公安內網應用審計系統(tǒng)的設計

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了公安內網應用審計系統(tǒng)的設計范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：通過建設公安網應用審計系統(tǒng)，無須對現(xiàn)有的應用系統(tǒng)進行改造，以審計現(xiàn)有的業(yè)務系統(tǒng)為核心，以應用系統(tǒng)的使用過程、系統(tǒng)日志為數(shù)據來源，通過綜合的數(shù)據分析識別入侵攻擊、越權訪問、數(shù)據濫用等行為，記錄應用系統(tǒng)使用全過程，并且在事故發(fā)生后快速定位和取證。系統(tǒng)實現(xiàn)對公安網重要應用系統(tǒng)的全面安全審計和精細化監(jiān)管，有助于安全管理人員及時發(fā)現(xiàn)外在的入侵攻擊、越權訪問、數(shù)據濫用，一旦發(fā)生安全事故后，能快速追蹤定位和取證，從而確保整個安全體系的完備性、合理性和可用性。

【關鍵詞】應用系統(tǒng)；內網；審計；取證

1公安網應用系統(tǒng)安全現(xiàn)狀分析

在公安網中，信息資源大整合、高共享的發(fā)展趨勢加大了應用系統(tǒng)的安全風險。通過調研，主要發(fā)現(xiàn)以下幾個現(xiàn)狀：（1）信息泄露事件發(fā)生的主要原因在于內部工作人員的違規(guī)操作，通過數(shù)據剽竊、越權訪問、拍照傳輸?shù)韧緩将@取內部業(yè)務數(shù)據，造成了數(shù)據的泄露。（2）公安網部分重要應用系統(tǒng)存儲有大量公民個人信息、業(yè)務敏感信息和警務工作秘密。這些系統(tǒng)在網絡結構、應用架構、開發(fā)語言、數(shù)據存儲等方面都不盡相同，是一個典型的異構環(huán)境，采用哪些方式對這些應用系統(tǒng)實施有效的安全審計和監(jiān)測，是需要重點研究和考慮的。（3）業(yè)務系統(tǒng)存在遭受入侵攻擊，損失重要的數(shù)據后，卻沒有相應的記錄和防范的風險。（4）業(yè)務系統(tǒng)中往往記錄的訪問者只是一個IP和系統(tǒng)自身的用戶信息，缺乏同警員PKI信息的聯(lián)動，無法把審計結果落實到具體人員。經過金盾工程一期、二期的建設，公安信息通信網已經基本構建了較為完善的安全保障體系，但尚未形成全程全網的綜合安全審計能力。在公安網內，對重要應用系統(tǒng)的安全審計目前主要采用兩種方式：第一種方式是改造各應用系統(tǒng)，完善/增強其審計模塊。采用這種方式，存在建設周期長和審計信息不完整兩個缺陷。第二種方式是部署專用網關級審計設備。采用這種方式，存在的缺陷是：審計信息不完整和難以獲取應用者真實身份信息。通過審計網關僅僅只能記錄應用者的IP地址，其真實身份信息（如警員姓名、編號、身份證號碼等）無法審計。因此，構建公安信息網終端用戶行為審計與數(shù)據分析系統(tǒng)有如下必要性：（1）是貫徹落實信息系統(tǒng)安全等級保護等國家政策和技術標準的必然要求。（2）是保障公安重要業(yè)務信息系統(tǒng)安全穩(wěn)定運行的必然要求。（3）是保障公安信息通信網敏感數(shù)據安全的必然要求。監(jiān)測公安網人口數(shù)據等敏感信息的查詢、下載等行為，保障數(shù)據的合法使用，防止數(shù)據濫用，比如個人隱私信息泄露。（4）是查處公安信息通信網網絡違規(guī)行為的必然要求。規(guī)范化的網絡違規(guī)行為查處，需要合法、完整的記錄網絡訪問行為。（5）是突破安全孤島形成綜合安全運行與管控能力的必然要求。通過采集公安信息網終端用戶對各類應用系統(tǒng)訪問的日志和報警信息，進行歸一化處理和關聯(lián)分析，才能更加全面、及時、準確的發(fā)現(xiàn)入侵和違規(guī)行為，才能提供更加詳實的事后追查線索和證據。（6）是實現(xiàn)公安信息通信網安全風險管控的基礎，可提供輔助決策，改進安全管理。

2公安網應用系統(tǒng)解決方案

安全審計是信息系統(tǒng)安全保障工作的重要一環(huán)，針對當前公安網內存在的內部工作人員干私活、業(yè)務信息泄露、業(yè)務系統(tǒng)越權訪問等違規(guī)案事件，可通過對應用系統(tǒng)訪問行為的審計、監(jiān)測、分析等方法，幫助安全管理員及時發(fā)現(xiàn)對公安應用系統(tǒng)的異常、違規(guī)甚至違法的訪問行為，并且在一旦發(fā)生安全事故后，能快速追蹤定位和取證，從而進一步保障公安業(yè)務數(shù)據的安全。公安網應用審計系統(tǒng)是保障公安網數(shù)據安全的重要方式，系統(tǒng)以海量、詳細的應用行為監(jiān)測數(shù)據作為基礎，結合通信深度分析、人機行為判定、上下文語義解析等安全技術，實現(xiàn)對公安網主要應用行為的統(tǒng)一、綜合、智能化安全審計和監(jiān)管。

3系統(tǒng)的設計與實現(xiàn)

系統(tǒng)以審計現(xiàn)有的業(yè)務系統(tǒng)為核心，以應用系統(tǒng)的使用過程、系統(tǒng)日志為數(shù)據來源，通過綜合的數(shù)據分析識別入侵攻擊、越權訪問、數(shù)據濫用等行為，記錄應用系統(tǒng)使用全過程，并且在事故發(fā)生后快速定位和取證。從功能上來分可以分為三個層次：數(shù)據采集層：為系統(tǒng)提供基礎數(shù)據來源，以期對上層數(shù)據分析中對于整個數(shù)據流轉的支持。通過各種數(shù)據采集手段，采集用戶業(yè)務和上層數(shù)據處理需要的基礎數(shù)據。數(shù)據存儲和數(shù)據分析層：數(shù)據存儲和數(shù)據分析層是系統(tǒng)最核心的功能。采用大數(shù)據方式實現(xiàn)大量審計數(shù)據的存儲和分析。審計日志的存儲和分析的框架采用的是ApacheHadoop。一個能夠讓用戶輕松架構和使用的分布式計算平臺。可以輕松地在其上開發(fā)和運行處理海量數(shù)據的應用程序。其按位存儲和處理數(shù)據的能力，計算分配在集群上，通過擴展集群中計算機數(shù)來擴展計算能力；能夠在節(jié)點間動態(tài)的移動數(shù)據，保證節(jié)點的餓動態(tài)平衡；自動保存數(shù)據的多個副本，并能自動重新分配失敗任務等特性使得其具有高可靠性、高可擴展性、高可用性、高性能、高容錯性以及低成本的優(yōu)點。用戶交互層：在用戶交換層，除了提供基礎的對于核心處理的審計日志的查詢外，還提供工具支持用戶對審計進行人工的分析挖掘。

4系統(tǒng)功能描述

4.1工作臺

將用戶在系統(tǒng)上需要待辦的任務推薦給用戶。包括：對推薦應用系統(tǒng)的注冊管理和審計配置；對應用系統(tǒng)中未命名應用的注冊等。將應用系統(tǒng)進行推薦注冊，對推薦應用系統(tǒng)的注冊管理和審計配置，對應用系統(tǒng)中未命名的應用進行注冊。

4.2應用注冊管理

應用系統(tǒng)作為待審計的目標對象，系統(tǒng)提供對應用系統(tǒng)的細致管理。除了支持用戶手動添加、導入應用系統(tǒng)列表外，支持應用系統(tǒng)的自動發(fā)現(xiàn)和注冊管理。

4.3應用審計

提供對審計日志查詢和統(tǒng)計分析，管理員可基于此進行審計日志的分析。

4.4應用告警

配置告警策略，在進行審計的同時會根據告警策略對滿足告警規(guī)則的某些特征產生告警。

4.5統(tǒng)計分析

分別以訪問時間、被訪問的應用系統(tǒng)、訪問源終端、訪問的關鍵內容為主要維度，提供統(tǒng)計總覽、統(tǒng)計趨勢、訪問排名、統(tǒng)計列表集中統(tǒng)計方式。并對應用系統(tǒng)訪問行為、應用異常行為進行深度挖掘分析。

4.6配置管理

對系統(tǒng)的基礎信息進行配置管理，包括應用系統(tǒng)白名單配置、審計策略配置、用戶權限管理、系統(tǒng)類型字典的查看等。

5系統(tǒng)效能

（1）實現(xiàn)對主要應用系統(tǒng)數(shù)據應用安全的綜合監(jiān)管，而不依賴于各應用系統(tǒng)自身的審計日志。系統(tǒng)實現(xiàn)對公安信息網內重要應用系統(tǒng)，如綜合查詢系統(tǒng)、情報信息綜合應用平臺、人口信息系統(tǒng)、出入境人員/證件信息系統(tǒng)、機動車/駕駛人信息系統(tǒng)等的有效安全審計和監(jiān)測，不需要這些系統(tǒng)開放日志接口即可實施細致化、智能化的應用安全審計、監(jiān)測和管理。（2）實現(xiàn)與公安PKI/PMI數(shù)字證書有機融合。將數(shù)據應用行為直接定位到人，而不僅僅只是訪問者的計算機網絡地址。（3）實現(xiàn)與現(xiàn)有“公安信息網安全管理平臺”安全監(jiān)管流程的無縫對接。實現(xiàn)非法數(shù)據訪問、違規(guī)數(shù)據竊取等行為的第一時間發(fā)現(xiàn)，并納入到安全管理平臺的統(tǒng)一監(jiān)管流程中，實現(xiàn)應急響應。（4）實現(xiàn)對應用系統(tǒng)、網站站點、模塊、欄目關聯(lián)分析功能，提供直觀易讀的數(shù)據應用描述。數(shù)據應用安全監(jiān)測的結果不僅僅只是冗長的URL地址，還包括應用系統(tǒng)名稱和所訪問的各模塊、子欄目，以及各應用系統(tǒng)的關鍵數(shù)據點等。（5）提供對海量數(shù)據應用安全的統(tǒng)計分析數(shù)據，為安全管理者提供進一步優(yōu)化、調整、提升各應用系統(tǒng)的安全性能的有利依據。總體來說：一方面，準確識別公安網內每一個應用行為的5個’W’——誰(WHO)，在什么時間（WHEN），訪問過什么業(yè)務系統(tǒng)（WHATsystem），獲取過什么數(shù)據（WHATdata），采用何種方式處理過這些數(shù)據（WHATway）；另一方面，要實現(xiàn)對異常應用行為的有效處置和應急響應。

參考文獻

[1]王薇.內部網絡安全管理系統(tǒng)分析[J].計算機光盤軟件與應用,2011(11):68-69.

[2]劉汝焯.審計數(shù)據采集與分析技術[M].北京:中國審計出版社,2001.

[3]葉代亮.內網的安全管理[J].計算機安全,2005(12):22

作者:劉雪峰 張維 單位:寧波市公安局