毋曉英

摘 要為進一步加強公安網(wǎng)終端行為的管控，運用新的安全防護理念，將各傳統(tǒng)防護設備和系統(tǒng)統(tǒng)一起來，運用大數(shù)據(jù)分析技術，結合安全事件數(shù)字模型，從中發(fā)現(xiàn)數(shù)據(jù)盜取的行為。通過事前警告、事中禁止、事后取證、違規(guī)處置等技術，建立并完善公安信息網(wǎng)安全管理技術體系和工作機制。

【關鍵詞】大數(shù)據(jù)技術 終端管控 數(shù)字模型 數(shù)據(jù)盜取 信息安全

目前，公安工作人員利用公安專網(wǎng)合法用戶身份違規(guī)查詢、竊取、批量倒賣警用敏感數(shù)據(jù)的安全事件頻繁發(fā)生，此類安全事件的發(fā)生，表明了傳統(tǒng)的以外部攻擊為主要防護對象的安全技術手段，已不足以全面的保障公安信息資源的安全。當前公安網(wǎng)上的很多重要應用系統(tǒng)缺乏有效的安全防護措施，對違規(guī)行為無法進行事前警告，也不能做到事中制止。

1 公安網(wǎng)安全現(xiàn)狀

目前，傳統(tǒng)的安全技術設施大都以外部攻擊者為主要防護對象，在專網(wǎng)內(nèi)部用戶的管理和防范方面缺失手段，難以有效地遏制和解決此類由于內(nèi)部用戶違規(guī)、違法操作所導致的數(shù)據(jù)安全問題。

現(xiàn)有安全防護管理方式，都是面向一個點或是一個特定對象進行防護，在這種防護方式下，各設備、各系統(tǒng)各自運行、相互孤立，管理員日常工作量大，還難以對整個風險鏈進行追蹤和監(jiān)測，需要整合相關系統(tǒng)，形成全局的數(shù)據(jù)分析支撐，充分發(fā)揮已有防護系統(tǒng)的技術優(yōu)勢。

2 大數(shù)據(jù)監(jiān)測原理及目標

2.1 大數(shù)據(jù)監(jiān)測目標

通過大數(shù)據(jù)檢測最終形成公安專網(wǎng)中終端的綜合監(jiān)管，對“數(shù)據(jù)盜取”行為的事前警告、“數(shù)據(jù)盜取”行為的事中制止、事后對盜竊者進行查處的綜合管控能力。

（1）建設“防數(shù)據(jù)盜取”的終端綜合安全防護體系，通過實施終端行為審計、終端準入控制、終端數(shù)據(jù)安全管理、證書安全審計，實現(xiàn)對終端的綜合監(jiān)管、信息防護、行為審計、應急響應和數(shù)據(jù)分析等功能，完成對公安專網(wǎng)內(nèi)的終端重要應用系統(tǒng)和敏感數(shù)據(jù)信息的安全防護；

（2）建設基于大數(shù)據(jù)的應用行為安全監(jiān)管平臺，通過采集終端及證書產(chǎn)生的安全日志、安全報警數(shù)據(jù)，構建大數(shù)據(jù)處理分析平臺，對這些數(shù)據(jù)進行集中存儲處理.

2.2 大數(shù)據(jù)監(jiān)測原理

依據(jù)需求分析和建設目標，本項目涉及的建設任務涉及三部分。

（1）構建終端綜合安全防護體系，包括：終端應用行為審計、終端準入控制、USB移動介質(zhì)管理、終端打印管理、終端光盤刻錄管理、終端應用發(fā)現(xiàn)、證書安全審計、邊界檢查管理、網(wǎng)站監(jiān)管等系統(tǒng)。

（2）建設應用行為安全監(jiān)管平臺，通過終端應用行為審計系統(tǒng)、證書安全審計系統(tǒng)的日志和監(jiān)測報警數(shù)據(jù)，基于安全大數(shù)據(jù)引擎的深度挖掘分析，從海量日志數(shù)據(jù)中發(fā)現(xiàn)針對專網(wǎng)數(shù)據(jù)盜取的安全事件。

3 系統(tǒng)建設

3.1 總體框架

公安數(shù)據(jù)信息安全管控平臺通過建設終端行為審計、準入控制、數(shù)據(jù)安全管理、證書安全審計等系統(tǒng)，整合邊界檢查、網(wǎng)站監(jiān)管等系統(tǒng)，統(tǒng)一采集上述防護系統(tǒng)的日志數(shù)據(jù)和安全報警數(shù)據(jù)，再結合大數(shù)據(jù)處理分析技術，對這些數(shù)據(jù)進行集中存儲、處理。

整個管控平臺由三部分組成：

（1）終端綜合安全防護體系，通過這類防護設施將公安專網(wǎng)的各關鍵應用系統(tǒng)從終端環(huán)境中保護起來。

（2）面向應用行為安全監(jiān)管平臺，此平臺收集來自終端防護體系的安全日志和監(jiān)測報警數(shù)據(jù)，進行統(tǒng)一分析，對終端應用行為進行判斷。

（3）公安數(shù)據(jù)信息安全管控平臺與上級專網(wǎng)管控平臺聯(lián)通接口，安全數(shù)據(jù)要統(tǒng)一傳輸?shù)缴霞壍拇髷?shù)據(jù)平臺，進行集中分析。

3.2 功能架構

整個管控平臺分為三個層次，第一層，是公安專網(wǎng)建設的終端綜合安全防護體系，包括對終端、外設、準入和證書的管理，這些系統(tǒng)所產(chǎn)生的數(shù)據(jù)要按照統(tǒng)一的規(guī)范和標準，通過傳輸通道，統(tǒng)一傳到應用行為分析中心進行分析；第二層，是終端應用行為審計監(jiān)管系統(tǒng)，用于收集的終端安全數(shù)據(jù)信息，橫向上將各個不同的終端防護系統(tǒng)打通，形成一個統(tǒng)一的終端應用行為安全監(jiān)測平臺；第三層，是根據(jù)公安數(shù)據(jù)信息安全管控平臺業(yè)務需求開發(fā)的可視化展示及業(yè)務處置系統(tǒng)，用于管控平臺的全面管理和信息展示。

3.3 建設內(nèi)容

根據(jù)上述的公安數(shù)據(jù)信息安全管控平臺的層次架構說明，整個安全管控平臺所涉及的建設內(nèi)容包括：

（1）終端綜合安全防護體系建設；

（2）應用行為監(jiān)管平臺建設；

（3）與上級專網(wǎng)管控平臺的聯(lián)通接口建設。

3.3.1 建設終端綜合安全防護體系

以公安專網(wǎng)防護為中心，建設終端防護設施，具體包括以下防護系統(tǒng)：

（1）建設終端應用行為審計系統(tǒng)，針對當前公安網(wǎng)內(nèi)突出的倒賣業(yè)務信息、民警干私活、和業(yè)務系統(tǒng)遭受入侵攻擊等違規(guī)事件，可通過對終端應用系統(tǒng)訪問行為的監(jiān)管、審計、分析等方法。

（2）建設證書安全審計系統(tǒng)，通過此系統(tǒng)，將訪問公安信息網(wǎng)敏感資源的身份信息全部記錄下來，結合應用層面的審計，可進行軌跡的追溯及場景的還原，同時根據(jù)不同業(yè)務、不同部門的審計策略進行分析，提供有針對性的審計分析或倒查取證，并依此為依據(jù)進行合規(guī)行為的定義，提供違規(guī)報警的實際依據(jù)。

（3）建設終端準入控制系統(tǒng)，從終端的安全接入控制入手，對接入公安專網(wǎng)的終端強制實施身份認證和安全性檢查，保證接入終端身份合法、設備安全和資源訪問范圍可控，讓終端用戶的應用行為和信息得到安全的保護，提高公安專網(wǎng)終端的主動防御能力。

（4）建設終端打印管理系統(tǒng)，對專網(wǎng)終端打印機和網(wǎng)絡打印機進行管控，有效地防止通過打印形式，造成數(shù)據(jù)信息泄密。本系統(tǒng)結合已部署的敏感信息檢查系統(tǒng)，對打印的文檔進行檢查，避免通過打印泄露專網(wǎng)重要數(shù)據(jù)的風險。

3.3.2 建設應用行為安全監(jiān)管平臺

應用行為安全監(jiān)管平臺以審計應用系統(tǒng)為核心，以應用系統(tǒng)的終端訪問行為、證書日志為數(shù)據(jù)來源，以終端監(jiān)管為手段，通過大數(shù)據(jù)技術建模，對業(yè)務信息泄露、民警干私活、內(nèi)部人員入侵攻擊等違規(guī)案事件進行預警和應急處置。應用行為安全監(jiān)管平臺架構如圖1所示。

審計監(jiān)測層：本系統(tǒng)通過終端的應用安全審計監(jiān)測服務獲取公安網(wǎng)終端計算機的應用行為數(shù)據(jù)，同時該監(jiān)測服務接收監(jiān)管指令，將各類安全審計、監(jiān)測數(shù)據(jù)發(fā)送給終端審計監(jiān)管平臺，監(jiān)管平臺依據(jù)規(guī)則將海量的數(shù)據(jù)應用行為數(shù)據(jù)經(jīng)過分析、規(guī)整、轉(zhuǎn)存后，形成綜合安全監(jiān)測報告，同時根據(jù)系統(tǒng)設定的報警策略，將各類違規(guī)數(shù)據(jù)應用行為、數(shù)據(jù)異常截取行為、關鍵敏感數(shù)據(jù)訪問行為，按照特定接口，發(fā)送至終端行為審計監(jiān)管系統(tǒng)，進入到統(tǒng)一安全監(jiān)管流程中，實現(xiàn)應急響應。

數(shù)據(jù)處理層：該層為數(shù)據(jù)的存儲、分析層。原始審計數(shù)據(jù)不加修改的存入原始數(shù)據(jù)庫中，便于以后的定位和取證。分析可疑的應用行為識別出攻擊、越權訪問、數(shù)據(jù)濫用等行為。同時該層還包括級聯(lián)處理和相關數(shù)據(jù)的綜合統(tǒng)計分析等過程。

展示層：與用戶的交互層，數(shù)據(jù)處理層的數(shù)據(jù)進過分析、處理后放置于該層的索引數(shù)據(jù)庫中。集中展示各應用系統(tǒng)的違規(guī)行為，提供趨勢、統(tǒng)計等圖表作為決策的依據(jù)，提供對原始數(shù)據(jù)庫的查詢接口滿足取證和定位的要求。

4 總結

結合公安網(wǎng)上的很多重要應用系統(tǒng)缺乏有效的安全防護措施的現(xiàn)狀，提出了一種新的安全防護及內(nèi)部控制管理機制，通過加強對公安專網(wǎng)終端的管理力度，及時發(fā)現(xiàn)制止非授權訪問、數(shù)據(jù)盜取、信息泄露、違規(guī)接入等問題，形成以終端管理為核心的公安數(shù)據(jù)信息安全管控能力，彌補了公安網(wǎng)對違規(guī)行為無法進行事前警告，也不能做到事中制止的缺陷。

參考文獻

[1]孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術與挑戰(zhàn)[J].計算機研究與發(fā)展，2013，50（01）：35-66.

[2]大數(shù)據(jù)技術大會，http：//special.csdn.net/bdc2011/index.html.

[3]孟小峰，慈祥.大數(shù)據(jù)管理：概念、技術與挑戰(zhàn)[J].計算機研究與發(fā)展，2013，50（1）.

[4]王璐，孟小峰.位置大數(shù)據(jù)隱私保護研究綜述[J].軟件學報，2014，25（04）：693-712.

[5]王元卓，靳小龍，程學旗.網(wǎng)絡大數(shù)據(jù)：現(xiàn)狀與展望[J].計算機學報，2013，36（06）：78-92.

[6]Corbett J C，Dean J，Epstein M，et al.Spanner：Googles globally-distributed database.ACM Trans on computer systems，2013，25（02）6-19.

[7]Lohr S.The age of big data.New York Times，2012，11.

[8]Noguchi Y.Following digital breadcrumbs to big data gold[J].National Public Radio，2011（03）：56-88.

作者單位

河南省濮陽市公安局 河南省濮陽市 457000