关键字:全流量 数据安全法 溯源 分析取证 网络安全 线速
为全面落实《数据安全法草案》中对数据有效监管,智恒科技发布重磅安全产品:智恒全数据流采集与分析审计取证系统v1.0(sas 8000系列),该系统从多个维度深度进行了设计研发。解决了高速数据流的采集、存储,多1000 应用协议进行可视化分析,对用户进行事中、事后分析取证、追溯提供了重要手段和依据。过去用户通常遇到的难点是高速数据流,如单点最大20g全流量处理,即使捕获下来也无法进行大容量的存储,智恒科技提供单节点最大840tb,另外支持5tb/s的数据包检索速度,同时满足国家《网络安全法》、《数据安全法》的合规性要求。
当前以元数据为核心的大数据安全可以实现实时的持续检测及响应,主动事件分析,大数据安全尊龙凯时注册的解决方案已经很好的解决了网络上的资产管理、用户及权限管理、威胁识别、事件响应等。但仅仅有元数据是不够的,元数据可能会被篡改,可能会遗漏,往往导致事件调查上下文的缺失。因此全流量安全尊龙凯时注册的解决方案应运而生,基于网络流量数据的存储和检索,提供相关网络安全事件的事后审计能力,能完整真实的还原网络安全事件的原始场景,满足合规性和网络安全事件分析的需求。
针对网络流量具有随机、分散、海量的特点,全流量安全尊龙凯时注册的解决方案需要高速、灵活、全面的存储和检索尊龙凯时注册的技术支持,智恒全数据流采集与分析审计取证系统基于全流量数据海量存储、快速检索、灵活分析、精准溯源一体化尊龙凯时注册的解决方案。
系统整体架构分为:数据捕获、数据分析、web服务三部分:
(1)数据捕获:从网络接口卡(nic)获取网络数据包,对网络流进行分类,以专门的格式将数据存储到磁盘中,该格式已针对极高的吞吐量,准确性,可管理性进行了优化并确保数据安全。 除了确保捕获100%的网络流量之外,还可以在流量捕获时使用伯克利数据包过滤器(bpf)过滤网络流量。
高速报文接收组件:使用高速报文接收组件进行网卡接管收包,可以有效避免内核与应用之间的多次报文拷贝,提高cpu收包性能;
全流量捕获存储组件:通过nic上来的报文按流进行分类存储,并按收包时间进行排序,存储时进行磁盘优化,确保磁盘无碎片,即使软件长时间运行也不会产生性能下降,并能使以后的数据检测及读取高效;
流量回放组件:根据用户下发的回放命令,将导出的数据回放到nic,可按要求控制bps及pps发送速度。
(2)数据分析:对于全流量捕获的原始数据进行加工,完成协议识别、元数据解析、会话日志生成、建立索引等功能。
索引组件、全流量检索组件:高速的两级索引机制,能更快的按用户的检索条件进行全包检索引数据读取;
dpi分析组件:报文业务识别,分析每条会话的业务类型,为用户提供分析辅助;
会话日志管理组件:记录全流量存储所有的会话日志,方便用户追溯会话相关的全部ip包;
元数据分析组件:针对每条会话进行重要数据提取,方便后续对会话的分析。
(3)web服务:为用户提供丰富的管理界面,并能提供对外接口,方便第三方软件对接。
web操作和配置管理:用户的管理及分析入口,可方便管理软件、分析会话、全包检索等。
restapi服务:提供第三方软件通过restapi接口进行数据分析及数据获取。
系统提供restapi,可以通过json数据格式的命令控制网络流量捕获的启动或停止,设置捕获过滤器等功能,允许第三方系统通过简单的http请求描述和检索捕获的数据。这样可以轻松集成到其他软件平台,例如ids / ips, siem和沙箱。这些功能提供了利用行业标准协议将当前和未来工具/设备与开放式架构集成的能力。
常规用户在实际应用中将用到以下型号sas-8000d:
采用2u服务器,支持12块3.5寸硬盘,此外系统后端还额外提供2个2.5寸硬盘槽位用于os安装。
产品外观
sas-8000d前视图
sas-8000d后视图
技术参数
该系统目前为全国用户提供测试服务,公司正在办理相关资质证书。系统适用于金融、运营商、政府、科研院所、能源、医疗、军工、互联网企业等数据敏感单位,解决用户数据使用、传输等过程中的各类数据安全问题。
leave a comment