日志审计平台在公安信息网中的应用
摘 要 为有效解决公安信息网数据盗取、越权访问等造成公安敏感信息泄露、公民隐私被侵犯的问题,减少威胁公安信息网的安全隐患,分析了公安信息化向“大整合、高共享、深应用”快速发展的现状,对公安信息资源与公民日常生活的关联度不断增加的现状进行调查研究。提出了公安信息网日志安全审计平台建设思想,分析了公安信息网日志审计平台的建设目标,总体规划、系统部署和系统优越性。通过分权管控、广泛收集和集中审计从安全技术手段上加强对公安信息资源的保护。
【关键词】数据盗取 越权访问 信息泄露 公民隐私 网络安全 日志审计平台
随着公安部门相关业务的不断发展,各种业务应用和支撑系统的不断增加,网络规模扩大,原有的由各个应用系统分散管理用户和访问授权的管理方式造成了在业务管理和安全之间的失衡,对业务系统的访问存在着极大的安全隐患,使一些别有用心的工作人员有机会利用他人的帐号口令登录系统,进行非法操作,同时也给发生重大事故后的责任追查带来困难。
1 公安网日志审计平台建设目标
根据目前公安网的现状,公安网日志审计平台建设主要目标:分权管控、广泛收集、集中审计。
1.1 分权管控
以现有的信息安全基础设施PKI/PMI为基础,应用数字证书统一管理应用系统的管理员身份。管理员身份由应用系统主管领导授权,本平台签证才能生效,且管理员登录应用系统后的所有日志自动存入本平台,从而保证可以精细控制不同管理员对不同系统的管理权限,并能准确记录管理员的系统管理操作行为。
1.2 广泛收集
通过多种方式全面采集网络中各种设备、应用和系统的日志信息,通过关键服务器集中监控审计系统对网络中的关键设备的日志信息进行采集,确保平台能够收集所有必需的日志信息,避免出现遗漏。
1.3 集中审计
通过对网络访问行为的监测、系统日志的记录分析等方法,帮助安全管理员及时发现外在的入侵攻击、越权访问、数据滥用等攻击行为,从而确保整个安全体系的完备性、合理性和可用性。
2 公安网日志审计平台总体部署
公安网日志安全审计平台采用先进的大数据架构,通过采集公安网内业务系统数据,利用机器学习、数据建模、行为识别、关联分析等方法对公安网业务系统数据进行统一分析,实现对网络攻击行为、安全异常事件、未知威胁的发现和告警。日志安全审计平台提供了对公安网数据的集中存储、全文检索、关联分析、可视化展现功等能。
2.1 系统部署
日志审计平台的主要设备包括:日志采集服务器、应用服务器、应用系统日志抓取服务器,以及软件部分应用日志安全审计平台、关系数据库,核心是关键服务器集中监控审计、存储、文件检索,日志审计平台的具体部署方式:在核心交换机处旁路部署关键服务器集中监控审计系统两台(双机),实现针对运维人员操作行为的监控等;部署应用日志安全审计系统一套,硬件平台含日志采集服务器、应用服务器、存储设备等,软件部分含应用日志审计平台基础软件、关系数据库、应用中间件等;部署应用系统日志抓取及生成系统一套,实现五大应用系统已有日志的抓取、格式转换、缺失日志的生成并向应用日志安全审计平台进行推送。
2.2 系统建设技术优越性
本平臺建设的系统优越性主要体现在以下几个方面:
(1)系统规范化的日志格式,为对现有应用系统、应用安全子系统的日志信息实施数据集成提供了规范化的格式标准,同时为今后新增安全系统、应用系统的日志管理提供了可参照的标准,能够有效地解决应用系统建设规范欠缺的问题。
(2)在目前的主流应用安全技术中,大量产品均需读取网络中各类应用系统、服务器等的日志信息,重复的信息读取、处理必然带来不必要的系统压力。此次系统建设,通过应用安全监管平台的统一部署,能够避免多个应用安全系统反复读取同样的日志数据等所带来的网络性能降低、服务器资源被占等问题。
(3)各类业务应用系统、安全子系统的日志等信息汇聚至监管平台系统,能够支持以往单一应用安全技术所无法实现的综合安全分析,更细致、更深入地挖掘出网络中的安全风险,更有效地对已发生安全事件追索证据。
2.3 关键服务器集中监控审计
关键服务器集中监控审计是日志审计平台的核心,能够提供对关键应用系统服务器的细粒度的访问控制,来限制用户的系统访问行为,从而最大限度保护用户资源的安全。管理员可以根据用户自身的角色为其指定相应的控制策略来进行限定,访问控制策略是保护系统安全性的重要环节,制定良好的访问策略能够更好的提高系统的安全性。
关键服务器集中监控审计系统在基于细粒度的访问控制下,可以真正做到:Who(谁),控制什么用户允许操作;Where(什么地点),控制来源于什么地址的用户允许访问什么资源;When(什么时间),控制在什么时间允许用户操作;What(做了什么),控制用户执行的操作。
2.3.1 安全策略
可以制定细粒度策略,策略区分密码安全策略、“禁止执行”类和“允许执行”类,安全策略场景对象支持主机命令对象、访问时间对象、客户端地址对象、访问锁定对象。其中,访问时间对象是对主帐号访问系统和资源的时间管理要求进行定义,它包含两种类型:
(1)允许访问的时间段和不允许访问的时间段,访问时间对象能够定义一段日期范围内的具体某一个或多个时辰,该策略可以限制一个主帐号允许在这个时间范围内访问系统和资源或不能访问系统和资源;
(2)客户端地址对象是对资源账号访问资源的地址管理要求进行定义,允许访问的客户端和不允许访问的客户端.
2.3.2 访问控制
系统通过对用户授权,可以定义用户可以访问哪些设备,以及以什么样的方式在什么时间访问,可以防止未被授权的用户对资源的访问。可以通过制定访问规则对(自然人)主账号和(被管资源)从账号进行关系匹配,同时在规则内可以定义授权协议、关联安全策略等,支持对运维操作的实时监控,双人运维,对不正常的操作可以实时阻断。
2.3.3 操作审计
能够对本系统运行的全部行为进行记录。如帐号管理、认证、账号分配情况、权限分配情况、账号使用情况等,支持对账号分配情况的审计:包括主账号与从账号的对应关系,主账号、从账号的创建时间、创建人等支持对登录过程和用户身份的审计。审计查询支持交互式查询,主帐号、信息类型、内容、时间进行查询,查询可以通过与、或方式进行多级查询条件组合,提高查询准确性,支持按照IP、时间主从帐号、资源、关键操作和关键数据进行规则过滤。
3 小结
建设日志审计平台是公安信息化发展的必然趋势,随着公安信息化建设的深入开展,公安保密信息泄露及网络安全事件频繁发生,建立有效的约束机制和检测平台势在必行,本文提出了一种业务系统日志审计平台解决方案,能有效追踪日志来源,为事后取证提供了有力依据,从而有效防止泄密和安全事件发生,杜绝安全隐患。同时,随着公安信息化向“大整合、高共享、深应用”快速发展,日志审计平台有待进一步完善,使其切实发挥有力作用。
参考文献
[1]赵平,汪海航,谭成翔.基于防火墙日志的网络隔离安全审计系统设计与实现[J].计算机应用研究,2009,24(07).
[2]杨巨龙.大数据技术全解-基础、设计、开发与实践[M].北京:电子工业出版社,2014.
[3]孙大为,张广艳,郑纬民.大數据流式计算:关键技术及系统实例[J].软件学报,2014,25(02).
[4]金澈清.流数据分析与管理综述[J].软件学报,2010,15(08):112-158.
[5]冯登国,张敏,李昱.大数据安全与隐私保护[J].计算机学报,2014,37(01):129-159.
[6]荆宜青.云计算环境下的网络安全问题及应对措施探讨[J].网络安全技术与应用,2015(09):78-106.
[7]Mark B.Gartner says solving big data challenge involves more than just managing volumes of data [J].Gartner Retrieved.2011,13.
[8]Goodhope,Ken,et al.Building LinkedIn’s Real-time Activity Data Pipeline.Data Engineering [J].2012,32(02).
作者单位
河南省濮阳市公安局 河南省濮阳市 457000
