大數據檢測在公安信息安全中的應用

毋曉英

摘 要為進一步加強公安網終端行為的管控，運用新的安全防護理念，將各傳統防護設備和系統統一起來，運用大數據分析技術，結合安全事件數字模型，從中發現數據盜取的行為。通過事前警告、事中禁止、事后取證、違規處置等技術，建立并完善公安信息網安全管理技術體系和工作機制。

【關鍵詞】大數據技術 終端管控 數字模型 數據盜取 信息安全

目前，公安工作人員利用公安專網合法用戶身份違規查詢、竊取、批量倒賣警用敏感數據的安全事件頻繁發生，此類安全事件的發生，表明了傳統的以外部攻擊為主要防護對象的安全技術手段，已不足以全面的保障公安信息資源的安全。當前公安網上的很多重要應用系統缺乏有效的安全防護措施，對違規行為無法進行事前警告，也不能做到事中制止。

1 公安網安全現狀

目前，傳統的安全技術設施大都以外部攻擊者為主要防護對象，在專網內部用戶的管理和防范方面缺失手段，難以有效地遏制和解決此類由于內部用戶違規、違法操作所導致的數據安全問題。

現有安全防護管理方式，都是面向一個點或是一個特定對象進行防護，在這種防護方式下，各設備、各系統各自運行、相互孤立，管理員日常工作量大，還難以對整個風險鏈進行追蹤和監測，需要整合相關系統，形成全局的數據分析支撐，充分發揮已有防護系統的技術優勢。

2 大數據監測原理及目標

2.1 大數據監測目標

通過大數據檢測最終形成公安專網中終端的綜合監管，對“數據盜取”行為的事前警告、“數據盜取”行為的事中制止、事后對盜竊者進行查處的綜合管控能力。

（1）建設“防數據盜取”的終端綜合安全防護體系，通過實施終端行為審計、終端準入控制、終端數據安全管理、證書安全審計，實現對終端的綜合監管、信息防護、行為審計、應急響應和數據分析等功能，完成對公安專網內的終端重要應用系統和敏感數據信息的安全防護；

（2）建設基于大數據的應用行為安全監管平臺，通過采集終端及證書產生的安全日志、安全報警數據，構建大數據處理分析平臺，對這些數據進行集中存儲處理.

2.2 大數據監測原理

依據需求分析和建設目標，本項目涉及的建設任務涉及三部分。

（1）構建終端綜合安全防護體系，包括：終端應用行為審計、終端準入控制、USB移動介質管理、終端打印管理、終端光盤刻錄管理、終端應用發現、證書安全審計、邊界檢查管理、網站監管等系統。

（2）建設應用行為安全監管平臺，通過終端應用行為審計系統、證書安全審計系統的日志和監測報警數據，基于安全大數據引擎的深度挖掘分析，從海量日志數據中發現針對專網數據盜取的安全事件。

3 系統建設

3.1 總體框架

公安數據信息安全管控平臺通過建設終端行為審計、準入控制、數據安全管理、證書安全審計等系統，整合邊界檢查、網站監管等系統，統一采集上述防護系統的日志數據和安全報警數據，再結合大數據處理分析技術，對這些數據進行集中存儲、處理。

整個管控平臺由三部分組成：

（1）終端綜合安全防護體系，通過這類防護設施將公安專網的各關鍵應用系統從終端環境中保護起來。

（2）面向應用行為安全監管平臺，此平臺收集來自終端防護體系的安全日志和監測報警數據，進行統一分析，對終端應用行為進行判斷。

（3）公安數據信息安全管控平臺與上級專網管控平臺聯通接口，安全數據要統一傳輸到上級的大數據平臺，進行集中分析。

3.2 功能架構

整個管控平臺分為三個層次，第一層，是公安專網建設的終端綜合安全防護體系，包括對終端、外設、準入和證書的管理，這些系統所產生的數據要按照統一的規范和標準，通過傳輸通道，統一傳到應用行為分析中心進行分析；第二層，是終端應用行為審計監管系統，用于收集的終端安全數據信息，橫向上將各個不同的終端防護系統打通，形成一個統一的終端應用行為安全監測平臺；第三層，是根據公安數據信息安全管控平臺業務需求開發的可視化展示及業務處置系統，用于管控平臺的全面管理和信息展示。

3.3 建設內容

根據上述的公安數據信息安全管控平臺的層次架構說明，整個安全管控平臺所涉及的建設內容包括：

（1）終端綜合安全防護體系建設；

（2）應用行為監管平臺建設；

（3）與上級專網管控平臺的聯通接口建設。

3.3.1 建設終端綜合安全防護體系

以公安專網防護為中心，建設終端防護設施，具體包括以下防護系統：

（1）建設終端應用行為審計系統，針對當前公安網內突出的倒賣業務信息、民警干私活、和業務系統遭受入侵攻擊等違規事件，可通過對終端應用系統訪問行為的監管、審計、分析等方法。

（2）建設證書安全審計系統，通過此系統，將訪問公安信息網敏感資源的身份信息全部記錄下來，結合應用層面的審計，可進行軌跡的追溯及場景的還原，同時根據不同業務、不同部門的審計策略進行分析，提供有針對性的審計分析或倒查取證，并依此為依據進行合規行為的定義，提供違規報警的實際依據。

（3）建設終端準入控制系統，從終端的安全接入控制入手，對接入公安專網的終端強制實施身份認證和安全性檢查，保證接入終端身份合法、設備安全和資源訪問范圍可控，讓終端用戶的應用行為和信息得到安全的保護，提高公安專網終端的主動防御能力。

（4）建設終端打印管理系統，對專網終端打印機和網絡打印機進行管控，有效地防止通過打印形式，造成數據信息泄密。本系統結合已部署的敏感信息檢查系統，對打印的文檔進行檢查，避免通過打印泄露專網重要數據的風險。

3.3.2 建設應用行為安全監管平臺

應用行為安全監管平臺以審計應用系統為核心，以應用系統的終端訪問行為、證書日志為數據來源，以終端監管為手段，通過大數據技術建模，對業務信息泄露、民警干私活、內部人員入侵攻擊等違規案事件進行預警和應急處置。應用行為安全監管平臺架構如圖1所示。

審計監測層：本系統通過終端的應用安全審計監測服務獲取公安網終端計算機的應用行為數據，同時該監測服務接收監管指令，將各類安全審計、監測數據發送給終端審計監管平臺，監管平臺依據規則將海量的數據應用行為數據經過分析、規整、轉存后，形成綜合安全監測報告，同時根據系統設定的報警策略，將各類違規數據應用行為、數據異常截取行為、關鍵敏感數據訪問行為，按照特定接口，發送至終端行為審計監管系統，進入到統一安全監管流程中，實現應急響應。

數據處理層：該層為數據的存儲、分析層。原始審計數據不加修改的存入原始數據庫中，便于以后的定位和取證。分析可疑的應用行為識別出攻擊、越權訪問、數據濫用等行為。同時該層還包括級聯處理和相關數據的綜合統計分析等過程。

展示層：與用戶的交互層，數據處理層的數據進過分析、處理后放置于該層的索引數據庫中。集中展示各應用系統的違規行為，提供趨勢、統計等圖表作為決策的依據，提供對原始數據庫的查詢接口滿足取證和定位的要求。

4 總結

結合公安網上的很多重要應用系統缺乏有效的安全防護措施的現狀，提出了一種新的安全防護及內部控制管理機制，通過加強對公安專網終端的管理力度，及時發現制止非授權訪問、數據盜取、信息泄露、違規接入等問題，形成以終端管理為核心的公安數據信息安全管控能力，彌補了公安網對違規行為無法進行事前警告，也不能做到事中制止的缺陷。

參考文獻

[1]孟小峰，慈祥.大數據管理：概念、技術與挑戰[J].計算機研究與發展，2013，50（01）：35-66.

[2]大數據技術大會，http：//special.csdn.net/bdc2011/index.html.

[3]孟小峰，慈祥.大數據管理：概念、技術與挑戰[J].計算機研究與發展，2013，50（1）.

[4]王璐，孟小峰.位置大數據隱私保護研究綜述[J].軟件學報，2014，25（04）：693-712.

[5]王元卓，靳小龍，程學旗.網絡大數據：現狀與展望[J].計算機學報，2013，36（06）：78-92.

[6]Corbett J C，Dean J，Epstein M，et al.Spanner：Googles globally-distributed database.ACM Trans on computer systems，2013，25（02）6-19.

[7]Lohr S.The age of big data.New York Times，2012，11.

[8]Noguchi Y.Following digital breadcrumbs to big data gold[J].National Public Radio，2011（03）：56-88.

作者單位

河南省濮陽市公安局 河南省濮陽市 457000