公安内网应用审计系统的设计

摘要：通过建设公安网应用审计系统，无须对现有的应用系统进行改造，以审计现有的业务系统为核心，以应用系统的使用过程、系统日志为数据来源，通过综合的数据分析识别入侵攻击、越权访问、数据滥用等行为，记录应用系统使用全过程，并且在事故发生后快速定位和取证。系统实现对公安网重要应用系统的全面安全审计和精细化监管，有助于安全管理人员及时发现外在的入侵攻击、越权访问、数据滥用，一旦发生安全事故后，能快速追踪定位和取证，从而确保整个安全体系的完备性、合理性和可用性。

【关键词】应用系统；内网；审计；取证

1公安网应用系统安全现状分析

在公安网中，信息资源大整合、高共享的发展趋势加大了应用系统的安全风险。通过调研，主要发现以下几个现状：（1）信息泄露事件发生的主要原因在于内部工作人员的违规操作，通过数据剽窃、越权访问、拍照传输等途径获取内部业务数据，造成了数据的泄露。（2）公安网部分重要应用系统存储有大量公民个人信息、业务敏感信息和警务工作秘密。这些系统在网络结构、应用架构、开发语言、数据存储等方面都不尽相同，是一个典型的异构环境，采用哪些方式对这些应用系统实施有效的安全审计和监测，是需要重点研究和考虑的。（3）业务系统存在遭受入侵攻击，损失重要的数据后，却没有相应的记录和防范的风险。（4）业务系统中往往记录的访问者只是一个IP和系统自身的用户信息，缺乏同警员PKI信息的联动，无法把审计结果落实到具体人员。经过金盾工程一期、二期的建设，公安信息通信网已经基本构建了较为完善的安全保障体系，但尚未形成全程全网的综合安全审计能力。在公安网内，对重要应用系统的安全审计目前主要采用两种方式：第一种方式是改造各应用系统，完善/增强其审计模块。采用这种方式，存在建设周期长和审计信息不完整两个缺陷。第二种方式是部署专用网关级审计设备。采用这种方式，存在的缺陷是：审计信息不完整和难以获取应用者真实身份信息。通过审计网关仅仅只能记录应用者的IP地址，其真实身份信息（如警员姓名、编号、身份证号码等）无法审计。因此，构建公安信息网终端用户行为审计与数据分析系统有如下必要性：（1）是贯彻落实信息系统安全等级保护等国家政策和技术标准的必然要求。（2）是保障公安重要业务信息系统安全稳定运行的必然要求。（3）是保障公安信息通信网敏感数据安全的必然要求。监测公安网人口数据等敏感信息的查询、下载等行为，保障数据的合法使用，防止数据滥用，比如个人隐私信息泄露。（4）是查处公安信息通信网网络违规行为的必然要求。规范化的网络违规行为查处，需要合法、完整的记录网络访问行为。（5）是突破安全孤岛形成综合安全运行与管控能力的必然要求。通过采集公安信息网终端用户对各类应用系统访问的日志和报警信息，进行归一化处理和关联分析，才能更加全面、及时、准确的发现入侵和违规行为，才能提供更加详实的事后追查线索和证据。（6）是实现公安信息通信网安全风险管控的基础，可提供辅助决策，改进安全管理。

2公安网应用系统解决方案

安全审计是信息系统安全保障工作的重要一环，针对当前公安网内存在的内部工作人员干私活、业务信息泄露、业务系统越权访问等违规案事件，可通过对应用系统访问行为的审计、监测、分析等方法，帮助安全管理员及时发现对公安应用系统的异常、违规甚至违法的访问行为，并且在一旦发生安全事故后，能快速追踪定位和取证，从而进一步保障公安业务数据的安全。公安网应用审计系统是保障公安网数据安全的重要方式，系统以海量、详细的应用行为监测数据作为基础，结合通信深度分析、人机行为判定、上下文语义解析等安全技术，实现对公安网主要应用行为的统一、综合、智能化安全审计和监管。

3系统的设计与实现

系统以审计现有的业务系统为核心，以应用系统的使用过程、系统日志为数据来源，通过综合的数据分析识别入侵攻击、越权访问、数据滥用等行为，记录应用系统使用全过程，并且在事故发生后快速定位和取证。从功能上来分可以分为三个层次：数据采集层：为系统提供基础数据来源，以期对上层数据分析中对于整个数据流转的支持。通过各种数据采集手段，采集用户业务和上层数据处理需要的基础数据。数据存储和数据分析层：数据存储和数据分析层是系统最核心的功能。采用大数据方式实现大量审计数据的存储和分析。审计日志的存储和分析的框架采用的是ApacheHadoop。一个能够让用户轻松架构和使用的分布式计算平台。可以轻松地在其上开发和运行处理海量数据的应用程序。其按位存储和处理数据的能力，计算分配在集群上，通过扩展集群中计算机数来扩展计算能力；能够在节点间动态的移动数据，保证节点的饿动态平衡；自动保存数据的多个副本，并能自动重新分配失败任务等特性使得其具有高可靠性、高可扩展性、高可用性、高性能、高容错性以及低成本的优点。用户交互层：在用户交换层，除了提供基础的对于核心处理的审计日志的查询外，还提供工具支持用户对审计进行人工的分析挖掘。

4系统功能描述

4.1工作台

将用户在系统上需要待办的任务推荐给用户。包括：对推荐应用系统的注册管理和审计配置；对应用系统中未命名应用的注册等。将应用系统进行推荐注册，对推荐应用系统的注册管理和审计配置，对应用系统中未命名的应用进行注册。

4.2应用注册管理

应用系统作为待审计的目标对象，系统提供对应用系统的细致管理。除了支持用户手动添加、导入应用系统列表外，支持应用系统的自动发现和注册管理。

4.3应用审计

提供对审计日志查询和统计分析，管理员可基于此进行审计日志的分析。

4.4应用告警

配置告警策略，在进行审计的同时会根据告警策略对满足告警规则的某些特征产生告警。

4.5统计分析

分别以访问时间、被访问的应用系统、访问源终端、访问的关键内容为主要维度，提供统计总览、统计趋势、访问排名、统计列表集中统计方式。并对应用系统访问行为、应用异常行为进行深度挖掘分析。

4.6配置管理

对系统的基础信息进行配置管理，包括应用系统白名单配置、审计策略配置、用户权限管理、系统类型字典的查看等。

5系统效能

（1）实现对主要应用系统数据应用安全的综合监管，而不依赖于各应用系统自身的审计日志。系统实现对公安信息网内重要应用系统，如综合查询系统、情报信息综合应用平台、人口信息系统、出入境人员/证件信息系统、机动车/驾驶人信息系统等的有效安全审计和监测，不需要这些系统开放日志接口即可实施细致化、智能化的应用安全审计、监测和管理。（2）实现与公安PKI/PMI数字证书有机融合。将数据应用行为直接定位到人，而不仅仅只是访问者的计算机网络地址。（3）实现与现有“公安信息网安全管理平台”安全监管流程的无缝对接。实现非法数据访问、违规数据窃取等行为的第一时间发现，并纳入到安全管理平台的统一监管流程中，实现应急响应。（4）实现对应用系统、网站站点、模块、栏目关联分析功能，提供直观易读的数据应用描述。数据应用安全监测的结果不仅仅只是冗长的URL地址，还包括应用系统名称和所访问的各模块、子栏目，以及各应用系统的关键数据点等。（5）提供对海量数据应用安全的统计分析数据，为安全管理者提供进一步优化、调整、提升各应用系统的安全性能的有利依据。总体来说：一方面，准确识别公安网内每一个应用行为的5个’W’——谁(WHO)，在什么时间（WHEN），访问过什么业务系统（WHATsystem），获取过什么数据（WHATdata），采用何种方式处理过这些数据（WHATway）；另一方面，要实现对异常应用行为的有效处置和应急响应。

参考文献

[1]王薇.内部网络安全管理系统分析[J].计算机光盘软件与应用,2011(11):68-69.

[2]刘汝焯.审计数据采集与分析技术[M].北京:中国审计出版社,2001.

[3]叶代亮.内网的安全管理[J].计算机安全,2005(12):22

作者:刘雪峰 张维 单位:宁波市公安局