公安內網應用審計系統的設計

劉雪峰 張維

摘要

通過建設公安網應用審計系統，無須對現有的應用系統進行改造，以審計現有的業務系統為核心，以應用系統的使用過程、系統日志為數據來源，通過綜合的數據分析識別入侵攻擊、越權訪問、數據濫用等行為，記錄應用系統使用全過程，并且在事故發生后快速定位和取證。系統實現對公安網重要應用系統的全面安全審計和精細化監管，有助于安全管理人員及時發現外在的入侵攻擊、越權訪問、數據濫用，一旦發生安全事故后，能快速追蹤定位和取證，從而確保整個安全體系的完備性、合理性和可用性。

【關鍵詞】應用系統 內網 審計 取證

1 公安網應用系統安全現狀分析

在公安網中，信息資源大整合、高共享的發展趨勢加大了應用系統的安全風險。通過調研，主要發現以下幾個現狀：

（1）信息泄露事件發生的主要原因在于內部工作人員的違規操作，通過數據剽竊、越權訪問、拍照傳輸等途徑獲取內部業務數據，造成了數據的泄露。

（2）公安網部分重要應用系統存儲有大量公民個人信息、業務敏感信息和警務工作秘密。這些系統在網絡結構、應用架構、開發語言、數據存儲等方面都不盡相同，是一個典型的異構環境，采用哪些方式對這些應用系統實施有效的安全審計和監測，是需要重點研究和考慮的。

（3）業務系統存在遭受入侵攻擊，損失重要的數據后，卻沒有相應的記錄和防范的風險。

（4）業務系統中往往記錄的訪問者只是一個IP和系統自身的用戶信息，缺乏同警員PKI信息的聯動，無法把審計結果落實到具體人員。

經過金盾工程一期、二期的建設，公安信息通信網已經基本構建了較為完善的安全保障體系，但尚未形成全程全網的綜合安全審計能力。在公安網內，對重要應用系統的安全審計目前主要采用兩種方式：第一種方式是改造各應用系統，完善/增強其審計模塊。采用這種方式，存在建設周期長和審計信息不完整兩個缺陷。第二種方式是部署專用網關級審計設備。采用這種方式，存在的缺陷是：審計信息不完整和難以獲取應用者真實身份信息。通過審計網關僅僅只能記錄應用者的IP地址，其真實身份信息（如警員姓名、編號、身份證號碼等）無法審計。

因此，構建公安信息網終端用戶行為審計與數據分析系統有如下必要性：

（1）是貫徹落實信息系統安全等級保護等國家政策和技術標準的必然要求。

（2）是保障公安重要業務信息系統安全穩定運行的必然要求。

（3）是保障公安信息通信網敏感數據安全的必然要求。監測公安網人口數據等敏感信息的查詢、下載等行為，保障數據的合法使用，防止數據濫用，比如個人隱私信息泄露。

（4）是查處公安信息通信網網絡違規行為的必然要求。規范化的網絡違規行為查處，需要合法、完整的記錄網絡訪問行為。

（5）是突破安全孤島形成綜合安全運行與管控能力的必然要求。通過采集公安信息網終端用戶對各類應用系統訪問的日志和報警信息，進行歸一化處理和關聯分析，才能更加全面、及時、準確的發現入侵和違規行為，才能提供更加詳實的事后追查線索和證據。

（6）是實現公安信息通信網安全風險管控的基礎，可提供輔助決策，改進安全管理

2 公安網應用系統解決方案

安全審計是信息系統安全保障工作的重要一環，針對當前公安網內存在的內部工作人員干私活、業務信息泄露、業務系統越權訪問等違規案事件，可通過對應用系統訪問行為的審計、監測、分析等方法，幫助安全管理員及時發現對公安應用系統的異常、違規甚至違法的訪問行為，并且在一旦發生安全事故后，能快速追蹤定位和取證，從而進一步保障公安業務數據的安全。

公安網應用審計系統是保障公安網數據安全的重要方式，系統以海量、詳細的應用行為監測數據作為基礎，結合通信深度分析、人機行為判定、上下文語義解析等安全技術，實現對公安網主要應用行為的統一、綜合、智能化安全審計和監管。

3 系統的設計與實現

如圖1所示，系統以審計現有的業務系統為核心，以應用系統的使用過程、系統日志為數據來源，通過綜合的數據分析識別入侵攻擊、越權訪問、數據濫用等行為，記錄應用系統使用全過程，并且在事故發生后快速定位和取證。從功能上來分可以分為三個層次：

數據采集層：為系統提供基礎數據來源，以期對上層數據分析中對于整個數據流轉的支持。通過各種數據采集手段，采集用戶業務和上層數據處理需要的基礎數據。

數據存儲和數據分析層：數據存儲和數據分析層是系統最核心的功能。采用大數據方式實現大量審計數據的存儲和分析。審計日志的存儲和分析的框架采用的是Apache Hadoopo一個能夠讓用戶輕松架構和使用的分布式計算平臺?？梢暂p松地在其上開發和運行處理海量數據的應用程序。其按位存儲和處理數據的能力，計算分配在集群上，通過擴展集群中計算機數來擴展計算能力;能夠在節點間動態的移動數據，保證節點的餓動態平衡;自動保存數據的多個副本，并能自動重新分配失敗任務等特性使得其具有高可靠性、高可擴展性、高可用性、高性能、高容錯性以及低成本的優點。

用戶交互層：在用戶交換層，除了提供基礎的對于核心處理的審計日志的查詢外，還提供工具支持用戶對審計進行人工的分析挖掘。

4 系統功能描述

4.1 工作臺

將用戶在系統上需要待辦的任務推薦給用戶。包括：對推薦應用系統的注冊管理和審計配置;對應用系統中未命名應用的注冊等。將應用系統進行推薦注冊，對推薦應用系統的注冊管理和審計配置，對應用系統中未命名的應用進行注冊。

4.2 應用注冊管理

應用系統作為待審計的目標對象，系統提供對應用系統的細致管理。除了支持用戶手動添加、導入應用系統列表外，支持應用系統的自動發現和注冊管理。

4.3 應用審計

提供對審計日志查詢和統計分析，管理員可基于此進行審計日志的分析。

4.4 應用告警

配置告警策略，在進行審計的同時會根據告警策略對滿足告警規則的某些特征產生告警。

4.5 統計分析

分別以訪問時間、被訪問的應用系統、訪問源終端、訪問的關鍵內容為主要維度，提供統計總覽、統計趨勢、訪問排名、統計列表集中統計方式。并對應用系統訪問行為、應用異常行為進行深度挖掘分析。

4.6 配置管理

對系統的基礎信息進行配置管理，包括應用系統白名單配置、審計策略配置、用戶權限管理、系統類型字典的查看等。

5 系統效能

（1）實現對主要應用系統數據應用安全的綜合監管，而不依賴于各應用系統自身的審計日志。系統實現對公安信息網內重要應用系統，如綜合查詢系統、情報信息綜合應用平臺、人口信息系統、出入境人員/證件信息系統、機動車/駕駛人信息系統等的有效安全審計和監測，不需要這些系統開放日志接口即可實施細致化、智能化的應用安全審計、監測和管理。

（2）實現與公安PKI/PMI數字證書有機融合。將數據應用行為直接定位到人，而不僅僅只是訪問者的計算機網絡地址。

（3）實現與現有“公安信息網安全管理平臺”安全監管流程的無縫對接。實現非法數據訪問、違規數據竊取等行為的第一時間發現，并納入到安全管理平臺的統一監管流程中，實現應急響應。

（4）實現對應用系統、網站站點、模塊、欄目關聯分析功能，提供直觀易讀的數據應用描述。數據應用安全監測的結果不僅僅只是冗長的URL地址，還包括應用系統名稱和所訪問的各模塊、子欄目，以及各應用系統的關鍵數據點等。

（5）提供對海量數據應用安全的統計分析數據，為安全管理者提供進一步優化、調整、提升各應用系統的安全性能的有利依據。

總體來說：一方面，準確識別公安網內每一個應用行為的5個W——誰（WHO），在什么時間（WHEN），訪問過什么業務系統（WHAT system），獲取過什么數據（WRAIdata），采用何種方式處理過這些數據（WHAIway）;另一方面，要實現對異常應用行為的有效處置和應急響應。

參考文獻

[1]王薇.內部網絡安全管理系統分析[J].計算機光盤軟件與應用，2011（11）：68-69.

[2]劉汝焯.審計數據采集與分析技術[M].北京：中國審計出版社，2001.

[3]葉代亮.內網的安全管理[J].計算機安全，2005（12）：22.