前言:想要寫出一篇引人入勝的文章?我們特意為您整理了公安內(nèi)網(wǎng)應(yīng)用審計(jì)系統(tǒng)的設(shè)計(jì)范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:通過建設(shè)公安網(wǎng)應(yīng)用審計(jì)系統(tǒng),無須對現(xiàn)有的應(yīng)用系統(tǒng)進(jìn)行改造,以審計(jì)現(xiàn)有的業(yè)務(wù)系統(tǒng)為核心,以應(yīng)用系統(tǒng)的使用過程、系統(tǒng)日志為數(shù)據(jù)來源,通過綜合的數(shù)據(jù)分析識(shí)別入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用等行為,記錄應(yīng)用系統(tǒng)使用全過程,并且在事故發(fā)生后快速定位和取證。系統(tǒng)實(shí)現(xiàn)對公安網(wǎng)重要應(yīng)用系統(tǒng)的全面安全審計(jì)和精細(xì)化監(jiān)管,有助于安全管理人員及時(shí)發(fā)現(xiàn)外在的入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用,一旦發(fā)生安全事故后,能快速追蹤定位和取證,從而確保整個(gè)安全體系的完備性、合理性和可用性。
【關(guān)鍵詞】應(yīng)用系統(tǒng);內(nèi)網(wǎng);審計(jì);取證
1公安網(wǎng)應(yīng)用系統(tǒng)安全現(xiàn)狀分析
在公安網(wǎng)中,信息資源大整合、高共享的發(fā)展趨勢加大了應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)。通過調(diào)研,主要發(fā)現(xiàn)以下幾個(gè)現(xiàn)狀:(1)信息泄露事件發(fā)生的主要原因在于內(nèi)部工作人員的違規(guī)操作,通過數(shù)據(jù)剽竊、越權(quán)訪問、拍照傳輸?shù)韧緩将@取內(nèi)部業(yè)務(wù)數(shù)據(jù),造成了數(shù)據(jù)的泄露。(2)公安網(wǎng)部分重要應(yīng)用系統(tǒng)存儲(chǔ)有大量公民個(gè)人信息、業(yè)務(wù)敏感信息和警務(wù)工作秘密。這些系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用架構(gòu)、開發(fā)語言、數(shù)據(jù)存儲(chǔ)等方面都不盡相同,是一個(gè)典型的異構(gòu)環(huán)境,采用哪些方式對這些應(yīng)用系統(tǒng)實(shí)施有效的安全審計(jì)和監(jiān)測,是需要重點(diǎn)研究和考慮的。(3)業(yè)務(wù)系統(tǒng)存在遭受入侵攻擊,損失重要的數(shù)據(jù)后,卻沒有相應(yīng)的記錄和防范的風(fēng)險(xiǎn)。(4)業(yè)務(wù)系統(tǒng)中往往記錄的訪問者只是一個(gè)IP和系統(tǒng)自身的用戶信息,缺乏同警員PKI信息的聯(lián)動(dòng),無法把審計(jì)結(jié)果落實(shí)到具體人員。經(jīng)過金盾工程一期、二期的建設(shè),公安信息通信網(wǎng)已經(jīng)基本構(gòu)建了較為完善的安全保障體系,但尚未形成全程全網(wǎng)的綜合安全審計(jì)能力。在公安網(wǎng)內(nèi),對重要應(yīng)用系統(tǒng)的安全審計(jì)目前主要采用兩種方式:第一種方式是改造各應(yīng)用系統(tǒng),完善/增強(qiáng)其審計(jì)模塊。采用這種方式,存在建設(shè)周期長和審計(jì)信息不完整兩個(gè)缺陷。第二種方式是部署專用網(wǎng)關(guān)級(jí)審計(jì)設(shè)備。采用這種方式,存在的缺陷是:審計(jì)信息不完整和難以獲取應(yīng)用者真實(shí)身份信息。通過審計(jì)網(wǎng)關(guān)僅僅只能記錄應(yīng)用者的IP地址,其真實(shí)身份信息(如警員姓名、編號(hào)、身份證號(hào)碼等)無法審計(jì)。因此,構(gòu)建公安信息網(wǎng)終端用戶行為審計(jì)與數(shù)據(jù)分析系統(tǒng)有如下必要性:(1)是貫徹落實(shí)信息系統(tǒng)安全等級(jí)保護(hù)等國家政策和技術(shù)標(biāo)準(zhǔn)的必然要求。(2)是保障公安重要業(yè)務(wù)信息系統(tǒng)安全穩(wěn)定運(yùn)行的必然要求。(3)是保障公安信息通信網(wǎng)敏感數(shù)據(jù)安全的必然要求。監(jiān)測公安網(wǎng)人口數(shù)據(jù)等敏感信息的查詢、下載等行為,保障數(shù)據(jù)的合法使用,防止數(shù)據(jù)濫用,比如個(gè)人隱私信息泄露。(4)是查處公安信息通信網(wǎng)網(wǎng)絡(luò)違規(guī)行為的必然要求。規(guī)范化的網(wǎng)絡(luò)違規(guī)行為查處,需要合法、完整的記錄網(wǎng)絡(luò)訪問行為。(5)是突破安全孤島形成綜合安全運(yùn)行與管控能力的必然要求。通過采集公安信息網(wǎng)終端用戶對各類應(yīng)用系統(tǒng)訪問的日志和報(bào)警信息,進(jìn)行歸一化處理和關(guān)聯(lián)分析,才能更加全面、及時(shí)、準(zhǔn)確的發(fā)現(xiàn)入侵和違規(guī)行為,才能提供更加詳實(shí)的事后追查線索和證據(jù)。(6)是實(shí)現(xiàn)公安信息通信網(wǎng)安全風(fēng)險(xiǎn)管控的基礎(chǔ),可提供輔助決策,改進(jìn)安全管理。
2公安網(wǎng)應(yīng)用系統(tǒng)解決方案
安全審計(jì)是信息系統(tǒng)安全保障工作的重要一環(huán),針對當(dāng)前公安網(wǎng)內(nèi)存在的內(nèi)部工作人員干私活、業(yè)務(wù)信息泄露、業(yè)務(wù)系統(tǒng)越權(quán)訪問等違規(guī)案事件,可通過對應(yīng)用系統(tǒng)訪問行為的審計(jì)、監(jiān)測、分析等方法,幫助安全管理員及時(shí)發(fā)現(xiàn)對公安應(yīng)用系統(tǒng)的異常、違規(guī)甚至違法的訪問行為,并且在一旦發(fā)生安全事故后,能快速追蹤定位和取證,從而進(jìn)一步保障公安業(yè)務(wù)數(shù)據(jù)的安全。公安網(wǎng)應(yīng)用審計(jì)系統(tǒng)是保障公安網(wǎng)數(shù)據(jù)安全的重要方式,系統(tǒng)以海量、詳細(xì)的應(yīng)用行為監(jiān)測數(shù)據(jù)作為基礎(chǔ),結(jié)合通信深度分析、人機(jī)行為判定、上下文語義解析等安全技術(shù),實(shí)現(xiàn)對公安網(wǎng)主要應(yīng)用行為的統(tǒng)一、綜合、智能化安全審計(jì)和監(jiān)管。
3系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
系統(tǒng)以審計(jì)現(xiàn)有的業(yè)務(wù)系統(tǒng)為核心,以應(yīng)用系統(tǒng)的使用過程、系統(tǒng)日志為數(shù)據(jù)來源,通過綜合的數(shù)據(jù)分析識(shí)別入侵攻擊、越權(quán)訪問、數(shù)據(jù)濫用等行為,記錄應(yīng)用系統(tǒng)使用全過程,并且在事故發(fā)生后快速定位和取證。從功能上來分可以分為三個(gè)層次:數(shù)據(jù)采集層:為系統(tǒng)提供基礎(chǔ)數(shù)據(jù)來源,以期對上層數(shù)據(jù)分析中對于整個(gè)數(shù)據(jù)流轉(zhuǎn)的支持。通過各種數(shù)據(jù)采集手段,采集用戶業(yè)務(wù)和上層數(shù)據(jù)處理需要的基礎(chǔ)數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析層:數(shù)據(jù)存儲(chǔ)和數(shù)據(jù)分析層是系統(tǒng)最核心的功能。采用大數(shù)據(jù)方式實(shí)現(xiàn)大量審計(jì)數(shù)據(jù)的存儲(chǔ)和分析。審計(jì)日志的存儲(chǔ)和分析的框架采用的是ApacheHadoop。一個(gè)能夠讓用戶輕松架構(gòu)和使用的分布式計(jì)算平臺(tái)??梢暂p松地在其上開發(fā)和運(yùn)行處理海量數(shù)據(jù)的應(yīng)用程序。其按位存儲(chǔ)和處理數(shù)據(jù)的能力,計(jì)算分配在集群上,通過擴(kuò)展集群中計(jì)算機(jī)數(shù)來擴(kuò)展計(jì)算能力;能夠在節(jié)點(diǎn)間動(dòng)態(tài)的移動(dòng)數(shù)據(jù),保證節(jié)點(diǎn)的餓動(dòng)態(tài)平衡;自動(dòng)保存數(shù)據(jù)的多個(gè)副本,并能自動(dòng)重新分配失敗任務(wù)等特性使得其具有高可靠性、高可擴(kuò)展性、高可用性、高性能、高容錯(cuò)性以及低成本的優(yōu)點(diǎn)。用戶交互層:在用戶交換層,除了提供基礎(chǔ)的對于核心處理的審計(jì)日志的查詢外,還提供工具支持用戶對審計(jì)進(jìn)行人工的分析挖掘。
4系統(tǒng)功能描述
4.1工作臺(tái)
將用戶在系統(tǒng)上需要待辦的任務(wù)推薦給用戶。包括:對推薦應(yīng)用系統(tǒng)的注冊管理和審計(jì)配置;對應(yīng)用系統(tǒng)中未命名應(yīng)用的注冊等。將應(yīng)用系統(tǒng)進(jìn)行推薦注冊,對推薦應(yīng)用系統(tǒng)的注冊管理和審計(jì)配置,對應(yīng)用系統(tǒng)中未命名的應(yīng)用進(jìn)行注冊。
4.2應(yīng)用注冊管理
應(yīng)用系統(tǒng)作為待審計(jì)的目標(biāo)對象,系統(tǒng)提供對應(yīng)用系統(tǒng)的細(xì)致管理。除了支持用戶手動(dòng)添加、導(dǎo)入應(yīng)用系統(tǒng)列表外,支持應(yīng)用系統(tǒng)的自動(dòng)發(fā)現(xiàn)和注冊管理。
4.3應(yīng)用審計(jì)
提供對審計(jì)日志查詢和統(tǒng)計(jì)分析,管理員可基于此進(jìn)行審計(jì)日志的分析。
4.4應(yīng)用告警
配置告警策略,在進(jìn)行審計(jì)的同時(shí)會(huì)根據(jù)告警策略對滿足告警規(guī)則的某些特征產(chǎn)生告警。
4.5統(tǒng)計(jì)分析
分別以訪問時(shí)間、被訪問的應(yīng)用系統(tǒng)、訪問源終端、訪問的關(guān)鍵內(nèi)容為主要維度,提供統(tǒng)計(jì)總覽、統(tǒng)計(jì)趨勢、訪問排名、統(tǒng)計(jì)列表集中統(tǒng)計(jì)方式。并對應(yīng)用系統(tǒng)訪問行為、應(yīng)用異常行為進(jìn)行深度挖掘分析。
4.6配置管理
對系統(tǒng)的基礎(chǔ)信息進(jìn)行配置管理,包括應(yīng)用系統(tǒng)白名單配置、審計(jì)策略配置、用戶權(quán)限管理、系統(tǒng)類型字典的查看等。
5系統(tǒng)效能
(1)實(shí)現(xiàn)對主要應(yīng)用系統(tǒng)數(shù)據(jù)應(yīng)用安全的綜合監(jiān)管,而不依賴于各應(yīng)用系統(tǒng)自身的審計(jì)日志。系統(tǒng)實(shí)現(xiàn)對公安信息網(wǎng)內(nèi)重要應(yīng)用系統(tǒng),如綜合查詢系統(tǒng)、情報(bào)信息綜合應(yīng)用平臺(tái)、人口信息系統(tǒng)、出入境人員/證件信息系統(tǒng)、機(jī)動(dòng)車/駕駛?cè)诵畔⑾到y(tǒng)等的有效安全審計(jì)和監(jiān)測,不需要這些系統(tǒng)開放日志接口即可實(shí)施細(xì)致化、智能化的應(yīng)用安全審計(jì)、監(jiān)測和管理。(2)實(shí)現(xiàn)與公安PKI/PMI數(shù)字證書有機(jī)融合。將數(shù)據(jù)應(yīng)用行為直接定位到人,而不僅僅只是訪問者的計(jì)算機(jī)網(wǎng)絡(luò)地址。(3)實(shí)現(xiàn)與現(xiàn)有“公安信息網(wǎng)安全管理平臺(tái)”安全監(jiān)管流程的無縫對接。實(shí)現(xiàn)非法數(shù)據(jù)訪問、違規(guī)數(shù)據(jù)竊取等行為的第一時(shí)間發(fā)現(xiàn),并納入到安全管理平臺(tái)的統(tǒng)一監(jiān)管流程中,實(shí)現(xiàn)應(yīng)急響應(yīng)。(4)實(shí)現(xiàn)對應(yīng)用系統(tǒng)、網(wǎng)站站點(diǎn)、模塊、欄目關(guān)聯(lián)分析功能,提供直觀易讀的數(shù)據(jù)應(yīng)用描述。數(shù)據(jù)應(yīng)用安全監(jiān)測的結(jié)果不僅僅只是冗長的URL地址,還包括應(yīng)用系統(tǒng)名稱和所訪問的各模塊、子欄目,以及各應(yīng)用系統(tǒng)的關(guān)鍵數(shù)據(jù)點(diǎn)等。(5)提供對海量數(shù)據(jù)應(yīng)用安全的統(tǒng)計(jì)分析數(shù)據(jù),為安全管理者提供進(jìn)一步優(yōu)化、調(diào)整、提升各應(yīng)用系統(tǒng)的安全性能的有利依據(jù)??傮w來說:一方面,準(zhǔn)確識(shí)別公安網(wǎng)內(nèi)每一個(gè)應(yīng)用行為的5個(gè)’W’——誰(WHO),在什么時(shí)間(WHEN),訪問過什么業(yè)務(wù)系統(tǒng)(WHATsystem),獲取過什么數(shù)據(jù)(WHATdata),采用何種方式處理過這些數(shù)據(jù)(WHATway);另一方面,要實(shí)現(xiàn)對異常應(yīng)用行為的有效處置和應(yīng)急響應(yīng)。
參考文獻(xiàn)
[1]王薇.內(nèi)部網(wǎng)絡(luò)安全管理系統(tǒng)分析[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2011(11):68-69.
[2]劉汝焯.審計(jì)數(shù)據(jù)采集與分析技術(shù)[M].北京:中國審計(jì)出版社,2001.
[3]葉代亮.內(nèi)網(wǎng)的安全管理[J].計(jì)算機(jī)安全,2005(12):22
作者:劉雪峰 張維 單位:寧波市公安局