國家電網(wǎng)公司行為安全審計系統(tǒng)開發(fā)與應(yīng)用實踐

劉廷峰， 張曉韜， 周平， 李江鑫

（四川中電啟明星信息技術(shù)有限公司，四川成都 610000）

1 引言

隨著互聯(lián)網(wǎng)技術(shù)飛速發(fā)展,國家電網(wǎng)公司（以下簡稱國網(wǎng)公司）各種業(yè)務(wù)需求不斷增加，各種業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)規(guī)模、設(shè)備數(shù)量、使用人員的迅速擴大，構(gòu)成了日趨復(fù)雜的I T系統(tǒng)，也給信息系統(tǒng)安全帶來很大的風(fēng)險性。而隨著國家電網(wǎng)公司總部對信息系統(tǒng)“人防”要求的不斷提高，對用戶行為安全的審計就顯得尤為必要。

2 行為安全審計系統(tǒng)的需求

為了對已有各業(yè)務(wù)系統(tǒng)和各終端在生產(chǎn)過程中可能產(chǎn)生的安全問題、違規(guī)操作、敏感信息泄露等安全問題進行全面監(jiān)測，公司于2016年決定建設(shè)國家電網(wǎng)公司信息系統(tǒng)行為安全審計系統(tǒng)（以下簡稱行為安全審計系統(tǒng)）。旨在通過運用各種技術(shù)手段，匯總各種用戶行為、運維日志、基礎(chǔ)設(shè)施日志，分析各種信息系統(tǒng)違規(guī)操作，幫助定位安全事件源頭和追查取證，防范和發(fā)現(xiàn)信息系統(tǒng)違規(guī)操作，為信息系統(tǒng)行為安全策略制定、風(fēng)險內(nèi)控提供有力的數(shù)據(jù)支撐。

2.1 技術(shù)難點

數(shù)據(jù)采集困難：要完成用戶行為數(shù)據(jù)的采集，就要對用戶所處業(yè)務(wù)活動的方方面面的數(shù)據(jù)進行收集。按來源劃分主要包括應(yīng)用日志、流量數(shù)據(jù)、用戶電腦終端數(shù)據(jù)幾個方面，存在的難點是應(yīng)用日志缺失、不完整的情況極為常見，尤其是針對存量系統(tǒng)，其日志數(shù)據(jù)幾乎不具有可用性；流量數(shù)據(jù)存在量大、加密通道的數(shù)據(jù)無法還原等問題，而用戶客戶端數(shù)據(jù)則沒有成熟的技術(shù)，同時國網(wǎng)公司內(nèi)的電腦終端數(shù)量多達數(shù)十萬。一方面用戶的行為數(shù)據(jù)采集要盡可能詳盡準確；另一方面又要規(guī)避隱私數(shù)據(jù)，避免對業(yè)務(wù)的改造，因此，如何采集用戶的行為數(shù)據(jù)成為一大難點。

數(shù)據(jù)質(zhì)量難以保證：業(yè)界做用戶行為數(shù)據(jù)分析（如電商、金融）的主要采集方式是通過埋點，即在網(wǎng)站上簽入js采集代碼，但在本項目中，這只是一個方面的數(shù)據(jù)，本項目還涉及流量數(shù)據(jù)、客戶端、瀏覽器數(shù)據(jù)，這樣的復(fù)雜場景還沒有成熟的技術(shù)和案例，采集的數(shù)據(jù)質(zhì)量如何能達到用戶行為對量、精確度、實時度的要求，是本項目又一大難點。

2.2 用戶角色

國網(wǎng)公司行為安全審計系統(tǒng)以B/S（瀏覽器/服務(wù)器）方式運行在公司內(nèi)網(wǎng)上，軟件部署在國網(wǎng)公司災(zāi)備中心。系統(tǒng)設(shè)置系統(tǒng)管理員、審計管理員、業(yè)務(wù)配置員、業(yè)務(wù)用戶。系統(tǒng)管理員僅具有用戶管理、角色管理、權(quán)限管理、配置定制等系統(tǒng)管理權(quán)限；審計管理員僅具有監(jiān)控其他各類用戶的操作軌跡及對審計數(shù)據(jù)進行管理、監(jiān)視和運行維護的權(quán)限；業(yè)務(wù)配置員僅具有系統(tǒng)組織架構(gòu)管理及對各類參數(shù)、主數(shù)據(jù)、功能項等基礎(chǔ)配置的權(quán)限；業(yè)務(wù)操作員為系統(tǒng)最終用戶，不具有任何管理權(quán)限。

3 行為安全審計系統(tǒng)的設(shè)計

3.1 架構(gòu)設(shè)計

本項目作為行為分析安全解決方案，內(nèi)部包含多個技術(shù)領(lǐng)域。在架構(gòu)設(shè)計方面主要分為采集端、存儲分析端、展現(xiàn)端三部分。

1) 采集端技術(shù)

采集端主要包括桌面采集、網(wǎng)頁端采集、網(wǎng)絡(luò)流量采集和服務(wù)端日志采集四部分。桌面采集主要以Rootkit技術(shù)安裝在客戶端，隱藏進程采集、有防查殺的能力。

網(wǎng)頁端采集主要以js腳本作為采集工具，主要通過網(wǎng)頁應(yīng)用調(diào)用集成。

流量采集以交換機中的流量包為主，通過流量包解析采集用戶行為。

服務(wù)端采集分為服務(wù)器主動發(fā)送和抽取兩種技術(shù)手段。

2) 存儲端技術(shù)

存儲端技術(shù)在行為分析領(lǐng)域主要以ES搜索與分布存儲一體的組件和Hadoop體系的HDFS文件系統(tǒng)為主線的應(yīng)用。

3) 分析端技術(shù)

分析展現(xiàn)端技術(shù)主要采用H 5、C a n v a s與S V G幾種形式，H 5已經(jīng)作為目前的主流前端Web開發(fā)手段，基于Canvas的包括百度ECharts、Highcharts等團隊均在開發(fā)。成熟產(chǎn)品多在BI領(lǐng)域,包括Splunk和Tableau。

4 行為安全審計系統(tǒng)的關(guān)鍵技術(shù)

系統(tǒng)通過將用戶在客戶端的操作行為進行實時記錄。將用戶從打開客戶端，客戶端發(fā)生的狀態(tài)變化，記錄關(guān)鍵進程生命周期，記錄web應(yīng)用會話以及響應(yīng)內(nèi)容進行實施采集，并產(chǎn)生用戶終端活動狀態(tài)，用戶訪問的應(yīng)用程序，在瀏覽器端訪問的URL信息、頁面內(nèi)容、操作信息，同時在應(yīng)用服務(wù)端實時采集日志數(shù)據(jù)進行完善互補，并通過采集模塊統(tǒng)一調(diào)度、加密用戶行為數(shù)據(jù)到日志存儲模塊，以便進行聚合、關(guān)聯(lián)等基礎(chǔ)分析，最大程度重現(xiàn)用戶實際操作場景。其過程應(yīng)用以下關(guān)鍵技術(shù)：

1) 用戶行為安全審計的實質(zhì)也是數(shù)據(jù)分析與挖掘，其基本步驟包括信息采集、傳輸、存儲、分析、展現(xiàn)，是一種側(cè)重分析與展現(xiàn)的全路徑、多軌技術(shù)；

2) 軌道模型可擴展技術(shù)：該技術(shù)實現(xiàn)一種基于場景需求的可拔插式擴展，實現(xiàn)對所有已知類型數(shù)據(jù)兼容和對未知數(shù)據(jù)的擴展。該技術(shù)主要應(yīng)用于行為分析器中；

3) 錄像文本抓取技術(shù)：該技術(shù)支持對終端錄屏數(shù)據(jù)文本抓取；

4) 規(guī)則化描述語言技術(shù)：該技術(shù)實現(xiàn)可快速掌握、靈活易用的手動規(guī)則化定制；

5) 軌道化分析技術(shù)：多軌、多維的用戶行為軌跡動態(tài)、多維度可視化展現(xiàn)，該技術(shù)主要應(yīng)用于行為分析器；

6) 多軌標尺行為分析器：實現(xiàn)用戶行為分析標尺化，極大地降低了用戶安全事件調(diào)查技術(shù)門檻，該技術(shù)主要應(yīng)用于行為分析器。

5 結(jié)束語

通過本項目形成較為成熟的解決方案，運用各種技術(shù)手段，全面監(jiān)測信息系統(tǒng)匯總的各種用戶行為，記錄分析各種信息系統(tǒng)違規(guī)操作，幫助定位安全事件源頭和追查取證，防范和發(fā)現(xiàn)信息系統(tǒng)違規(guī)操作，為信息系統(tǒng)行為安全策略制定、風(fēng)險內(nèi)控提供有力的數(shù)據(jù)支撐。同時，信息建設(shè)部門、各個業(yè)務(wù)部門也對用戶行為分析工作有迫切需求，大大提升了企業(yè)網(wǎng)絡(luò)空間的安全防護能力。