王大为

摘   要：近年来，我国大力推进电子政务发展和行业信息化技术融合，以贯彻落实新时期推进治理能力现代化、互联信息化的指导思想。现阶段，政府部门及各大行业、企事业单位基本上都实现了核心业务的信息化，业务信息化体现了工作的信息化、资产的信息化乃至权力的信息化。由于利益关系驱动和信息网络的监管脆弱性，重要信息系统的数据和操作安全受到了极大的威胁。文章将重点阐述利用审计产品结合大数据分析技术实现重要信息系统的安全监测体系构建方法。

关键词：审计产品;大数据分析;重要信息系统;监测体系

1    信息化环境下的安全威胁

现阶段，我国各政府部门及各大行业、企事业单位的主要业务基本上都实现了信息化，随之产生了大量关乎国计民生的重要信息系统，系统中的核心数据因为具有重要的政治、经济价值，成为违法分子千方百计窃取的目标，大量非法数据采集者为了获取利益疯狂窃取、倒卖个人信息乃至行业、国家信息。防止、制止以非法手段盗取、修改、删除信息系统数据获取经济利益的违法犯罪行为发生，成为国家和各单位信息部门对信息安全审计监察工作的一个重要职责，对重要信息数据的限制使用、保密管理工作也成为现代组织面临的重要挑战之一。

2    信息系统的安全威胁分析

信息系统由于其本身是服务业务、处理数据的依托，需要对内部用户开发业务处置、查询和数据维护的功能。虽然很多单位在这个层面做了基于用户类型的权限分配，但是也难以避免系统中存在权限较高，并能接触到重要、全面信息数据的业务帐号的问题。此类帐号是威胁产生的关键点，是违规操作或利益驱动致使数据泄露、篡改、丢失的一大威胁源头[1]。

为了方便服务大众，我国大力推进信息化便民服务，将原本运行在单位内部的信息系统推向互联网，随之而来的是将可能遭到外部“黑客”的觊觎。网络“黑客”能够利用这些重要信息系统的技术漏洞，采用各种黑客手段获得对信息系统的控制权，获取系统数据或者操作系统进行数据篡改。现阶段普遍还存在如下风险和威胁，具体如下：

（1）信息大集中、易泄露且影响大。现在大部分单位核心业务基本都已经进行了信息化处理，信息数据资源大集中，大力发展大数据挖掘等新技术，大量国家重要信息、专业情报、公民隐私信息都被集中存储、处理。这些数据在没有较强防护能力的系统中被存储、运用，一旦信息遭到泄露，极易造成较大的社会影响，甚至危害到国家安全。

（2）技术能力难以应对安全监管要求。大部分需要依托外部力量，重要信息系统的开发基本都是委托外部专业软件公司进行，基础环境建设也基本上由具有多年相关行业集成经验的集成商承建。无论是软件的维护和安全管理，还是网络和信息系统整体安全运维，大部分都是选择服务外包。如此，虽然提高了管理的技术能力，但也需要承担外部运维人员不可控的安全风险。

（3）虽然配备了大量的安全设备，但仍存在“信息孤岛”。很多单位陆续针对应用系统的信息使用行为安全管理，增加了多种的管控、审计的技术手段，诸如配置安全审计系统、数据库审计系统、堡垒机等设备，但此类设备都是针对某一方面进行检测与审计的，独立运行、自成系统，很难对发现的违规行为进行追溯、定位，更不能提前定位风险，审计类产品的部署形同虚设[2]。

3    构建重要信息系统监测体系的思路

对于各单位的重要信息系统，其对与系统使用行为、数据操作行为需要实现覆盖系统全过程的行为采集。采集的内容包括3个层面：

首先，针对信息系统的应用，需要采集其应用运行的日志和用户使用的日志，包括从用户登陆系统开始，针对用户ID、角色类型、所用主机信息、时间、调用模块、使用的工作流、操作行为类型、操作内容、操作结果、系统处置响应等。

其次，针对信息系统的数据库操作，需要采集其面向各应用或中间件提供数据服务所产生的日志，包括发出操作请求的中间件、操作時间、数据库操作行为（select，update，insert，delete等）、存储过程调用等。

最后，针对信息系统和其对应的数据库运维操作，限制其维护的途径仅是通过堡垒机的授权操作规范管理，再通过堡垒机对信息系统和数据库的维护操作进行监控并采集生成的日志[3]。

只有对上述3个层面的信息采集进行统一规范，并通过技术手段将这些信息进行关联、分析，才能真正实现信息系统操作行为的集中管理、分析和追溯审计，构建统一的监测体系。主要工作如下：

（1）拟定标准，包括重要信息系统监测体系对相关日志在记录内容、记录格式、存留时间等方面的规范，以及重要信息系统监测体系与各信息系统中各项应用之间的接口标准等。这些标准规范用于规范上述3个层面的日志记录与存储，确保了系统的一致性。

（2）构建系统，通过搭建一个对重要信息系统实现监测的软件平台，来提供各信息系统日志安全审计与监测的功能，即实现一个软件系统能够采集各信息系统各层面的日志数据，并对日志数据进行查询、统计以及分析，达到对重要信息系统进行统一审计的目标。从技术上实现3个层面的关联，利用大数据分析技术，结合数学算法形成技术工具，判断威胁的追溯结果或提供风险预警。

（3）提供工具，通过现有审计产品的联动，结合监测软件系统，为重要信息系统的技术管理人员提供一套易于操作的技术工具，不但给技术管理人员提供发现风险的方法，也提供了追溯、处置威胁的工具。

4    体系架构及实现

严格依据国家网络安全法、网络安全等级保护制度等相关文件，拟定具备规范的技术体系框架和安全运行及管理保障体系框架的监测体系。系统本身安全性、稳定性极强，且需要具备面向不同厂商审计类设备兼容的强大能力和友好的接驳性。整个平台架构组成分为：数据层（大数据）、操作层、应用层，并结合图形展示技术和大数据分析技术自成体系。

4.1  核心技术聚类分析

利用大数据挖掘技术，将监测收集的3个层面整型后的日志数据塑造成一系列的“典型”或者“象征性”的抽象模型。围绕日志数据给出的行为特征，通过添加各种关键属性要素来对行为进行描述，形成算法模型的框架，并建立算法模型。

4.2  核心技术威胁分析

威胁分析是系统利用内置的大数据挖掘模型，对历史日志数据给出的历史规律进行分析，得到威胁行为的规律，并将当前日志数据与之进行实时比对，当不符合该规律时，给出预警提示。

根据业务特征建立异常操作模型，通过大量的历史数据不断训练模型，用测试数据不断调优，最后用于挖掘异常操作行为。

4.3  统一展示与安全处置

构建统一的监测体系，不仅是对监测日志层面进行技术上的整合，而且体现在运行管理方面。通过建立统一的展示形式，将从重要信息系统本身的行为日志和不同的审计类设备端收集而来的日志数据进行整合，形成从用户登陆到最终数据库操作完成的完整生命周期的操作记录条目，最终通过统一展示的形式把这些操作展示在同一个界面图形之中，实现操作行为的追根溯源。

5    结语

在各单位积极响应国家号召、利用互联网和先进信息技术提供各种便民服务的同时，重要信息系统的安全威胁和风险在不断地被放大，一旦发生数据泄露乃至数据篡改、丢失等情况，很难利用现有安全设备和技术手段进行及时、有效的处置。通过审计产品联动和多源信息汇聚处理，将原来“各自为战”的审计类产品进行联动，并利用大数据和聚类分析等技术，将获取的数据进行整合处理与聚类分析，进行威胁实时监测和风险预测，利用聚类模型和知识库得到处置建议，通过技术手段发现安全隐患，并及时处置。

[参考文献]

[1]刘以秦，周源，谢丽容.数据黑产调查[J].财经杂志，2015（5）：44-46.

[2]查成东，王长松，巩宪锋，等.基于改进K-均值聚类算法的背景提取方法[J].计算机工程与设计，2007（21）：5141-5143.

[3]佚名.安全监控与审计产品[J].保密科学技术，2014（9）：71.