日志審計平臺在公安信息網中的應用

毋曉英

摘 要 為有效解決公安信息網數據盜取、越權訪問等造成公安敏感信息泄露、公民隱私被侵犯的問題，減少威脅公安信息網的安全隱患，分析了公安信息化向“大整合、高共享、深應用”快速發展的現狀，對公安信息資源與公民日常生活的關聯度不斷增加的現狀進行調查研究。提出了公安信息網日志安全審計平臺建設思想，分析了公安信息網日志審計平臺的建設目標，總體規劃、系統部署和系統優越性。通過分權管控、廣泛收集和集中審計從安全技術手段上加強對公安信息資源的保護。

【關鍵詞】數據盜取 越權訪問 信息泄露 公民隱私 網絡安全 日志審計平臺

隨著公安部門相關業務的不斷發展，各種業務應用和支撐系統的不斷增加，網絡規模擴大，原有的由各個應用系統分散管理用戶和訪問授權的管理方式造成了在業務管理和安全之間的失衡，對業務系統的訪問存在著極大的安全隱患，使一些別有用心的工作人員有機會利用他人的帳號口令登錄系統，進行非法操作，同時也給發生重大事故后的責任追查帶來困難。

1 公安網日志審計平臺建設目標

根據目前公安網的現狀，公安網日志審計平臺建設主要目標：分權管控、廣泛收集、集中審計。

1.1 分權管控

以現有的信息安全基礎設施PKI/PMI為基礎，應用數字證書統一管理應用系統的管理員身份。管理員身份由應用系統主管領導授權，本平臺簽證才能生效，且管理員登錄應用系統后的所有日志自動存入本平臺，從而保證可以精細控制不同管理員對不同系統的管理權限，并能準確記錄管理員的系統管理操作行為。

1.2 廣泛收集

通過多種方式全面采集網絡中各種設備、應用和系統的日志信息，通過關鍵服務器集中監控審計系統對網絡中的關鍵設備的日志信息進行采集，確保平臺能夠收集所有必需的日志信息，避免出現遺漏。

1.3 集中審計

通過對網絡訪問行為的監測、系統日志的記錄分析等方法，幫助安全管理員及時發現外在的入侵攻擊、越權訪問、數據濫用等攻擊行為，從而確保整個安全體系的完備性、合理性和可用性。

2 公安網日志審計平臺總體部署

公安網日志安全審計平臺采用先進的大數據架構，通過采集公安網內業務系統數據，利用機器學習、數據建模、行為識別、關聯分析等方法對公安網業務系統數據進行統一分析，實現對網絡攻擊行為、安全異常事件、未知威脅的發現和告警。日志安全審計平臺提供了對公安網數據的集中存儲、全文檢索、關聯分析、可視化展現功等能。

2.1 系統部署

日志審計平臺的主要設備包括：日志采集服務器、應用服務器、應用系統日志抓取服務器，以及軟件部分應用日志安全審計平臺、關系數據庫，核心是關鍵服務器集中監控審計、存儲、文件檢索，日志審計平臺的具體部署方式：在核心交換機處旁路部署關鍵服務器集中監控審計系統兩臺（雙機），實現針對運維人員操作行為的監控等；部署應用日志安全審計系統一套，硬件平臺含日志采集服務器、應用服務器、存儲設備等，軟件部分含應用日志審計平臺基礎軟件、關系數據庫、應用中間件等；部署應用系統日志抓取及生成系統一套，實現五大應用系統已有日志的抓取、格式轉換、缺失日志的生成并向應用日志安全審計平臺進行推送。

2.2 系統建設技術優越性

本平臺建設的系統優越性主要體現在以下幾個方面：

（1）系統規范化的日志格式，為對現有應用系統、應用安全子系統的日志信息實施數據集成提供了規范化的格式標準，同時為今后新增安全系統、應用系統的日志管理提供了可參照的標準，能夠有效地解決應用系統建設規范欠缺的問題。

（2）在目前的主流應用安全技術中，大量產品均需讀取網絡中各類應用系統、服務器等的日志信息，重復的信息讀取、處理必然帶來不必要的系統壓力。此次系統建設，通過應用安全監管平臺的統一部署，能夠避免多個應用安全系統反復讀取同樣的日志數據等所帶來的網絡性能降低、服務器資源被占等問題。

（3）各類業務應用系統、安全子系統的日志等信息匯聚至監管平臺系統，能夠支持以往單一應用安全技術所無法實現的綜合安全分析，更細致、更深入地挖掘出網絡中的安全風險，更有效地對已發生安全事件追索證據。

2.3 關鍵服務器集中監控審計

關鍵服務器集中監控審計是日志審計平臺的核心，能夠提供對關鍵應用系統服務器的細粒度的訪問控制，來限制用戶的系統訪問行為，從而最大限度保護用戶資源的安全。管理員可以根據用戶自身的角色為其指定相應的控制策略來進行限定，訪問控制策略是保護系統安全性的重要環節，制定良好的訪問策略能夠更好的提高系統的安全性。

關鍵服務器集中監控審計系統在基于細粒度的訪問控制下，可以真正做到：Who（誰），控制什么用戶允許操作；Where（什么地點），控制來源于什么地址的用戶允許訪問什么資源；When（什么時間），控制在什么時間允許用戶操作；What（做了什么），控制用戶執行的操作。

2.3.1 安全策略

可以制定細粒度策略，策略區分密碼安全策略、“禁止執行”類和“允許執行”類，安全策略場景對象支持主機命令對象、訪問時間對象、客戶端地址對象、訪問鎖定對象。其中，訪問時間對象是對主帳號訪問系統和資源的時間管理要求進行定義，它包含兩種類型：

（1）允許訪問的時間段和不允許訪問的時間段，訪問時間對象能夠定義一段日期范圍內的具體某一個或多個時辰，該策略可以限制一個主帳號允許在這個時間范圍內訪問系統和資源或不能訪問系統和資源；

（2）客戶端地址對象是對資源賬號訪問資源的地址管理要求進行定義，允許訪問的客戶端和不允許訪問的客戶端.

2.3.2 訪問控制

系統通過對用戶授權，可以定義用戶可以訪問哪些設備，以及以什么樣的方式在什么時間訪問，可以防止未被授權的用戶對資源的訪問。可以通過制定訪問規則對（自然人）主賬號和（被管資源）從賬號進行關系匹配，同時在規則內可以定義授權協議、關聯安全策略等，支持對運維操作的實時監控，雙人運維，對不正常的操作可以實時阻斷。

2.3.3 操作審計

能夠對本系統運行的全部行為進行記錄。如帳號管理、認證、賬號分配情況、權限分配情況、賬號使用情況等，支持對賬號分配情況的審計：包括主賬號與從賬號的對應關系，主賬號、從賬號的創建時間、創建人等支持對登錄過程和用戶身份的審計。審計查詢支持交互式查詢，主帳號、信息類型、內容、時間進行查詢，查詢可以通過與、或方式進行多級查詢條件組合，提高查詢準確性，支持按照IP、時間主從帳號、資源、關鍵操作和關鍵數據進行規則過濾。

3 小結

建設日志審計平臺是公安信息化發展的必然趨勢，隨著公安信息化建設的深入開展，公安保密信息泄露及網絡安全事件頻繁發生，建立有效的約束機制和檢測平臺勢在必行，本文提出了一種業務系統日志審計平臺解決方案，能有效追蹤日志來源，為事后取證提供了有力依據，從而有效防止泄密和安全事件發生，杜絕安全隱患。同時，隨著公安信息化向“大整合、高共享、深應用”快速發展，日志審計平臺有待進一步完善，使其切實發揮有力作用。

參考文獻

[1]趙平，汪海航，譚成翔.基于防火墻日志的網絡隔離安全審計系統設計與實現[J].計算機應用研究，2009，24（07）.

[2]楊巨龍.大數據技術全解-基礎、設計、開發與實踐[M].北京：電子工業出版社，2014.

[3]孫大為，張廣艷，鄭緯民.大數據流式計算：關鍵技術及系統實例[J].軟件學報，2014，25（02）.

[4]金澈清.流數據分析與管理綜述[J].軟件學報，2010，15（08）：112-158.

[5]馮登國，張敏，李昱.大數據安全與隱私保護[J].計算機學報，2014，37（01）：129-159.

[6]荊宜青.云計算環境下的網絡安全問題及應對措施探討[J].網絡安全技術與應用，2015（09）：78-106.

[7]Mark B.Gartner says solving big data challenge involves more than just managing volumes of data [J].Gartner Retrieved.2011，13.

[8]Goodhope，Ken，et al.Building LinkedIns Real-time Activity Data Pipeline.Data Engineering [J].2012，32（02）.

作者單位

河南省濮陽市公安局 河南省濮陽市 457000