《大数据检测在公安信息安全中的应用》由会员分享,可在线阅读,更多相关《大数据检测在公安信息安全中的应用(4页珍藏版)》请在金锄头文库上搜索。
1、大数据检测在公安信息安全中的应用摘要为进一步加强公安网终端行为的管控,运用新的安全防护理念,将各传统防护设备和系统统一起来,运用大数据分析技术,结合安全事件数字模型,从中发现数据盗取的行为。通过事前警告、事中禁止、事后取证、违规处置等技术,建立并完善公安信息网安全管理技术体系和工作机制。【关键词】大数据技术终端管控数字模型数据盗取信息安全目前,公安工作人员利用公安专网合法用户身份违规查询、窃取、批量倒卖警用敏感数据的安全事件频繁发生,此类安全事件的发生,表明了传统的以外部攻击为主要防护对象的安全技术手段,已不足以全面的保障公安信息资源的安全。当前公安网上的很多重要应用系统缺乏有效的安全防护措施
2、,对违规行为无法进行事前警告,也不能做到事中制止。1公安网安全现状目前,传统的安全技术设施大都以外部攻击者为主要防护对象,在专网内部用户的管理和防范方面缺失手段,难以有效地遏制和解决此类由于内部用户违规、违法操作所导致的数据安全问题。现有安全防护管理方式,都是面向一个点或是一个特定对象进行防护,在这种防护方式下,各设备、各系统各自运行、相互孤立,管理员日常工作量大,还难以对整个风险链进行追踪和监测,需要整合相关系统,形成全局的数据分析支撑,充分发挥已有防护系统的技术优势。2大数据监测原理及目标2.1大数据监测目标通过大数据检测最终形成公安专网中终端的综合监管,对“数据盗取”行为的事前警告、“数
3、据盗取”行为的事中制止、事后对盗窃者进行查处的综合管控能力。(1)建设“防数据盗取”的终端综合安全防护体系,通过实施终端行为审计、终端准入控制、终端数据安全管理、证书安全审计,实现对终端的综合监管、信息防护、行为审计、应急响应和数据分析等功能,完成对公安专网内的终端重要应用系统和敏感数据信息的安全防护;(2)建设基于大数据的应用行为安全监管平台,通过采集终端及证书产生的安全日志、安全报警数据,构建大数据处理分析平台,对这些数据进行集中存储处理.2.2大数据监测原理依据需求分析和建设目标,本项目涉及的建设任务涉及三部分。(1)构建终端综合安全防护体系,包括:终端应用行为审计、终端准入控制、USB
4、移动介质管理、终端打印管理、终端光盘刻录管理、终端应用发现、证书安全审计、边界检查管理、网站监管等系统。(2)建设应用行为安全监管平台,通过终端应用行为审计系统、证书安全审计系统的日志和监测报警数据,基于安全大数据引擎的深度挖掘分析,从海量日志数据中发现针对专网数据盗取的安全事件。3系统建设3.1总体框架公安数据信息安全管控平台通过建设终端行为审计、准入控制、数据安全管理、证书安全审计等系统,整合边界检查、网站监管等系统,统一采集上述防护系统的日志数据和安全报警数据,再结合大数据处理分析技术,对这些数据进行集中存储、处理。整个管控平台由三部分组成:(1)终端综合安全防护体系,通过这类防护设施将
5、公安专网的各关键应用系统从终端环境中保护起来。(2)面向应用行为安全监管平台,此平台收集来自终端防护体系的安全日志和监测报警数据,进行统一分析,对终端应用行为进行判断。(3)公安数据信息安全管控平台与上级专网管控平台联通接口,安全数据要统一传输到上级的大数据平台,进行集中分析。3.2功能架构整个管控平台分为三个层次,第一层,是公安专网建设的终端综合安全防护体系,包括对终端、外设、准入和证书的管理,这些系统所产生的数据要按照统一的规范和标准,通过传输通道,统一传到应用行为分析中心进行分析;第二层,是终端应用行为审计监管系统,用于收集的终端安全数据信息,横向上将各个不同的终端防护系统打通,形成一个
6、统一的终端应用行为安全监测平台;第三层,是根据公安数据信息安全管控平台业务需求开发的可视化展示及业务处置系统,用于管控平台的全面管理和信息展示。3.3建设内容根据上述的公安数据信息安全管控平台的层次架构说明,整个安全管控平台所涉及的建设内容包括:(1)终端综合安全防护体系建设;(2)应用行为监管平台建设;(3)与上级专网管控平台的联通接口建设。3.3.1建设终端综合安全防护体系以公安专网防护为中心,建设终端防护设施,具体包括以下防护系統:(1)建设终端应用行为审计系统,针对当前公安网内突出的倒卖业务信息、民警干私活、和业务系统遭受入侵攻击等违规事件,可通过对终端应用系统访问行为的监管、审计、分
7、析等方法。(2)建设证书安全审计系统,通过此系统,将访问公安信息网敏感资源的身份信息全部记录下来,结合应用层面的审计,可进行轨迹的追溯及场景的还原,同时根据不同业务、不同部门的审计策略进行分析,提供有针对性的审计分析或倒查取证,并依此为依据进行合规行为的定义,提供违规报警的实际依据。(3)建设终端准入控制系统,从终端的安全接入控制入手,对接入公安专网的终端强制实施身份认证和安全性检查,保证接入终端身份合法、设备安全和资源访问范围可控,让终端用户的应用行为和信息得到安全的保护,提高公安专网终端的主动防御能力。(4)建设终端打印管理系统,对专网终端打印机和网络打印机进行管控,有效地防止通过打印形式
8、,造成数据信息泄密。本系统结合已部署的敏感信息检查系统,对打印的文档进行检查,避免通过打印泄露专网重要数据的风险。3.3.2建设应用行为安全监管平台应用行为安全监管平台以审计应用系统为核心,以应用系统的终端访问行为、证书日志为数据来源,以终端监管为手段,通过大数据技术建模,对业务信息泄露、民警干私活、内部人员入侵攻击等违规案事件进行预警和应急处置。应用行为安全监管平台架构如图1所示。审计监测层:本系统通过终端的应用安全审计监测服务获取公安网终端计算机的应用行为数据,同时该监测服务接收监管指令,将各类安全审计、监测数据发送给终端审计监管平台,监管平台依据规则将海量的数据应用行为数据经过分析、规整
9、、转存后,形成综合安全监测报告,同时根据系统设定的报警策略,将各类违规数据应用行为、数据异常截取行为、关键敏感数据访问行为,按照特定接口,发送至终端行为审计监管系统,进入到统一安全监管流程中,实现应急响应。数据处理层:该层为数据的存储、分析层。原始审计数据不加修改的存入原始数据库中,便于以后的定位和取证。分析可疑的应用行为识别出攻击、越权访问、数据滥用等行为。同时该层还包括级联处理和相关数据的综合统计分析等过程。展示层:与用户的交互层,数据处理层的数据进过分析、处理后放置于该层的索引数据库中。集中展示各应用系统的违规行为,提供趋势、统计等图表作为决策的依据,提供对原始数据库的查询接口满足取证和定位的要求。4总结结合公安网上的很多重要应用系统缺乏有效的安全防护措施的现状,提出了一种新的安全防护及内部控制管理机制,通过加强对公安专网终端的管理力度,及时发现制止非授权访问、数据盗取、信息泄露、违规接入等问题,形成以终端管理为核心的公安数据信息安全管控能力,弥补了公安网对违规行为无法进行事前警告,也不能做到事中制止的缺陷。参考文献【1】孟小峰,慈祥.大数据管理:概念、技术与挑战.计算机研究与发展,2013,50(01):35-66.【2】大数据技术大会,http:/
