最新解決方案
-
OCTDesk 雙網隔離解決方案
2018-05-07
-
八爪魚云桌面
2015-09-25
-
云計算平臺解決方案
2015-04-21
-
云課堂解決方案
2015-04-21
-
教育行業解決方案
2015-04-21
-
RVM 資源虛擬化方案
2011-07-29
-
ASCP 應用云平臺方案
2011-07-29
-
NAR 網絡日志審計方案
2011-07-29
-
AR 網絡內容審計與回放方案
2011-07-29
最新新聞
-
八爪魚CUBE-AI大模型一體機Octopus OC系列全球首發,開啟AI算力新紀元
2025-05-09
-
北京科技大學閱卷中心云桌面系統升級工作圓滿完成
2023-12-24
-
OCTDesk通過國家等級保護三級應用評估
2021-07-14
-
中電科(嘉興)智慧產業園成功應用八爪魚云桌面
2019-07-31
-
信聯云通董事長秦星受邀出席第十六屆中國誠信企業家大會
2019-04-29
-
八爪魚云桌面助力天津公安
2018-12-28
-
信聯云通中標中央政府采購網
2017-12-01
-
云課堂應用于中國農業大學
2017-11-17
-
八爪魚助力武警部隊信息化建設
2017-11-16
-
北京科技大學成功應用八爪魚云桌面
2017-08-30
AR 網絡內容審計與回放方案
TOP
目錄
2011-07-29
AR 網絡內容審計與回放方案
網絡安全
網絡內容審計
網絡內容回放
AR
前言
為什么需要內容審計和行為重放系統
隨著信息技術的深入發展和政府、行業和企業的網絡信息系統應用的廣泛使用,政府、行業和企業網絡技術的應用層次正在從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。信息安全是一個動態的過程,在為自身業務提供高效的網絡運營平臺同時,日趨復雜的 IT 業務系統與不同背景業務用戶的行為也給網絡帶來潛在的威脅,如內部辦公業務系統何時被遠程訪問、內網數據和資料是否被非法查詢、內網人員是否非法訪問外部非法網站、是否有人通過網絡發布非法言論等。面對網絡的廣泛應用,在缺少監管的環節,內部違規上網行為也日益泛濫,嚴重破壞政府、企業信息的安全性和可管控性。如何有效監控業務系統訪問行為和敏感信息傳播,準確掌握網絡系統的安全狀態,及時發現違反安全策略的事件并實時告警、記錄,同時進行安全事件定位分析,事后追查取證,滿足合規性審計要求,是政府、行業和企業迫切需要解決的問題。
隨著業務系統訪問、網絡應用行為日益頻繁,我們可能經常遇到如下情況:
- 內部人員對業務應用系統的越權訪問、違規操作,損害業務系統的運行安全或數據安全;
- 重要業務信息,被內部或系統維護人員非法檢索、篡改、外泄,給政府、行業或企業造成巨大的經濟損失;
- 內部工作人員隨意通過業務應用系統批量查詢核心數據信息,將查詢結果匯總,導致核心數據外泄事件發生;
- 內部工作人員在論壇發表敏感信息、傳播非法言論,造成惡劣社會影響;
- 等級保護要求。公安部國家電子政務等級保護、國家保密局BMB17-2006號文件中要求政府、涉密單位必須對與涉密敏感信息、業務系統相關的網絡行為進行安全審計;
- 薩班斯(SOX)法案要求。在美國上市公司必須遵循的“薩班斯(SOX)法案”中要求對企業內部網絡信息系統進行評估,其中涉及對業務系統操作等業務行為的審計。
上述問題已經超出了常規網絡安全防御手段(防火墻、入侵檢測和漏洞掃描)所能解決的范圍,內容審計和行為重放系統正是在這種環境下為政府、行業和企業提供了告警響應、準確定位事件源頭、行為分析和提供強有力事后追蹤取證信息,并為管理者全面進行網絡內容監管提供了技術手段和技術保障。
如何選擇內容審計和行為重放系統
內容審計和行為重放系統具有對網絡通信內容、網絡行為的實時監測、報警、記錄等功能。是否能夠很好地幫助網絡管理員完成對網絡狀態的把握、安全的評價、行為追蹤和行為取證是安全審計系統的基本標準。
一個完善的內容審計和行為重放系統應該從以下幾個方面評價:
- 細粒度的操作內容審計與精準的網絡行為實時監控;
- 面對海量數據具有方便的內容和行為檢索、查詢和數據挖掘功能;
- 具有可檢索定位的用戶行為分析和行為重現機制;
- 提供全面詳細的審計信息,豐富可定制的報表系統;
- 支持分級部署、集中管理,滿足不同規模網絡的使用和管理需求;
- 自身的安全性高,不易遭受攻擊。
OCT 內容審計與行為重放系統介紹
為什么選擇OCT內容審計與行為重放系統
OCT內容審計與行為重放系統(OCT Audit Replay,簡稱 AR)是OCT系列安全產品解決方案中的關鍵環節之一。它和OCT邊界安全網關、OCT集中認證網關等安全產品結合使用,通過對用戶訪問Web應用系統時的數據采集、識別和解譯,重現用戶行為,監控敏感數據,實現用戶行為的數據挖掘和行為分析。
目前,各類傳統的審計系統主要圍繞主機審計和網絡審計進行實現,這些審計系統首先要求主機、應用系統或安全產品將自身日志提交到集中審計系統,然后進行集中分析,但是這種情況存在著諸多問題。
依賴業務應用系統自身的日志記錄
絕大多數業務應用系統在設計之初并未考慮到支持第三方日志審計系統,甚至本身就缺少日志記錄功能,使得集中審計成為了不可能。
旁路審計系統無法應對數據加密鏈路
出于安全性考慮,諸多應用系統采用HTTPS等安全協議。針對采用數據加密鏈路(HTTPS)的應用系統,旁路集中審計系統根本無法識別會話信息,從而不可能實現內容和用戶行為的審計。
缺少用戶行為數據分析和行為重現
由于依賴主機或應用系統自身的日志信息,通常,集中審計系統主要實現日志集中存儲和歸類,無法實現用戶行為的重現,對訪問的內容無從審計。
錄制式回放,無法對內容檢索
有些集中審計系統通過錄屏方式進行用戶行為記錄,這種方式不僅數據存儲量巨大,而且無法對內容進行檢索和分析,面對海量數據,數據無法挖掘,無法使用。
首先,內容審計與行為重放系統是一個結合OCT邊界安全網關和OCT集中認證網關而設計的集中審計和Web頁面回放系統。通過和OCT邊界安全網關/OCT集中認證網關在功能上互相協調、補充,構建一個立體的安全保障管理體系。
OCT邊界安全網關和OCT集中認證網關一般部署在網絡邊界或者應用服務器子網邊界,所有數據流經過OCT邊界安全網關和OCT集中認證網關,因此 OCT邊界安全網關和OCT集中認證網關可以將數據流鏡像到OCT內容審計與行為重放系統,審計信息完全不依賴業務應用系統本身,業務應用系統即使沒有記錄任何用戶訪問日志,OCT內容審計與行為重放系統也可以完成用戶行為審計和行為重放。
尤其針對HTTPS加密鏈路,可以通過OCT客戶端和反向代理方式實現內容解譯,從而實現對加密鏈路數據的內容審計。
OCT內容審計與行為重放系統是一個綜合的內容審計系統,包含了:
細粒度的網絡內容審計
OCT內容審計與行為重放系統可對網站訪問的內容、論壇發帖、基于Web的查詢系統和搜索引擎等進行關鍵信息監測、還原。
全面的網絡服務審計
OCT內容審計與行為重放系統可對用戶行為,如網站訪問、郵件收發、數據庫訪問、遠程終端訪問、即時通訊、論壇、在線視頻、P2P下載、網絡游戲等,提供全面的行為監控,方便事后追查取證。
Web頁面訪問行為重放
OCT內容審計與行為重放系統能夠對用戶訪問的Web應用頁面進行識別、分析、重組和回放,全景式展示用戶當時訪問系統時的場景,不僅直觀,而且可以實現對頁面檢索。完全解決了縮略圖方式和錄屏方式所導致的巨大存儲空間需求問題和不可檢索問題。
加密鏈路的內容審計
針對加密鏈路,傳統方式的審計系統不得不依賴于業務應用系統本身的日志信息。如果業務應用系統無法提供詳細的日志或內容審計,傳統的審計系統根本無法實現審計功能。OCT內容審計與行為重放系統通過和OCT客戶端技術融合和反向代理技術,解決了加密鏈路的審計問題,尤其針對HTTPS加密協議,依然能夠實現對用戶Web查詢關鍵詞的監測和分析。
系統體系架構
OCT內容審計與行為重放系統在體系架構的設計上需要外部提供審計數據源,針對標準的數據采集接口,OCT內容審計與行為重放系統和OCT安全網關無縫結合。
內容審計與行為重放系統由數據采集分發中心、數據解譯中心、數據管控中心和數據存儲中心和頁面展示引擎共同構成。
系統核心功能
數據采集分發中心
提供標準的數據采集接口,從OCT安全網關和OCT客戶端采集內容數據;提供標準的SysLog日志接口從OCT安全網關采集日志信息。
面對海量數據的的涌入,OCT內容審計與行為重放系統采用獨創的數據預處理技術和高速緩存技術進行分類、預處理和分發,避免數據的擁塞,為后續的數據解析和解譯提供數據保障。
數據解析和解譯中心
面對多協議數據、壓縮數據和加密數據,數據解析和解譯中心負責數據協議的解析和內容的分析和解譯。由于面臨大量并發用戶場景時,數據量可能巨大,該模塊采用了多進程和多線程技術,通過對協議和內容的解析和解譯,重現用戶訪問行為。
數據管控中心
數據管控中心負責海量數據的讀寫操作,針對數據寫入擁塞,引入了寫入緩沖機制。針對Web頁面重現,數據管控中心按照規則批量處理內嵌腳本和內容替換,確保重現頁面可離線查看。
數據存儲中心
數據存儲中心負責海量數據的存儲和負載分擔,針對大型網絡環境,可以實現存儲的實時熱備。
頁面展示引擎
頁面展示引擎負責Web頁面腳本處理、UI展示、行為查詢和統計分析。Web頁面重放涉及HTML邏輯結構和內嵌腳本的處理,OCT內容審計與行為重放系統采用內嵌業務邏輯控件實現HTML和腳本語言解析、過濾和轉換工作。通過行為查詢,可以快速定位敏感操作和敏感數據,通過統計分析可以方便管理員總攬針對敏感應用的訪問情況和群體用戶的訪問行為特點。
系統應用場景
OCT內容審計與行為重放系統是在一個特定的政府、行業和企事業單位的網絡環境下,為了保障業務系統和網絡信息數據不受來自用戶的破壞、泄密、竊取,而運用各種技術手段實時監控網絡環境中的網絡行為、通信內容,以便集中收集、分析、報警、處理的一種技術手段。
OCT內容審計與行為重放系統以流經OCT邊界安全網關和OCT集中認證網關等安全設備數據流為數據源,可以廣泛適用于:
- 通信行業:移動、電信、聯通等
- 金融行業:銀行、保險、證券、期貨等
- 政府部門:外交、稅務、工商、公檢法、水利、交通等
- 企業單位:電力、石油、化工、交通、煤炭、糧食等;
- 國防軍工業
通過使用該系統,可以有效監控內部機密、敏感信息、知識產權、 賬戶密碼等重要信息的泄露。同時也使網絡管理者可以對主被動泄密行為輕松定型、快速定位,大大提升了整個信息化系統的安全性,并起到強威懾作用。
系統部署方式
旁路部署
OCT內容審計與行為重放系統和OCT邊界安全網關、OCT集中認證網關配合使用。
旁路模式(單臂模式)指將OCT內容審計與行為重放系統在物理上和OCT邊界安全網關、OCT集中認證網關部署在同一物理網絡中,即OCT集中認證網關通過單臂模式接入到內網中。OCT邊界安全網關、OCT集中認證網關可以通過網絡訪問到OCT內容審計與行為重放系統。
旁路部署可以采用單臂模式也可以采用多網口(多網口可以在相同邏輯網段也可以在不同邏輯網段)接入模式以避免單臂模式導致帶來的帶寬瓶頸。
旁路模式的部署具有以下優點:
- 部署方便:應用無需作改動,用戶只需分配和設置一個IP地址即可。
- 不會影響正常的業務訪問:旁路部署設備不會影響現有網絡結構,不會成為現有網絡的單一故障點,最小限度影響現有網絡。
- 便于管理:管理員在任意接入點都可以方便管理該系統。
旁路模式的缺點:
- 當審計的數據量比較大時,可能會對帶寬造成一定影響。
交叉線部署
交叉線部署方式是指將OCT內容審計與行為重放系統通過交叉線直接和OCT邊界安全網關或OCT集中認證網關相連接。
交叉線部署方式具有以下優點:
- 部署方便:應用無需作改動,在OCT邊界安全網關和OCT內容審計與行為重放系統之間設置似有IP地址即可。
- 審計流量不會影響現有網絡帶寬,最小程度影響現有網絡環境;
- 由于OCT內容審計與行為重放系統不與現有網絡連接,相對獨立,具有更好的安全性。
交叉線部署方式的缺點:
- 需要占用OCT安全網關或OCT審計網關額外的網絡接口;
- 需要設置額外的OCT內容審計與行為重放系統管理端口。
產品功能點和特色
不依賴業務應用系統本身日志
絕大多數業務應用系統在設計之初并未考慮到支持第三方日志審計系統,甚至本身就缺少日志記錄功能,使得集中審計成為了不可能。OCT內容審計與行為重放系統采用旁路部署方式,即不影響現有系統的使用,而且能夠不依賴業務應用系統本身的日志實現多業務應用系統的集中審計。
可以審計HTTPS加密鏈路的查詢內容
出于安全性考慮,諸多應用系統采用HTTPS等安全協議。針對采用數據加密鏈路(HTTPS)的應用系統,傳統審計系統根本無法識別會話信息,從而不可能實現內容審計。OCT內容審計與行為重放系統和OCT客戶端相結合或者利用OCT安全網關的反向代理技術,實現對加密鏈路的數據采集和分析,在不改變業務應用系統的情況下實現內容級集中審計。
可以實現用戶行為重現和檢索
傳統審計系統即時可以實現用戶行為重現也難以實現對用戶行為的檢索和查詢,面對海量數據,管理者根本無法定位問題。OCT內容審計與行為重放系統不僅可以幻燈片式重現系統頁面,而且通過關鍵字檢索定位用戶行為,為行為追蹤提供了技術前提。
個人行為分析和群體行為統計分析相結合
OCT內容審計與行為重放系統不僅可以重現個人訪問行為,而且可以針對海量數據進行統計分析,完成對群體用戶行為和資源被訪問情況的匯總分析,為決策者提供數據支撐,為管理者提供發現異常訪問行為的工具。
高性能、高可用性、高可擴展性設計
面對海量數據,OCT內容審計與行為重放系統采用了高速緩沖技術、多線程技術、數據預處理技術、分布式技術、負載均衡等技術,實現了高性能、高可用性前提下的高可擴展性。
產品優勢
| 功能 | 特點描述 | 優勢 |
| 用戶行為全景回放 | 對用戶所有行為都可以進行回放,審計,不存在監管漏洞和死角 | 7層核心技術,同行業首創 |
| 信息監管 | 無論終端用戶關閉進程、禁用/啟用設備、停用服務、清除注冊表、刪除相關文件等非法操作,都無法破壞AR網絡層監管能力 | 對用戶透明,在需要的情況下可監管所有的應用訪問數據 |
| 系統安全保護 | 系統對網絡設備和服務進行認證,對底層數據進行鏡像過濾,杜絕非認證數據的接收,并實時監測網絡設備的狀態,保證數據接收的完整和安全 | 復雜網絡情況下,自身生存能力極強,不會因網絡風暴而停止服務 |
| 旁路部署 | 對于用戶原有網絡結構不做改動,旁路接入用戶網絡環境 | 部署成本小,靈活方便 |
| 跨平臺 | 用戶訪問的BS服務,不需要有客戶端進行數據抓取或傳送,支持基于HTTP協議的所有應用數據 | 7層內容解析技術,支持主流應用平臺,不需特殊訪問形式,對多種訪問均可審計 |
| 熱備 | 實時熱備,零秒切換 | 數據引擎不間斷運轉,審計功能不斷 |
| 擴展 | 通過特有的三明治布局方式,在前后端負載均衡的基礎上可無限擴展AR數據引擎服務器 | 特定方案支持電信級別審計需求 |
規格型號與參數
| 參數 | AR-2400 | AR-3000 | AR-3600L | AR-3600M |
| 設備尺寸 | 1U | 1U | 1U | 2U |
| 網絡接口 | 4*100M | 4*1000M | 6*1000M | 8*1000M |
| 電源 | 1 | 1 | 1 | 1 |
| 電壓 | 100~240V | 100~240V | 100~240V | 100~240V |
| 功率 | 150W | 200W | 200W | 200W |
| 工作溫度 | 0~40℃ | 0~40℃ | 0~40℃ | 0~40℃ |
| 工作濕度 | 5%--95% RH,不凝結 | 5%--95% RH,不凝結 | 5%--95% RH,不凝結 | 5%--95% RH,不凝結 |
| 吞吐率 | 200MB/s | 500MB/s | 500MB/s | 1000MB/s |
| 吞吐率 | 200MB/s | 500MB/s | 500MB/s | 1000MB/s |
| 每秒新建連接數 | -- | -- | -- | -- |
| 每秒處理日志數 | 200 | 500 | 1000 | 2000 |
| 最大應用數 | 10 | 20 | 50 | 100 |
| 最大網關數 | 1 | 2 | 5 | 10+ |