公安內(nèi)網(wǎng)應(yīng)用審計(jì)系統(tǒng)的設(shè)計(jì)

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了公安內(nèi)網(wǎng)應(yīng)用審計(jì)系統(tǒng)的設(shè)計(jì)范文，希望能給你帶來靈感和參考，敬請(qǐng)閱讀。

摘要：通過建設(shè)公安網(wǎng)應(yīng)用審計(jì)系統(tǒng)，無須對(duì)現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行改造，以審計(jì)現(xiàn)有的業(yè)務(wù)系統(tǒng)為核心，以應(yīng)用系統(tǒng)的使用過程、系統(tǒng)日志為數(shù)據(jù)來源，通過綜合的數(shù)據(jù)分析識(shí)別入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用等行為，記錄應(yīng)用系統(tǒng)使用全過程，并且在事故發(fā)生后快速定位和取證。系統(tǒng)實(shí)現(xiàn)對(duì)公安網(wǎng)重要應(yīng)用系統(tǒng)的全面安全審計(jì)和精細(xì)化監(jiān)管，有助于安全管理人員及時(shí)發(fā)現(xiàn)外在的入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用，一旦發(fā)生安全事故后，能快速追蹤定位和取證，從而確保整個(gè)安全體系的完備性、合理性和可用性。

【關(guān)鍵詞】應(yīng)用系統(tǒng)；內(nèi)網(wǎng)；審計(jì)；取證

1公安網(wǎng)應(yīng)用系統(tǒng)安全現(xiàn)狀分析

在公安網(wǎng)中，信息資源大整合、高共享的發(fā)展趨勢(shì)加大了應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)。通過調(diào)研，主要發(fā)現(xiàn)以下幾個(gè)現(xiàn)狀：（1）信息泄露事件發(fā)生的主要原因在于內(nèi)部工作人員的違規(guī)操作，通過數(shù)據(jù)剽竊、越權(quán)訪問、拍照傳輸?shù)韧緩将@取內(nèi)部業(yè)務(wù)數(shù)據(jù)，造成了數(shù)據(jù)的泄露。（2）公安網(wǎng)部分重要應(yīng)用系統(tǒng)存儲(chǔ)有大量公民個(gè)人信息、業(yè)務(wù)敏感信息和警務(wù)工作秘密。這些系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用架構(gòu)、開發(fā)語言、數(shù)據(jù)存儲(chǔ)等方面都不盡相同，是一個(gè)典型的異構(gòu)環(huán)境，采用哪些方式對(duì)這些應(yīng)用系統(tǒng)實(shí)施有效的安全審計(jì)和監(jiān)測(cè)，是需要重點(diǎn)研究和考慮的。（3）業(yè)務(wù)系統(tǒng)存在遭受入侵攻擊，損失重要的數(shù)據(jù)后，卻沒有相應(yīng)的記錄和防范的風(fēng)險(xiǎn)。（4）業(yè)務(wù)系統(tǒng)中往往記錄的訪問者只是一個(gè)IP和系統(tǒng)自身的用戶信息，缺乏同警員PKI信息的聯(lián)動(dòng)，無法把審計(jì)結(jié)果落實(shí)到具體人員。經(jīng)過金盾工程一期、二期的建設(shè)，公安信息通信網(wǎng)已經(jīng)基本構(gòu)建了較為完善的安全保障體系，但尚未形成全程全網(wǎng)的綜合安全審計(jì)能力。在公安網(wǎng)內(nèi)，對(duì)重要應(yīng)用系統(tǒng)的安全審計(jì)目前主要采用兩種方式：第一種方式是改造各應(yīng)用系統(tǒng)，完善/增強(qiáng)其審計(jì)模塊。采用這種方式，存在建設(shè)周期長和審計(jì)信息不完整兩個(gè)缺陷。第二種方式是部署專用網(wǎng)關(guān)級(jí)審計(jì)設(shè)備。采用這種方式，存在的缺陷是：審計(jì)信息不完整和難以獲取應(yīng)用者真實(shí)身份信息。通過審計(jì)網(wǎng)關(guān)僅僅只能記錄應(yīng)用者的IP地址，其真實(shí)身份信息（如警員姓名、編號(hào)、身份證號(hào)碼等）無法審計(jì)。因此，構(gòu)建公安信息網(wǎng)終端用戶行為審計(jì)與數(shù)據(jù)分析系統(tǒng)有如下必要性：（1）是貫徹落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)等國家政策和技術(shù)標(biāo)準(zhǔn)的必然要求。（2）是保障公安重要業(yè)務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行的必然要求。（3）是保障公安信息通信網(wǎng)敏感數(shù)據(jù)安全的必然要求。監(jiān)測(cè)公安網(wǎng)人口數(shù)據(jù)等敏感信息的查詢、下載等行為，保障數(shù)據(jù)的合法使用，防止數(shù)據(jù)濫用，比如個(gè)人隱私信息泄露。（4）是查處公安信息通信網(wǎng)網(wǎng)絡(luò)違規(guī)行為的必然要求。規(guī)范化的網(wǎng)絡(luò)違規(guī)行為查處，需要合法、完整的記錄網(wǎng)絡(luò)訪問行為。（5）是突破安全孤島形成綜合安全運(yùn)行與管控能力的必然要求。通過采集公安信息網(wǎng)終端用戶對(duì)各類應(yīng)用系統(tǒng)訪問的日志和報(bào)警信息，進(jìn)行歸一化處理和關(guān)聯(lián)分析，才能更加全面、及時(shí)、準(zhǔn)確的發(fā)現(xiàn)入侵和違規(guī)行為，才能提供更加詳實(shí)的事后追查線索和證據(jù)。（6）是實(shí)現(xiàn)公安信息通信網(wǎng)安全風(fēng)險(xiǎn)管控的基礎(chǔ)，可提供輔助決策，改進(jìn)安全管理。

2公安網(wǎng)應(yīng)用系統(tǒng)解決方案

安全審計(jì)是信息系統(tǒng)安全保障工作的重要一環(huán)，針對(duì)當(dāng)前公安網(wǎng)內(nèi)存在的內(nèi)部工作人員干私活、業(yè)務(wù)信息泄露、業(yè)務(wù)系統(tǒng)越權(quán)訪問等違規(guī)案事件，可通過對(duì)應(yīng)用系統(tǒng)訪問行為的審計(jì)、監(jiān)測(cè)、分析等方法，幫助安全管理員及時(shí)發(fā)現(xiàn)對(duì)公安應(yīng)用系統(tǒng)的異常、違規(guī)甚至違法的訪問行為，并且在一旦發(fā)生安全事故后，能快速追蹤定位和取證，從而進(jìn)一步保障公安業(yè)務(wù)數(shù)據(jù)的安全。公安網(wǎng)應(yīng)用審計(jì)系統(tǒng)是保障公安網(wǎng)數(shù)據(jù)安全的重要方式，系統(tǒng)以海量、詳細(xì)的應(yīng)用行為監(jiān)測(cè)數(shù)據(jù)作為基礎(chǔ)，結(jié)合通信深度分析、人機(jī)行為判定、上下文語義解析等安全技術(shù)，實(shí)現(xiàn)對(duì)公安網(wǎng)主要應(yīng)用行為的統(tǒng)一、綜合、智能化安全審計(jì)和監(jiān)管。

3系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

系統(tǒng)以審計(jì)現(xiàn)有的業(yè)務(wù)系統(tǒng)為核心，以應(yīng)用系統(tǒng)的使用過程、系統(tǒng)日志為數(shù)據(jù)來源，通過綜合的數(shù)據(jù)分析識(shí)別入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用等行為，記錄應(yīng)用系統(tǒng)使用全過程，并且在事故發(fā)生后快速定位和取證。從功能上來分可以分為三個(gè)層次：數(shù)據(jù)采集層：為系統(tǒng)提供基礎(chǔ)數(shù)據(jù)來源，以期對(duì)上層數(shù)據(jù)分析中對(duì)于整個(gè)數(shù)據(jù)流轉(zhuǎn)的支持。通過各種數(shù)據(jù)采集手段，采集用戶業(yè)務(wù)和上層數(shù)據(jù)處理需要的基礎(chǔ)數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析層：數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析層是系統(tǒng)最核心的功能。采用大數(shù)據(jù)方式實(shí)現(xiàn)大量審計(jì)數(shù)據(jù)的存儲(chǔ)和分析。審計(jì)日志的存儲(chǔ)和分析的框架采用的是ApacheHadoop。一個(gè)能夠讓用戶輕松架構(gòu)和使用的分布式計(jì)算平臺(tái)?？梢暂p松地在其上開發(fā)和運(yùn)行處理海量數(shù)據(jù)的應(yīng)用程序。其按位存儲(chǔ)和處理數(shù)據(jù)的能力，計(jì)算分配在集群上，通過擴(kuò)展集群中計(jì)算機(jī)數(shù)來擴(kuò)展計(jì)算能力；能夠在節(jié)點(diǎn)間動(dòng)態(tài)的移動(dòng)數(shù)據(jù)，保證節(jié)點(diǎn)的餓動(dòng)態(tài)平衡；自動(dòng)保存數(shù)據(jù)的多個(gè)副本，并能自動(dòng)重新分配失敗任務(wù)等特性使得其具有高可靠性、高可擴(kuò)展性、高可用性、高性能、高容錯(cuò)性以及低成本的優(yōu)點(diǎn)。用戶交互層：在用戶交換層，除了提供基礎(chǔ)的對(duì)于核心處理的審計(jì)日志的查詢外，還提供工具支持用戶對(duì)審計(jì)進(jìn)行人工的分析挖掘。

4系統(tǒng)功能描述

4.1工作臺(tái)

將用戶在系統(tǒng)上需要待辦的任務(wù)推薦給用戶。包括：對(duì)推薦應(yīng)用系統(tǒng)的注冊(cè)管理和審計(jì)配置；對(duì)應(yīng)用系統(tǒng)中未命名應(yīng)用的注冊(cè)等。將應(yīng)用系統(tǒng)進(jìn)行推薦注冊(cè)，對(duì)推薦應(yīng)用系統(tǒng)的注冊(cè)管理和審計(jì)配置，對(duì)應(yīng)用系統(tǒng)中未命名的應(yīng)用進(jìn)行注冊(cè)。

4.2應(yīng)用注冊(cè)管理

應(yīng)用系統(tǒng)作為待審計(jì)的目標(biāo)對(duì)象，系統(tǒng)提供對(duì)應(yīng)用系統(tǒng)的細(xì)致管理。除了支持用戶手動(dòng)添加、導(dǎo)入應(yīng)用系統(tǒng)列表外，支持應(yīng)用系統(tǒng)的自動(dòng)發(fā)現(xiàn)和注冊(cè)管理。

4.3應(yīng)用審計(jì)

提供對(duì)審計(jì)日志查詢和統(tǒng)計(jì)分析，管理員可基于此進(jìn)行審計(jì)日志的分析。

4.4應(yīng)用告警

配置告警策略，在進(jìn)行審計(jì)的同時(shí)會(huì)根據(jù)告警策略對(duì)滿足告警規(guī)則的某些特征產(chǎn)生告警。

4.5統(tǒng)計(jì)分析

分別以訪問時(shí)間、被訪問的應(yīng)用系統(tǒng)、訪問源終端、訪問的關(guān)鍵內(nèi)容為主要維度，提供統(tǒng)計(jì)總覽、統(tǒng)計(jì)趨勢(shì)、訪問排名、統(tǒng)計(jì)列表集中統(tǒng)計(jì)方式。并對(duì)應(yīng)用系統(tǒng)訪問行為、應(yīng)用異常行為進(jìn)行深度挖掘分析。

4.6配置管理

對(duì)系統(tǒng)的基礎(chǔ)信息進(jìn)行配置管理，包括應(yīng)用系統(tǒng)白名單配置、審計(jì)策略配置、用戶權(quán)限管理、系統(tǒng)類型字典的查看等。

5系統(tǒng)效能

（1）實(shí)現(xiàn)對(duì)主要應(yīng)用系統(tǒng)數(shù)據(jù)應(yīng)用安全的綜合監(jiān)管，而不依賴于各應(yīng)用系統(tǒng)自身的審計(jì)日志。系統(tǒng)實(shí)現(xiàn)對(duì)公安信息網(wǎng)內(nèi)重要應(yīng)用系統(tǒng)，如綜合查詢系統(tǒng)、情報(bào)信息綜合應(yīng)用平臺(tái)、人口信息系統(tǒng)、出入境人員/證件信息系統(tǒng)、機(jī)動(dòng)車/駕駛?cè)诵畔⑾到y(tǒng)等的有效安全審計(jì)和監(jiān)測(cè)，不需要這些系統(tǒng)開放日志接口即可實(shí)施細(xì)致化、智能化的應(yīng)用安全審計(jì)、監(jiān)測(cè)和管理。（2）實(shí)現(xiàn)與公安PKI/PMI數(shù)字證書有機(jī)融合。將數(shù)據(jù)應(yīng)用行為直接定位到人，而不僅僅只是訪問者的計(jì)算機(jī)網(wǎng)絡(luò)地址。（3）實(shí)現(xiàn)與現(xiàn)有“公安信息網(wǎng)安全管理平臺(tái)”安全監(jiān)管流程的無縫對(duì)接。實(shí)現(xiàn)非法數(shù)據(jù)訪問、違規(guī)數(shù)據(jù)竊取等行為的第一時(shí)間發(fā)現(xiàn)，并納入到安全管理平臺(tái)的統(tǒng)一監(jiān)管流程中，實(shí)現(xiàn)應(yīng)急響應(yīng)。（4）實(shí)現(xiàn)對(duì)應(yīng)用系統(tǒng)、網(wǎng)站站點(diǎn)、模塊、欄目關(guān)聯(lián)分析功能，提供直觀易讀的數(shù)據(jù)應(yīng)用描述。數(shù)據(jù)應(yīng)用安全監(jiān)測(cè)的結(jié)果不僅僅只是冗長的URL地址，還包括應(yīng)用系統(tǒng)名稱和所訪問的各模塊、子欄目，以及各應(yīng)用系統(tǒng)的關(guān)鍵數(shù)據(jù)點(diǎn)等。（5）提供對(duì)海量數(shù)據(jù)應(yīng)用安全的統(tǒng)計(jì)分析數(shù)據(jù)，為安全管理者提供進(jìn)一步優(yōu)化、調(diào)整、提升各應(yīng)用系統(tǒng)的安全性能的有利依據(jù)?？傮w來說：一方面，準(zhǔn)確識(shí)別公安網(wǎng)內(nèi)每一個(gè)應(yīng)用行為的5個(gè)’W’——誰(WHO)，在什么時(shí)間（WHEN），訪問過什么業(yè)務(wù)系統(tǒng)（WHATsystem），獲取過什么數(shù)據(jù)（WHATdata），采用何種方式處理過這些數(shù)據(jù)（WHATway）；另一方面，要實(shí)現(xiàn)對(duì)異常應(yīng)用行為的有效處置和應(yīng)急響應(yīng)。

參考文獻(xiàn)

[1]王薇.內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011(11):68-69.

[2]劉汝焯.審計(jì)數(shù)據(jù)采集與分析技術(shù)[M].北京:中國審計(jì)出版社,2001.

[3]葉代亮.內(nèi)網(wǎng)的安全管理[J].計(jì)算機(jī)安全,2005(12):22

作者:劉雪峰 張維 單位:寧波市公安局