等保架構下移動警務系統安全評估研究

李曦+周嵩岑

摘 要：移動警務系統的快速發展，提升了公安執法效率，同時安全性問題也日益突出。論文從移動警務系統的安全性入手，根據移動警務系統所面臨的安全威脅，將移動警務系統分為操作系統、應用軟件、硬件以及網絡環境四個部分，利用等級保護測評架構針對這四個部分進行安全評估，展開移動警務系統安全評估方法的研究。

關鍵詞：移動警務系統；安全評估；等級保護

中圖分類號： TP393 文獻標識碼：A

Research on Safety Assessment of Mobile Police System under Classified Protection Framework

Li Xi， Zhou Song-cen

（The Third Research Institute of Ministry of Public security， Shanghai Engineering Research Center of Cyber and Information Security Evaluation， Shanghai 200031）

Abstract： The rapid development of mobile police system has enhanced the efficiency of public security law enforcement， and the security problem has become increasingly prominent. In this paper， we began the research from the security of mobile police system， according to the security threats faced by mobile police system， the mobile police system is divided into four parts： the operating system， application software， hardware and network environment， we Research on safety assessment methods of mobile police system， using classified protection evaluation architecture for safety evaluation.

Key words： Mobile Police System； Safety Assessment； Classified Protection

1 引言

隨著信息技術、通信技術和移動互聯網的高速發展，社會對公安執法的工作效率提出了更高的要求，將最新的信息技術應用到公安實戰，成為科技強警的重要落腳點。智能移動警務系統的研發問世，公安隊伍也開始邁向移動信息化的高效執法之路。然而，伴隨著效率的大幅提升，移動警務系統的安全性問題也日漸突出，尤其是涉及到的公民隱私信息及執法數據的安全性。

等級保護要求作為我國信息安全保護的基本制度，廣泛應用于各行各業開展信息系統安全等級保護的建設和測評工作中。本文主要從移動警務系統的安全性入手，利用等級保護測評架構，展開移動警務系統安全評估方法的研究。

2 移動警務系統安全威脅

移動警務系統是一種利用無線網絡實現警察現場執法的信息化移動執法系統，它利用終端、PDA或筆記本電腦等移動終端，實現與公安內網的警務數據交互。作為移動警務行業中的核心裝備，移動警務系統所用終端從最初通過打電話或發短信等通訊手段與移動警務后臺進行數據請求與采集的普通終端，發展為定制開發的移動警務專用終端，靈活性和易用性大大增強。與此同時，也因傳輸和存儲大量執法數據，存在極大的安全隱患。

根據移動警務系統所面臨的安全威脅，將移動警務系統分為操作系統、應用軟件、硬件以及網絡環境四個部分，本文針對這四個部分進行安全性技術研究，支持相關系統的研發和評估，以保障移動警務系統的安全，如圖1所示。

2.1 操作系統安全威脅

從移動警務終端安全架構來說，操作系統安全是整個移動警務系統安全的基礎。長期以來，我國移動警務終端主流操作系統多數都是直接采用國外的Android等系統，再根據需要定制開發，其操作系統的安全問題較為突出。

移動警務操作系統管理著警務終端軟硬件的資源及服務，是移動警務系統安全評估的重要目標。移動警務操作系統保護的資產包括四個方面。

用戶數據：包含用戶個人賬戶、通信記錄、聯系人等。

業務數據：移動警務應用軟件產生和使用的相關執法數據，如照片、音視頻等。

敏感資源：包含通信資源和外設接口等，如攝像頭、藍牙、GPS信息等。

安全功能數據：包含鑒別數據、安全屬性、安全策略等。

綜上，移動警務操作系統的威脅來自：授權用戶（一線執勤人員、系統維護人員、授權應用軟件）的過失行為，和自身存在的漏洞引發的非授權用戶的侵入行為。威脅起因可能來自：非授權訪問以及錯誤配置等；受威脅的資產包括：用戶數據、業務數據、系統敏感資源和安全功能數據等。

2.2 應用軟件安全威脅

隨著移動警務應用的快速增長，警務軟件涵蓋綜合應用、治安管理、交通管理、出入境管理、指揮調度等業務，其業務數據涉及到普通公民個人信息、犯罪分子信息等高敏感度信息，移動警務應用軟件的安全在警務系統中是值得重點關注的問題。

由于應用軟件來源并非完全受控，無法驗證其可靠性，使得針對應用軟件的攻擊是最容易的攻擊手段。惡意軟件可通過偽造簽名等方式，獲取系統權限。一方面在安裝過程，用戶很難辨識惡意軟件和正常軟件，往往會選擇信任應用軟件，忽略相關的安全提示，而給予軟件所申明的所有權限。另一方面正常應用軟件在開發過程中未考慮安全性設計，軟件自身存在漏洞或后門，易被劫持遭受攻擊，引發安全性問題。endprint

2.3 硬件安全威脅

移動警務系統安全性不僅依賴于其操作系統和應用軟件，同時依賴于部分硬件化的功能模塊。警務終端所用的系統引導、身份驗證和環境交互的模塊也可能存在被攻擊的漏洞。此外，在移動智能終端中，基于智能卡進行移動網絡通信的終端占據了很大份額，智能卡本身的安全問題也會影響移動警務終端安全，如針對SIM卡的旁路攻擊等。此外，移動警務終端的外圍接口，如藍牙、WiFi、NFC和 USB接口等，這些外圍接口如果使用不當，被非授權用戶連通進行數據訪問和傳輸，造成隱私信息的泄露。

2.4 網絡環境安全威脅

移動警務系統通過開放的無線公網接入公安內部，信息在公開信道中傳播，就存在受到攻擊導致數據泄密的問題，因此網絡環境安全問題也是移動警務系統的關鍵部分。

根據上述分析，移動警務系統的安全總結為四個方面的問題：（1）操作系統存在漏洞，導致惡意代碼感染與入侵；（2）應用軟件易被劫持，或未識別偽裝的惡意軟件，導致數據泄露等安全性問題；（3）硬件缺少保護措施，從物理上導致數據失竊與被破壞；（4）通信過程欠缺保護措施，導致數據泄露等安全性問題。本質上都是數據的安全受到威脅。

3 移動警務系統安全評估

安全評估是確認評估對象（例如操作系統、應用軟件、硬件、網絡環境等稱為評估對象）滿足特定安全目標的有效性的過程。根據網絡安全等級保護基本要求，現有三種評估方法：測試（Testing）、檢查（Inspecting）和訪談（Interviewing）。測試是指在特定條件下運行一個或多個評估對象，比較其實際行為和預期行為的過程。檢查是指檢驗、審查、觀察、研究或分析一個或多個評估對象，使之便于理解、達到釋明或獲得證據的過程。訪談是指組織一個機構里的個人或群體進行商討，達到理解、釋明或獲得證據目的的過程。評估結果將用于支持對安全控制時效力的決策。

等級保護基本要求從物理安全、網絡安全、主機安全、應用安全和數據安全幾個層面提出。根據此架構，移動警務系統從操作系統、應用軟件、硬件以及網絡環境四個部分提出評估要求。針對移動警務系統的不同層面的安全威脅，分析各個層面的測試評估要點。

3.1 操作系統安全評估

操作系統的安全是保證移動警務系統整體安全的基礎，整個安全方面的評估項圍繞著操作系統的安全功能，包括基本的身份鑒別、訪問控制、安全審計功能和數據保護等，以及運行安全保護及升級要求。

身份鑒別為一般系統的基本要求，從基本鑒別方式、用戶標識及口令復雜度、鑒別信息保護和鑒別失敗處理等方面提出要求。操作系統的訪問控制規定了授權用戶（包括系統使用者和應用軟件）的可用權限，明確需要的最小權限，不能越權操作。安全審計為追溯每個用戶的行為提供了保障，對于審計內容需保護其不受到未授權的用戶訪問，且容易跟蹤管理。對于操作系統中的數據，包括前文所述的用戶數據、業務數據、敏感資源等，應能提供數據保護措施，保障數據的保密性和完整性，且對剩余信息也應提供保護功能。除上述基本項要求，操作系統還應具備升級能力，對升級包的來源和升級數據的完整性進行校驗。

3.2 應用軟件安全評估

針對應用軟件的安全威脅，應用軟件的評估內容，除了通用的身份鑒別、訪問控制、安全審計和數據保護，對應用軟件審核與檢測提出要求，保障應用軟件的自身安全；應用軟件的安裝需得到明確授權，卸載時應能刪除由其生成的所有數據和信息；能夠對重要的數據定期進行備份，以備出現問題時可及時恢復；應具備升級能力，對升級包的來源和升級數據的完整性進行校驗。

3.3 硬件安全評估

針對移動警務系統硬件模塊，主要對智能卡和外圍接口提出要求。在警務終端上使用的SIM卡應進行鑒權以防止未授權的接入，以臨時代號（TMSI）替代用戶標識，使第三方無法在無線信道上跟蹤用戶信息，SIM卡防克隆和數據安全性評估；根據業務需求，關閉不必要的外圍接口，對開放的外圍接口進行數據交互的安全性評估。

3.4 網絡環境安全評估

對于移動警務系統的網絡環境，通過多項措施建立嚴格的訪問控制策略：在默認情況下，應禁止所有通信；設置訪問控制規則限制警務終端可訪問的等級保護對象資源；對來自警務終端的數據流量、數據包和協議等進行檢查，以允許/拒絕數據包通過，在無線接入網關上對進出無線網絡的數據進行內容過濾；整個通信過程應加密傳輸，并保障通信數據的完整性。

上文從操作系統、應用軟件、硬件和網絡環境方面進行移動警務系統安全評估的探討，每個層面面臨的威脅不同，因而有不同的安全需求，所要采取的安全防護技術也不同，因此對移動警務系統進行全方位的安全評估，這四個方面必不可少，任何一個層面的某種安全措施缺失，都可能導致移動警務系統數據的保密性、完整性和可用性遭到破壞。

4 結束語

移動警務系統是警務信息化建設的重要內容，移動互聯網技術的進步也促使了警務工作的技術革新，移動警務系統已經廣泛應用于一線警務工作，并取得了顯著的成效。移動互聯網的安全威脅也隨之引入到了移動警務工作，由于公安工作的私密性和重要性，這些安全威脅如果沒有被有效規避和處理，將會對警務工作產生極大的安全影響。

本文通過對移動警務安全領域進行現狀調研，分析移動警務系統安全評估方法，從操作系統、應用軟件、硬件和網絡環境等方面進行移動警務系統安全評估的研討，結合移動警務工作的特點，將等級保護測評的體系和方法應用到移動警務系統之中，為提升現有移動警務系統的安全性提供決策支撐。

參考文獻

[1] 郭啟全.國家信息安全等級保護制度的貫徹與實施[J].信息網絡安全，2008年05期.

[2] 符易陽，周丹平. Android安全機制分析[J].信息網絡安全，2011年09期.

[3] 陳萱華，李學亞，楊玲.移動警務安全接入控制系統研究[J].計算機與現代化，2013年04期.

[4] 張濱.移動終端安全關鍵技術與應用分析[M].北京：人民郵電出版社，2015.

[5] GB/T 22239.3，信息安全技術 網絡安全等級保護基本要求[S].endprint