国家电网公司行为安全审计系统开发与应用实践
2018-12-22刘廷峰张晓韬周平李江鑫
刘廷峰, 张晓韬, 周平, 李江鑫
(四川中电启明星信息技术有限公司,四川成都 610000)
1 引言
随着互联网技术飞速发展,国家电网公司(以下简称国网公司)各种业务需求不断增加,各种业务系统、网络规模、设备数量、使用人员的迅速扩大,构成了日趋复杂的I T系统,也给信息系统安全带来很大的风险性。而随着国家电网公司总部对信息系统“人防”要求的不断提高,对用户行为安全的审计就显得尤为必要。
2 行为安全审计系统的需求
为了对已有各业务系统和各终端在生产过程中可能产生的安全问题、违规操作、敏感信息泄露等安全问题进行全面监测,公司于2016年决定建设国家电网公司信息系统行为安全审计系统(以下简称行为安全审计系统)。旨在通过运用各种技术手段,汇总各种用户行为、运维日志、基础设施日志,分析各种信息系统违规操作,帮助定位安全事件源头和追查取证,防范和发现信息系统违规操作,为信息系统行为安全策略制定、风险内控提供有力的数据支撑。
2.1 技术难点
数据采集困难:要完成用户行为数据的采集,就要对用户所处业务活动的方方面面的数据进行收集。按来源划分主要包括应用日志、流量数据、用户电脑终端数据几个方面,存在的难点是应用日志缺失、不完整的情况极为常见,尤其是针对存量系统,其日志数据几乎不具有可用性;流量数据存在量大、加密通道的数据无法还原等问题,而用户客户端数据则没有成熟的技术,同时国网公司内的电脑终端数量多达数十万。一方面用户的行为数据采集要尽可能详尽准确;另一方面又要规避隐私数据,避免对业务的改造,因此,如何采集用户的行为数据成为一大难点。
数据质量难以保证:业界做用户行为数据分析(如电商、金融)的主要采集方式是通过埋点,即在网站上签入js采集代码,但在本项目中,这只是一个方面的数据,本项目还涉及流量数据、客户端、浏览器数据,这样的复杂场景还没有成熟的技术和案例,采集的数据质量如何能达到用户行为对量、精确度、实时度的要求,是本项目又一大难点。
2.2 用户角色
国网公司行为安全审计系统以B/S(浏览器/服务器)方式运行在公司内网上,软件部署在国网公司灾备中心。系统设置系统管理员、审计管理员、业务配置员、业务用户。系统管理员仅具有用户管理、角色管理、权限管理、配置定制等系统管理权限;审计管理员仅具有监控其他各类用户的操作轨迹及对审计数据进行管理、监视和运行维护的权限;业务配置员仅具有系统组织架构管理及对各类参数、主数据、功能项等基础配置的权限;业务操作员为系统最终用户,不具有任何管理权限。
3 行为安全审计系统的设计
3.1 架构设计
本项目作为行为分析安全解决方案,内部包含多个技术领域。在架构设计方面主要分为采集端、存储分析端、展现端三部分。
1) 采集端技术
采集端主要包括桌面采集、网页端采集、网络流量采集和服务端日志采集四部分。桌面采集主要以Rootkit技术安装在客户端,隐藏进程采集、有防查杀的能力。
网页端采集主要以js脚本作为采集工具,主要通过网页应用调用集成。
流量采集以交换机中的流量包为主,通过流量包解析采集用户行为。
服务端采集分为服务器主动发送和抽取两种技术手段。
2) 存储端技术
存储端技术在行为分析领域主要以ES搜索与分布存储一体的组件和Hadoop体系的HDFS文件系统为主线的应用。
3) 分析端技术
分析展现端技术主要采用H 5、C a n v a s与S V G几种形式,H 5已经作为目前的主流前端Web开发手段,基于Canvas的包括百度ECharts、Highcharts等团队均在开发。成熟产品多在BI领域,包括Splunk和Tableau。
4 行为安全审计系统的关键技术
系统通过将用户在客户端的操作行为进行实时记录。将用户从打开客户端,客户端发生的状态变化,记录关键进程生命周期,记录web应用会话以及响应内容进行实施采集,并产生用户终端活动状态,用户访问的应用程序,在浏览器端访问的URL信息、页面内容、操作信息,同时在应用服务端实时采集日志数据进行完善互补,并通过采集模块统一调度、加密用户行为数据到日志存储模块,以便进行聚合、关联等基础分析,最大程度重现用户实际操作场景。其过程应用以下关键技术:
1) 用户行为安全审计的实质也是数据分析与挖掘,其基本步骤包括信息采集、传输、存储、分析、展现,是一种侧重分析与展现的全路径、多轨技术;
2) 轨道模型可扩展技术:该技术实现一种基于场景需求的可拔插式扩展,实现对所有已知类型数据兼容和对未知数据的扩展。该技术主要应用于行为分析器中;
3) 录像文本抓取技术:该技术支持对终端录屏数据文本抓取;
4) 规则化描述语言技术:该技术实现可快速掌握、灵活易用的手动规则化定制;
5) 轨道化分析技术:多轨、多维的用户行为轨迹动态、多维度可视化展现,该技术主要应用于行为分析器;
6) 多轨标尺行为分析器:实现用户行为分析标尺化,极大地降低了用户安全事件调查技术门槛,该技术主要应用于行为分析器。
5 结束语
通过本项目形成较为成熟的解决方案,运用各种技术手段,全面监测信息系统汇总的各种用户行为,记录分析各种信息系统违规操作,帮助定位安全事件源头和追查取证,防范和发现信息系统违规操作,为信息系统行为安全策略制定、风险内控提供有力的数据支撑。同时,信息建设部门、各个业务部门也对用户行为分析工作有迫切需求,大大提升了企业网络空间的安全防护能力。
