,由于檢察機關的業務工作與實際應用的需要,所以局域網用戶的權限相對較高,使用者的操作空間相對較大。部分具有較高計算機水平的用戶,會利用授權非法地進行系統設置或通過黑客軟件的幫助突破權限獲取其他用戶信息乃至涉密信息。這些惡意行為的出現,不僅擾亂了網絡內部的正常秩序,同時也為更多“偷窺者”大開方便之門。
4、網絡管理與相關制度的不足
網絡信息系統三分靠建,七分靠管。嚴格的管理與健全的制度是保障檢察信息系統安全的主要手段。但是事實上,目前各級檢察機關的信息系統并沒有建立起較為健全、完善的管理制度,網絡管理缺乏嚴格的標準,大多數檢察機關仍采取較為粗獷的管理模式。主要表現在:
第一,網絡管理僅僅作為后勤保障工作的一部分,缺乏必要的領導機制,重視程度有待進一步加強。
第二,網絡管理人員充當“消防員”,以“排險”代“管理”,缺乏全民“防火意識”,干警的信息安全責任感亟待提高。
第三,網絡管理缺乏必要的程序性規則,在遇到突發事件時,往往容易造成網絡系統的內部混亂。
第四,網絡信息收集、整理工作不夠細致,網絡內部機器的跟蹤機制還不盡如人意。在用戶應用相對隨意性的條件下,往往出現“用而不管,管卻不能”的尷尬局面。
第五,與安全級別相適應的網絡安全責任制度還沒有完全建立,使用者的網絡操作安全風險沒有明確的承擔主體,所以使用中缺少必要的注意。網絡管理在“使用免責”的情況下,很難形成安全防護的有效底線。
三、構想中的檢察信息系統安全防范體系
針對以上問題,筆者認為,要建立、健全檢察信息系統的安全防護體系首先需要從檢察機關信息安全性的要求出發,充分結合當前檢察信息網絡的建設現狀,從整體上把握,重規劃,抓落實。其次,要摒棄一勞永逸的短期行為,在網絡項目投入、網絡設施建設上做好長期的規劃,同時應具有適當的超前性,從檢察信息化長遠的發展趨勢著眼,保持投入的連續性,積極追求網絡效能的最大化。其次,在信息化建設的過程中,檢察機關還應充分重視制度化的建設,形成較為完善的保障體系,使得網絡的運行與管理能夠在正確的軌道上持續發展。當然,強調整體規劃與設計的同時,我們還應認真做好網絡應用技術的普及與網絡安全意識的培養工作,將檢察信息系統中源于技術局限以及使用者主觀因素而產生的種種隱患和損失降到最低程度。
基于上述幾點構想,下面筆者將從實際的應用出發,對檢察信息安全防范體系的具體實現,作細化論述:
第一,做好檢察信息系統整體的安全評估與規劃,為安全防范體系的構建奠定基礎。
檢察機關的網絡信息化建設有別于其他應用網絡的一個顯著特征就是對于安全性有著更為嚴格的要求。在構造安全防范體系的過程中,我們需要全面地了解自身網絡可能會面臨怎樣的安全狀況,這就使得我們不得不對譬如網絡會受到那些攻擊,網絡系統內部的數據安全級別是何等級,網絡遭遇突發性安全問題時應如何反應,局域網絡內部的域應怎樣設定,用戶的權限應給予哪些控制等問題進行初步地認定和判斷。通過進行安全評估,確定相應的安全建設規劃。
當然,在加大投入的同時,也應當正確處理安全成本與網絡效能之間的辯證關系,切忌將安全問題絕對化,不能讓安全設備和手段的使用降低網絡應用的實際效果,尋求可用行與可靠性的平衡點。在安全建設中要注重網絡安全的整體效果,盡量運用較為成熟、穩定的軟、硬件及技術,同時,針對目前檢察網絡所采用的微軟系統平臺,借助于win2000操作系統的域控制功能,對網絡的內部結構進行劃分、管理,從而既滿足了對內部用戶的管理要求,同時又在雙向信任關系的域-森林結構中實現同級、上下級院之間的安全信息交流。
第二,加強網絡安全組織、管理的制度化建設,從制度的層面構造安全防范體系。
健全檢察機關網絡安全管理的關鍵在于將其上升到制度的層面,以制度化促進管理的規范化。網絡安全管理的制度化建設需要做好兩方面的工作,首先要建立明確的安全管理組織體系,設置相應的領導機構,機構以院主管領導、技術部門領導、網絡管理人員、網絡安全聯絡員組成,全面負責局域網的日常維護、管理工作。網絡安全聯絡員由各科室選定,負責本部門網絡應用過程中的信息上報和反饋工作。網絡管理領導小組可以根據全院的實際情況,協調管理人員進行及時的維護,這樣不僅有利于人員分工、整合,同時也保證了網絡管理的有序進行。其次,要加快網絡安全管理的規范性章程的制定,將網絡管理的各項工作以制度化的形式確定下來。具體來講,要盡快形成信息系統重要場所、設施的安全管理制度,例如服務器機房的管理制度;要盡快制定網絡安全操作的管理制度,尤其是網絡用戶的軟件使用與技術應用的規范化標準;同時,也要進一步研究網絡遭遇突發事件時的安全策略,形成網絡安全的應急保障制度,并針對網絡安全責任事故進行制度化約束,追究責任人的主觀過錯。
當然,制度化建設應當包含檢察信息網絡管理的各個方面,遠非以上幾點,它需要我們在補充、修訂的過程中不斷健全、完善。
第三,提高網絡應用與管理的技術水平,彌補自身缺陷,減少外來風險。
在當前檢察信息網絡的安全威脅中,病毒及惡意攻擊可能是其最主要的方面。但我們應清醒地認識到,任何的病毒與黑客技術都是針對網絡系統的漏洞而發起的。而在網絡應用過程中,大多數使用者對于病毒及外來攻擊的恐懼往往要大于對自身系統漏洞的擔心。要解決這一問題,首先要使網絡用戶對網絡病毒及黑客攻擊有必要的認識,并了解病毒感染的主要渠道,同時要加強網絡應用的規范化培訓,整體提高操作的技術水平,最大程度地減少人為因素造成的安全隱患。此外,在網絡管理中,對操作系統的漏洞應及時的安裝安全補丁,并留意微軟定期的安全公告,關閉操作系統中并不常用的默認端口,防止為惡意攻擊留下“后門”。同時,對網絡中的應用軟件進行全面檢查,盡量避免使用來歷不明的盜版軟件,將軟件的選擇導向正版化、網絡化的軌道,逐漸減少對于盜版軟件、試用版軟件以及共享版軟件的依賴。
同時,充分利用win2000系統的域功能,嚴格控制網絡客戶端機器的超級用戶帳號,設定所有用戶必須登錄域中進行網絡操作,設定所有用戶(預留guest帳號可以另外處理)的ip地址和網卡物理地址進行綁定、所有無需移動辦公的用戶帳號和ip地址綁定,實施嚴密的身份識別和訪問控制。
第四,加強應急策略下的物理安全、數據保護與日志管理,健全安全保障體系。
硬盤的損失或失竊,就意味著所有原始信息的丟失或泄密;服務器的損壞或停機,就意味著網絡服務的停頓;交換機的損壞,就意味著網絡連通的中斷。所以在信息安全的所有方面中,計算機的物理安全是最基本的問題,計算機物理安全得不到保障,其他的一切安全措施都是空談。而計算機的物理安全的保護,除了要有必要的安全防護設備外,更重要的是必須建立完善的管理制度,以管理來保障安全。
目前檢察機關還沒有一個完善的制度和措施保證各個關鍵機器和關鍵數據的備份工作。各個單位的備份方法多種多樣,其中以磁帶備份方式占多數;但各個單位的備份工作沒有統一規范,對于處于離線狀態的備份介質的管理也沒有具體的規定,很多就是隨便放在機房內。如果真的發生機房災難性安全事故(如火災等),很有可能就會把所有數據"一鍋端"全部丟失了。
安全審計可以說是整個安全體系中最后一個保障手段。建立起完善的安全審核與安全日志,可以保證管理員對系統運行狀況的確實掌握;而缺乏有效的安全審計,不但會對日常安全管理造成混亂,在發生了安全事故后更會導致難以追查和補救。在全面實施了win2000系統的域結構并對進行了所有用戶綁定后,我們就可以在安全策略中部署對所有敏感性操作進行安全審計和記錄,并且可以在發生安全事故后依據綁定一直追查到底。在實際工作中,我們可以審計各種操作成功和失敗的情況,失敗的情況通常比成功的情況少得多,但從安全性的角度考慮,失敗事件更值得注意。另外不常用的操作也值得注意,如安全性策略的改變和再啟動往往反映了未經授權的行為。
