边界日志审计平台

行业背景

随着公安信息化建设的深入开展，公安机关需要进一步与外网共享和交换信息：公安网用户需要通过多种接入方式及时从外网采集日常工作所需要的信息，并与政府部门、社会企事业单位进行业务数据交换。为了在保证安全的情况下及时接入业务并正常进行交换数据，公安相关部门在公安内网与外网之间建立了一个接入(边界)平台，以此保障公安内网的信息安全。

什么是边界？

边界是受信任网络(公安内网)与非信任网络(互联网)之间的隔离缓冲区。不同种类的业务使用着不同的边界，例如：党政军业务、视频链路接入业务、公共信息网采集业务、数据链路接入业务，而每一种业务都有着自己的边界，各边界之间相互独立。边界按功能可分为授权访问和文件传输交换两大类，每一类类或者每一条边界的部署方式不尽相同，部分边界可以直接与内网进行数据交互，而部分边界只能通过FTP摆渡的方式将文件或数据传输到内。

为了保证公安内网的信息安全，对边界平台的运维是至关重要的。但随着边界的增多，边界平台的运维遇到以下痛点：

1.日志量大难管理： 边界平台中设备较多，承载的业务也多，故而产生的日志量大，但缺乏基于各类日志进行自动化的关联分析和统一呈现的技术手段。

2.文件丢失难定位： 文件从边界的入口到边界的出口整个过程经过的每个环节都有日志留存，日志中的字段包含但不限于文件大小、文件名、文件类型、文件路径等，当日常工作中某些文件在边界丢失，或者文件受损时通过本地日志的方式去回溯几乎很难定位：文件是否真正丢失？丢失在哪个环节？......无法做到自证清白也无法定位到根本原因。

3.运营考核难分析： 当专用终端或其他终端通过VPN拨号访问边界内的应用或者公安内网的应用时，边界内会产生一条登录日志，该日志蕴含着运营分析和KPI考核的大量指。但由于缺乏大数据分析能力，公安部门无法完成这部分日志的分析和治理。

方案价值

1. 日志统一监控：将文件传输中整个过程的日志进行统一采集和汇总，提供专用的访问页面进行统一的呈现和分析。

2. 审计过程透明化：对文件的传输过程进行监控，从实现监控手段主动化、监控过程透明化。本方案直观呈现文件传输过程中的变化包括：格式是否发生变化，是否损坏，文件大小是否发生变化等。一个文件上传后，对其文件名称、大小、格式等进行记录，以此为原始数据，对各个环节中该文件信息进行比对，发生变化触发告警。

3. 故障告警分析：对文件传输各环节的内容进行监控，对告警监控内容支持内容下钻，快速分析问题。

4. 可视化呈现：基于物理拓扑、基础监控信息对各边界的运行情况进行监控和可视化呈现，如CPU、磁盘消耗、网络设备丢包率等。

5. 根因问题定位：结合边界的基础监控情况，文件传输情况进行问题的关联，快速定位文件传输过程中的根本原因。例如：某台服务器的资源使用已超负荷，导致文件传输失败。