一机两用危害及预防网络安全讲座

公安信息网
公安网用户
一机两用
互联网
一机两用
病毒制造者 公安网用户
随着公安内部骨干网的逐步完善和信息化建设工作的快速发展， 网络信息技术在各项公安工作已得到了广泛的应用。公安网络的重 要性勿庸臵疑,然而随着病毒、黑客的非法入侵，经常导致公安网 络的不畅通甚至瘫痪和重要公安信息的泄密，因此公安网络的安全 与信息保密是一个不容忽视的问题。“一机两用”的有效制止是加 强公安网络安全与信息保密的一个重要举措。公安部对“一机两用” 行为已是多次严令禁止，各级公安机关也多次强调，并有明文规定， 但是，“一机两用”行为仍然时有发生，近期公安信息网内相继发 生多起“一机两用”事故，造成涉及计算机被公安部“一机两用” 监控系统锁定的后果，相关责任人也分别受到通报批评、警告、记 过、辞退等处分，教训十分深刻。
案例六：2013年4月26日，烟台市消防安保公司外聘员工 孙彩杰，在整理库房时发现本单位废旧公安网计算机，在未经 允许的情况下，私自将计算机硬盘拆卸并带回家中检测，其间 连接了互联网，造成“一机两用”事故的发生。
教训：公安网计算机报废，必须将硬盘格式化后再用。
这些事故的出现充分说明在计算机的网络安全管理上，我 们的部分单位存在着思想认识不到位、教育培训有盲区、日常 管理有漏洞、网管人员配制不充分等一系列问题。随着公安 “金盾工程”的实施，公安机关内部计算机拥有率、使用率的 增多，高新计算机技术的发展，潜在的“一机两用”问题势必 随之增加，所以，如何规范使用操作计算机，杜绝违规、泄密 事件的发生已经成为当前我们迫切需要解决的问题。
支队“一机两用”隐患现状
各级领导和官兵对“一机两用”的严重后果认识不足， 管理上不重视，投入不足，人员教育不到位，违规行为 不断发生。 技术管理、IP分发主要是公安局负责，消防没有专门的 机构和人员从事日常的“一机两用”监控工作。 各大队中队和部门只重业务，忽视安全，人员违规使用 无线路由或者HUB使用互联网现象突出。 移动执法终端管理有漏洞，有违规使用网线接入公安计 算机网络并进行注册的现象，还有的执法终端配件遗失， 导致安全隐患。
什么是“一机两用”行为—连接表现
公安信息网
电话拨号接入互联网
一机两用
互联网
离线接入互联网
一机两用
互联网办公网
双网卡同时连接内外网
“一机两用”行为的危害：文件泄密
一机两用
公安信息网
“一机两用”行 为导致了公安网同 互联网的物理连接， 是造成重要机密文 件泄密的可能性原 因之一。
公安网用户
文件失泄密
“一机两用”危害及预防
交流讲座
日照市公安消防支队
2016年3月2日
“一机两用” 基础知识
◆
◆ ◆
哪些行为属于“一机两用”行为
“一机两用”案例 “一机两用”的危害
◆
“一机两用”监控系统的管理结构
什么是“一机两用”行为
指公安信息网内计算机设备，同时连接公安网和互联网（所 有非公安信息网）或断开公安网连接互联网（所有非公安信息网） 的操作，包括存放公安涉密信息的计算机单独接入互联网（所有非 公安信息网）的操作。 表现方式：一贯性连接、间断间续性连接等。 互联网接入方式包括： Modem拨号、 ADSL拨号、双网卡、网关 代理、路由、手机上网等方式。
互联网
互联网用户
公安网用户
电子邮件泄密
“一机两用”行为的危害：黑客攻击 公安信息网上的“一机两用”行为导致互联网上黑客攻击, 使公安网络、计算机、信息遭受破坏。
公安信息网 互联网
服务器瘫痪
一机两用
黑客攻击
互联网黑客
“一机两用”行为的危害：病毒感染 公安信息网上的“一机两用”行为导致互联网病毒、蠕虫、 木马直接入侵公安网。
违规联网报警： 发现违规行为后在控 制台报警，并逐级报 送给上级管理台。
公安部
部监控平台
公安厅
省监控平台
阻断
公安局
公安局
市监控平台
报 警 数 据
注册设备
一机两用
违规行为 告警
—全国“一机两用”监测系统构架和功能—功能
设备登记注册：自动扫描 发现网络中存在的网络设备， 支持用户手动或系统自动注册。
公安信息网
监控平台
管理信息库
（一）区域注册
—全国“一机两用”监测系统构架和功能—功能 公安部
部监控平台
公安厅
设备注册
公安厅
省监控平台
公安局
市监控平台
公安局
（二）全国注册
—全国“一机两用”监测系统—未注册管理
未注册计算机定位： 时时发现未注册设备，并 对该设备进行阻断与公安 信息网隔离，使其无法联 入公安信息网络中。
传播等不安全因素的存在。
3.漏洞可能会导致部分应用无法正常运行。
什么是补丁？
补丁，顾名思义就是用来修补漏洞的程序，针对
特定软件上存在的漏洞和缺陷而对该软件进行加强或
审核重新注册的设备信息 审核重新注册设备信息的准确性 对不准确的信息可以通过以下3种方法处Fra Baidu bibliotek： 1）通过终端控制来强制修改在线设备的注册信息 2）通过发送重新注册的提示消息来要求用户纠正 注册信息
3）现场协助用户重新注册
系统变更 - 违规外联行为的永久阻断
为了降低违规外联行为对公安网络产生的 安全威胁，新的违规外联行为处理办法修改为
支队“一机两用”隐患现状
个别大队互联网与公安网网络机柜没有分开设置，网线标 记不清，极易插错网线导致事故。
调整网络不事先报告支队司令部信通部门。
个别单位公安网络计算机无登记入网审批机制，转网或者 报废没有请示，也没有进行技术处理。
有的单位使用笔记本电脑上公安网，却没有拆除或者禁用 无线连接模块，微机也不设置密码。 多数公安网计算机使用者不注重病毒防护，致使发出的公 文、邮件带有大量病毒。
电话拨号接入
互联网
报警数据上报
扫描监控
互联网
双网卡同时连接
—全国“一机两用”监测系统构架和功能—功能
“一机两用”阻断：发现违规计算机后，自动阻断 违规其非法联网行为，同时向管理中心上报违规记录。
监控平台
公安信息网
互联网
实时监控 告警
互联网办公网
扫描阻断
一机两用
扫描监控 实时监控
—全国“一机两用”监测系统构架和功能—功能
案例五：2007年11月8日上午，辽宁省梨树县公安局梨树交 警大队车辆管理所业务大厅使用的一台微机因系统瘫痪，没有 请示县局通讯部门，擅自拿到一电脑公司维修，维修过程中， 交警大队官兵交待电脑公司主管负责人不准接入互联网，但在 重装机过程中，公司操作人员还是将该机联入互联网下载杀毒 软件。 教训：不得将公安网计算机拿到电脑公司修理，如果修理， 必须摘除硬盘。
—全国“一机两用”监测系统构架和功能—构架 公安部
部监控平台
（部级总控）
公安厅
省监控平台
（省级总控）
公安厅
公安局
市监控平台
公安局
“一机两用” 全国三级监测系统部署构架
—全国“一机两用”监测系统构架和功能—构架 公安部
安全信息
部监控平台
（部级总控）
公安厅
省监控平台
安全信息 （省级总控）
公安厅
公安局
补丁分发系统基础知识
补丁相关知识介绍
什么是操作系统漏洞？ 漏洞即某个程序(包括操作系统)在设计
时未考虑周全，当程序遇到一个看似合理，
但实际无法处理的问题时，引发的不可预见 的错误。
系统漏洞的产生原因？ 1. 编程人员的人为因素，在程序编写过程中，为实现不可告人
的目的，在程序代码的隐蔽处保留后门；
市监控平台
公安局
“一机两用” 全国三级监测系统部署构架
—全国“一机两用”监测系统构架和功能—功能
“一机两用” 监控 设备登记 注册 “一机两用” 阻断
“一机两用” 监测
病毒检测 定位
违规联网 报警
—全国“一机两用”监测系统构架和功能—功能
公安信息网
实时监控
“一机两用”监控：实 时检测公安网中存在的同 互联网连接的计算机，及 时发现“一机两用”行为 并作详细记录。
以下方式：
当客户端探头检测到计算机发生违规外联
行为时，就会立即锁定计算机的网络功能，并
在2分钟后关闭计算机，计算机重新启动后需要 由管理员为计算机解锁，才可以再接入网络。
系统变更 – 系统定义组2 被阻断组：被管理员设臵为手工阻断的设备。 今天注册设备阻：显示今天从 0 点至当前时间 的注册设备 黑名单设备：该组设备不参与条件查询
案例一：2008年1月29日下午14时许，河南省焦作市公安局禁 毒支队官兵李玉超因工作需要，打开“联想天逸”笔记本电脑准备 工作。李玉超将网线从另一个笔记本电脑上拨下，后插入“联想天 逸”笔记本电脑插口，在将页面刷新后，电脑即出现“一机两用” 报警。经查明。主要情况为：禁毒支队至今尚未申请接入互联网， 没有安装外网线路，但这台2007年12月新购臵的笔记本电脑主板集 成有无线网卡，检查时发现无线网卡还正在搜索微弱的无线信号。 禁毒支队办公楼离居民楼很近，附近居民区有人使用了无线路由， 导致禁毒支队笔记本电脑接收到了无线上网信号,通过无线连接上 互联网。 （给我们的教训：笔记本电脑不能接入公安网，确实需要使用笔记 本的必须关闭无线网卡和无线连接）
1.
2. 3. 4. 5. 6.
7.
8. 选填项 9.
警种
是否属于基层科所队 电子邮件
由用户从列表中选择，分类见附表
由用户从列表中选择，分为是和否两种 使用人的公安网电子邮件地址
10.
备注
设备的其它需要说明的信息
设备如何注册？
根据各地一机两用服务器地址下载注册机,进行注册. http://10.53.185.9.右下角，下载中心，打开后可找到“公安信息网联机 注册软件”
一机两用注册信息
一机两用软件注册需填写内容说明
序号 必填项 填写项 使用人 单位名称 部门名称 设备安装位置 联系电话 设备类型 说明 填写计算机使用者或负责人的姓名 不允许填写单位名等非姓名名称，如：值班室 填写使用人所在单位，如：“信息通信局” 要求按照CA编码规则中的要求填写 填写使用者所属部门名称，如：“网络安全处” 要求按照CA编码规则中的要求填写 填写计算机所在地，包括楼号、房间号 填写使用人的联系电话 用户按类型从操作系统库中做统计
案例二：2008年1月9日，广东省乐昌市公安局交警大队教导 员陈严没有按照公安信息网络安全管理的有关规定和要求，指派 该大队聘用电工邱英祥将已坏的一台服务指南触摸器检查，而邱 也没有按照上级规定,在没有请示领导同意的情况下，擅自将发 生故障的服务指南触摸器主机硬盘带回家修理。在修理期间违反 规定操作，为安装软件将电脑接入互联网，导致发生“一机两用” 违规行为。
报警数据
公安部
部监控平台
公安厅
省监控平台
公安局
扫描检测 市监控平台 阻断
公安局
注册设备
未注册设备
—全国“一机两用”监测系统构架和功能—功能
公安信息网
监控平台
病毒检测
一机两用
互联网
病毒信息 定位汇总
病毒检测定 位：搜索网络注 册客户端系统是 否有病毒、木马 等运行进程，并 能够定位病毒源 计算机。
病毒制造者
长时间未使用设备：超过180天未使用的设备
IP重复设备
MAC重复设备
IP/MAC 绑定
支队前期已经安装了TSM管理系统，对上公安 计算机网络的微机进行IP、MAC地址绑定，可以消 除绑定的微机使用公安计算机网络的问题。（无 法消除公安网微机接入互联网的隐患）
设备接入管理的IP、MAC绑定列表 策略管理中心安全策略中的IP、MAC绑定策略
全国“一机两用”监测系统构架和功能 “一机两用” 全国监测系统构架：
在部、省、市（地）三级信息中心建立“一机两用” 监测 系统，对所有联入公安信息网计算机设备的“一机两用”行为 进行实时监控和阻断，强化对全国公安信息网边界的监控。
公安部监控平台（国家级）
公安厅监控平台（省级）
公安局监控平台（市级）
2. 受编程人员的能力、经验和当时安全技术所限，在程序中难
免会有不足之处，轻则影响程序效率，重则导致非授权用户
的权限提升；
3. 由于硬件原因，使编程人员无法弥补硬件的漏洞，从而使硬
件的问题通过软件表现。
系统漏洞的危害？
1.漏洞可能会导致网内计算机被轻易入侵，造
成重要机密文件泄密。
2.漏洞可能会导致网络攻击型病毒在内网迅速
案例三：2007年12月26日，山东省潍坊市公安局寒亭分局因 分局警务保障科与区财政局联网的集中支付专用电脑主机损坏， 警务保障科官兵张振强取用连接过互联网的旧主机直接在公安网 上测试网络，导致“一机两用”事故，后被检测到后阻断网络。
案例四： 2007年12月3日，新疆昌吉州奇台县公安局官兵 将开通GPRS的手机连入电脑，使用手机软件时联入互联网查找 资料。 （给我们的教训：严禁将手机连接公用计算机）