國家電網公司行為安全審計系統開發與應用實踐

劉廷峰， 張曉韜， 周平， 李江鑫

（四川中電啟明星信息技術有限公司，四川成都 610000）

1 引言

隨著互聯網技術飛速發展,國家電網公司（以下簡稱國網公司）各種業務需求不斷增加，各種業務系統、網絡規模、設備數量、使用人員的迅速擴大，構成了日趨復雜的I T系統，也給信息系統安全帶來很大的風險性。而隨著國家電網公司總部對信息系統“人防”要求的不斷提高，對用戶行為安全的審計就顯得尤為必要。

2 行為安全審計系統的需求

為了對已有各業務系統和各終端在生產過程中可能產生的安全問題、違規操作、敏感信息泄露等安全問題進行全面監測，公司于2016年決定建設國家電網公司信息系統行為安全審計系統（以下簡稱行為安全審計系統）。旨在通過運用各種技術手段，匯總各種用戶行為、運維日志、基礎設施日志，分析各種信息系統違規操作，幫助定位安全事件源頭和追查取證，防范和發現信息系統違規操作，為信息系統行為安全策略制定、風險內控提供有力的數據支撐。

2.1 技術難點

數據采集困難：要完成用戶行為數據的采集，就要對用戶所處業務活動的方方面面的數據進行收集。按來源劃分主要包括應用日志、流量數據、用戶電腦終端數據幾個方面，存在的難點是應用日志缺失、不完整的情況極為常見，尤其是針對存量系統，其日志數據幾乎不具有可用性；流量數據存在量大、加密通道的數據無法還原等問題，而用戶客戶端數據則沒有成熟的技術，同時國網公司內的電腦終端數量多達數十萬。一方面用戶的行為數據采集要盡可能詳盡準確；另一方面又要規避隱私數據，避免對業務的改造，因此，如何采集用戶的行為數據成為一大難點。

數據質量難以保證：業界做用戶行為數據分析（如電商、金融）的主要采集方式是通過埋點，即在網站上簽入js采集代碼，但在本項目中，這只是一個方面的數據，本項目還涉及流量數據、客戶端、瀏覽器數據，這樣的復雜場景還沒有成熟的技術和案例，采集的數據質量如何能達到用戶行為對量、精確度、實時度的要求，是本項目又一大難點。

2.2 用戶角色

國網公司行為安全審計系統以B/S（瀏覽器/服務器）方式運行在公司內網上，軟件部署在國網公司災備中心。系統設置系統管理員、審計管理員、業務配置員、業務用戶。系統管理員僅具有用戶管理、角色管理、權限管理、配置定制等系統管理權限；審計管理員僅具有監控其他各類用戶的操作軌跡及對審計數據進行管理、監視和運行維護的權限；業務配置員僅具有系統組織架構管理及對各類參數、主數據、功能項等基礎配置的權限；業務操作員為系統最終用戶，不具有任何管理權限。

3 行為安全審計系統的設計

3.1 架構設計

本項目作為行為分析安全解決方案，內部包含多個技術領域。在架構設計方面主要分為采集端、存儲分析端、展現端三部分。

1) 采集端技術

采集端主要包括桌面采集、網頁端采集、網絡流量采集和服務端日志采集四部分。桌面采集主要以Rootkit技術安裝在客戶端，隱藏進程采集、有防查殺的能力。

網頁端采集主要以js腳本作為采集工具，主要通過網頁應用調用集成。

流量采集以交換機中的流量包為主，通過流量包解析采集用戶行為。

服務端采集分為服務器主動發送和抽取兩種技術手段。

2) 存儲端技術

存儲端技術在行為分析領域主要以ES搜索與分布存儲一體的組件和Hadoop體系的HDFS文件系統為主線的應用。

3) 分析端技術

分析展現端技術主要采用H 5、C a n v a s與S V G幾種形式，H 5已經作為目前的主流前端Web開發手段，基于Canvas的包括百度ECharts、Highcharts等團隊均在開發。成熟產品多在BI領域,包括Splunk和Tableau。

4 行為安全審計系統的關鍵技術

系統通過將用戶在客戶端的操作行為進行實時記錄。將用戶從打開客戶端，客戶端發生的狀態變化，記錄關鍵進程生命周期，記錄web應用會話以及響應內容進行實施采集，并產生用戶終端活動狀態，用戶訪問的應用程序，在瀏覽器端訪問的URL信息、頁面內容、操作信息，同時在應用服務端實時采集日志數據進行完善互補，并通過采集模塊統一調度、加密用戶行為數據到日志存儲模塊，以便進行聚合、關聯等基礎分析，最大程度重現用戶實際操作場景。其過程應用以下關鍵技術：

1) 用戶行為安全審計的實質也是數據分析與挖掘，其基本步驟包括信息采集、傳輸、存儲、分析、展現，是一種側重分析與展現的全路徑、多軌技術；

2) 軌道模型可擴展技術：該技術實現一種基于場景需求的可拔插式擴展，實現對所有已知類型數據兼容和對未知數據的擴展。該技術主要應用于行為分析器中；

3) 錄像文本抓取技術：該技術支持對終端錄屏數據文本抓取；

4) 規則化描述語言技術：該技術實現可快速掌握、靈活易用的手動規則化定制；

5) 軌道化分析技術：多軌、多維的用戶行為軌跡動態、多維度可視化展現，該技術主要應用于行為分析器；

6) 多軌標尺行為分析器：實現用戶行為分析標尺化，極大地降低了用戶安全事件調查技術門檻，該技術主要應用于行為分析器。

5 結束語

通過本項目形成較為成熟的解決方案，運用各種技術手段，全面監測信息系統匯總的各種用戶行為，記錄分析各種信息系統違規操作，幫助定位安全事件源頭和追查取證，防范和發現信息系統違規操作，為信息系統行為安全策略制定、風險內控提供有力的數據支撐。同時，信息建設部門、各個業務部門也對用戶行為分析工作有迫切需求，大大提升了企業網絡空間的安全防護能力。