劉廷峰， 張曉韜， 周平， 李江鑫

（四川中電啟明星信息技術(shù)有限公司，四川成都 610000）

1 引言

隨著互聯(lián)網(wǎng)技術(shù)飛速發(fā)展,國(guó)家電網(wǎng)公司（以下簡(jiǎn)稱(chēng)國(guó)網(wǎng)公司）各種業(yè)務(wù)需求不斷增加，各種業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)規(guī)模、設(shè)備數(shù)量、使用人員的迅速擴(kuò)大，構(gòu)成了日趨復(fù)雜的I T系統(tǒng)，也給信息系統(tǒng)安全帶來(lái)很大的風(fēng)險(xiǎn)性。而隨著國(guó)家電網(wǎng)公司總部對(duì)信息系統(tǒng)“人防”要求的不斷提高，對(duì)用戶(hù)行為安全的審計(jì)就顯得尤為必要。

2 行為安全審計(jì)系統(tǒng)的需求

為了對(duì)已有各業(yè)務(wù)系統(tǒng)和各終端在生產(chǎn)過(guò)程中可能產(chǎn)生的安全問(wèn)題、違規(guī)操作、敏感信息泄露等安全問(wèn)題進(jìn)行全面監(jiān)測(cè)，公司于2016年決定建設(shè)國(guó)家電網(wǎng)公司信息系統(tǒng)行為安全審計(jì)系統(tǒng)（以下簡(jiǎn)稱(chēng)行為安全審計(jì)系統(tǒng)）。旨在通過(guò)運(yùn)用各種技術(shù)手段，匯總各種用戶(hù)行為、運(yùn)維日志、基礎(chǔ)設(shè)施日志，分析各種信息系統(tǒng)違規(guī)操作，幫助定位安全事件源頭和追查取證，防范和發(fā)現(xiàn)信息系統(tǒng)違規(guī)操作，為信息系統(tǒng)行為安全策略制定、風(fēng)險(xiǎn)內(nèi)控提供有力的數(shù)據(jù)支撐。

2.1 技術(shù)難點(diǎn)

數(shù)據(jù)采集困難：要完成用戶(hù)行為數(shù)據(jù)的采集，就要對(duì)用戶(hù)所處業(yè)務(wù)活動(dòng)的方方面面的數(shù)據(jù)進(jìn)行收集。按來(lái)源劃分主要包括應(yīng)用日志、流量數(shù)據(jù)、用戶(hù)電腦終端數(shù)據(jù)幾個(gè)方面，存在的難點(diǎn)是應(yīng)用日志缺失、不完整的情況極為常見(jiàn)，尤其是針對(duì)存量系統(tǒng)，其日志數(shù)據(jù)幾乎不具有可用性；流量數(shù)據(jù)存在量大、加密通道的數(shù)據(jù)無(wú)法還原等問(wèn)題，而用戶(hù)客戶(hù)端數(shù)據(jù)則沒(méi)有成熟的技術(shù)，同時(shí)國(guó)網(wǎng)公司內(nèi)的電腦終端數(shù)量多達(dá)數(shù)十萬(wàn)。一方面用戶(hù)的行為數(shù)據(jù)采集要盡可能詳盡準(zhǔn)確；另一方面又要規(guī)避隱私數(shù)據(jù)，避免對(duì)業(yè)務(wù)的改造，因此，如何采集用戶(hù)的行為數(shù)據(jù)成為一大難點(diǎn)。

數(shù)據(jù)質(zhì)量難以保證：業(yè)界做用戶(hù)行為數(shù)據(jù)分析（如電商、金融）的主要采集方式是通過(guò)埋點(diǎn)，即在網(wǎng)站上簽入js采集代碼，但在本項(xiàng)目中，這只是一個(gè)方面的數(shù)據(jù)，本項(xiàng)目還涉及流量數(shù)據(jù)、客戶(hù)端、瀏覽器數(shù)據(jù)，這樣的復(fù)雜場(chǎng)景還沒(méi)有成熟的技術(shù)和案例，采集的數(shù)據(jù)質(zhì)量如何能達(dá)到用戶(hù)行為對(duì)量、精確度、實(shí)時(shí)度的要求，是本項(xiàng)目又一大難點(diǎn)。

2.2 用戶(hù)角色

國(guó)網(wǎng)公司行為安全審計(jì)系統(tǒng)以B/S（瀏覽器/服務(wù)器）方式運(yùn)行在公司內(nèi)網(wǎng)上，軟件部署在國(guó)網(wǎng)公司災(zāi)備中心。系統(tǒng)設(shè)置系統(tǒng)管理員、審計(jì)管理員、業(yè)務(wù)配置員、業(yè)務(wù)用戶(hù)。系統(tǒng)管理員僅具有用戶(hù)管理、角色管理、權(quán)限管理、配置定制等系統(tǒng)管理權(quán)限；審計(jì)管理員僅具有監(jiān)控其他各類(lèi)用戶(hù)的操作軌跡及對(duì)審計(jì)數(shù)據(jù)進(jìn)行管理、監(jiān)視和運(yùn)行維護(hù)的權(quán)限；業(yè)務(wù)配置員僅具有系統(tǒng)組織架構(gòu)管理及對(duì)各類(lèi)參數(shù)、主數(shù)據(jù)、功能項(xiàng)等基礎(chǔ)配置的權(quán)限；業(yè)務(wù)操作員為系統(tǒng)最終用戶(hù)，不具有任何管理權(quán)限。

3 行為安全審計(jì)系統(tǒng)的設(shè)計(jì)

3.1 架構(gòu)設(shè)計(jì)

本項(xiàng)目作為行為分析安全解決方案，內(nèi)部包含多個(gè)技術(shù)領(lǐng)域。在架構(gòu)設(shè)計(jì)方面主要分為采集端、存儲(chǔ)分析端、展現(xiàn)端三部分。

1) 采集端技術(shù)

采集端主要包括桌面采集、網(wǎng)頁(yè)端采集、網(wǎng)絡(luò)流量采集和服務(wù)端日志采集四部分。桌面采集主要以Rootkit技術(shù)安裝在客戶(hù)端，隱藏進(jìn)程采集、有防查殺的能力。

網(wǎng)頁(yè)端采集主要以js腳本作為采集工具，主要通過(guò)網(wǎng)頁(yè)應(yīng)用調(diào)用集成。

流量采集以交換機(jī)中的流量包為主，通過(guò)流量包解析采集用戶(hù)行為。

服務(wù)端采集分為服務(wù)器主動(dòng)發(fā)送和抽取兩種技術(shù)手段。

2) 存儲(chǔ)端技術(shù)

存儲(chǔ)端技術(shù)在行為分析領(lǐng)域主要以ES搜索與分布存儲(chǔ)一體的組件和Hadoop體系的HDFS文件系統(tǒng)為主線(xiàn)的應(yīng)用。

3) 分析端技術(shù)

分析展現(xiàn)端技術(shù)主要采用H 5、C a n v a s與S V G幾種形式，H 5已經(jīng)作為目前的主流前端Web開(kāi)發(fā)手段，基于Canvas的包括百度ECharts、Highcharts等團(tuán)隊(duì)均在開(kāi)發(fā)。成熟產(chǎn)品多在BI領(lǐng)域,包括Splunk和Tableau。

4 行為安全審計(jì)系統(tǒng)的關(guān)鍵技術(shù)

系統(tǒng)通過(guò)將用戶(hù)在客戶(hù)端的操作行為進(jìn)行實(shí)時(shí)記錄。將用戶(hù)從打開(kāi)客戶(hù)端，客戶(hù)端發(fā)生的狀態(tài)變化，記錄關(guān)鍵進(jìn)程生命周期，記錄web應(yīng)用會(huì)話(huà)以及響應(yīng)內(nèi)容進(jìn)行實(shí)施采集，并產(chǎn)生用戶(hù)終端活動(dòng)狀態(tài)，用戶(hù)訪(fǎng)問(wèn)的應(yīng)用程序，在瀏覽器端訪(fǎng)問(wèn)的URL信息、頁(yè)面內(nèi)容、操作信息，同時(shí)在應(yīng)用服務(wù)端實(shí)時(shí)采集日志數(shù)據(jù)進(jìn)行完善互補(bǔ)，并通過(guò)采集模塊統(tǒng)一調(diào)度、加密用戶(hù)行為數(shù)據(jù)到日志存儲(chǔ)模塊，以便進(jìn)行聚合、關(guān)聯(lián)等基礎(chǔ)分析，最大程度重現(xiàn)用戶(hù)實(shí)際操作場(chǎng)景。其過(guò)程應(yīng)用以下關(guān)鍵技術(shù)：

1) 用戶(hù)行為安全審計(jì)的實(shí)質(zhì)也是數(shù)據(jù)分析與挖掘，其基本步驟包括信息采集、傳輸、存儲(chǔ)、分析、展現(xiàn)，是一種側(cè)重分析與展現(xiàn)的全路徑、多軌技術(shù)；

2) 軌道模型可擴(kuò)展技術(shù)：該技術(shù)實(shí)現(xiàn)一種基于場(chǎng)景需求的可拔插式擴(kuò)展，實(shí)現(xiàn)對(duì)所有已知類(lèi)型數(shù)據(jù)兼容和對(duì)未知數(shù)據(jù)的擴(kuò)展。該技術(shù)主要應(yīng)用于行為分析器中；

3) 錄像文本抓取技術(shù)：該技術(shù)支持對(duì)終端錄屏數(shù)據(jù)文本抓??；

4) 規(guī)則化描述語(yǔ)言技術(shù)：該技術(shù)實(shí)現(xiàn)可快速掌握、靈活易用的手動(dòng)規(guī)則化定制；

5) 軌道化分析技術(shù)：多軌、多維的用戶(hù)行為軌跡動(dòng)態(tài)、多維度可視化展現(xiàn)，該技術(shù)主要應(yīng)用于行為分析器；

6) 多軌標(biāo)尺行為分析器：實(shí)現(xiàn)用戶(hù)行為分析標(biāo)尺化，極大地降低了用戶(hù)安全事件調(diào)查技術(shù)門(mén)檻，該技術(shù)主要應(yīng)用于行為分析器。

5 結(jié)束語(yǔ)

通過(guò)本項(xiàng)目形成較為成熟的解決方案，運(yùn)用各種技術(shù)手段，全面監(jiān)測(cè)信息系統(tǒng)匯總的各種用戶(hù)行為，記錄分析各種信息系統(tǒng)違規(guī)操作，幫助定位安全事件源頭和追查取證，防范和發(fā)現(xiàn)信息系統(tǒng)違規(guī)操作，為信息系統(tǒng)行為安全策略制定、風(fēng)險(xiǎn)內(nèi)控提供有力的數(shù)據(jù)支撐。同時(shí)，信息建設(shè)部門(mén)、各個(gè)業(yè)務(wù)部門(mén)也對(duì)用戶(hù)行為分析工作有迫切需求，大大提升了企業(yè)網(wǎng)絡(luò)空間的安全防護(hù)能力。