CN107395570A - 基于大数据管理分析的云平台审计系统 - Google Patents

Abstract

基于大数据管理分析的云平台审计系统，它涉及一种云端审计系统，具体涉及一种基于大数据管理分析的云平台审计系统。它包含云平台、设备管理模块、数据审计模块、统计分析模块、数据存储模块、应用控制模块、安全防护模块，所述的设备管理模块包含网络模式设置、管理端口设置、监听端口设置、系统时间设置、设备调试、设备维护；网络模式设置包含网络、旁路、网关，所述的系统时间设置包含网络同步、手动设置，所述的设备调试包含网络抓包、网络路由、网络连通，所述的设备维护包含系统升级、配置保存、恢复出厂设置。它具备多种网络接入模式，审计内容全面，数据安全的上网信息审计系统，以解决目前企业与个人信息外泄而引起的种种问题。

Description

基于大数据管理分析的云平台审计系统

技术领域

本发明涉及一种云端审计系统，具体涉及一种基于大数据管理分析的云平台审计系统。

背景技术

基于大数据管理分析的云平台审计，是为了响应国务院关于大力推进信息化发展和切实保障信息安全的号召，由发改委发起，信息安全行业厂家参与，国家评测机构进行评审的一个项目。

目的是为了大力推进信息化发展和切实保障信息安全，调整经济结构、转变发展方式、保障和改善民生、维护国家安全。

目标是需要在重点领域提高信息化水平，初步建成下一代信息基础设施。到“十二五”末，国际互联网协议第6版(IPv6)实现规模商用，并推进下一代互联网规模商用和前沿性布局。加快IPv6商用试点，推动IPv6大规模部署和商用，推进国际互联网协议第4版(IPv4)向IPv6的网络演进、业务迁移与商业运营。

目前，云计算中存在的数据丢失和泄露问题、云计算资源的滥用和非法使用、不安全的服务接口和应用程序编程接口、恶意的内部用户、共享云设施带来的安全隔离问题、账户和服务的劫持问题、不能被用户感知的风险态势等，都是内部控制缺乏或没有发挥作用的具体表现。云计算中的内部控制问题已经成为制约其顺利发展的主要瓶颈问题，是用户质疑和担忧的主要原因。如果不能解决云计算的内部控制问题，用户就不可能将重要业务和数据转移到云计算和云存储平台上面。

基于大数据管理分析的云平台审计系统，是为了响应国务院关于大力推进信息化发展和切实保障信息安全的号召，目的是为了大力推进信息化发展和切实保障信息安全，调整经济结构、转变发展方式、保障和改善民生、维护国家安全。

目标是需要在重点领域提高信息化水平，初步建成下一代信息基础设施。完善基于大数据管理分析的云平台审计实现规模商用，并推进基于大数据管理分析的云平台审计大规模部署和商用。

发明内容

本发明的目的在于针对现有技术的缺陷和不足，提供一种基于大数据管理分析的云平台审计系统，它具备多种网络接入模式，审计内容全面，数据安全的上网信息审计系统，以解决目前企业与个人信息外泄而引起的种种问题。

为实现上述目的，本发明采用以下技术方案是：它包含云平台、设备管理模块、数据审计模块、统计分析模块、数据存储模块、应用控制模块、安全防护模块，所述的设备管理模块包含网络模式设置、管理端口设置、监听端口设置、系统时间设置、设备调试、设备维护；网络模式设置包含网络、旁路、网关，所述的系统时间设置包含网络同步、手动设置，所述的设备调试包含网络抓包、网络路由、网络连通，所述的设备维护包含系统升级、配置保存、恢复出厂设置。

所述的数据审理模块包含内容还原、房间认证、协议特征设置。

所述的统计分析模块包含数据查询、用户流量统计、在线用户统计、平台管理、用户额度统计、管理设置，所述的数据查询包含实时内容监控、实时内容报警、内容查询、报警查询，平台管理包含上网场所管理、管理域设置、虚拟身份管理、上网终端管理、消息管理、上网人员管理、URL地址库场所运行状态管理；所述的管理设置包含紧急事件报警、统计种类设置、报警策略设置、白名单设置、身份管理、MAC还原、审计策略设置。

所述的数据存储模块包含存储模式设置、存储介质设置，存储模式设置包含数据备份与恢复、数据上传设置、海量存储设置；存储介质设置包含存储介质加密、存储介质格式化、文件体数据加密、存储数据清理。

所述的应用控制模块包含IM访问控制、游戏访问控制、流媒体访问控制、代理访问控制、邮件内容控制、搜索引擎控制、P2P访问控制、证券访问控制、WEB应用访问控制、URL访问控制、文件传输控制、数据库访问控制，URL访问控制包含黑名单控制和白名单控制。

所述的安全防护模块包含常规网络防御、端口扫描屏蔽、DoS攻击防御、自定义策略设置、系统设置、设备许可证、USBKey验证、登陆超时设置，系统设置包含系统日志、用户权限配置、账号管理。

本发明是本审计平台是基于B/S模式开发，使用时要求客户端必需可以连接到服务器上客户端只需要安装浏览器即可访问本审计平台。但平台登录需要有较高级别的认证才能登陆，来防止审计信息的泄露。整个审计平台通过六大模块来实现，包括设备管理模块、数据审计模块、统计分析模块、数据存储模块、应用控制模块、安全防护模块。在运行中，通过这几大模块的组合来实现七个功能。通过设备管理模块→安全防护模块实现设备接入功能；通过设备管理模块→数据审计模块→数据存储模块实现数据采集功能；通过数据存储模块→统计分析模块实现统计分析功能；通过设备管理模块→数据存储模块→安全防护模块实现数据传输功能；通过设备管理模块→应用控制模块实现应用控制功能；通过设备管理模块→安全防护模块实现设备管理功能；通过数据存储模块→安全防护模块实现数据操作功能。实现过程：先抓取数据再解密再存储再审计再进行分析统计形成报表，审计系统是一体化硬件产品，用户通过Web管理界面进行设置和浏览；1、通过设备管理模块中的网络模式设备子模块，可以选择设备接入的方式(直连或串联，即支持网关、网桥、旁路3种模式的接入，网关和网桥属于直连模式，串联在用户网络中，只对流经设备的数据流进行处理；旁路模式并联在用户网络中，采用旁路监听方式获取数据包)。同时，选择设备的某个网卡作为管理端口使用，配置IP地址，子网掩码，网关等参数，用于管理员通过网络进行日常管理和配置使用，并且作为设备进行网络通信和数据传送的接口。2、接入完成后获取了数据流或者数据包。3、获取数据包之后通过数据审计模块中的内容还原子模块将数据包中的内容还原成明文，进行存储，作为统计分析的基础。具体操作流程是：1)指定监听数据包的网卡---2)启动协议分析程序，绑定指定的网卡----3)获取数据包---4)根据协议(此协议可以不断由用户和管理员改进，详见“协议特征设置”)解析数据包----5)根据协议特征库还原数据包内容。存储的这些数据包也就是待审计的数据，只有通过认证的用户或者管理员才有继续访问和查看的权限，非授权用户被阻断。(具体认证方式见“房间认证”)4、这些存储下来的待审计数据，通过”管理设置”，在报警策略、分析规则、分析类别、审计策略等方面进行设置之后，一方面用户或者管理员可以通过”数据查询”可以直观上获取各种内容和报警信息，另一方面可以同时通过用户流量、在线用户信息、平台管理、用户频度等五大方面，审计引擎，获取对数据进行查询、分析、展现而形成的各种报表(包括)。达到过滤审计数据的目的，获得最终的过滤数据。这些数据可以进行存储和加密设置。5、通过这些数据报表，用户和管理员可以对认为会引起网络安全的IP进行访问控制设置(包括IM访问、P2P访问、游戏访问、证券访问、流媒体访问、WEB应用访问、代理访问、URL访问、邮件内容、文件传输、搜索引擎、数据库访问)客户提到的整个系统最有创造性的地方在于对数据内容的审计。之前提到的外部保护和内部保护两个方面主要体现在：外部是危险行为审计和云源攻击行为审计，内部是针对虚拟机繁忙、防护间隙、虚拟机隐蔽信道这些问题做出的审计。都是包含在整个系统审计功能之中的两个部分功能。

本发明的主要功能是：1、识别多种协议和应用(常见的应用，包括IM即时通讯、P2P下载、流媒体、网络电视、网络视频、网络电话、股票交易、网络游戏等15大类应用协议。以协议分析为基础，能识别95％以上的网络流量，实现第七层应用的细粒度管控)；2、记录常用上网行为(网页浏览记录：记录访问的网址、网页标题、网页内容；社交发贴：记录论坛外发帖子行为，记录博客外发帖子的行为；邮件记录：记录外发Email(含常见WEB邮件)正文及附件，邮件还原；应用记录：记录网游、炒股、P2P、IM聊天等各种应用行为，含部分应用的内容记录；文件传输记录：记录FTP、TFTP、Telnet、Printer、网页下载等文件的下载记录；)；3、审计(内容包括基本用户上网行为记录、邮件审计、文件上传下载、加密的HTTPS上网行为，GMAIL、foxmail加密的邮件内容审计。也能审计网络用户股票财经、网络游戏、音视频下载记录等内容)；4、更有深度的行为识别与过滤(细粒度的应用层免监控，包括免监控QQ，免监控MSN，飞信、邮件、论坛、网页网址。深度地内容审计与内容过滤管控，发现网络行为中的泄密行为，从事前防范、事中分级告警、事后审查等多方面报告分析，为组织保护信息资产安全，降低网络风险)；5、管理用户流量和市场配额；6、客户端可信与网络风险防范(内置危险插件和恶意脚本特征库，识别特征库，过滤挂马网站的访问、封堵不良网站；从源头上切断病毒、木马的潜入，再结合终端的安全可信与网络准入，防范外在的DOS防御、ARP欺骗防护等多种安全手段，实现内网、外网、透传立体式安全护航，确保组织安全上网)；7、流量分析、行为监控报表分析统计能力(可统计用户在指定的时间段内产生的总流量；统计用户指定时间段、使用指定应用协议产生的流量；并且实时监控流量趋势，以及应用占用比例等数据；对各种网络流量进行报表分析以及图形化分析，包括柱状图、饼状图、折线图、趋势图等，以使管理员可以直观的了解内网流量的使用)

本发明的工作原理：它基于大数据管理分析的云平台审计V6.0旨在提供一个适应ipv6协议，具备多种网络接入模式，审计内容全面，数据安全的上网信息审计系统，以解决目前企业与个人信息外泄而引起的种种问题。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明的结构示意框图；

图2是本发明中设备管理模块的结构示意框图；

图3是本发明中数据审计模块的结构示意框图；

图4是本发明中数据分析模块的结构示意框图；

图5是本发明中数据存储模块的结构示意框图；

图6是本发明中应用控制模块的结构示意框图；

图7是本发明中安全防护模块的结构示意框图；

图8是本发明的数据流程图；

图9是本发明的审计数据流程图。

具体实施方式

参看图1-图9所示，本具体实施方式采用的技术方案是：它包含云平台、设备管理模块、数据审计模块、统计分析模块、数据存储模块、应用控制模块、安全防护模块，所述的设备管理模块包含网络模式设置、管理端口设置、监听端口设置、系统时间设置、设备调试、设备维护；网络模式设置包含网络、旁路、网关，所述的系统时间设置包含网络同步、手动设置，所述的设备调试包含网络抓包、网络路由、网络连通，所述的设备维护包含系统升级、配置保存、恢复出厂设置。

所述的数据审理模块包含内容还原、房间认证、协议特征设置。

所述的统计分析模块包含数据查询、用户流量统计、在线用户统计、平台管理、用户额度统计、管理设置，所述的数据查询包含实时内容监控、实时内容报警、内容查询、报警查询，平台管理包含上网场所管理、管理域设置、虚拟身份管理、上网终端管理、消息管理、上网人员管理、URL地址库场所运行状态管理；所述的管理设置包含紧急事件报警、统计种类设置、报警策略设置、白名单设置、身份管理、MAC还原、审计策略设置。

所述的数据存储模块包含存储模式设置、存储介质设置，存储模式设置包含数据备份与恢复、数据上传设置、海量存储设置；存储介质设置包含存储介质加密、存储介质格式化、文件体数据加密、存储数据清理。

所述的应用控制模块包含IM访问控制、游戏访问控制、流媒体访问控制、代理访问控制、邮件内容控制、搜索引擎控制、PP访问控制、证券访问控制、WEB应用访问控制、URL访问控制、文件传输控制、数据库访问控制，URL访问控制包含黑名单控制和白名单控制。

所述的安全防护模块包含常规网络防御、端口扫描屏蔽、DoS攻击防御、自定义策略设置、系统设置、设备许可证、USBKey验证、登陆超时设置，系统设置包含系统日志、用户权限配置、账号管理。

本发明是本审计平台是基于B/S模式开发，使用时要求客户端必需可以连接到服务器上客户端只需要安装浏览器即可访问本审计平台。但平台登录需要有较高级别的认证才能登陆，来防止审计信息的泄露。整个审计平台通过六大模块来实现，包括设备管理模块、数据审计模块、统计分析模块、数据存储模块、应用控制模块、安全防护模块。在运行中，通过这几大模块的组合来实现七个功能。通过设备管理模块→安全防护模块实现设备接入功能；通过设备管理模块→数据审计模块→数据存储模块实现数据采集功能；通过数据存储模块→统计分析模块实现统计分析功能；通过设备管理模块→数据存储模块→安全防护模块实现数据传输功能；通过设备管理模块→应用控制模块实现应用控制功能；通过设备管理模块→安全防护模块实现设备管理功能；通过数据存储模块→安全防护模块实现数据操作功能。实现过程：先抓取数据再解密再存储再审计再进行分析统计形成报表，审计系统是一体化硬件产品，用户通过Web管理界面进行设置和浏览；1、通过设备管理模块中的网络模式设备子模块，可以选择设备接入的方式(直连或串联，即支持网关、网桥、旁路3种模式的接入，网关和网桥属于直连模式，串联在用户网络中，只对流经设备的数据流进行处理；旁路模式并联在用户网络中，采用旁路监听方式获取数据包)。同时，选择设备的某个网卡作为管理端口使用，配置IP地址，子网掩码，网关等参数，用于管理员通过网络进行日常管理和配置使用，并且作为设备进行网络通信和数据传送的接口。2、接入完成后获取了数据流或者数据包。3、获取数据包之后通过数据审计模块中的内容还原子模块将数据包中的内容还原成明文，进行存储，作为统计分析的基础。具体操作流程是：1)指定监听数据包的网卡---2)启动协议分析程序，绑定指定的网卡----3)获取数据包---4)根据协议(此协议可以不断由用户和管理员改进，详见“协议特征设置”)解析数据包----5)根据协议特征库还原数据包内容。存储的这些数据包也就是待审计的数据，只有通过认证的用户或者管理员才有继续访问和查看的权限，非授权用户被阻断。(具体认证方式见“房间认证”)4、这些存储下来的待审计数据，通过”管理设置”，在报警策略、分析规则、分析类别、审计策略等方面进行设置之后，一方面用户或者管理员可以通过”数据查询”可以直观上获取各种内容和报警信息，另一方面可以同时通过用户流量、在线用户信息、平台管理、用户频度等五大方面，审计引擎，获取对数据进行查询、分析、展现而形成的各种报表(包括)。达到过滤审计数据的目的，获得最终的过滤数据。这些数据可以进行存储和加密设置。5、通过这些数据报表，用户和管理员可以对认为会引起网络安全的IP进行访问控制设置(包括IM访问、P2P访问、游戏访问、证券访问、流媒体访问、WEB应用访问、代理访问、URL访问、邮件内容、文件传输、搜索引擎、数据库访问)客户提到的整个系统最有创造性的地方在于对数据内容的审计。之前提到的外部保护和内部保护两个方面主要体现在：外部是危险行为审计和云源攻击行为审计，内部是针对虚拟机繁忙、防护间隙、虚拟机隐蔽信道这些问题做出的审计。都是包含在整个系统审计功能之中的两个部分功能。

本发明的主要功能是：1、识别多种协议和应用(常见的应用，包括IM即时通讯、P2P下载、流媒体、网络电视、网络视频、网络电话、股票交易、网络游戏等15大类应用协议。以协议分析为基础，能识别95％以上的网络流量，实现第七层应用的细粒度管控)；2、记录常用上网行为(网页浏览记录：记录访问的网址、网页标题、网页内容；社交发贴：记录论坛外发帖子行为，记录博客外发帖子的行为；邮件记录：记录外发Email(含常见WEB邮件)正文及附件，邮件还原；应用记录：记录网游、炒股、P2P、IM聊天等各种应用行为，含部分应用的内容记录；文件传输记录：记录FTP、TFTP、Telnet、Printer、网页下载等文件的下载记录；)；3、审计(内容包括基本用户上网行为记录、邮件审计、文件上传下载、加密的HTTPS上网行为，GMAIL、foxmail加密的邮件内容审计。也能审计网络用户股票财经、网络游戏、音视频下载记录等内容)；4、更有深度的行为识别与过滤(细粒度的应用层免监控，包括免监控QQ，免监控MSN，飞信、邮件、论坛、网页网址。深度地内容审计与内容过滤管控，发现网络行为中的泄密行为，从事前防范、事中分级告警、事后审查等多方面报告分析，为组织保护信息资产安全，降低网络风险)；5、管理用户流量和市场配额；6、客户端可信与网络风险防范(内置危险插件和恶意脚本特征库，识别特征库，过滤挂马网站的访问、封堵不良网站；从源头上切断病毒、木马的潜入，再结合终端的安全可信与网络准入，防范外在的DOS防御、ARP欺骗防护等多种安全手段，实现内网、外网、透传立体式安全护航，确保组织安全上网)；7、流量分析、行为监控报表分析统计能力(可统计用户在指定的时间段内产生的总流量；统计用户指定时间段、使用指定应用协议产生的流量；并且实时监控流量趋势，以及应用占用比例等数据；对各种网络流量进行报表分析以及图形化分析，包括柱状图、饼状图、折线图、趋势图等，以使管理员可以直观的了解内网流量的使用)

本发明的工作原理：它基于大数据管理分析的云平台审计V6.0旨在提供一个适应ipv6协议，具备多种网络接入模式，审计内容全面，数据安全的上网信息审计系统，以解决目前企业与个人信息外泄而引起的种种问题。

以上所述，仅用以说明本发明的技术方案而非限制，本领域普通技术人员对本发明的技术方案所做的其它修改或者等同替换，只要不脱离本发明技术方案的精神和范围，均应涵盖在本发明的权利要求范围当中。

Claims (7)

1.基于大数据管理分析的云平台审计系统，其特征在于：它包含云平台、设备管理模块、数据审计模块、统计分析模块、数据存储模块、应用控制模块、安全防护模块，所述的设备管理模块包含网络模式设置、管理端口设置、监听端口设置、系统时间设置、设备调试、设备维护；网络模式设置包含网络、旁路、网关，所述的系统时间设置包含网络同步、手动设置，所述的设备调试包含网络抓包、网络路由、网络连通，所述的设备维护包含系统升级、配置保存、恢复出厂设置。

2.根据权利要求1所述的基于大数据管理分析的云平台审计系统，其特征在于：所述的数据审理模块包含内容还原、房间认证、协议特征设置。

3.根据权利要求1所述的基于大数据管理分析的云平台审计系统，其特征在于：所述的统计分析模块包含数据查询、用户流量统计、在线用户统计、平台管理、用户额度统计、管理设置，所述的数据查询包含实时内容监控、实时内容报警、内容查询、报警查询，平台管理包含上网场所管理、管理域设置、虚拟身份管理、上网终端管理、消息管理、上网人员管理、URL地址库场所运行状态管理；所述的管理设置包含紧急事件报警、统计种类设置、报警策略设置、白名单设置、身份管理、MAC还原、审计策略设置。

4.根据权利要求1所述的基于大数据管理分析的云平台审计系统，其特征在于：所述的数据存储模块包含存储模式设置、存储介质设置，存储模式设置包含数据备份与恢复、数据上传设置、海量存储设置；存储介质设置包含存储介质加密、存储介质格式化、文件体数据加密、存储数据清理。

5.根据权利要求1所述的基于大数据管理分析的云平台审计系统，其特征在于：所述的应用控制模块包含IM访问控制、游戏访问控制、流媒体访问控制、代理访问控制、邮件内容控制、搜索引擎控制、P2P访问控制、证券访问控制、WEB应用访问控制、URL访问控制、文件传输控制、数据库访问控制，URL访问控制包含黑名单控制和白名单控制。

6.根据权利要求1所述的基于大数据管理分析的云平台审计系统，其特征在于：所述的安全防护模块包含常规网络防御、端口扫描屏蔽、DoS攻击防御、自定义策略设置、系统设置、设备许可证、USBKey验证、登陆超时设置，系统设置包含系统日志、用户权限配置、账号管理。

7.根据权利要求1所述的基于大数据管理分析的云平台审计系统，其特征在于：审计平台是基于B/S模式开发，使用时要求客户端必需可以连接到服务器上客户端只需要安装浏览器即可访问本审计平台；但平台登录需要有较高级别的认证才能登陆，来防止审计信息的泄露；整个审计平台通过六大模块来实现，包括设备管理模块、数据审计模块、统计分析模块、数据存储模块、应用控制模块、安全防护模块；在运行中，通过这几大模块的组合来实现七个功能；通过设备管理模块→安全防护模块实现设备接入功能；通过设备管理模块→数据审计模块→数据存储模块实现数据采集功能；通过数据存储模块→统计分析模块实现统计分析功能；通过设备管理模块→数据存储模块→安全防护模块实现数据传输功能；通过设备管理模块→应用控制模块实现应用控制功能；通过设备管理模块→安全防护模块实现设备管理功能；通过数据存储模块→安全防护模块实现数据操作功能；实现过程：先抓取数据再解密再存储再审计再进行分析统计形成报表，审计系统是一体化硬件产品，用户通过Web管理界面进行设置和浏览；1、通过设备管理模块中的网络模式设备子模块，可以选择设备接入的方式(直连或串联，即支持网关、网桥、旁路3种模式的接入，网关和网桥属于直连模式，串联在用户网络中，只对流经设备的数据流进行处理；旁路模式并联在用户网络中，采用旁路监听方式获取数据包)；同时，选择设备的某个网卡作为管理端口使用，配置IP地址，子网掩码，网关等参数，用于管理员通过网络进行日常管理和配置使用，并且作为设备进行网络通信和数据传送的接口；2、接入完成后获取了数据流或者数据包；3、获取数据包之后通过数据审计模块中的内容还原子模块将数据包中的内容还原成明文，进行存储，作为统计分析的基础；具体操作流程是：1)指定监听数据包的网卡---2)启动协议分析程序，绑定指定的网卡----3)获取数据包---4)根据协议(此协议可以不断由用户和管理员改进，详见“协议特征设置”)解析数据包----5)根据协议特征库还原数据包内容；存储的这些数据包也就是待审计的数据，只有通过认证的用户或者管理员才有继续访问和查看的权限，非授权用户被阻断；(具体认证方式见“房间认证”)4、这些存储下来的待审计数据，通过”管理设置”，在报警策略、分析规则、分析类别、审计策略等方面进行设置之后，一方面用户或者管理员可以通过”数据查询”可以直观上获取各种内容和报警信息，另一方面可以同时通过用户流量、在线用户信息、平台管理、用户频度等五大方面，审计引擎，获取对数据进行查询、分析、展现而形成的各种报表(包括)；达到过滤审计数据的目的，获得最终的过滤数据；这些数据可以进行存储和加密设置；5、通过这些数据报表，用户和管理员可以对认为会引起网络安全的IP进行访问控制设置(包括IM访问、P2P访问、游戏访问、证券访问、流媒体访问、WEB应用访问、代理访问、URL访问、邮件内容、文件传输、搜索引擎、数据库访问)客户提到的整个系统最有创造性的地方在于对数据内容的审计；之前提到的外部保护和内部保护两个方面主要体现在：外部是危险行为审计和云源攻击行为审计，内部是针对虚拟机繁忙、防护间隙、虚拟机隐蔽信道这些问题做出的审计；都是包含在整个系统审计功能之中的两个部分功能。