劉雪峰 張維

摘要

通過建設公安網(wǎng)應用審計系統(tǒng)，無須對現(xiàn)有的應用系統(tǒng)進行改造，以審計現(xiàn)有的業(yè)務系統(tǒng)為核心，以應用系統(tǒng)的使用過程、系統(tǒng)日志為數(shù)據(jù)來源，通過綜合的數(shù)據(jù)分析識別入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用等行為，記錄應用系統(tǒng)使用全過程，并且在事故發(fā)生后快速定位和取證。系統(tǒng)實現(xiàn)對公安網(wǎng)重要應用系統(tǒng)的全面安全審計和精細化監(jiān)管，有助于安全管理人員及時發(fā)現(xiàn)外在的入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用，一旦發(fā)生安全事故后，能快速追蹤定位和取證，從而確保整個安全體系的完備性、合理性和可用性。

【關鍵詞】應用系統(tǒng) 內(nèi)網(wǎng) 審計 取證

1 公安網(wǎng)應用系統(tǒng)安全現(xiàn)狀分析

在公安網(wǎng)中，信息資源大整合、高共享的發(fā)展趨勢加大了應用系統(tǒng)的安全風險。通過調(diào)研，主要發(fā)現(xiàn)以下幾個現(xiàn)狀：

（1）信息泄露事件發(fā)生的主要原因在于內(nèi)部工作人員的違規(guī)操作，通過數(shù)據(jù)剽竊、越權(quán)訪問、拍照傳輸?shù)韧緩将@取內(nèi)部業(yè)務數(shù)據(jù)，造成了數(shù)據(jù)的泄露。

（2）公安網(wǎng)部分重要應用系統(tǒng)存儲有大量公民個人信息、業(yè)務敏感信息和警務工作秘密。這些系統(tǒng)在網(wǎng)絡結(jié)構(gòu)、應用架構(gòu)、開發(fā)語言、數(shù)據(jù)存儲等方面都不盡相同，是一個典型的異構(gòu)環(huán)境，采用哪些方式對這些應用系統(tǒng)實施有效的安全審計和監(jiān)測，是需要重點研究和考慮的。

（3）業(yè)務系統(tǒng)存在遭受入侵攻擊，損失重要的數(shù)據(jù)后，卻沒有相應的記錄和防范的風險。

（4）業(yè)務系統(tǒng)中往往記錄的訪問者只是一個IP和系統(tǒng)自身的用戶信息，缺乏同警員PKI信息的聯(lián)動，無法把審計結(jié)果落實到具體人員。

經(jīng)過金盾工程一期、二期的建設，公安信息通信網(wǎng)已經(jīng)基本構(gòu)建了較為完善的安全保障體系，但尚未形成全程全網(wǎng)的綜合安全審計能力。在公安網(wǎng)內(nèi)，對重要應用系統(tǒng)的安全審計目前主要采用兩種方式：第一種方式是改造各應用系統(tǒng)，完善/增強其審計模塊。采用這種方式，存在建設周期長和審計信息不完整兩個缺陷。第二種方式是部署專用網(wǎng)關級審計設備。采用這種方式，存在的缺陷是：審計信息不完整和難以獲取應用者真實身份信息。通過審計網(wǎng)關僅僅只能記錄應用者的IP地址，其真實身份信息（如警員姓名、編號、身份證號碼等）無法審計。

因此，構(gòu)建公安信息網(wǎng)終端用戶行為審計與數(shù)據(jù)分析系統(tǒng)有如下必要性：

（1）是貫徹落實信息系統(tǒng)安全等級保護等國家政策和技術(shù)標準的必然要求。

（2）是保障公安重要業(yè)務信息系統(tǒng)安全穩(wěn)定運行的必然要求。

（3）是保障公安信息通信網(wǎng)敏感數(shù)據(jù)安全的必然要求。監(jiān)測公安網(wǎng)人口數(shù)據(jù)等敏感信息的查詢、下載等行為，保障數(shù)據(jù)的合法使用，防止數(shù)據(jù)濫用，比如個人隱私信息泄露。

（4）是查處公安信息通信網(wǎng)網(wǎng)絡違規(guī)行為的必然要求。規(guī)范化的網(wǎng)絡違規(guī)行為查處，需要合法、完整的記錄網(wǎng)絡訪問行為。

（5）是突破安全孤島形成綜合安全運行與管控能力的必然要求。通過采集公安信息網(wǎng)終端用戶對各類應用系統(tǒng)訪問的日志和報警信息，進行歸一化處理和關聯(lián)分析，才能更加全面、及時、準確的發(fā)現(xiàn)入侵和違規(guī)行為，才能提供更加詳實的事后追查線索和證據(jù)。

（6）是實現(xiàn)公安信息通信網(wǎng)安全風險管控的基礎，可提供輔助決策，改進安全管理

2 公安網(wǎng)應用系統(tǒng)解決方案

安全審計是信息系統(tǒng)安全保障工作的重要一環(huán)，針對當前公安網(wǎng)內(nèi)存在的內(nèi)部工作人員干私活、業(yè)務信息泄露、業(yè)務系統(tǒng)越權(quán)訪問等違規(guī)案事件，可通過對應用系統(tǒng)訪問行為的審計、監(jiān)測、分析等方法，幫助安全管理員及時發(fā)現(xiàn)對公安應用系統(tǒng)的異常、違規(guī)甚至違法的訪問行為，并且在一旦發(fā)生安全事故后，能快速追蹤定位和取證，從而進一步保障公安業(yè)務數(shù)據(jù)的安全。

公安網(wǎng)應用審計系統(tǒng)是保障公安網(wǎng)數(shù)據(jù)安全的重要方式，系統(tǒng)以海量、詳細的應用行為監(jiān)測數(shù)據(jù)作為基礎，結(jié)合通信深度分析、人機行為判定、上下文語義解析等安全技術(shù)，實現(xiàn)對公安網(wǎng)主要應用行為的統(tǒng)一、綜合、智能化安全審計和監(jiān)管。

3 系統(tǒng)的設計與實現(xiàn)

如圖1所示，系統(tǒng)以審計現(xiàn)有的業(yè)務系統(tǒng)為核心，以應用系統(tǒng)的使用過程、系統(tǒng)日志為數(shù)據(jù)來源，通過綜合的數(shù)據(jù)分析識別入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用等行為，記錄應用系統(tǒng)使用全過程，并且在事故發(fā)生后快速定位和取證。從功能上來分可以分為三個層次：

數(shù)據(jù)采集層：為系統(tǒng)提供基礎數(shù)據(jù)來源，以期對上層數(shù)據(jù)分析中對于整個數(shù)據(jù)流轉(zhuǎn)的支持。通過各種數(shù)據(jù)采集手段，采集用戶業(yè)務和上層數(shù)據(jù)處理需要的基礎數(shù)據(jù)。

數(shù)據(jù)存儲和數(shù)據(jù)分析層：數(shù)據(jù)存儲和數(shù)據(jù)分析層是系統(tǒng)最核心的功能。采用大數(shù)據(jù)方式實現(xiàn)大量審計數(shù)據(jù)的存儲和分析。審計日志的存儲和分析的框架采用的是Apache Hadoopo一個能夠讓用戶輕松架構(gòu)和使用的分布式計算平臺。可以輕松地在其上開發(fā)和運行處理海量數(shù)據(jù)的應用程序。其按位存儲和處理數(shù)據(jù)的能力，計算分配在集群上，通過擴展集群中計算機數(shù)來擴展計算能力;能夠在節(jié)點間動態(tài)的移動數(shù)據(jù)，保證節(jié)點的餓動態(tài)平衡;自動保存數(shù)據(jù)的多個副本，并能自動重新分配失敗任務等特性使得其具有高可靠性、高可擴展性、高可用性、高性能、高容錯性以及低成本的優(yōu)點。

用戶交互層：在用戶交換層，除了提供基礎的對于核心處理的審計日志的查詢外，還提供工具支持用戶對審計進行人工的分析挖掘。

4 系統(tǒng)功能描述

4.1 工作臺

將用戶在系統(tǒng)上需要待辦的任務推薦給用戶。包括：對推薦應用系統(tǒng)的注冊管理和審計配置;對應用系統(tǒng)中未命名應用的注冊等。將應用系統(tǒng)進行推薦注冊，對推薦應用系統(tǒng)的注冊管理和審計配置，對應用系統(tǒng)中未命名的應用進行注冊。

4.2 應用注冊管理

應用系統(tǒng)作為待審計的目標對象，系統(tǒng)提供對應用系統(tǒng)的細致管理。除了支持用戶手動添加、導入應用系統(tǒng)列表外，支持應用系統(tǒng)的自動發(fā)現(xiàn)和注冊管理。

4.3 應用審計

提供對審計日志查詢和統(tǒng)計分析，管理員可基于此進行審計日志的分析。

4.4 應用告警

配置告警策略，在進行審計的同時會根據(jù)告警策略對滿足告警規(guī)則的某些特征產(chǎn)生告警。

4.5 統(tǒng)計分析

分別以訪問時間、被訪問的應用系統(tǒng)、訪問源終端、訪問的關鍵內(nèi)容為主要維度，提供統(tǒng)計總覽、統(tǒng)計趨勢、訪問排名、統(tǒng)計列表集中統(tǒng)計方式。并對應用系統(tǒng)訪問行為、應用異常行為進行深度挖掘分析。

4.6 配置管理

對系統(tǒng)的基礎信息進行配置管理，包括應用系統(tǒng)白名單配置、審計策略配置、用戶權(quán)限管理、系統(tǒng)類型字典的查看等。

5 系統(tǒng)效能

（1）實現(xiàn)對主要應用系統(tǒng)數(shù)據(jù)應用安全的綜合監(jiān)管，而不依賴于各應用系統(tǒng)自身的審計日志。系統(tǒng)實現(xiàn)對公安信息網(wǎng)內(nèi)重要應用系統(tǒng)，如綜合查詢系統(tǒng)、情報信息綜合應用平臺、人口信息系統(tǒng)、出入境人員/證件信息系統(tǒng)、機動車/駕駛?cè)诵畔⑾到y(tǒng)等的有效安全審計和監(jiān)測，不需要這些系統(tǒng)開放日志接口即可實施細致化、智能化的應用安全審計、監(jiān)測和管理。

（2）實現(xiàn)與公安PKI/PMI數(shù)字證書有機融合。將數(shù)據(jù)應用行為直接定位到人，而不僅僅只是訪問者的計算機網(wǎng)絡地址。

（3）實現(xiàn)與現(xiàn)有“公安信息網(wǎng)安全管理平臺”安全監(jiān)管流程的無縫對接。實現(xiàn)非法數(shù)據(jù)訪問、違規(guī)數(shù)據(jù)竊取等行為的第一時間發(fā)現(xiàn)，并納入到安全管理平臺的統(tǒng)一監(jiān)管流程中，實現(xiàn)應急響應。

（4）實現(xiàn)對應用系統(tǒng)、網(wǎng)站站點、模塊、欄目關聯(lián)分析功能，提供直觀易讀的數(shù)據(jù)應用描述。數(shù)據(jù)應用安全監(jiān)測的結(jié)果不僅僅只是冗長的URL地址，還包括應用系統(tǒng)名稱和所訪問的各模塊、子欄目，以及各應用系統(tǒng)的關鍵數(shù)據(jù)點等。

（5）提供對海量數(shù)據(jù)應用安全的統(tǒng)計分析數(shù)據(jù)，為安全管理者提供進一步優(yōu)化、調(diào)整、提升各應用系統(tǒng)的安全性能的有利依據(jù)。

總體來說：一方面，準確識別公安網(wǎng)內(nèi)每一個應用行為的5個W——誰（WHO），在什么時間（WHEN），訪問過什么業(yè)務系統(tǒng)（WHAT system），獲取過什么數(shù)據(jù)（WRAIdata），采用何種方式處理過這些數(shù)據(jù)（WHAIway）;另一方面，要實現(xiàn)對異常應用行為的有效處置和應急響應。

參考文獻

[1]王薇.內(nèi)部網(wǎng)絡安全管理系統(tǒng)分析[J].計算機光盤軟件與應用，2011（11）：68-69.

[2]劉汝焯.審計數(shù)據(jù)采集與分析技術(shù)[M].北京：中國審計出版社，2001.

[3]葉代亮.內(nèi)網(wǎng)的安全管理[J].計算機安全，2005（12）：22.