论某市公安机关保密专用网的风险管理对策

第 1 章 绪 论

1.1 研究背景

公安机关为在信息时代实现公安警务工作的现代化，建立了链接各级公安机关的金盾网，初步实现了公安基础信息的高度共享和高效综合利用。通过金盾网的建设和发展，各级公安机关在金盾网上的业务应用也纷纷建立起来，大大的提高了工作效率和工作质量，规范了工作标准，严格了审批程序，更好地维护了当地经济健康发展所需要的安定团结的政治局面。但是由于公安机关内部各职能部门大多具有相对独立的保密要求，涉密内容不能直接利用金盾网进行传输，因此公安部又开发和建设了针对重要文件（涉密文件）传输和共享的公安专用网（涉密网）。大量涉及国家安全的信息、公共安全的信息、警用信息等全部通过此专用网（涉密网）进行传输和共享。然而，公安专用网（涉密网）内部和外部的对信息系统的威胁也随着信息系统的广泛使用而增加。这些威胁和风险给公安相关部门工作造成了很大的影响，轻则导致网络瘫痪；重则发生泄密情况，造成无法挽回的恶劣影响。如何才能够准确地对公安专用网（涉密网）进行风险分析、风险评估，并对风险进行有效管理，使得在面临突发的灾难事故时，关键措施能够有效、迅速地发挥作用，以保证公安专用网（涉密网）业务的正常使用成为摆在公安专用网（涉密网）建设、管理和使用部门面前的重要课题。

1.2 研究的意义

公安专用网（涉密网）建成后，为使该信息传输专用平台能够顺利运转，为各级公安保密部门提供快速、准确、灵活的综合信息支持。公安部按照国家有关部门颁布的相关规定制定了 《公安机关保密单位信息安全管理使用规定》严格要求各地公安机关保密部门按照此规定操作。该规定的颁布，规范了公安专用网（涉密网）在建设、使用和维护方面进行管理，保证其能够连续运行，确保网络的畅通。保证了操作人员在信息传输的过程中，能够确保系统中的软件、硬件、数据和重要文件（涉密文件）等不受破坏和窃取，重要文件安全传输，准确传输。但是当前各级公安机关保密单位在公安专用网（涉密网）的建设过程中，都把注意力集中到了公安专用网（涉密网）的软硬件开发、信息的传输是否畅通上，却忽视了对信息安全存在风险的评估。.............
................

第 2 章 理论概述

2.1 公安专用网相关理论

2.1.1 公安专用网的定义

公安专用网是有别于公安信息网络系统的一种特殊的网络信息传输系统。它是公安部为适应公安机关保密单位在现实社会条件下实现动态管理和信息传输安全保密的需要，为提高公安机关保密单位的工作效率而建设的专用网络工程。它是利用现代化信息通信技术，由从事公安机关保密信息处理工作的单位、操作人员和设备组成的专用信息处理系统。其作用在于：对重要文件实现安全传输，收集和处理重要信息情报，利用公安机关内部和外部的现有信息进行研判，对社会警情作出科学预测并辅助国家制定相关的决策，以期达到公安机关决策部门在战术和战略上的目标。

2.1.2 公安信息网的特点

公安专用网（涉密网）系统是公安机关保密工作的重要科技手段，它是新时期公安机关保密单位实现现代化最的标志性体现。随着公安机关保密工作的变化和发展，对公安专用网（涉密网）系统不断提出更新更高的要求。概而言之，当今公安专用网系统具有三大特点，并提出了相应的工作要求：
1. 公安专用网（涉密网）具有网络性
公安机关保密单位的大量重要信息源来源于基层并应用于基层。只有加快各级保密单位的计算机网络建设，使网络扩延到基层，才可以从根本上解决重要情报的采集和研判问题。情报的来源顺畅，传递及时准确，公安机关保密单位专用网（涉密网）才能够发挥出最大的效益。因此，公安机关保密单位专用网的网络建设采用分级管理的策略，在部、省、市三级信息中心分别建立专门的网络监管机构来承担网络控制工作。
2. 公安专用网（涉密网）具有实战性
公安工作最大的特点就是兵贵神速。公安机关保密单位专用网（涉密网）系统是要求实时性很高的系统，各级情报部门及时的将瞬息万变的重要情报通过专用网进行传输、上报。研判部门针对各级单位上报的局部的、分散的重要信息和数据加工为完整的、综合性的信息，为实战部门提供强有力的信息支持，以此来提高公安机关的整体作战能。............
　　.....................

　　第 3 章 案例分析.......................................................................................13
　　3.1 网络体系 ............................................................................................13
　　3.1.1 网络拓扑 ........................................................................................ 13
　　3.1.2 技术特点 ........................................................................................ 13
　　3.2 基本特征 ........................................................................................... 15
　　3.2.1 业务特点 ........................................................................................ 15
　　3.2.2 安全要求 ........................................................................................ 16
　　3.3 风险管理现状 ......................................................................................16
　　第 4 章 研究的方法及成果............................................................................18
　　4.1 研究思路 ..............................................................................................18
　　4.2 深度取样 ............................................................................................. 19
　　4.2.1 样本的选取.................................................................................... 19
　　4.2.2 层次分析法.................................................................................... 20
　　4.3 风险识别 ............................................................................................ 22
　　4.4 风险评估指标和模型............................................................................. 23
　　4.4.1 风险评估指标体系建立................................................................ 23
　　4.4.2 风险评估模型................................................................................ 24
　　4.5 风险评估实施 .................................................................................26
　　4.5.1 风险评估指标计算........................................................................ 26
　　4.5.2 风险综合评估................................................................................ 31
　　4.6 风险评估结果分析................................................................................. 33
　　第 5 章 风险管理建议.....................................................................................35
　　5.1 风险管理建议 ......................................................................................... 35
　　5.1.1 加强边界防御................................................................................ 35
　　5.1.2 加强内部防御................................................................................ 36
　　5.1.3 强化身份认证................................................................................ 38
　　5.1.4 强化管理 ........................................................................................ 39
　　5.2 建议采纳情况 ......................................................................................... 40
　　第 6 章 总结与展望.........................................................................................42
　　6.1 回顾和总结 ............................................................................................. 42
　　6.2 总结展望 ................................................................................................. 42
　　参考文献.........................................................................................................44

　　总结与展望

6.1 回顾和总结

我们社会正在进入一个全面网络时代和信息共享时代，在这个科技日趋完善的过程中，公安部门的计算机网络在安全防护建设中基本上沿用了防守的思想，信息安全防范主要使用防火墙、信息加密、数字认证等静态防护措施。在网络安全隐患越来越突出的状况下，风险管理已然成为一种必要的防护手段。风险管理所研究的覆盖面十分广泛，本文以某市公安机关保密单位专用网为例，对某市公安机关保密工作中的各类风险进行调研。此研究的主要目的在于预防、减少、管理和解决公安涉密专用网中存在的风险，通过调研其他城市公安涉密专用网的风险管理方法并加以借鉴，为该市公安涉密专用网创造健康高效的工作平台。
（1）对某市公安机关保密单位专用网进行风险分析和风险综合评估，确定存在6 大类风险，在其基础上建立了包含 22 个评估指标的风险评估体系和风险评估模型。
（2）将某市公安机关保密单位专用网按照层次分析法和综合评估法逐步按照流程进行评估，并对其评估结论进行结果分析。
（3）对某市公安机关保密单位专用网提出风险管理措施和建议，在边界防御、内部防御、身份认证、管理四个方面提高和改进，降低公安涉密网存在的风险，构造出一个信息安全的体系。
（4）本文的多项建议已经被有关部门采纳，证明了本文的研究成果有可应用性，为其他公安单位的公安涉密网风险管理提出宝贵的建议。
6.2 总结展望
随着整个社会的信息化发展，公安系统的各种情报信息业务处理系统对信息网络的依赖性越来越强，对信息系统网络安全的要求也越来越高。网络安全是一个多方面问题的总和，公安专用网络发展趋势是高的数据带宽、融合的网络、总和的业务、统一的标准以及强大的维护管理能力，公安专用网所面临的风险管理问题也是在不断变化的，而这些恰恰对风险管理提出了一个更高的要求。

参考文献

[1] 尹睿.我国公安系统建设理论与实践研究.武汉：华中师范大学，2002
[2] 欧阳满.公安信息网络安全工作浅析. 网络安全技术与应用，2002-11
[3] 尹晓雷,于明,支秀玲.公安内部网络安全问题及解决方法.网络与通信，1-4，2010
[4] 李勇.浅谈公安计算机信息安全主要风险及应对策略.公安研究.2009-3
[5] Brian Welch. Electronic Banking and Treasury Security [M] New York: Woodheadpublishing，1999:33-35
[6] S.C.Ward. Assessing and managing important risks [J] International Journal of projectManagement，1999(5):31-36
[7] Ortalo R, Deswane Y, Kaaniche M. Experimenting with quantitative evaluation tools formonitoring operational security， IEEE Transactions on Software Engineering, 25(5):633-650, 1999
[8] 信息安全风险评估指南．GB/T,2006
[9] 李志辉.现代信用风险管理量化度量和管理研究[M].北京:中国金融出版社，2001:92-98
[10] T.L Saaty. The Analytic Hierarchy Process：Planning Priority Setting，ResourceAllocation, New York: McGraw-Hill, 1980