1、 檢察院信息安全管理思考 隨著檢察機關(guān)信息絡(luò)建設(shè)的全面開展以及應(yīng)用的逐步深入，信息安全系統(tǒng)的建設(shè)便顯得更為迫在眉睫，對這項工作的絲毫懈怠都將會給未來檢察機關(guān)的絡(luò)信息系統(tǒng)帶來致命的危險。本文試圖從實際應(yīng)用的角度出發(fā)，為檢察機關(guān)絡(luò)信息系統(tǒng)安全防范體系的構(gòu)建提供一些思路。 一、生機與準危機中的檢察信息系統(tǒng) 我國檢察機關(guān)的信息化建設(shè)從xxxx年起步至今，經(jīng)歷了由點及面，由弱漸強的發(fā)展階段，并在全國范圍內(nèi)初步形成了較為系統(tǒng)的信息一體化絡(luò)。隨著“科技強檢”進程的逐步深入，檢察人的傳統(tǒng)思維和工作模式勢必會經(jīng)歷前所未有的變化。也正是在這種絡(luò)化日盛的趨勢下，檢察機關(guān)的信息化建設(shè)成為了檢察事業(yè)發(fā)展的重要課題。 x

2、xxx年前有了相當程度的提高，檢察業(yè)務(wù)軟件、絡(luò)辦公軟件以及其他的輔助處理軟件也普遍地應(yīng)用于日常的工作之中。同時，相當一部分檢察院已經(jīng)開通了站，并通過這一媒介，發(fā)布信息、收集反饋，形成了具有自身特色的絡(luò)工作平臺?？梢哉f，檢察信息化的不斷普及為全面建設(shè)和完善檢察信息系統(tǒng)提供良好的契機，同時也奠定了應(yīng)用與發(fā)展的必要基礎(chǔ)。 當然，在肯定成績的同時，我們也應(yīng)清醒地認識到現(xiàn)階段檢察信息化建設(shè)中存在的諸多不足。首先，目前我國檢察機關(guān)信息化建設(shè)還處于剛剛起步階段，絡(luò)應(yīng)用水平普遍不高，絕大多數(shù)的應(yīng)用還僅局限于檢察業(yè)務(wù)的某些小的領(lǐng)域，單項應(yīng)用較為普遍，大而全、廣而深的應(yīng)用體系尚未成型。其次，檢察信息技術(shù)主要仍以平

3、民技術(shù)為主，專業(yè)化、職業(yè)化的應(yīng)用并不理想，在缺乏相關(guān)專業(yè)人才的情勢下，技術(shù)水平較為幼稚，系統(tǒng)的標準化、通用性和易用性都還處于較低的層面。再則，目前檢察機關(guān)絡(luò)信息化建設(shè)與檢察業(yè)務(wù)實際存在明顯的脫節(jié)，檢察業(yè)務(wù)軟件的開發(fā)與維護還有許多不盡如人意之處，檢察信息系統(tǒng)的絡(luò)互連效果以及安全保密功能還有待進一步加強。 客觀地講，當前的檢察信息系統(tǒng)仍處于探索和成型階段。做個不形象的比喻，如果將未來成熟的檢察信息系統(tǒng)擬制為一個健康的成年個體的話，目前的檢察信息絡(luò)則像一個處在哺乳期的嬰兒，四肢俱全，生機無限，但未脫襁褓，需要給予更多的關(guān)注。 二、流行在檢察信息系統(tǒng)中的sars絡(luò)不安全因素。 絡(luò)中的不安全因素，之所以

4、稱其為sars，并非危言聳聽。在當前的檢察信息絡(luò)中，存在著種種高危的“致病”因素。這些因素往往顯見的或潛在的、習(xí)慣的或不經(jīng)意的影響著檢察信息系統(tǒng)的穩(wěn)定和安全。 1、病毒入侵與黑客攻擊 絡(luò)病毒的入侵、感染與黑客的惡意攻擊、破壞是影響當前檢察信息絡(luò)安全的主要因素。目前，全球發(fā)現(xiàn)的病毒數(shù)以萬計，并以每天十種以上的速度增長，可以說每時每刻絡(luò)都在經(jīng)受著新的病毒或其變種的沖擊。通過絡(luò)渠道傳播的蠕蟲病毒、木馬程序以及腳本病毒，不管從傳播速度、破壞性還是波及范圍都讓人不可小視。 而對于絡(luò)系統(tǒng)而言，黑客攻擊較之病毒威脅則更加讓人防不勝防。互聯(lián)20多萬個黑客站上，提供了大量的黑客技術(shù)資料，詳細地介紹了黑客的攻擊方

5、法，并提供免費的攻擊軟件。在絡(luò)立法十分匱乏、跟蹤防范手段有限的今天，面對絡(luò)黑客針對操作系統(tǒng)以及應(yīng)用軟件漏洞的頻繁地、具有隱蔽性的攻擊，我們所要承受的威脅往往是毀滅性的。 2、絡(luò)硬件、軟件方面存在的缺陷與漏洞 檢察信息絡(luò)主要是以各級檢察機關(guān)的局域作為其構(gòu)成單元。與銀行、郵電等行業(yè)相比，目前，檢察機關(guān)的局域建設(shè)還存在著明顯的差距。從硬件上講，檢察系統(tǒng)的絡(luò)產(chǎn)品尤其是關(guān)鍵部位的配套設(shè)施還相對較為落后，核心部件的性能還不能完全滿足檢察機關(guān)信息化的發(fā)展要求。雖然，部分檢察局域絡(luò)在某些應(yīng)用功能上能夠基本滿足上辦公和無紙化辦公的現(xiàn)實需要，但長遠地講，目前檢察機關(guān)局域內(nèi)部的數(shù)據(jù)交換設(shè)備、服務(wù)器設(shè)備以及絡(luò)硬件環(huán)境

6、的合理性與穩(wěn)定性并不容樂觀，如不給予足夠地重視，勢必會給絡(luò)運行的穩(wěn)定和安全留下隱患。 在軟件方面，由于絡(luò)的基礎(chǔ)協(xié)議tcp/ip本身缺乏相應(yīng)的安全機制，所以基與此存在的任何絡(luò)都無法擺脫不安全因素的困擾。而目前廣泛運行在檢察絡(luò)中的微軟windows操作系統(tǒng)更是破綻百出，由于默認的情況下系統(tǒng)開放了絕大多數(shù)的端口，所以使得監(jiān)聽和攻擊變得輕而易舉、防不勝防。再加之相當數(shù)量的辦公軟件與絡(luò)軟件自身開發(fā)的局限性，存在著這樣或那樣的bug，同時軟件的后期服務(wù)又不可避免具有滯后性，所以形容當前的絡(luò)“風雨飄搖”一點也不為過。 3、使用人員的不良習(xí)慣與非法操作 如果將以上兩點看作是病源和病毒的話，那么人的因素可能就要

7、算作是將二者緊密結(jié)合，產(chǎn)生巨大破壞作用的主要媒介了?？陀^的講，目前檢察機關(guān)的絡(luò)操作水平仍處在相對較低的水平，絡(luò)使用者中普遍存在著操作不規(guī)范和軟件盲目應(yīng)用的現(xiàn)象。相當一部分檢察絡(luò)用戶對于絡(luò)存儲介質(zhì)的使用缺乏安全和保密意識，對硬件的維護缺少必要的常識，帶來涉密數(shù)據(jù)在存儲與傳遞環(huán)節(jié)不必要的隱患。同時，由于操作熟練程度的原因，絡(luò)中的誤操作率相對較高，系統(tǒng)宕機的情況時有發(fā)生，一方面造成了絡(luò)資源的浪費，另一方面也給本地數(shù)據(jù)帶來了一定的危險。 此外，由于檢察機關(guān)的業(yè)務(wù)工作與實際應(yīng)用的需要，所以局域用戶的權(quán)限相對較高，使用者的操作空間相對較大。部分具有較高計算機水平的用戶，會利用授權(quán)非法地進行系統(tǒng)設(shè)置或通過黑

8、客軟件的幫助突破權(quán)限獲取其他用戶信息乃至涉密信息。這些惡意行為的出現(xiàn)，不僅擾亂了絡(luò)內(nèi)部的正常秩序，同時也為更多“偷窺者”大開方便之門。 4、絡(luò)管理與相關(guān)制度的不足 絡(luò)信息系統(tǒng)三分靠建，七分靠管。嚴格的管理與健全的制度是保障檢察信息系統(tǒng)安全的主要手段。但是事實上，目前各級檢察機關(guān)的信息系統(tǒng)并沒有建立起較為健全、完善的管理制度，絡(luò)管理缺乏嚴格的標準，大多數(shù)檢察機關(guān)仍采取較為粗獷的管理模式。主要表現(xiàn)在： 第一，絡(luò)管理僅僅作為后勤保障工作的一部分，缺乏必要的領(lǐng)導(dǎo)機制，重視程度有待進一步加強。 第二，絡(luò)管理人員充當“消防員”，以“排險”代“管理”，缺乏全民“防火意識”，干警的信息安全責任感亟待提高。 第

9、三，絡(luò)管理缺乏必要的程序性規(guī)則，在遇到突發(fā)事件時，往往容易造成絡(luò)系統(tǒng)的內(nèi)部混亂。 第四，絡(luò)信息收集、整理工作不夠細致，絡(luò)內(nèi)部機器的跟蹤機制還不盡如人意。在用戶應(yīng)用相對隨意性的條件下，往往出現(xiàn)“用而不管，管卻不能”的尷尬局面。 第五，與安全級別相適應(yīng)的絡(luò)安全責任制度還沒有完全建立，使用者的絡(luò)操作安全風險沒有明確的承擔主體，所以使用中缺少必要的注意。絡(luò)管理在“使用免責”的情況下，很難形成安全防護的有效底線。 三、構(gòu)想中的檢察信息系統(tǒng)安全防范體系 針對以上問題，筆者認為，要建立、健全檢察信息系統(tǒng)的安全防護體系首先需要從檢察機關(guān)信息安全性的要求出發(fā)，充分結(jié)合當前檢察信息絡(luò)的建設(shè)現(xiàn)狀，從整體上把握，重規(guī)

10、劃，抓落實。其次，要摒棄一勞永逸的短期行為，在絡(luò)項目投入、絡(luò)設(shè)施建設(shè)上做好長期的規(guī)劃，同時應(yīng)具有適當?shù)某靶?，從檢察信息化長遠的發(fā)展趨勢著眼，保持投入的連續(xù)性，積極追求絡(luò)效能的最大化。其次，在信息化建設(shè)的過程中，檢察機關(guān)還應(yīng)充分重視制度化的建設(shè)，形成較為完善的保障體系，使得絡(luò)的運行與管理能夠在正確的軌道上持續(xù)發(fā)展。當然，強調(diào)整體規(guī)劃與設(shè)計的同時，我們還應(yīng)認真做好絡(luò)應(yīng)用技術(shù)的普及與絡(luò)安全意識的培養(yǎng)工作，將檢察信息系統(tǒng)中源于技術(shù)局限以及使用者主觀因素而產(chǎn)生的種種隱患和損失降到最低程度。 基于上述幾點構(gòu)想，下面筆者將從實際的應(yīng)用出發(fā)，對檢察信息安全防范體系的具體實現(xiàn)，作細化論述： 第一，做好檢察信息

11、系統(tǒng)整體的安全評估與規(guī)劃，為安全防范體系的構(gòu)建奠定基礎(chǔ)。 檢察機關(guān)的絡(luò)信息化建設(shè)有別于其他應(yīng)用絡(luò)的一個顯著特征就是對于安全性有著更為嚴格的要求。在構(gòu)造安全防范體系的過程中，我們需要全面地了解自身絡(luò)可能會面臨怎樣的安全狀況，這就使得我們不得不對譬如絡(luò)會受到那些攻擊，絡(luò)系統(tǒng)內(nèi)部的數(shù)據(jù)安全級別是何等級，絡(luò)遭遇突發(fā)性安全問題時應(yīng)如何反應(yīng)，局域絡(luò)內(nèi)部的域應(yīng)怎樣設(shè)定，用戶的權(quán)限應(yīng)給予哪些控制等問題進行初步地認定和判斷。通過進行安全評估，確定相應(yīng)的安全建設(shè)規(guī)劃。 當然，在加大投入的同時，也應(yīng)當正確處理安全成本與絡(luò)效能之間的辯證關(guān)系，切忌將安全問題絕對化，不能讓安全設(shè)備和手段的使用降低絡(luò)應(yīng)用的實際效果，尋求可

12、用行與可靠性的平衡點。在安全建設(shè)中要注重絡(luò)安全的整體效果，盡量運用較為成熟、穩(wěn)定的軟、硬件及技術(shù)，同時，針對目前檢察絡(luò)所采用的微軟系統(tǒng)平臺，借助于win2000操作系統(tǒng)的域控制功能，對絡(luò)的內(nèi)部結(jié)構(gòu)進行劃分、管理，從而既滿足了對內(nèi)部用戶的管理要求，同時又在雙向信任關(guān)系的域森林結(jié)構(gòu)中實現(xiàn)同級、上下級院之間的安全信息交流。 第二，加強絡(luò)安全組織、管理的制度化建設(shè)，從制度的層面構(gòu)造安全防范體系。 健全檢察機關(guān)絡(luò)安全管理的關(guān)鍵在于將其上升到制度的層面，以制度化促進管理的規(guī)范化。絡(luò)安全管理的制度化建設(shè)需要做好兩方面的工作，首先要建立明確的安全管理組織體系，設(shè)置相應(yīng)的領(lǐng)導(dǎo)機構(gòu)，機構(gòu)以院主管領(lǐng)導(dǎo)、技術(shù)部門領(lǐng)導(dǎo)

13、、絡(luò)管理人員、絡(luò)安全聯(lián)絡(luò)員組成，全面負責局域的日常維護、管理工作。絡(luò)安全聯(lián)絡(luò)員由各科室選定，負責本部門絡(luò)應(yīng)用過程中的信息上報和反饋工作。絡(luò)管理領(lǐng)導(dǎo)小組可以根據(jù)全院的實際情況，協(xié)調(diào)管理人員進行及時的維護，這樣不僅有利于人員分工、整合，同時也保證了絡(luò)管理的有序進行。其次，要加快絡(luò)安全管理的規(guī)范性章程的制定，將絡(luò)管理的各項工作以制度化的形式確定下來。具體來講，要盡快形成信息系統(tǒng)重要場所、設(shè)施的安全管理制度，例如服務(wù)器機房的管理制度；要盡快制定絡(luò)安全操作的管理制度，尤其是絡(luò)用戶的軟件使用與技術(shù)應(yīng)用的規(guī)范化標準；同時，也要進一步研究絡(luò)遭遇突發(fā)事件時的安全策略，形成絡(luò)安全的應(yīng)急保障制度，并針對絡(luò)安全責任事

14、故進行制度化約束，追究責任人的主觀過錯。 當然，制度化建設(shè)應(yīng)當包含檢察信息絡(luò)管理的各個方面，遠非以上幾點，它需要我們在補充、修訂的過程中不斷健全、完善。 第三，提高絡(luò)應(yīng)用與管理的技術(shù)水平，彌補自身缺陷，減少外來風險。 在當前檢察信息絡(luò)的安全威脅中，病毒及惡意攻擊可能是其最主要的方面。但我們應(yīng)清醒地認識到，任何的病毒與黑客技術(shù)都是針對絡(luò)系統(tǒng)的漏洞而發(fā)起的。而在絡(luò)應(yīng)用過程中，大多數(shù)使用者對于病毒及外來攻擊的恐懼往往要大于對自身系統(tǒng)漏洞的擔心。要解決這一問題，首先要使絡(luò)用戶對絡(luò)病毒及黑客攻擊有必要的認識，并了解病毒感染的主要渠道，同時要加強絡(luò)應(yīng)用的規(guī)范化培訓(xùn)，整體提高操作的技術(shù)水平，最大程度地減少人

15、為因素造成的安全隱患。此外，在絡(luò)管理中，對操作系統(tǒng)的漏洞應(yīng)及時的安裝安全補丁，并留意微軟定期發(fā)布的安全公告，關(guān)閉操作系統(tǒng)中并不常用的默認端口，防止為惡意攻擊留下“后門”。同時，對絡(luò)中的應(yīng)用軟件進行全面檢查，盡量避免使用來歷不明的盜版軟件，將軟件的選擇導(dǎo)向正版化、絡(luò)化的軌道，逐漸減少對于盜版軟件、試用版軟件以及共享版軟件的依賴。 同時，充分利用win2000系統(tǒng)的域功能，嚴格控制絡(luò)客戶端機器的超級用戶帳號，設(shè)定所有用戶必須登錄域中進行絡(luò)操作，設(shè)定所有用戶（預(yù)留guest帳號可以另外處理）的ip地址和卡物理地址進行綁定、所有無需移動辦公的用戶帳號和ip地址綁定，實施嚴密的身份識別和訪問控制。 第四

16、，加強應(yīng)急策略下的物理安全、數(shù)據(jù)保護與日志管理，健全安全保障體系。 硬盤的損失或失竊，就意味著所有原始信息的丟失或泄密；服務(wù)器的損壞或停機，就意味著絡(luò)服務(wù)的停頓；交換機的損壞，就意味著絡(luò)連通的中斷。所以在信息安全的所有方面中，計算機的物理安全是最基本的問題，計算機物理安全得不到保障，其他的一切安全措施都是空談。而計算機的物理安全的保護，除了要有必要的安全防護設(shè)備外，更重要的是必須建立完善的管理制度，以管理來保障安全。 目前檢察機關(guān)還沒有一個完善的制度和措施保證各個關(guān)鍵機器和關(guān)鍵數(shù)據(jù)的備份工作。各個單位的備份方法多種多樣，其中以磁帶備份方式占多數(shù)；但各個單位的備份工作沒有統(tǒng)一規(guī)范，對于處于離線狀態(tài)的備份介質(zhì)的管理也沒有具體的規(guī)定，很多就是隨便放在機房內(nèi)。如果真的發(fā)生機房災(zāi)難性安全事故（如火災(zāi)等），很有可能就會把所有數(shù)據(jù)”一鍋端”全部丟失了。 安全審計可以說是整個安全體系中最后一個保障手段。建立起完善的安全審核與安全日志，可以保證管理員對系統(tǒng)運行