方案名称：公安数据违规应用监测预警平台解决方案

　　应用领域：智慧公安

　　方案类型：安全解决方案（数据安全、应用安全、网络安全、终端安全等）

　　方案概述

　　随着公安大数据战略的深入推进，公安信息化向"大整合、高共享、深应用"快速发展，公安信息应用和共享方式日趋复杂，数据盗取、越权访问等造成公安敏感信息泄露、侵犯公民隐私的现象时有发生，严重威胁公安数据安全，亟待从安全技术手段上加强对公安信息资源的保护。公安数据违规应用监测预警平台针对公安机关内容数据盗取、越权访问、违规查询、数据泄漏等异常行为，综合利用多源异构数据接入、数据识别处理、特征工程、模型训练、专家系统、全文检索、集群并行计算等技术，破解公安大数据安全监管工作存在的"发现难、查证难、推进难"的问题。

　　主要功能

 

数据违规应用监测预警平台架构

　　公安数据违规应用监测预警平台以日志大数据接入、处理、管理、服务与应用，满足平台各项功能的实现。

　　日志大数据接入系统实现高效、可靠和可扩展的日志数据采集与处理功能。

　　日志大数据处理根据业务需求，基于警务云大数据平台提供的数据集成工具、分布式并行计算、批处理、实时计算等组件，对日志大数据开展处理。

　　日志大数据管理提供对日志大数据的质量管理、分类分级、数据加密管理、元数据管理、数据目录管理等功能。

　　日志大数据服务基于平台中的数据资源，将数据封装为各类服务接口，对各部门和下级单位提供服务，包括通用查询检索、数据发布订阅、数据推送、模型分析等服务接口。

　　日志大数据应用主要面向数据违规应用监测预警提供日志查询、研判分析、告警中心、模型设计、档案画像、态势感知、预警监测、响应处置等功能。

　　在系统具体业务应用中，该平台还提供日志查询、研判分析、告警、档案画像、态势感知、监测预警、响应处置等功能。

　　日志查询：提供日志全文检索、多条件组合查询功能，在违规应用或数据泄露等事件时，可以提供详细的日志信息以支持事后分析和取证调查。

　　研判分析：通过日志中的多维度条件组合进行研判，提供反向追溯、交叉访问分析、同机构对比、数据泄漏分析、操作轨迹分析、热词分析、越权访问分析等功能。

　　告警中心：日志告警中心能够实时监控日志数据，根据预设的告警规则，自动识别异常情况，一旦监控到符合告警规则的情况，系统会自动触发告警。 

　　模型设计：提供基于拖放式交互的建模工具，允许用户从数据源和组件库中选择所需的表字段和组件，在工作区中通过调整过滤条件和关系连接来定义模型的执行逻辑。

　　档案画像：基于静态属性信息和动态行为信息，对用户、应用、终端、组织机构4个实体进行刻画，全貌展示实体的行为特征。

　　态势感知：从日志接入情况、日志数据质量情况、各单位部门情况、违规告警情况等多维度，提供整体态势和专题态势的可视化呈现，支持决策分析。

　　监测预警：通过收集和分析各类实体行为数据，实时监测与正常模式不符的异常行为。一旦发现异常，系统将立即触发预警机制，通知相关人员进行处理。

　　响应处置：系统提供针对各类告警的处置功能，包括忽略、关闭、处置操作功能，以及通过系统对接方式将相关信息传递给第三方系统。

　　优势特点

　　相较于其他方案，该平台在技术领先性方面拥有较好的应用效应。

　　满足对用户实体行为分析

　　平台对人、设备、应用等各种实体的行为进行全面的分析和监测，基于大数据分析和机器学习算法，将违规操作、窃取数据、非法删除、违规查询等异常行为与正常行为进行关联分析，通过行为建模，准确地描述出行为细节，从而提高了命中异常事件的准确率，弥补了传统安全防控无法有效监测内部威胁的不足。

　　显著提升搜索性能和灵活性

　　平台利用了分布式数据映射搜索处理技术，该技术是一种基于分布式计算的搜索引擎技术，它使用多台计算机协同工作来处理大规模的数据和复杂的搜索请求。被搜索的大规模数据是以数据分块分区和多副本的方式，分散存储在多台服务器上，并且对这些数据通过token词法分析技术进行了分词和索引创建，使得搜索的性能和灵活性得到了显著的提升。

　　消除数据孤岛 形成完整行为链条

　　平台利用了数字身份ID-Mapping技术，将不同来源的实体数据，通过基于身份标识（如数字证书ID、用户ID、令牌Token、IP地址、URL、设备ID、数据指纹MD5）模式匹配技术识别为同一个主体，即能够把用户在不同系统、不同场景下的行为记录串联起来，消除数据孤岛，形成完整的行为轨迹链条。

　　直观理解异常行为分析

　　平台利用了复合关系图算法是基于图形化的、基于模型的异常行为分析技术。它从数据违规应用者的角度出发，在综合分析时间、地点、终端、应用、行为基线等信息的基础上，对目标应用或数据可能遭受的攻击行为进行建模，从而帮助安全管理人员直观地理解该用户的行为路径。

　　应用效果

　　公安数据违规应用监测预警平台由杭州领信数科信息技术有限公司研发，目前已应用于广东、浙江、上海、陕西、甘肃、青海、黑龙江等地公安，共计10余个公安厅、20余个地市公安局。该平台针对公安机关内容数据盗取、越权访问、违规查询、数据泄漏等异常行为，综合利用多源异构数据接入、数据识别处理、特征工程、模型训练、专家系统、全文检索、集群并行计算等技术，有效破解公安大数据安全监管工作存在的"发现难、查证难、推进难"的问题，为公安大数据安全监管工作的开展提供强力支撑，极大提升了民警和辅警的数据安全意识，有效预防了数据违法违规应用行为。