◆楊浩程

（應(yīng)急管理部消防救援局昆明訓(xùn)練總隊(duì) 云南 650208）

原公安消防部隊(duì)目前已全部退出現(xiàn)役，調(diào)出公安系統(tǒng)并轉(zhuǎn)制為國(guó)家綜合性消防救援隊(duì)伍，劃轉(zhuǎn)應(yīng)急管理部領(lǐng)導(dǎo)管理。消防救援隊(duì)伍原先使用的金盾網(wǎng)將不再使用，改為接入國(guó)家電子政務(wù)外網(wǎng)。而消防院校隨著改革推進(jìn)，院校的教學(xué)、科研、管理、后勤保障等工作也需要依托網(wǎng)絡(luò)特別是互聯(lián)網(wǎng)來開展。

1 消防院校網(wǎng)絡(luò)變化特點(diǎn)

隨著消防院校離開軍隊(duì)和公安體制，院校內(nèi)部人員原有的網(wǎng)絡(luò)使用管理規(guī)章制度不再適用，網(wǎng)絡(luò)也以使用金盾網(wǎng)為主變?yōu)橐允褂没ヂ?lián)網(wǎng)為主，且隨著時(shí)代變化，對(duì)網(wǎng)絡(luò)依賴程度不斷提高、移動(dòng)互聯(lián)網(wǎng)發(fā)展、無線接入設(shè)備數(shù)量增多、網(wǎng)絡(luò)用戶身份多樣化，網(wǎng)絡(luò)使用行為日趨復(fù)雜化，消防院校面臨的網(wǎng)絡(luò)安全隱患威脅日益嚴(yán)重。

2 消防院校網(wǎng)絡(luò)面對(duì)的問題

2.1 網(wǎng)絡(luò)用戶身份復(fù)雜

消防院校內(nèi)人員較密集，使用網(wǎng)絡(luò)的用戶除學(xué)校行政人員、教師、學(xué)員、消防員外，還可能有后勤保障服務(wù)單位的員工、臨時(shí)來校人員等等，用戶身份多種多樣。

2.2 入網(wǎng)設(shè)備類型多樣

隨著無線上網(wǎng)設(shè)備的增多，接入網(wǎng)絡(luò)的設(shè)備包含服務(wù)器、PC、平板電腦、手機(jī)等。一些設(shè)備是消防院校內(nèi)部的固定入網(wǎng)設(shè)備如工作業(yè)務(wù)用網(wǎng)絡(luò)終端等，但是也有大量的網(wǎng)絡(luò)用戶個(gè)人設(shè)備接入到網(wǎng)絡(luò)中。同時(shí)還有大量的網(wǎng)絡(luò)用戶采取私接無線路由器的方式進(jìn)一步將網(wǎng)絡(luò)覆蓋進(jìn)行未經(jīng)校方批準(zhǔn)的拓展。入網(wǎng)設(shè)備類型多種多樣，數(shù)量難以準(zhǔn)確統(tǒng)計(jì)。私自拓展的網(wǎng)絡(luò)更是導(dǎo)致消防院校面對(duì)遭受來自內(nèi)部的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)和隱患，使得校園網(wǎng)絡(luò)出口處的網(wǎng)絡(luò)安全防護(hù)設(shè)備成為擺設(shè)。

2.3 用戶上網(wǎng)行為及目的復(fù)雜

隨著網(wǎng)絡(luò)時(shí)代的到來，整個(gè)社會(huì)全面觸網(wǎng)，消防院校退出軍隊(duì)體系后，對(duì)網(wǎng)絡(luò)使用管理將進(jìn)一步放開，網(wǎng)絡(luò)用戶數(shù)量劇增。消防院校的網(wǎng)絡(luò)用戶除了正常的工作學(xué)習(xí)信息查詢處理外，還存在大量的網(wǎng)上購(gòu)物、游戲、社交、郵件、下載、個(gè)人金融、在線音視頻等常見業(yè)務(wù)數(shù)據(jù)，甚至存在網(wǎng)絡(luò)賭博、網(wǎng)絡(luò)借貸、發(fā)動(dòng)網(wǎng)絡(luò)攻擊、違規(guī)訪問境外非法網(wǎng)站、在境內(nèi)外網(wǎng)站發(fā)表不當(dāng)言論等可能。國(guó)家綜合性消防救援隊(duì)伍執(zhí)行“兩嚴(yán)兩準(zhǔn)”建設(shè)要求，消防院校網(wǎng)絡(luò)一旦出現(xiàn)問題，將嚴(yán)重影響消防救援隊(duì)伍的形象。

2.4 流媒體、P2P 數(shù)據(jù)泛濫

隨著入網(wǎng)終端的增多，特別是移動(dòng)智能終端的增多，在消防院校網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)流量除了正常的工作業(yè)務(wù)數(shù)據(jù)外，還有大量的下載、視頻點(diǎn)播、視頻直播、視頻通話及P2P 數(shù)據(jù)流量。隨著網(wǎng)絡(luò)應(yīng)用和入網(wǎng)終端的發(fā)展，視頻類應(yīng)用的清晰度及碼流將不斷提高，隨之而來的將是視頻數(shù)據(jù)流量的大幅增長(zhǎng)；此外還有基于P2P 的數(shù)據(jù)傳輸，如果入網(wǎng)終端持續(xù)開啟P2P 服務(wù)，除了在下載期間產(chǎn)生下行數(shù)據(jù)流量外，在無下行數(shù)據(jù)期間還將持續(xù)上傳數(shù)據(jù)。以上數(shù)據(jù)將大量耗費(fèi)擠占消防院校網(wǎng)絡(luò)出口帶寬，造成日常工作業(yè)務(wù)和普通上網(wǎng)瀏覽數(shù)據(jù)傳輸緩慢，嚴(yán)重時(shí)甚至?xí)?dǎo)致正常業(yè)務(wù)數(shù)據(jù)中斷，外網(wǎng)對(duì)消防院校內(nèi)部網(wǎng)絡(luò)訪問也將中斷。

2.5 否認(rèn)操作行為

經(jīng)過消防院校的網(wǎng)絡(luò)發(fā)生網(wǎng)絡(luò)泄密、網(wǎng)絡(luò)違法、違紀(jì)行為時(shí)，相關(guān)網(wǎng)絡(luò)終端及網(wǎng)絡(luò)用戶難以定位查找。當(dāng)查找相關(guān)網(wǎng)絡(luò)終端及網(wǎng)絡(luò)用戶時(shí)，網(wǎng)絡(luò)終端及用戶可能只是臨時(shí)性接入網(wǎng)絡(luò)，發(fā)現(xiàn)違規(guī)行為時(shí)相關(guān)人員與終端已無從查找。即使作為院校內(nèi)部固定入網(wǎng)設(shè)備，也存在相關(guān)上網(wǎng)操作記錄被自動(dòng)或人為清除，數(shù)據(jù)恢復(fù)困難，痕跡無法檢測(cè)，進(jìn)而導(dǎo)致網(wǎng)絡(luò)用戶可以隨意否認(rèn)曾經(jīng)發(fā)生的網(wǎng)絡(luò)操作行為。因無法準(zhǔn)確確認(rèn)網(wǎng)絡(luò)違規(guī)行為的責(zé)任人，最終導(dǎo)致相關(guān)調(diào)查工作只能確定到校園網(wǎng)內(nèi)，而無法找到和徹底清除網(wǎng)絡(luò)內(nèi)部的安全隱患。

3 應(yīng)對(duì)措施

由此需加強(qiáng)消防院校網(wǎng)絡(luò)的上網(wǎng)行為管理和審計(jì)措施，以預(yù)防網(wǎng)絡(luò)安全管理事故的發(fā)生，即使在發(fā)生利用消防院校網(wǎng)絡(luò)的違規(guī)事件發(fā)生后，也便于開展相關(guān)調(diào)查處置工作。除了平時(shí)加強(qiáng)消防院校網(wǎng)絡(luò)安全宣傳教育工作外，還應(yīng)當(dāng)在相應(yīng)網(wǎng)絡(luò)出口、網(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器區(qū)入口部署有關(guān)上網(wǎng)行為管理及審計(jì)設(shè)備，以技術(shù)手段來加強(qiáng)網(wǎng)絡(luò)的安全管理。

3.1 網(wǎng)絡(luò)用戶身份認(rèn)證及權(quán)限控制

上網(wǎng)行為管理設(shè)備可對(duì)所有網(wǎng)絡(luò)用戶進(jìn)行接入身份認(rèn)證，確保網(wǎng)絡(luò)用戶在消防院校網(wǎng)內(nèi)有唯一的身份?？蓪?duì)消防院校行政人員、教師、學(xué)員、消防員等人員分配個(gè)人入網(wǎng)賬號(hào)。對(duì)于后勤保障服務(wù)單位的員工，經(jīng)申請(qǐng)后可允許接入校內(nèi)網(wǎng)絡(luò)訪問后勤保障系統(tǒng)部分資源，也可允許其利用校內(nèi)網(wǎng)絡(luò)訪問外網(wǎng)資源。以上人員入網(wǎng)可以采取本地認(rèn)證的方式來進(jìn)行，具體可采取Web 認(rèn)證、用戶名+口令認(rèn)證、IP/MAC/IP-MAC 綁定、USB-Key 等方式。

對(duì)于臨時(shí)來校人員，原則上不允許接入校內(nèi)網(wǎng)絡(luò)，但若為外來訪客且確需利用校內(nèi)網(wǎng)絡(luò)訪問外網(wǎng)的，可允許在通過身份認(rèn)證后在一定時(shí)長(zhǎng)內(nèi)臨時(shí)接入。對(duì)于此部分人員上網(wǎng)身份認(rèn)證，應(yīng)當(dāng)避免復(fù)雜的臨時(shí)賬號(hào)申請(qǐng)流程，改由通過短信或微信認(rèn)證的形式來實(shí)現(xiàn)。

3.2 入網(wǎng)設(shè)備管理

目前許多家用級(jí)無線路由器已能對(duì)常見接入設(shè)備的類型和品牌型號(hào)進(jìn)行識(shí)別，同理上網(wǎng)行為管理設(shè)備應(yīng)能提供對(duì)私設(shè)無線AP 或代理服務(wù)器的識(shí)別功能，并能自動(dòng)升級(jí)拓展識(shí)別庫(kù)。發(fā)現(xiàn)未經(jīng)允許聯(lián)網(wǎng)的無線路由器等設(shè)備就阻斷其通信，避免蓄意通過非法AP 繞過身份認(rèn)證接入網(wǎng)絡(luò)，杜絕非法的設(shè)備接入。

3.3 用戶上網(wǎng)行為審計(jì)分析

管理員可利用上網(wǎng)行為管理設(shè)備對(duì)網(wǎng)絡(luò)用戶的上網(wǎng)行為進(jìn)行監(jiān)控及在線管理，如對(duì)當(dāng)前網(wǎng)絡(luò)用戶訪問的網(wǎng)址進(jìn)行基于地址庫(kù)的識(shí)別，判斷網(wǎng)站類型，識(shí)別用戶目的。如發(fā)現(xiàn)干部、學(xué)員、消防員經(jīng)常訪問賭博網(wǎng)站、網(wǎng)貸網(wǎng)站等，可提示對(duì)其個(gè)人加強(qiáng)監(jiān)管，以免造成不良后果；也可對(duì)工作時(shí)間內(nèi)網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，分析工作時(shí)間內(nèi)相關(guān)人員工作效率情況。此外還應(yīng)能對(duì)IM聊天、微博、社交論壇發(fā)帖內(nèi)容、郵件發(fā)送內(nèi)容、郵件附件內(nèi)容和上傳文件內(nèi)容等進(jìn)行監(jiān)控分析，如對(duì)關(guān)鍵詞或傳輸?shù)膠ip、doc、ppt 等文件類型進(jìn)行監(jiān)控記錄，避免泄密。目前很多網(wǎng)頁使用SSL加密，如Google 搜索、QQ 郵箱、甚至賭博網(wǎng)站，為避免用戶通過SSL 加密郵件、BBS、論壇發(fā)布的反動(dòng)言論或者是向外發(fā)送組織的機(jī)密信息，上網(wǎng)行為管理設(shè)備最好能對(duì)此類加密應(yīng)用進(jìn)行識(shí)別，但網(wǎng)銀等涉及個(gè)人隱私的操作不得進(jìn)行監(jiān)控。

3.4 流量控制

針對(duì)流媒體、P2P 流量泛濫影響正常工作業(yè)務(wù)的問題，上網(wǎng)行為管理設(shè)備應(yīng)對(duì)流媒體、P2P 等流量進(jìn)行抑制，使其限制在指定的范圍之內(nèi)，優(yōu)先保證正常工作業(yè)務(wù)的帶寬需求?？刹扇“从脩舴纸M、按網(wǎng)絡(luò)應(yīng)用、按協(xié)議、按時(shí)段等多種方式對(duì)網(wǎng)絡(luò)帶寬進(jìn)行合理分配，既保證正常的工作需求，又提高網(wǎng)絡(luò)帶寬使用率，滿足用戶工作、生活、娛樂等多種需求。除滿足傳統(tǒng)的網(wǎng)絡(luò)業(yè)務(wù)流量控制外，上網(wǎng)行為管理設(shè)備還應(yīng)能升級(jí)支持包括移動(dòng)APP在內(nèi)的新網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)流量的識(shí)別和控制功能。

3.5 用戶操作日志審計(jì)與存儲(chǔ)

對(duì)于每一個(gè)用戶、每一臺(tái)終端的網(wǎng)上操作，上網(wǎng)行為管理設(shè)備應(yīng)能生成相應(yīng)的日志并進(jìn)行存儲(chǔ)。如記錄存儲(chǔ)網(wǎng)站訪問快照、聊天記錄、論壇微博記錄、文件傳輸記錄等，相關(guān)的網(wǎng)絡(luò)日志存儲(chǔ)不少于6 個(gè)月?；谏暇W(wǎng)行為大數(shù)據(jù)對(duì)用戶操作行為進(jìn)行分析，除掌握用戶網(wǎng)絡(luò)使用情況外，更可在發(fā)生網(wǎng)絡(luò)安全事故時(shí)，可根據(jù)相關(guān)日志精準(zhǔn)追溯調(diào)查。

4 結(jié)束語

除使用上網(wǎng)行為管理設(shè)備外，還應(yīng)當(dāng)采取加強(qiáng)網(wǎng)絡(luò)安全宣傳教育、定期開展網(wǎng)絡(luò)安全檢查、使用多種網(wǎng)絡(luò)安全防護(hù)設(shè)備等手段加強(qiáng)消防院校的網(wǎng)絡(luò)安全工作，避免出現(xiàn)嚴(yán)重的泄密或違紀(jì)違法網(wǎng)絡(luò)安全事故，維護(hù)消防救援隊(duì)伍的良好形象。