檢察院信息安全管理思考
前言:本站為你精心整理了檢察院信息安全管理思考范文,希望能為你的創(chuàng)作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
隨著檢察機關(guān)信息網(wǎng)絡(luò)建設(shè)的全面開展以及應(yīng)用的逐步深入,信息安全系統(tǒng)的建設(shè)便顯得更為迫在眉睫,對這項工作的絲毫懈怠都將會給未來檢察機關(guān)的網(wǎng)絡(luò)信息系統(tǒng)帶來致命的危險。本文試圖從實際應(yīng)用的角度出發(fā),為檢察機關(guān)網(wǎng)絡(luò)信息系統(tǒng)安全防范體系的構(gòu)建提供一些思路。
一、生機與準(zhǔn)危機中的檢察信息系統(tǒng)
我國檢察機關(guān)的信息化建設(shè)從2000年起步至今,經(jīng)歷了由點及面,由弱漸強的發(fā)展階段,并在全國范圍內(nèi)初步形成了較為系統(tǒng)的信息一體化網(wǎng)絡(luò)。隨著“科技強檢”進程的逐步深入,檢察人的傳統(tǒng)思維和工作模式勢必會經(jīng)歷前所未有的變化。也正是在這種網(wǎng)絡(luò)化日盛的趨勢下,檢察機關(guān)的信息化建設(shè)成為了檢察事業(yè)發(fā)展的重要課題。
1、檢察信息網(wǎng)絡(luò)建設(shè)的現(xiàn)狀
按照高檢院“213”工程和全國檢察機關(guān)信息化建設(shè)工作“統(tǒng)一規(guī)劃、統(tǒng)一技術(shù)、統(tǒng)一規(guī)范、統(tǒng)一應(yīng)用軟件和統(tǒng)一歸口管理”的原則,目前全國省市級檢察機關(guān)的二級專線網(wǎng)絡(luò)已經(jīng)逐步進入應(yīng)用階段,市級院與省級院以及省級院與高檢院之間的專線電話、視頻會議和計算機數(shù)據(jù)傳輸?shù)摹叭W(wǎng)合一”也基本能夠?qū)崿F(xiàn),而且一些技術(shù)較為先進的地區(qū)也率先完成了三級專線網(wǎng)絡(luò)的搭建。部分基層檢察院的內(nèi)部局域網(wǎng)絡(luò)已經(jīng)能夠?qū)z察業(yè)務(wù)、辦公事務(wù)、綜合業(yè)務(wù)和全面檢索等應(yīng)用系統(tǒng)運用于實際的檢察工作中,同時依靠較為成型的網(wǎng)絡(luò)系統(tǒng),并輔之以充足的數(shù)據(jù)庫資源,保證了上下級院之間直接的視頻、數(shù)據(jù)、語音的傳輸,并基本滿足了與其他兄弟院之間進行廣泛數(shù)據(jù)交換的互聯(lián)要求。
2、檢察信息系統(tǒng)的應(yīng)用狀況與面臨的困惑
檢察信息系統(tǒng)是檢察業(yè)務(wù)工作同以計算機技術(shù)為核心的信息技術(shù)相結(jié)合的產(chǎn)物,是管理科學(xué)與系統(tǒng)科學(xué)在檢察業(yè)務(wù)實踐中的具體應(yīng)用。檢察信息化水平的高低是判斷檢察工作的重要標(biāo)尺。目前在我國,檢察機關(guān)已不同程度地將計算機作為辦公、辦案的必要輔助工具,檢察人員的計算機應(yīng)用能力較之幾年前有了相當(dāng)程度的提高,檢察業(yè)務(wù)軟件、網(wǎng)絡(luò)辦公軟件以及其他的輔助處理軟件也普遍地應(yīng)用于日常的工作之中。同時,相當(dāng)一部分檢察院已經(jīng)開通了網(wǎng)站,并通過這一媒介,信息、收集反饋,形成了具有自身特色的網(wǎng)絡(luò)工作平臺。可以說,檢察信息化的不斷普及為全面建設(shè)和完善檢察信息系統(tǒng)提供良好的契機,同時也奠定了應(yīng)用與發(fā)展的必要基礎(chǔ)。
當(dāng)然,在肯定成績的同時,我們也應(yīng)清醒地認(rèn)識到現(xiàn)階段檢察信息化建設(shè)中存在的諸多不足。首先,目前我國檢察機關(guān)信息化建設(shè)還處于剛剛起步階段,網(wǎng)絡(luò)應(yīng)用水平普遍不高,絕大多數(shù)的應(yīng)用還僅局限于檢察業(yè)務(wù)的某些小的領(lǐng)域,單項應(yīng)用較為普遍,大而全、廣而深的應(yīng)用體系尚未成型。其次,檢察信息技術(shù)主要仍以平民技術(shù)為主,專業(yè)化、職業(yè)化的應(yīng)用并不理想,在缺乏相關(guān)專業(yè)人才的情勢下,技術(shù)水平較為幼稚,系統(tǒng)的標(biāo)準(zhǔn)化、通用性和易用性都還處于較低的層面。再則,目前檢察機關(guān)網(wǎng)絡(luò)信息化建設(shè)與檢察業(yè)務(wù)實際存在明顯的脫節(jié),檢察業(yè)務(wù)軟件的開發(fā)與維護還有許多不盡如人意之處,檢察信息系統(tǒng)的網(wǎng)絡(luò)互連效果以及安全保密功能還有待進一步加強。
客觀地講,當(dāng)前的檢察信息系統(tǒng)仍處于探索和成型階段。做個不形象的比喻,如果將未來成熟的檢察信息系統(tǒng)擬制為一個健康的成年個體的話,目前的檢察信息網(wǎng)絡(luò)則像一個處在哺乳期的嬰兒,四肢俱全,生機無限,但未脫襁褓,需要給予更多的關(guān)注。
二、流行在檢察信息系統(tǒng)中的sars――網(wǎng)絡(luò)不安全因素。
網(wǎng)絡(luò)中的不安全因素,之所以稱其為sars,并非危言聳聽。在當(dāng)前的檢察信息網(wǎng)絡(luò)中,存在著種種高危的“致病”因素。這些因素往往顯見的或潛在的、習(xí)慣的或不經(jīng)意的影響著檢察信息系統(tǒng)的穩(wěn)定和安全。
1、病毒入侵與黑客攻擊
網(wǎng)絡(luò)病毒的入侵、感染與黑客的惡意攻擊、破壞是影響當(dāng)前檢察信息網(wǎng)絡(luò)安全的主要因素。目前,全球發(fā)現(xiàn)的病毒數(shù)以萬計,并以每天十種以上的速度增長,可以說每時每刻網(wǎng)絡(luò)都在經(jīng)受著新的病毒或其變種的沖擊。通過網(wǎng)絡(luò)渠道傳播的蠕蟲病毒、木馬程序以及腳本病毒,不管從傳播速度、破壞性還是波及范圍都讓人不可小視。
而對于網(wǎng)絡(luò)系統(tǒng)而言,黑客攻擊較之病毒威脅則更加讓人防不勝防。互聯(lián)網(wǎng)20多萬個黑客網(wǎng)站上,提供了大量的黑客技術(shù)資料,詳細(xì)地介紹了黑客的攻擊方法,并提供免費的攻擊軟件。在網(wǎng)絡(luò)立法十分匱乏、跟蹤防范手段有限的今天,面對網(wǎng)絡(luò)黑客針對操作系統(tǒng)以及應(yīng)用軟件漏洞的頻繁地、具有隱蔽性的攻擊,我們所要承受的威脅往往是毀滅性的。
2、網(wǎng)絡(luò)硬件、軟件方面存在的缺陷與漏洞
檢察信息網(wǎng)絡(luò)主要是以各級檢察機關(guān)的局域網(wǎng)作為其構(gòu)成單元。與銀行、郵電等行業(yè)相比,目前,檢察機關(guān)的局域網(wǎng)建設(shè)還存在著明顯的差距。從硬件上講,檢察系統(tǒng)的網(wǎng)絡(luò)產(chǎn)品尤其是關(guān)鍵部位的配套設(shè)施還相對較為落后,核心部件的性能還不能完全滿足檢察機關(guān)信息化的發(fā)展要求。雖然,部分檢察局域網(wǎng)絡(luò)在某些應(yīng)用功能上能夠基本滿足網(wǎng)上辦公和無紙化辦公的現(xiàn)實需要,但長遠地講,目前檢察機關(guān)局域網(wǎng)內(nèi)部的數(shù)據(jù)交換設(shè)備、服務(wù)器設(shè)備以及網(wǎng)絡(luò)硬件環(huán)境的合理性與穩(wěn)定性并不容樂觀,如不給予足夠地重視,勢必會給網(wǎng)絡(luò)運行的穩(wěn)定和安全留下隱患。
在軟件方面,由于網(wǎng)絡(luò)的基礎(chǔ)協(xié)議tcp/ip本身缺乏相應(yīng)的安全機制,所以基與此存在的任何網(wǎng)絡(luò)都無法擺脫不安全因素的困擾。而目前廣泛運行在檢察網(wǎng)絡(luò)中的微軟windows操作系統(tǒng)更是破綻百出,由于默認(rèn)的情況下系統(tǒng)開放了絕大多數(shù)的端口,所以使得監(jiān)聽和攻擊變得輕而易舉、防不勝防。再加之相當(dāng)數(shù)量的辦公軟件與網(wǎng)絡(luò)軟件自身開發(fā)的局限性,存在著這樣或那樣的bug,同時軟件的后期服務(wù)又不可避免具有滯后性,所以形容當(dāng)前的網(wǎng)絡(luò)“風(fēng)雨飄搖”一點也不為過。
3、使用人員的不良習(xí)慣與非法操作
如果將以上兩點看作是病源和病毒的話,那么人的因素可能就要算作是將二者緊密結(jié)合,產(chǎn)生巨大破壞作用的主要媒介了。客觀的講,目前檢察機關(guān)的網(wǎng)絡(luò)操作水平仍處在相對較低的水平,網(wǎng)絡(luò)使用者中普遍存在著操作不規(guī)范和軟件盲目應(yīng)用的現(xiàn)象。相當(dāng)一部分檢察網(wǎng)絡(luò)用戶對于網(wǎng)絡(luò)存儲介質(zhì)的使用缺乏安全和保密意識,對硬件的維護缺少必要的常識,帶來涉密數(shù)據(jù)在存儲與傳遞環(huán)節(jié)不必要的隱患。同時,由于操作熟練程度的原因,網(wǎng)絡(luò)中的誤操作率相對較高,系統(tǒng)宕機的情況時有發(fā)生,一方面造成了網(wǎng)絡(luò)資源的浪費,另一方面也給本地數(shù)據(jù)帶來了一定的危險。
此外,由于檢察機關(guān)的業(yè)務(wù)工作與實際應(yīng)用的需要,所以局域網(wǎng)用戶的權(quán)限相對較高,使用者的操作空間相對較大。部分具有較高計算機水平的用戶,會利用授權(quán)非法地進行系統(tǒng)設(shè)置或通過黑客軟件的幫助突破權(quán)限獲取其他用戶信息乃至涉密信息。這些惡意行為的出現(xiàn),不僅擾亂了網(wǎng)絡(luò)內(nèi)部的正常秩序,同時也為更多“偷窺者”大開方便之門。
4、網(wǎng)絡(luò)管理與相關(guān)制度的不足
網(wǎng)絡(luò)信息系統(tǒng)三分靠建,七分靠管。嚴(yán)格的管理與健全的制度是保障檢察信息系統(tǒng)安全的主要手段。但是事實上,目前各級檢察機關(guān)的信息系統(tǒng)并沒有建立起較為健全、完善的管理制度,網(wǎng)絡(luò)管理缺乏嚴(yán)格的標(biāo)準(zhǔn),大多數(shù)檢察機關(guān)仍采取較為粗獷的管理模式。主要表現(xiàn)在:
第一,網(wǎng)絡(luò)管理僅僅作為后勤保障工作的一部分,缺乏必要的領(lǐng)導(dǎo)機制,重視程度有待進一步加強。
第二,網(wǎng)絡(luò)管理人員充當(dāng)“消防員”,以“排險”代“管理”,缺乏全民“防火意識”,干警的信息安全責(zé)任感亟待提高。
第三,網(wǎng)絡(luò)管理缺乏必要的程序性規(guī)則,在遇到突發(fā)事件時,往往容易造成網(wǎng)絡(luò)系統(tǒng)的內(nèi)部混亂。
第四,網(wǎng)絡(luò)信息收集、整理工作不夠細(xì)致,網(wǎng)絡(luò)內(nèi)部機器的跟蹤機制還不盡如人意。在用戶應(yīng)用相對隨意性的條件下,往往出現(xiàn)“用而不管,管卻不能”的尷尬局面。
第五,與安全級別相適應(yīng)的網(wǎng)絡(luò)安全責(zé)任制度還沒有完全建立,使用者的網(wǎng)絡(luò)操作安全風(fēng)險沒有明確的承擔(dān)主體,所以使用中缺少必要的注意。網(wǎng)絡(luò)管理在“使用免責(zé)”的情況下,很難形成安全防護的有效底線。
三、構(gòu)想中的檢察信息系統(tǒng)安全防范體系
針對以上問題,筆者認(rèn)為,要建立、健全檢察信息系統(tǒng)的安全防護體系首先需要從檢察機關(guān)信息安全性的要求出發(fā),充分結(jié)合當(dāng)前檢察信息網(wǎng)絡(luò)的建設(shè)現(xiàn)狀,從整體上把握,重規(guī)劃,抓落實。其次,要摒棄一勞永逸的短期行為,在網(wǎng)絡(luò)項目投入、網(wǎng)絡(luò)設(shè)施建設(shè)上做好長期的規(guī)劃,同時應(yīng)具有適當(dāng)?shù)某靶裕瑥臋z察信息化長遠的發(fā)展趨勢著眼,保持投入的連續(xù)性,積極追求網(wǎng)絡(luò)效能的最大化。其次,在信息化建設(shè)的過程中,檢察機關(guān)還應(yīng)充分重視制度化的建設(shè),形成較為完善的保障體系,使得網(wǎng)絡(luò)的運行與管理能夠在正確的軌道上持續(xù)發(fā)展。當(dāng)然,強調(diào)整體規(guī)劃與設(shè)計的同時,我們還應(yīng)認(rèn)真做好網(wǎng)絡(luò)應(yīng)用技術(shù)的普及與網(wǎng)絡(luò)安全意識的培養(yǎng)工作,將檢察信息系統(tǒng)中源于技術(shù)局限以及使用者主觀因素而產(chǎn)生的種種隱患和損失降到最低程度。
基于上述幾點構(gòu)想,下面筆者將從實際的應(yīng)用出發(fā),對檢察信息安全防范體系的具體實現(xiàn),作細(xì)化論述:
第一,做好檢察信息系統(tǒng)整體的安全評估與規(guī)劃,為安全防范體系的構(gòu)建奠定基礎(chǔ)。
檢察機關(guān)的網(wǎng)絡(luò)信息化建設(shè)有別于其他應(yīng)用網(wǎng)絡(luò)的一個顯著特征就是對于安全性有著更為嚴(yán)格的要求。在構(gòu)造安全防范體系的過程中,我們需要全面地了解自身網(wǎng)絡(luò)可能會面臨怎樣的安全狀況,這就使得我們不得不對譬如網(wǎng)絡(luò)會受到那些攻擊,網(wǎng)絡(luò)系統(tǒng)內(nèi)部的數(shù)據(jù)安全級別是何等級,網(wǎng)絡(luò)遭遇突發(fā)性安全問題時應(yīng)如何反應(yīng),局域網(wǎng)絡(luò)內(nèi)部的域應(yīng)怎樣設(shè)定,用戶的權(quán)限應(yīng)給予哪些控制等問題進行初步地認(rèn)定和判斷。通過進行安全評估,確定相應(yīng)的安全建設(shè)規(guī)劃。
當(dāng)然,在加大投入的同時,也應(yīng)當(dāng)正確處理安全成本與網(wǎng)絡(luò)效能之間的辯證關(guān)系,切忌將安全問題絕對化,不能讓安全設(shè)備和手段的使用降低網(wǎng)絡(luò)應(yīng)用的實際效果,尋求可用行與可靠性的平衡點。在安全建設(shè)中要注重網(wǎng)絡(luò)安全的整體效果,盡量運用較為成熟、穩(wěn)定的軟、硬件及技術(shù),同時,針對目前檢察網(wǎng)絡(luò)所采用的微軟系統(tǒng)平臺,借助于win2000操作系統(tǒng)的域控制功能,對網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)進行劃分、管理,從而既滿足了對內(nèi)部用戶的管理要求,同時又在雙向信任關(guān)系的域-森林結(jié)構(gòu)中實現(xiàn)同級、上下級院之間的安全信息交流。
第二,加強網(wǎng)絡(luò)安全組織、管理的制度化建設(shè),從制度的層面構(gòu)造安全防范體系。
健全檢察機關(guān)網(wǎng)絡(luò)安全管理的關(guān)鍵在于將其上升到制度的層面,以制度化促進管理的規(guī)范化。網(wǎng)絡(luò)安全管理的制度化建設(shè)需要做好兩方面的工作,首先要建立明確的安全管理組織體系,設(shè)置相應(yīng)的領(lǐng)導(dǎo)機構(gòu),機構(gòu)以院主管領(lǐng)導(dǎo)、技術(shù)部門領(lǐng)導(dǎo)、網(wǎng)絡(luò)管理人員、網(wǎng)絡(luò)安全聯(lián)絡(luò)員組成,全面負(fù)責(zé)局域網(wǎng)的日常維護、管理工作。網(wǎng)絡(luò)安全聯(lián)絡(luò)員由各科室選定,負(fù)責(zé)本部門網(wǎng)絡(luò)應(yīng)用過程中的信息上報和反饋工作。網(wǎng)絡(luò)管理領(lǐng)導(dǎo)小組可以根據(jù)全院的實際情況,協(xié)調(diào)管理人員進行及時的維護,這樣不僅有利于人員分工、整合,同時也保證了網(wǎng)絡(luò)管理的有序進行。其次,要加快網(wǎng)絡(luò)安全管理的規(guī)范性章程的制定,將網(wǎng)絡(luò)管理的各項工作以制度化的形式確定下來。具體來講,要盡快形成信息系統(tǒng)重要場所、設(shè)施的安全管理制度,例如服務(wù)器機房的管理制度;要盡快制定網(wǎng)絡(luò)安全操作的管理制度,尤其是網(wǎng)絡(luò)用戶的軟件使用與技術(shù)應(yīng)用的規(guī)范化標(biāo)準(zhǔn);同時,也要進一步研究網(wǎng)絡(luò)遭遇突發(fā)事件時的安全策略,形成網(wǎng)絡(luò)安全的應(yīng)急保障制度,并針對網(wǎng)絡(luò)安全責(zé)任事故進行制度化約束,追究責(zé)任人的主觀過錯。
當(dāng)然,制度化建設(shè)應(yīng)當(dāng)包含檢察信息網(wǎng)絡(luò)管理的各個方面,遠非以上幾點,它需要我們在補充、修訂的過程中不斷健全、完善。
第三,提高網(wǎng)絡(luò)應(yīng)用與管理的技術(shù)水平,彌補自身缺陷,減少外來風(fēng)險。
在當(dāng)前檢察信息網(wǎng)絡(luò)的安全威脅中,病毒及惡意攻擊可能是其最主要的方面。但我們應(yīng)清醒地認(rèn)識到,任何的病毒與黑客技術(shù)都是針對網(wǎng)絡(luò)系統(tǒng)的漏洞而發(fā)起的。而在網(wǎng)絡(luò)應(yīng)用過程中,大多數(shù)使用者對于病毒及外來攻擊的恐懼往往要大于對自身系統(tǒng)漏洞的擔(dān)心。要解決這一問題,首先要使網(wǎng)絡(luò)用戶對網(wǎng)絡(luò)病毒及黑客攻擊有必要的認(rèn)識,并了解病毒感染的主要渠道,同時要加強網(wǎng)絡(luò)應(yīng)用的規(guī)范化培訓(xùn),整體提高操作的技術(shù)水平,最大程度地減少人為因素造成的安全隱患。此外,在網(wǎng)絡(luò)管理中,對操作系統(tǒng)的漏洞應(yīng)及時的安裝安全補丁,并留意微軟定期的安全公告,關(guān)閉操作系統(tǒng)中并不常用的默認(rèn)端口,防止為惡意攻擊留下“后門”。同時,對網(wǎng)絡(luò)中的應(yīng)用軟件進行全面檢查,盡量避免使用來歷不明的盜版軟件,將軟件的選擇導(dǎo)向正版化、網(wǎng)絡(luò)化的軌道,逐漸減少對于盜版軟件、試用版軟件以及共享版軟件的依賴。
同時,充分利用win2000系統(tǒng)的域功能,嚴(yán)格控制網(wǎng)絡(luò)客戶端機器的超級用戶帳號,設(shè)定所有用戶必須登錄域中進行網(wǎng)絡(luò)操作,設(shè)定所有用戶(預(yù)留guest帳號可以另外處理)的ip地址和網(wǎng)卡物理地址進行綁定、所有無需移動辦公的用戶帳號和ip地址綁定,實施嚴(yán)密的身份識別和訪問控制。
第四,加強應(yīng)急策略下的物理安全、數(shù)據(jù)保護與日志管理,健全安全保障體系。
硬盤的損失或失竊,就意味著所有原始信息的丟失或泄密;服務(wù)器的損壞或停機,就意味著網(wǎng)絡(luò)服務(wù)的停頓;交換機的損壞,就意味著網(wǎng)絡(luò)連通的中斷。所以在信息安全的所有方面中,計算機的物理安全是最基本的問題,計算機物理安全得不到保障,其他的一切安全措施都是空談。而計算機的物理安全的保護,除了要有必要的安全防護設(shè)備外,更重要的是必須建立完善的管理制度,以管理來保障安全。
目前檢察機關(guān)還沒有一個完善的制度和措施保證各個關(guān)鍵機器和關(guān)鍵數(shù)據(jù)的備份工作。各個單位的備份方法多種多樣,其中以磁帶備份方式占多數(shù);但各個單位的備份工作沒有統(tǒng)一規(guī)范,對于處于離線狀態(tài)的備份介質(zhì)的管理也沒有具體的規(guī)定,很多就是隨便放在機房內(nèi)。如果真的發(fā)生機房災(zāi)難性安全事故(如火災(zāi)等),很有可能就會把所有數(shù)據(jù)"一鍋端"全部丟失了。
安全審計可以說是整個安全體系中最后一個保障手段。建立起完善的安全審核與安全日志,可以保證管理員對系統(tǒng)運行狀況的確實掌握;而缺乏有效的安全審計,不但會對日常安全管理造成混亂,在發(fā)生了安全事故后更會導(dǎo)致難以追查和補救。在全面實施了win2000系統(tǒng)的域結(jié)構(gòu)并對進行了所有用戶綁定后,我們就可以在安全策略中部署對所有敏感性操作進行安全審計和記錄,并且可以在發(fā)生安全事故后依據(jù)綁定一直追查到底。在實際工作中,我們可以審計各種操作成功和失敗的情況,失敗的情況通常比成功的情況少得多,但從安全性的角度考慮,失敗事件更值得注意。另外不常用的操作也值得注意,如安全性策略的改變和再啟動往往反映了未經(jīng)授權(quán)的行為。
