异常应用行为实时处置.docVIP

远望终端应用行为审计监管系统 技术白皮书 浙江远望电子有限公司 电话：0571 服务热线：400-826-1595 网址： 浙江省杭州市 目录 1. 背景 2 2. 建设目标 6 3. 总体结构 8 3.1. 层次结构 8 3.2. 系统结构 9 3.3. 部署结构 11 4. 主要功能 13 4.1. 应用安全审计 13 4.2. 综合分析和数据挖掘 14 4.3. 异常应用行为实时处置 17 4.3.1. 告警规则配置 17 4.3.2. 告警日志查询 18 4.4. 应用系统使用成效分析 19 4.5. 审计管理支撑 19 5. 系统安全性 20 5.1. 系统安全 20 5.2. 数据库安全 20 5.3. 应用安全 21 5.4. 权限设计 21 6. 主要特点 22 7. 配置建议 24 7.1. 省级系统 24 7.2. 地市级系统 25 7.3. 区县级系统 25  背景 公安信息资源大整合、高共享的发展趋势加大了应用系统的安全风险，通过数据窃取、越权访问、违规操作等途径获取公安业务数据，造成信息泄露的违规案事件频发，并逐步成为当前迫切需解决的安全问题。 安全审计是信息系统安全保障工作的重要一环，针对当前公安网内突出的民警干私活、业务信息泄露、业务系统遭受入侵攻击等违规案事件，可通过对应用系统访问行为的审计、监测、分析等方法，帮助安全管理员及时发现对公安应用系统的异常、违规甚至违法的访问行为，并且在一旦发生安全事故后，能快速追踪定位和取证，从而进一步保障公安业务数据的安全。 目前公安网内存在综合查询系统、情报信息综合应用平台、人口信息系统、出入境人员/证件信息系统、机动车/驾驶人信息系统等重要应用系统，这些系统在网络结构、应用架构、开发语言、数据存储等方面都不尽相同 ,是一个典型的异构环境，采用哪一种方式实施对这些应用系统的有效安全审计和监测，必须进行广泛调研和科学设计。 从安全审计工作的完整性和有效性方面讲，对公安网内各重要应用系统的审计，必须准确监测每一次访问行为的5个W —— 谁(WHO)，在什么时间（WHEN），访问过什么业务系统（WHAT system），获取过什么数据（WHAT data）,采用何种方式输出/流转过这些数据（WHAT way），这是违规/违法案事件稽审和事后倒查的重要信息基础，也是终端应用行为审计监管系统设计的重要依据和目标。 在公安网内实施对重要应用系统的安全审计一般可采用以下三种方式： 改造各应用系统，完善/增强其审计模块。采用这种方式，存在以下缺陷： 建设周期长。各应用系统开发商需根据公安业务应用审计数据的要求完善、增强其审计模块，而目前公安网内的应用系统繁多，仅仅是将当前重要应用系统改造这一项工作就存在协调困难，开发周期长的问题，还要考虑因业务需要而不断增加、升级的应用系统改造消耗。 审计信息不完整。目前公安网内有八大资源库，一些应用系统可绕开这些资源库的审计模块而直接获取业务数据，容易导致审计信息的缺失。 缺失业务数据输出/流转信息。应用系统对数据输出的审计，只能针对使用系统自带的数据导出、打印等功能的应用行为，而对于常用的采用拷贝/粘贴方式导出数据、附加在其它文件等的行为则无法审计，更难以审计将导出的业务数据文件通过移动介质或网络方式传输等的数据流转行为。 部署专用网关级审计设备。采用这种方式，存在以下缺陷： 审计信息不完整。审计网关主要通过分析应用系统的访问数据包来发现、记录应用行为，但一方面这些设备对加密的数据包内容难以解析，从而审计不了应用行为；另一方面其部署位置直接影响审计效果，比如将设备部署在核心交换节点旁，则那些不通过核心交换节点的应用数据就不会被发现。 难以获取应用者真实身份信息。通过审计网关仅仅只能记录应用者的IP地址，其真实身份信息（如警员姓名、编号、身份证号码等）无法审计。 无法审计业务数据输出/流转信息。采用打印输出、移动介质拷贝、网络文件传输等常见方式输出/流转业务数据，审计网关都难以审计。 在终端上部署应用安全审计监测服务。 通过在公安网内终端上部署应用安全审计监测服务，可从应用系统访问者的角度，全面审计应用行为，保障审计信息的完整性和应用安全监管的有效性。采用这种方式，具备以下优势： 审计信息完备。应用安全审计监测服务从访问者的角度，全面监测、审计所有应用行为，避免了应用系统间直接调用数据导致审计信息部分缺失的情况。 访问者身份信息完整、真实。终端上的审计监测服务一方面可方便的获取应用终端的账号信息，另一方面可同公安PKI/PMI系统无缝对接，获取访问者的真实身份信息。这样就可完整的记录应用行为发起终端的注册人信息、操作系统账号信息和应用者的真实身份。 业务