毋曉英

摘 要為進(jìn)一步加強(qiáng)公安網(wǎng)終端行為的管控，運(yùn)用新的安全防護(hù)理念，將各傳統(tǒng)防護(hù)設(shè)備和系統(tǒng)統(tǒng)一起來，運(yùn)用大數(shù)據(jù)分析技術(shù)，結(jié)合安全事件數(shù)字模型，從中發(fā)現(xiàn)數(shù)據(jù)盜取的行為。通過事前警告、事中禁止、事后取證、違規(guī)處置等技術(shù)，建立并完善公安信息網(wǎng)安全管理技術(shù)體系和工作機(jī)制。

【關(guān)鍵詞】大數(shù)據(jù)技術(shù) 終端管控 數(shù)字模型 數(shù)據(jù)盜取 信息安全

目前，公安工作人員利用公安專網(wǎng)合法用戶身份違規(guī)查詢、竊取、批量倒賣警用敏感數(shù)據(jù)的安全事件頻繁發(fā)生，此類安全事件的發(fā)生，表明了傳統(tǒng)的以外部攻擊為主要防護(hù)對象的安全技術(shù)手段，已不足以全面的保障公安信息資源的安全。當(dāng)前公安網(wǎng)上的很多重要應(yīng)用系統(tǒng)缺乏有效的安全防護(hù)措施，對違規(guī)行為無法進(jìn)行事前警告，也不能做到事中制止。

1 公安網(wǎng)安全現(xiàn)狀

目前，傳統(tǒng)的安全技術(shù)設(shè)施大都以外部攻擊者為主要防護(hù)對象，在專網(wǎng)內(nèi)部用戶的管理和防范方面缺失手段，難以有效地遏制和解決此類由于內(nèi)部用戶違規(guī)、違法操作所導(dǎo)致的數(shù)據(jù)安全問題。

現(xiàn)有安全防護(hù)管理方式，都是面向一個(gè)點(diǎn)或是一個(gè)特定對象進(jìn)行防護(hù)，在這種防護(hù)方式下，各設(shè)備、各系統(tǒng)各自運(yùn)行、相互孤立，管理員日常工作量大，還難以對整個(gè)風(fēng)險(xiǎn)鏈進(jìn)行追蹤和監(jiān)測，需要整合相關(guān)系統(tǒng)，形成全局的數(shù)據(jù)分析支撐，充分發(fā)揮已有防護(hù)系統(tǒng)的技術(shù)優(yōu)勢。

2 大數(shù)據(jù)監(jiān)測原理及目標(biāo)

2.1 大數(shù)據(jù)監(jiān)測目標(biāo)

通過大數(shù)據(jù)檢測最終形成公安專網(wǎng)中終端的綜合監(jiān)管，對“數(shù)據(jù)盜取”行為的事前警告、“數(shù)據(jù)盜取”行為的事中制止、事后對盜竊者進(jìn)行查處的綜合管控能力。

（1）建設(shè)“防數(shù)據(jù)盜取”的終端綜合安全防護(hù)體系，通過實(shí)施終端行為審計(jì)、終端準(zhǔn)入控制、終端數(shù)據(jù)安全管理、證書安全審計(jì)，實(shí)現(xiàn)對終端的綜合監(jiān)管、信息防護(hù)、行為審計(jì)、應(yīng)急響應(yīng)和數(shù)據(jù)分析等功能，完成對公安專網(wǎng)內(nèi)的終端重要應(yīng)用系統(tǒng)和敏感數(shù)據(jù)信息的安全防護(hù)；

（2）建設(shè)基于大數(shù)據(jù)的應(yīng)用行為安全監(jiān)管平臺，通過采集終端及證書產(chǎn)生的安全日志、安全報(bào)警數(shù)據(jù)，構(gòu)建大數(shù)據(jù)處理分析平臺，對這些數(shù)據(jù)進(jìn)行集中存儲(chǔ)處理.

2.2 大數(shù)據(jù)監(jiān)測原理

依據(jù)需求分析和建設(shè)目標(biāo)，本項(xiàng)目涉及的建設(shè)任務(wù)涉及三部分。

（1）構(gòu)建終端綜合安全防護(hù)體系，包括：終端應(yīng)用行為審計(jì)、終端準(zhǔn)入控制、USB移動(dòng)介質(zhì)管理、終端打印管理、終端光盤刻錄管理、終端應(yīng)用發(fā)現(xiàn)、證書安全審計(jì)、邊界檢查管理、網(wǎng)站監(jiān)管等系統(tǒng)。

（2）建設(shè)應(yīng)用行為安全監(jiān)管平臺，通過終端應(yīng)用行為審計(jì)系統(tǒng)、證書安全審計(jì)系統(tǒng)的日志和監(jiān)測報(bào)警數(shù)據(jù)，基于安全大數(shù)據(jù)引擎的深度挖掘分析，從海量日志數(shù)據(jù)中發(fā)現(xiàn)針對專網(wǎng)數(shù)據(jù)盜取的安全事件。

3 系統(tǒng)建設(shè)

3.1 總體框架

公安數(shù)據(jù)信息安全管控平臺通過建設(shè)終端行為審計(jì)、準(zhǔn)入控制、數(shù)據(jù)安全管理、證書安全審計(jì)等系統(tǒng)，整合邊界檢查、網(wǎng)站監(jiān)管等系統(tǒng)，統(tǒng)一采集上述防護(hù)系統(tǒng)的日志數(shù)據(jù)和安全報(bào)警數(shù)據(jù)，再結(jié)合大數(shù)據(jù)處理分析技術(shù)，對這些數(shù)據(jù)進(jìn)行集中存儲(chǔ)、處理。

整個(gè)管控平臺由三部分組成：

（1）終端綜合安全防護(hù)體系，通過這類防護(hù)設(shè)施將公安專網(wǎng)的各關(guān)鍵應(yīng)用系統(tǒng)從終端環(huán)境中保護(hù)起來。

（2）面向應(yīng)用行為安全監(jiān)管平臺，此平臺收集來自終端防護(hù)體系的安全日志和監(jiān)測報(bào)警數(shù)據(jù)，進(jìn)行統(tǒng)一分析，對終端應(yīng)用行為進(jìn)行判斷。

（3）公安數(shù)據(jù)信息安全管控平臺與上級專網(wǎng)管控平臺聯(lián)通接口，安全數(shù)據(jù)要統(tǒng)一傳輸?shù)缴霞壍拇髷?shù)據(jù)平臺，進(jìn)行集中分析。

3.2 功能架構(gòu)

整個(gè)管控平臺分為三個(gè)層次，第一層，是公安專網(wǎng)建設(shè)的終端綜合安全防護(hù)體系，包括對終端、外設(shè)、準(zhǔn)入和證書的管理，這些系統(tǒng)所產(chǎn)生的數(shù)據(jù)要按照統(tǒng)一的規(guī)范和標(biāo)準(zhǔn)，通過傳輸通道，統(tǒng)一傳到應(yīng)用行為分析中心進(jìn)行分析；第二層，是終端應(yīng)用行為審計(jì)監(jiān)管系統(tǒng)，用于收集的終端安全數(shù)據(jù)信息，橫向上將各個(gè)不同的終端防護(hù)系統(tǒng)打通，形成一個(gè)統(tǒng)一的終端應(yīng)用行為安全監(jiān)測平臺；第三層，是根據(jù)公安數(shù)據(jù)信息安全管控平臺業(yè)務(wù)需求開發(fā)的可視化展示及業(yè)務(wù)處置系統(tǒng)，用于管控平臺的全面管理和信息展示。

3.3 建設(shè)內(nèi)容

根據(jù)上述的公安數(shù)據(jù)信息安全管控平臺的層次架構(gòu)說明，整個(gè)安全管控平臺所涉及的建設(shè)內(nèi)容包括：

（1）終端綜合安全防護(hù)體系建設(shè)；

（2）應(yīng)用行為監(jiān)管平臺建設(shè)；

（3）與上級專網(wǎng)管控平臺的聯(lián)通接口建設(shè)。

3.3.1 建設(shè)終端綜合安全防護(hù)體系

以公安專網(wǎng)防護(hù)為中心，建設(shè)終端防護(hù)設(shè)施，具體包括以下防護(hù)系統(tǒng)：

（1）建設(shè)終端應(yīng)用行為審計(jì)系統(tǒng)，針對當(dāng)前公安網(wǎng)內(nèi)突出的倒賣業(yè)務(wù)信息、民警干私活、和業(yè)務(wù)系統(tǒng)遭受入侵攻擊等違規(guī)事件，可通過對終端應(yīng)用系統(tǒng)訪問行為的監(jiān)管、審計(jì)、分析等方法。

（2）建設(shè)證書安全審計(jì)系統(tǒng)，通過此系統(tǒng)，將訪問公安信息網(wǎng)敏感資源的身份信息全部記錄下來，結(jié)合應(yīng)用層面的審計(jì)，可進(jìn)行軌跡的追溯及場景的還原，同時(shí)根據(jù)不同業(yè)務(wù)、不同部門的審計(jì)策略進(jìn)行分析，提供有針對性的審計(jì)分析或倒查取證，并依此為依據(jù)進(jìn)行合規(guī)行為的定義，提供違規(guī)報(bào)警的實(shí)際依據(jù)。

（3）建設(shè)終端準(zhǔn)入控制系統(tǒng)，從終端的安全接入控制入手，對接入公安專網(wǎng)的終端強(qiáng)制實(shí)施身份認(rèn)證和安全性檢查，保證接入終端身份合法、設(shè)備安全和資源訪問范圍可控，讓終端用戶的應(yīng)用行為和信息得到安全的保護(hù)，提高公安專網(wǎng)終端的主動(dòng)防御能力。

（4）建設(shè)終端打印管理系統(tǒng)，對專網(wǎng)終端打印機(jī)和網(wǎng)絡(luò)打印機(jī)進(jìn)行管控，有效地防止通過打印形式，造成數(shù)據(jù)信息泄密。本系統(tǒng)結(jié)合已部署的敏感信息檢查系統(tǒng)，對打印的文檔進(jìn)行檢查，避免通過打印泄露專網(wǎng)重要數(shù)據(jù)的風(fēng)險(xiǎn)。

3.3.2 建設(shè)應(yīng)用行為安全監(jiān)管平臺

應(yīng)用行為安全監(jiān)管平臺以審計(jì)應(yīng)用系統(tǒng)為核心，以應(yīng)用系統(tǒng)的終端訪問行為、證書日志為數(shù)據(jù)來源，以終端監(jiān)管為手段，通過大數(shù)據(jù)技術(shù)建模，對業(yè)務(wù)信息泄露、民警干私活、內(nèi)部人員入侵攻擊等違規(guī)案事件進(jìn)行預(yù)警和應(yīng)急處置。應(yīng)用行為安全監(jiān)管平臺架構(gòu)如圖1所示。

審計(jì)監(jiān)測層：本系統(tǒng)通過終端的應(yīng)用安全審計(jì)監(jiān)測服務(wù)獲取公安網(wǎng)終端計(jì)算機(jī)的應(yīng)用行為數(shù)據(jù)，同時(shí)該監(jiān)測服務(wù)接收監(jiān)管指令，將各類安全審計(jì)、監(jiān)測數(shù)據(jù)發(fā)送給終端審計(jì)監(jiān)管平臺，監(jiān)管平臺依據(jù)規(guī)則將海量的數(shù)據(jù)應(yīng)用行為數(shù)據(jù)經(jīng)過分析、規(guī)整、轉(zhuǎn)存后，形成綜合安全監(jiān)測報(bào)告，同時(shí)根據(jù)系統(tǒng)設(shè)定的報(bào)警策略，將各類違規(guī)數(shù)據(jù)應(yīng)用行為、數(shù)據(jù)異常截取行為、關(guān)鍵敏感數(shù)據(jù)訪問行為，按照特定接口，發(fā)送至終端行為審計(jì)監(jiān)管系統(tǒng)，進(jìn)入到統(tǒng)一安全監(jiān)管流程中，實(shí)現(xiàn)應(yīng)急響應(yīng)。

數(shù)據(jù)處理層：該層為數(shù)據(jù)的存儲(chǔ)、分析層。原始審計(jì)數(shù)據(jù)不加修改的存入原始數(shù)據(jù)庫中，便于以后的定位和取證。分析可疑的應(yīng)用行為識別出攻擊、越權(quán)訪問、數(shù)據(jù)濫用等行為。同時(shí)該層還包括級聯(lián)處理和相關(guān)數(shù)據(jù)的綜合統(tǒng)計(jì)分析等過程。

展示層：與用戶的交互層，數(shù)據(jù)處理層的數(shù)據(jù)進(jìn)過分析、處理后放置于該層的索引數(shù)據(jù)庫中。集中展示各應(yīng)用系統(tǒng)的違規(guī)行為，提供趨勢、統(tǒng)計(jì)等圖表作為決策的依據(jù)，提供對原始數(shù)據(jù)庫的查詢接口滿足取證和定位的要求。

4 總結(jié)

結(jié)合公安網(wǎng)上的很多重要應(yīng)用系統(tǒng)缺乏有效的安全防護(hù)措施的現(xiàn)狀，提出了一種新的安全防護(hù)及內(nèi)部控制管理機(jī)制，通過加強(qiáng)對公安專網(wǎng)終端的管理力度，及時(shí)發(fā)現(xiàn)制止非授權(quán)訪問、數(shù)據(jù)盜取、信息泄露、違規(guī)接入等問題，形成以終端管理為核心的公安數(shù)據(jù)信息安全管控能力，彌補(bǔ)了公安網(wǎng)對違規(guī)行為無法進(jìn)行事前警告，也不能做到事中制止的缺陷。

參考文獻(xiàn)

[1]孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術(shù)與挑戰(zhàn)[J].計(jì)算機(jī)研究與發(fā)展，2013，50（01）：35-66.

[2]大數(shù)據(jù)技術(shù)大會(huì)，http：//special.csdn.net/bdc2011/index.html.

[3]孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術(shù)與挑戰(zhàn)[J].計(jì)算機(jī)研究與發(fā)展，2013，50（1）.

[4]王璐，孟小峰.位置大數(shù)據(jù)隱私保護(hù)研究綜述[J].軟件學(xué)報(bào)，2014，25（04）：693-712.

[5]王元卓，靳小龍，程學(xué)旗.網(wǎng)絡(luò)大數(shù)據(jù)：現(xiàn)狀與展望[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（06）：78-92.

[6]Corbett J C，Dean J，Epstein M，et al.Spanner：Googles globally-distributed database.ACM Trans on computer systems，2013，25（02）6-19.

[7]Lohr S.The age of big data.New York Times，2012，11.

[8]Noguchi Y.Following digital breadcrumbs to big data gold[J].National Public Radio，2011（03）：56-88.

作者單位

河南省濮陽市公安局 河南省濮陽市 457000