业务运行监测可视化系统

业务运行监测可视化审计系统

一、   系统建设目标

应用可视化审计通过旁路方式对业务办理过程进行实时监测审计，监测审计范围覆盖用户身份认证、业务查询、业务提交、业务审核等各业务数据交互关键节点，能够实现业务智能识别、业务数据还原、业务数据自动提取、业务数据分析、业务系统状态监控、业务流程追踪分析等安全管理功能，为关键业务系统运行提供实时监控、事中预警、 事后审计等能力和作用。

二、   部署架构

应用可视化审计系统采用旁路部署方式，不干涉、不影响业务系统正常运行，通过旁路流量镜像实时获取、分析业务办理过程中的人员信息、业务关键数据， 根据安全策略对人员信息、业务数据进行实时监控分析，自动判断业务过程是否异常，为业务系统运行监测、业务运维安全管理实现实时监控、事中预警、事后取证的功能和数据支撑。

 

三、   功能简介

1)      网络数据采集方式：采用旁路方式接入网络，不影响原有网络及业务系统的结构及业务系统性能。不需要对现有系统做任何改动，用户也不需要提供数据。采用旁路网络捕包技术，对业务系统数据封装结构进行实时解析，不需改造业务系统。支持IPv4、IPv6网络以及IPv4/IPv6混合网络。支持数据包留存功能，系统针对特定访问会话记录原始网络报文，按照既定策略和设定的规则，在一定事件段内记录两地址之间的网络访问原始数据包，以便下载后分析数据包内容。

2)   应用系统日志采集方式：系统支持通过Agent方式采集应用程序、数据库、中间件以及操作系统的运行日志，Agent程序支持linux、Windows等多平台，采集后将日志以sftp等加密方式发送到业务安全分析模块。

3)   应用系统进程状态采集方式：系统支持通过SNMP协议方式或Agent方式采集应用系统、数据库、中间件进程运行状态，包括进程ID、CPU占用率、内存占用量/占用率。

4)   业务系统自定义配置：系统支持业务系统的业务操作配置，包括操作ID、业务系统名称、业务功能名称、业务功能访问地址（url），业务功能类型（登录、业务操作），关键字段名（账号，sessionid，单据号，关键数据，操作结果等）等。支持各业务系统协议自定义，不同的业务系统有不同的协议规则；支持业务系统协议数据以json或xml形式下发业务识别系统。

5)   业务数据智能识别：系统使用业务规则智能碰撞匹配技术，识别网络数据中的业务数据，数据内容包括业务系统名称、业务功能名称、管理员账号或会话ID、操作时间、单据号、关键数据、操作结果（成功、失败、失败原因）、操作时长，保证数据的准确性。业务识别系统支持自定义协议解析功能，根据业务配置模块下发的json或者xml格式的业务系统协议数据格式对网络数据中的业务数据进行解析，并支持以python、TCL、lua等脚本和插件技术实现业务协议个性化解析功能，针对不同的业务系统提供不同的应用协议解析插件。

6)   业务数据查询：支持以时间、账号、单据号、关键数据、源IP、源IP所在地、源端口号、目的IP、目的IP所在地、目的端口号、开始时间、结束时间等维度的查询界面，使管理人员能够还原某一笔单据办理时的具体情况，为事后的现场重现提供支持。

7)   业务操作错误分析：系统支持对审计范围内的所有操作错误进行审计，并提供专有工具界面供用户对错误进行归类、统计分析。支持错误审计报告功能，系统定期生成报告，报告业务操作错误分析审计结果等数据；支持依照用户策略生成各种统计报告，并可以文件方式存储和下载；支持统计报告的生成频次、数据时间范围可由用户自行配置。

8)   业务系统性能分析：支持对审计范围内的所有操作按照提交时间、返回时间、返回完成时间、操作成功与否进行记录，并统计链路的网络通信流量、网络连接频次情况，检测网络通信的拥堵情况，并提供专有界面供用户对业务处理性能进行统计分析。支持业务性能分析报告功能，系统定期生成报告，报告业务性能分析等数据；支持依照用户策略生成各种统计报告，并可以文件方式存储和下载；支持统计报告的生成频次、数据时间范围可由用户自行配置。

9)   业务逻辑安全分析：系统支持业务逻辑漏洞自动发现功能，包括业务越权操作、未进行登陆凭证认证绕行操作、恶意登录注册、验证码填写异常、订单多重提交、接口多点异常登录使用、接口无认证枚举使用、Cookie设计缺陷以及其他违规操作等应用安全监测手段。

10) 业务流程运行监测分析：系统支持业务运行流程图形化自定义设计，支持业务流程与关键功能审计点映射功能，提供业务流程关键点、关键指标以及过程间的监控审计，提供完整业务流程运行性能的监控审计。

11) 应用系统进程分析：系统支持分析应用系统的应用程序、数据库、中间件进程运行状态，支持运行状态查询和状态异常告警，告警方式包括弹窗、邮件等方式，异常类型应支持进程丢失、CPU占用过高、内存占用量/占用率过高。

12) 应用系统日志分析：支持对应用程序、数据库、中间件的运行日志进行分析，定位系统错误，分析错误来源。

13) 应用系统安全性综合分析：支持对应用系统的安全性进行综合分析，包括业务操作失败率增高、响应时间超长、功能错误、停止服务等情况，定位相关故障点，为排查问题提供有效支撑。

14) 业务系统数据处理性能：系统支持不少于5000条/秒存储速度；不少于20000条/M存储能力（每M空间存储20000条以上日志，压缩存储，压缩比：10:1），不少于5000条/秒综合处理能力，数据库支持Mysql、MariaDB、TiDB等；

15) 业务运行监测可视化综合展示：支持业务正常操作数据分析、业务操作错误数据分析、业务性能数据分析、应用系统状态数据分析、应用系统日志数据分析等综合分析功能，同时提供钻取查询功能，并提供以不同业务系统划分的排名及时序统计视图。

16) 数据安全管理：可以与密钥公共服务系统配合，支持业务传输链路数据信源加解密，从而实现数据安全传输并能够对业务数据合规性进行监测。

17) 系统管理：系统支持基于密码策略的管理员密码强度检查，管理员超时自动登出；支持支持标准时间同步协议，自动同步时间服务器，确保系统时间的准确性。支持管理员登录日志管理功能，系统记录系统所有管理员的登录、登出行为，登录IP，登录时间等；支持管理员操作日志管理功能，系统记录系统所有管理员登录后所进行的所有操作行为；支持角色管理功能，系统对角色进行分配权限,并能根据角色权限自动分配该角色能够操作的系统模块；支持用户权限分配功能，系统针对不同登录用户分配不同权限，灵活管理用户权限；支持操作用户信息管理功能，操作用户分为普通用户、管理员用户和审计用户。