前言

为什么需要内容审计和行为重放系统

随着信息技术的深入发展和政府、行业和企业的网络信息系统应用的广泛使用，政府、行业和企业网络技术的应用层次正在从传统的、小型业务系统逐渐向大型、关键业务系统扩展。信息安全是一个动态的过程，在为自身业务提供高效的网络运营平台同时，日趋复杂的 IT 业务系统与不同背景业务用户的行为也给网络带来潜在的威胁，如内部办公业务系统何时被远程访问、内网数据和资料是否被非法查询、内网人员是否非法访问外部非法网站、是否有人通过网络发布非法言论等。面对网络的广泛应用，在缺少监管的环节，内部违规上网行为也日益泛滥，严重破坏政府、企业信息的安全性和可管控性。如何有效监控业务系统访问行为和敏感信息传播，准确掌握网络系统的安全状态，及时发现违反安全策略的事件并实时告警、记录，同时进行安全事件定位分析，事后追查取证，满足合规性审计要求，是政府、行业和企业迫切需要解决的问题。

随着业务系统访问、网络应用行为日益频繁，我们可能经常遇到如下情况：

内部人员对业务应用系统的越权访问、违规操作，损害业务系统的运行安全或数据安全；
重要业务信息，被内部或系统维护人员非法检索、篡改、外泄，给政府、行业或企业造成巨大的经济损失；
内部工作人员随意通过业务应用系统批量查询核心数据信息，将查询结果汇总，导致核心数据外泄事件发生；
内部工作人员在论坛发表敏感信息、传播非法言论，造成恶劣社会影响；
等级保护要求。公安部国家电子政务等级保护、国家保密局BMB17-2006号文件中要求政府、涉密单位必须对与涉密敏感信息、业务系统相关的网络行为进行安全审计；
萨班斯（SOX）法案要求。在美国上市公司必须遵循的“萨班斯（SOX）法案”中要求对企业内部网络信息系统进行评估，其中涉及对业务系统操作等业务行为的审计。

上述问题已经超出了常规网络安全防御手段（防火墙、入侵检测和漏洞扫描）所能解决的范围，内容审计和行为重放系统正是在这种环境下为政府、行业和企业提供了告警响应、准确定位事件源头、行为分析和提供强有力事后追踪取证信息，并为管理者全面进行网络内容监管提供了技术手段和技术保障。

如何选择内容审计和行为重放系统

内容审计和行为重放系统具有对网络通信内容、网络行为的实时监测、报警、记录等功能。是否能够很好地帮助网络管理员完成对网络状态的把握、安全的评价、行为追踪和行为取证是安全审计系统的基本标准。

一个完善的内容审计和行为重放系统应该从以下几个方面评价：

细粒度的操作内容审计与精准的网络行为实时监控；
面对海量数据具有方便的内容和行为检索、查询和数据挖掘功能；
具有可检索定位的用户行为分析和行为重现机制；
提供全面详细的审计信息，丰富可定制的报表系统；
支持分级部署、集中管理，满足不同规模网络的使用和管理需求；
自身的安全性高，不易遭受攻击。

OCT 内容审计与行为重放系统介绍

为什么选择OCT内容审计与行为重放系统

OCT内容审计与行为重放系统（OCT Audit Replay，简称 AR）是OCT系列安全产品解决方案中的关键环节之一。它和OCT边界安全网关、OCT集中认证网关等安全产品结合使用，通过对用户访问Web应用系统时的数据采集、识别和解译，重现用户行为，监控敏感数据，实现用户行为的数据挖掘和行为分析。

目前，各类传统的审计系统主要围绕主机审计和网络审计进行实现，这些审计系统首先要求主机、应用系统或安全产品将自身日志提交到集中审计系统，然后进行集中分析，但是这种情况存在着诸多问题。

依赖业务应用系统自身的日志记录

绝大多数业务应用系统在设计之初并未考虑到支持第三方日志审计系统，甚至本身就缺少日志记录功能，使得集中审计成为了不可能。

旁路审计系统无法应对数据加密链路

出于安全性考虑，诸多应用系统采用HTTPS等安全协议。针对采用数据加密链路（HTTPS）的应用系统，旁路集中审计系统根本无法识别会话信息，从而不可能实现内容和用户行为的审计。

缺少用户行为数据分析和行为重现

由于依赖主机或应用系统自身的日志信息，通常，集中审计系统主要实现日志集中存储和归类，无法实现用户行为的重现，对访问的内容无从审计。

录制式回放，无法对内容检索

有些集中审计系统通过录屏方式进行用户行为记录，这种方式不仅数据存储量巨大，而且无法对内容进行检索和分析，面对海量数据，数据无法挖掘，无法使用。

首先，内容审计与行为重放系统是一个结合OCT边界安全网关和OCT集中认证网关而设计的集中审计和Web页面回放系统。通过和OCT边界安全网关/OCT集中认证网关在功能上互相协调、补充，构建一个立体的安全保障管理体系。

OCT边界安全网关和OCT集中认证网关一般部署在网络边界或者应用服务器子网边界，所有数据流经过OCT边界安全网关和OCT集中认证网关，因此 OCT边界安全网关和OCT集中认证网关可以将数据流镜像到OCT内容审计与行为重放系统，审计信息完全不依赖业务应用系统本身，业务应用系统即使没有记录任何用户访问日志，OCT内容审计与行为重放系统也可以完成用户行为审计和行为重放。

尤其针对HTTPS加密链路，可以通过OCT客户端和反向代理方式实现内容解译，从而实现对加密链路数据的内容审计。

OCT内容审计与行为重放系统是一个综合的内容审计系统，包含了：

细粒度的网络内容审计

OCT内容审计与行为重放系统可对网站访问的内容、论坛发帖、基于Web的查询系统和搜索引擎等进行关键信息监测、还原。

全面的网络服务审计

OCT内容审计与行为重放系统可对用户行为，如网站访问、邮件收发、数据库访问、远程终端访问、即时通讯、论坛、在线视频、P2P下载、网络游戏等，提供全面的行为监控，方便事后追查取证。

Web页面访问行为重放

OCT内容审计与行为重放系统能够对用户访问的Web应用页面进行识别、分析、重组和回放，全景式展示用户当时访问系统时的场景，不仅直观，而且可以实现对页面检索。完全解决了缩略图方式和录屏方式所导致的巨大存储空间需求问题和不可检索问题。

加密链路的内容审计

针对加密链路，传统方式的审计系统不得不依赖于业务应用系统本身的日志信息。如果业务应用系统无法提供详细的日志或内容审计，传统的审计系统根本无法实现审计功能。OCT内容审计与行为重放系统通过和OCT客户端技术融合和反向代理技术，解决了加密链路的审计问题，尤其针对HTTPS加密协议，依然能够实现对用户Web查询关键词的监测和分析。

系统体系架构

OCT内容审计与行为重放系统在体系架构的设计上需要外部提供审计数据源，针对标准的数据采集接口，OCT内容审计与行为重放系统和OCT安全网关无缝结合。

内容审计与行为重放系统由数据采集分发中心、数据解译中心、数据管控中心和数据存储中心和页面展示引擎共同构成。

系统核心功能

数据采集分发中心

提供标准的数据采集接口，从OCT安全网关和OCT客户端采集内容数据；提供标准的SysLog日志接口从OCT安全网关采集日志信息。

面对海量数据的的涌入，OCT内容审计与行为重放系统采用独创的数据预处理技术和高速缓存技术进行分类、预处理和分发，避免数据的拥塞，为后续的数据解析和解译提供数据保障。

数据解析和解译中心

面对多协议数据、压缩数据和加密数据，数据解析和解译中心负责数据协议的解析和内容的分析和解译。由于面临大量并发用户场景时，数据量可能巨大，该模块采用了多进程和多线程技术，通过对协议和内容的解析和解译，重现用户访问行为。

数据管控中心

数据管控中心负责海量数据的读写操作，针对数据写入拥塞，引入了写入缓冲机制。针对Web页面重现，数据管控中心按照规则批量处理内嵌脚本和内容替换，确保重现页面可离线查看。

数据存储中心

数据存储中心负责海量数据的存储和负载分担，针对大型网络环境，可以实现存储的实时热备。

页面展示引擎

页面展示引擎负责Web页面脚本处理、UI展示、行为查询和统计分析。Web页面重放涉及HTML逻辑结构和内嵌脚本的处理，OCT内容审计与行为重放系统采用内嵌业务逻辑控件实现HTML和脚本语言解析、过滤和转换工作。通过行为查询，可以快速定位敏感操作和敏感数据，通过统计分析可以方便管理员总揽针对敏感应用的访问情况和群体用户的访问行为特点。

系统应用场景

OCT内容审计与行为重放系统是在一个特定的政府、行业和企事业单位的网络环境下，为了保障业务系统和网络信息数据不受来自用户的破坏、泄密、窃取，而运用各种技术手段实时监控网络环境中的网络行为、通信内容，以便集中收集、分析、报警、处理的一种技术手段。

OCT内容审计与行为重放系统以流经OCT边界安全网关和OCT集中认证网关等安全设备数据流为数据源，可以广泛适用于：

通信行业：移动、电信、联通等
金融行业：银行、保险、证券、期货等
政府部门：外交、税务、工商、公检法、水利、交通等
企业单位：电力、石油、化工、交通、煤炭、粮食等；
国防军工业

通过使用该系统，可以有效监控内部机密、敏感信息、知识产权、账户密码等重要信息的泄露。同时也使网络管理者可以对主被动泄密行为轻松定型、快速定位，大大提升了整个信息化系统的安全性，并起到强威慑作用。

系统部署方式

旁路部署

OCT内容审计与行为重放系统和OCT边界安全网关、OCT集中认证网关配合使用。

旁路模式（单臂模式）指将OCT内容审计与行为重放系统在物理上和OCT边界安全网关、OCT集中认证网关部署在同一物理网络中，即OCT集中认证网关通过单臂模式接入到内网中。OCT边界安全网关、OCT集中认证网关可以通过网络访问到OCT内容审计与行为重放系统。

旁路部署可以采用单臂模式也可以采用多网口（多网口可以在相同逻辑网段也可以在不同逻辑网段）接入模式以避免单臂模式导致带来的带宽瓶颈。

旁路模式的部署具有以下优点：

部署方便：应用无需作改动，用户只需分配和设置一个IP地址即可。
不会影响正常的业务访问：旁路部署设备不会影响现有网络结构，不会成为现有网络的单一故障点，最小限度影响现有网络。
便于管理：管理员在任意接入点都可以方便管理该系统。

旁路模式的缺点：

当审计的数据量比较大时，可能会对带宽造成一定影响。

交叉线部署

交叉线部署方式是指将OCT内容审计与行为重放系统通过交叉线直接和OCT边界安全网关或OCT集中认证网关相连接。

交叉线部署方式具有以下优点：

部署方便：应用无需作改动，在OCT边界安全网关和OCT内容审计与行为重放系统之间设置似有IP地址即可。
审计流量不会影响现有网络带宽，最小程度影响现有网络环境；
由于OCT内容审计与行为重放系统不与现有网络连接，相对独立，具有更好的安全性。

交叉线部署方式的缺点：

需要占用OCT安全网关或OCT审计网关额外的网络接口；
需要设置额外的OCT内容审计与行为重放系统管理端口。

产品功能点和特色

不依赖业务应用系统本身日志

绝大多数业务应用系统在设计之初并未考虑到支持第三方日志审计系统，甚至本身就缺少日志记录功能，使得集中审计成为了不可能。OCT内容审计与行为重放系统采用旁路部署方式，即不影响现有系统的使用，而且能够不依赖业务应用系统本身的日志实现多业务应用系统的集中审计。

可以审计HTTPS加密链路的查询内容

出于安全性考虑，诸多应用系统采用HTTPS等安全协议。针对采用数据加密链路（HTTPS）的应用系统，传统审计系统根本无法识别会话信息，从而不可能实现内容审计。OCT内容审计与行为重放系统和OCT客户端相结合或者利用OCT安全网关的反向代理技术，实现对加密链路的数据采集和分析，在不改变业务应用系统的情况下实现内容级集中审计。

可以实现用户行为重现和检索

传统审计系统即时可以实现用户行为重现也难以实现对用户行为的检索和查询，面对海量数据，管理者根本无法定位问题。OCT内容审计与行为重放系统不仅可以幻灯片式重现系统页面，而且通过关键字检索定位用户行为，为行为追踪提供了技术前提。

个人行为分析和群体行为统计分析相结合

OCT内容审计与行为重放系统不仅可以重现个人访问行为，而且可以针对海量数据进行统计分析，完成对群体用户行为和资源被访问情况的汇总分析，为决策者提供数据支撑，为管理者提供发现异常访问行为的工具。

高性能、高可用性、高可扩展性设计

面对海量数据，OCT内容审计与行为重放系统采用了高速缓冲技术、多线程技术、数据预处理技术、分布式技术、负载均衡等技术，实现了高性能、高可用性前提下的高可扩展性。

产品优势

功能	特点描述	优势
用户行为全景回放	对用户所有行为都可以进行回放，审计，不存在监管漏洞和死角	7层核心技术，同行业首创
信息监管	无论终端用户关闭进程、禁用/启用设备、停用服务、清除注册表、删除相关文件等非法操作，都无法破坏AR网络层监管能力	对用户透明，在需要的情况下可监管所有的应用访问数据
系统安全保护	系统对网络设备和服务进行认证，对底层数据进行镜像过滤，杜绝非认证数据的接收，并实时监测网络设备的状态，保证数据接收的完整和安全	复杂网络情况下，自身生存能力极强，不会因网络风暴而停止服务
旁路部署	对于用户原有网络结构不做改动，旁路接入用户网络环境	部署成本小，灵活方便
跨平台	用户访问的BS服务，不需要有客户端进行数据抓取或传送，支持基于HTTP协议的所有应用数据	7层内容解析技术，支持主流应用平台，不需特殊访问形式，对多种访问均可审计
热备	实时热备，零秒切换	数据引擎不间断运转，审计功能不断
扩展	通过特有的三明治布局方式，在前后端负载均衡的基础上可无限扩展AR数据引擎服务器	特定方案支持电信级别审计需求

规格型号与参数

参数	AR-2400	AR-3000	AR-3600L	AR-3600M
设备尺寸	1U	1U	1U	2U
网络接口	4*100M	4*1000M	6*1000M	8*1000M
电源	1	1	1	1
电压	100~240V	100~240V	100~240V	100~240V
功率	150W	200W	200W	200W
工作温度	0~40℃	0~40℃	0~40℃	0~40℃
工作湿度	5%--95% RH，不凝结	5%--95% RH，不凝结	5%--95% RH，不凝结	5%--95% RH，不凝结
吞吐率	200MB/s	500MB/s	500MB/s	1000MB/s
吞吐率	200MB/s	500MB/s	500MB/s	1000MB/s
每秒新建连接数	--	--	--	--
每秒处理日志数	200	500	1000	2000
最大应用数	10	20	50	100
最大网关数	1	2	5	10+