趙剛　王小飛　翟紅

摘 要：針對現(xiàn)有的企業(yè)日志管理系統(tǒng)存在的系統(tǒng)維護(hù)復(fù)雜、查詢效率較低、日志數(shù)據(jù)歸檔繁瑣等特點，引入分層模塊化設(shè)計思想，并結(jié)合當(dāng)前企業(yè)日志管理系統(tǒng)的實際運作情況，提出并設(shè)計了企業(yè)全網(wǎng)日志管理等模塊，降低了企業(yè)日志維護(hù)管理成本，提高了企業(yè)日志綜合管理水平。研究表明，該系統(tǒng)具有良好的機(jī)密性、完整性和可用性。

關(guān)鍵詞：日志管理；網(wǎng)絡(luò)安全；集中管理；分層模塊化設(shè)計

中圖分類號：TN409 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-1302（2015）04-00-03

0 引 言

隨著信息化技術(shù)的快速發(fā)展，企業(yè)信息化程度逐步提高。為了提高企業(yè)各項事務(wù)的管理和運作效率，引入了企業(yè)管理信息系統(tǒng)[1]，比如辦公自動化系統(tǒng)和企業(yè)資源計劃系統(tǒng)等，各個系統(tǒng)在運行過程中都會產(chǎn)生大量的日志數(shù)據(jù)，這些數(shù)據(jù)詳細(xì)記錄了系統(tǒng)的各種事件，為企業(yè)系統(tǒng)地維護(hù)起到了不可替代的作用[2，3]。當(dāng)前，很多企業(yè)的日志管理系統(tǒng)都采用分布式方式進(jìn)行管理，分散的管理方式導(dǎo)致日志數(shù)據(jù)檢索效率較低、系統(tǒng)維護(hù)復(fù)雜、數(shù)據(jù)歸檔繁瑣等弊端[4，5]。隨著企業(yè)信息化程度提高，各個系統(tǒng)日志數(shù)據(jù)量急劇增大，如何對其進(jìn)行高效地管理，成為企業(yè)亟待解決的問題[6]。

針對當(dāng)前日志管理系統(tǒng)存在的問題，首先分析日志審計系統(tǒng)在目前網(wǎng)絡(luò)環(huán)境中的重要性以及它的作用，介紹了系統(tǒng)設(shè)計過程中采用的關(guān)鍵技術(shù)，并詳細(xì)闡述了系統(tǒng)框架設(shè)計思想，對系統(tǒng)中日志事件獲取模塊、資產(chǎn)管理模塊、規(guī)則庫模塊、統(tǒng)計圖表功能和權(quán)限管理模塊等五大模塊地設(shè)計作了詳細(xì)說明，其中包括每個模塊所需要完成的功能及其子模塊功能介紹。其次，設(shè)計了適于大型企業(yè)對日志信息進(jìn)行合理管理的企業(yè)全網(wǎng)日志綜合管理系統(tǒng)，解決了傳統(tǒng)日志管理系統(tǒng)中存在的問題。系統(tǒng)采用分層模塊化設(shè)計思想，分解了各層面實現(xiàn)過程，通過網(wǎng)絡(luò)資產(chǎn)設(shè)備上報的日志，實時監(jiān)視網(wǎng)絡(luò)各類操作行為及攻擊信息，實現(xiàn)對企業(yè)應(yīng)用系統(tǒng)日志記錄的自動采集、分析、審計和響應(yīng)，提升了企業(yè)日志管理的效率。

1 系統(tǒng)需求分析

根據(jù)對系統(tǒng)的分析可以明確，全網(wǎng)日志綜合管理系統(tǒng)主要由系統(tǒng)邊界、外網(wǎng)區(qū)域、業(yè)務(wù)區(qū)域及管理審計區(qū)域等四部分組成，其中系統(tǒng)邊界主要由邊界接口設(shè)備和邊界安全網(wǎng)關(guān)等設(shè)備組成，外網(wǎng)區(qū)域主要資產(chǎn)為支付應(yīng)用服務(wù)器和相應(yīng)支撐設(shè)備，業(yè)務(wù)區(qū)域主要資產(chǎn)為支付內(nèi)網(wǎng)應(yīng)用服務(wù)器和數(shù)據(jù)庫群組以及相應(yīng)的支撐系統(tǒng)，管理審計區(qū)域主要資產(chǎn)為業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)管理終端等。

系統(tǒng)的設(shè)計目標(biāo)是對上述四個區(qū)域的所有資產(chǎn)，根據(jù)等級保護(hù)規(guī)范的要求進(jìn)行完全性審計。審計的內(nèi)容包括資產(chǎn)事件的完全收集，如狀態(tài)事件、操作事件、故障事件和業(yè)務(wù)事件等，對事件的敏感級別、收集的資產(chǎn)事件進(jìn)行數(shù)據(jù)統(tǒng)計分析審計。為了利用所有的安全設(shè)施以保障信息資產(chǎn)和業(yè)務(wù)服務(wù)的保密性、完整性和可用性，作為一個整體化的安全信息總控中心，該系統(tǒng)應(yīng)具備集中化、智能化、實時化、可視化、流程化及規(guī)范化等特點。

2 全網(wǎng)日志綜合管理系統(tǒng)設(shè)計

2.1 系統(tǒng)架構(gòu)設(shè)計

根據(jù)對全網(wǎng)日志綜合管理系統(tǒng)的設(shè)計需求進(jìn)行分析，為解決其面臨的問題，采用分層模塊化設(shè)計思想，分解系統(tǒng)的各層面實現(xiàn)過程，并規(guī)范各層的基本作用及功能。本系統(tǒng)主要通過網(wǎng)絡(luò)資產(chǎn)設(shè)備上報的日志，實時監(jiān)視網(wǎng)絡(luò)各類操作行為及攻擊信息。根據(jù)設(shè)置的規(guī)則，智能地判斷出各種風(fēng)險行為，對違規(guī)行為進(jìn)行報警等。系統(tǒng)架構(gòu)共包括日志事件獲取模塊、資產(chǎn)管理模塊、規(guī)則庫模塊、統(tǒng)計圖表功能、權(quán)限管理模塊等五部分，全網(wǎng)日志綜合管理系統(tǒng)架構(gòu)如圖1所示。

日志事件獲取模塊：安全事件監(jiān)控系統(tǒng)是實時掌握全網(wǎng)安全威脅狀況的重要手段之一。通過事件監(jiān)控模塊監(jiān)控各個網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報警信息等，及時發(fā)現(xiàn)正在發(fā)生以及已經(jīng)發(fā)生的安全事件，通過響應(yīng)模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運行。

資產(chǎn)管理模塊：資產(chǎn)管理實現(xiàn)對網(wǎng)絡(luò)安全管理平臺所管轄的設(shè)備和系統(tǒng)對象的管理。它將其所轄IP設(shè)備資產(chǎn)信息按其重要程度分類登記入庫，并為其他安全管理模塊提供信息接口。

規(guī)則庫模塊：規(guī)則庫支持主流網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等，而且還應(yīng)涵蓋已經(jīng)部署的安全系統(tǒng)，包括防火墻系統(tǒng)、防病毒系統(tǒng)等。并提供新日志格式適配功能，支持從安全運營中心平臺接受新日志解析映射規(guī)則配置。用戶可以根據(jù)該適配功能，對新日志格式進(jìn)行自行適配。

統(tǒng)計圖表功能：具備強(qiáng)大的統(tǒng)計功能，可快速生成多種專業(yè)化的報表并支持自定義圖表的設(shè)定集展示。

權(quán)限管理模塊：超級管理員可根據(jù)用戶角色分配平臺查看、操作各模塊的權(quán)限，用戶可以訪問而且只能訪問自己被授權(quán)的資源。

2.2 安全設(shè)計要求及設(shè)計目標(biāo)

客戶需要對各類信息資產(chǎn)進(jìn)行安全審計，資產(chǎn)和審計要求特點：信息設(shè)備及資產(chǎn)種類重多；事件、日志協(xié)議繁雜；日志量較大；由于主備環(huán)境的存在，有一定地域分布。針對這些資產(chǎn)和審計要求特點，審計需求可分為網(wǎng)絡(luò)安全審計、主機(jī)安全審計和應(yīng)用安全審計三個方面。

網(wǎng)絡(luò)安全審計主要針對的對象是各種網(wǎng)絡(luò)層信息設(shè)備，主要為交換機(jī)、防火墻、IDS等。其中日志信息記錄應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行情況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；審計記錄應(yīng)包括事件的日期和事件、用戶、事件類型、事件是否成功及其它與審計相關(guān)的信息；網(wǎng)絡(luò)故障分析應(yīng)對網(wǎng)絡(luò)系統(tǒng)故障進(jìn)行分析，查找原因并形成故障知識庫；網(wǎng)絡(luò)對象操作審計應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；日志權(quán)限和保護(hù)應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等；審計分析和報告應(yīng)具備日志審計工具，對日志進(jìn)行記錄、分析和報告。主機(jī)安全審計主要針對客戶的多臺Windows/Linux主機(jī)進(jìn)行日志審計。其中審計記錄的內(nèi)容至少包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；日志保護(hù)應(yīng)保證無法單獨中斷審計進(jìn)程，無法刪除、修改或覆蓋審計記錄；系統(tǒng)信息分析應(yīng)提供對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析及生成審計報表的功能；對象操作審計應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計。應(yīng)用安全審計應(yīng)確保應(yīng)用數(shù)據(jù)的完整性，避免因管理缺位造成數(shù)據(jù)丟失，并且管理者可以全面了解應(yīng)用的潛在風(fēng)險，以及實際發(fā)生的情況，在可疑行為發(fā)生時可以自動啟動預(yù)先設(shè)置的告警流程，防范應(yīng)用安全風(fēng)險。

2.3 系統(tǒng)功能設(shè)計

根據(jù)安全等級保護(hù)規(guī)范要求，審計系統(tǒng)主要在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全三個層次進(jìn)行審計架構(gòu)設(shè)計。按照審計目標(biāo)的分解，得到等級保護(hù)規(guī)范事件邏輯審計模型。

在審計模型中，日志記錄及審查覆蓋的網(wǎng)絡(luò)安全層次采用了SNMP/SYSLOG方式，主機(jī)安全層次采用了SNMP/SYSLOG文件方式，而其應(yīng)用安全層次則采用了SYSLOG/文件/流量方式。對于審計內(nèi)容覆蓋、審計記錄格式要求、數(shù)據(jù)分析及報表、保護(hù)審計記錄、審計進(jìn)程保護(hù)、審計存儲空間閾值控制、信息系統(tǒng)的時間同步以及統(tǒng)一策略集中審計，其對應(yīng)的網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全三個層次分別為事件解析、標(biāo)記解析，事件解析、標(biāo)記解析、賬號解析，事件解析、標(biāo)記解析，會話解析；按照標(biāo)準(zhǔn)實現(xiàn)，按照標(biāo)準(zhǔn)實現(xiàn)，按照標(biāo)準(zhǔn)實現(xiàn)；流量分析、連接分析、標(biāo)記分析，權(quán)限分析、威脅分析、異常分析，威脅分析、異常分析、可用性分析；實時、冗余、加密，實時、冗余、加密，實時、冗余、加密；標(biāo)準(zhǔn)不涉及，審計進(jìn)程運行于安全標(biāo)記操作系統(tǒng)，標(biāo)準(zhǔn)不涉及；自動排程歸檔備份，標(biāo)準(zhǔn)不涉及，標(biāo)準(zhǔn)不涉及；采取NTP協(xié)議實現(xiàn)，標(biāo)準(zhǔn)不涉及，標(biāo)準(zhǔn)不涉及；標(biāo)準(zhǔn)不涉及，審計中心向策略中心請求策略，審計中心向策略中心請求策略。以上即為各分解后得到的等級保護(hù)規(guī)范事件邏輯審計模型詳述。

系統(tǒng)主要完成客戶對于安全審計中對于網(wǎng)絡(luò)安全審計和主機(jī)安全審計的要求，主要的審計目標(biāo)是等級保護(hù)要求進(jìn)行審計的網(wǎng)絡(luò)、主機(jī)及各層應(yīng)用。根據(jù)邏輯審計架構(gòu)模型和期望達(dá)到的效果，系統(tǒng)采用如下方案：

（1） 在企業(yè)每個終端節(jié)點部署1臺日志綜合審計系統(tǒng)的采集器，用以接收信息系統(tǒng)范圍內(nèi)的路由器、交換機(jī)、防火墻、入侵檢測、Windows操作系統(tǒng)、Linux操作系統(tǒng)、防病毒軟件等的告警日志，同時將日志進(jìn)行壓縮，加密傳輸?shù)缴霞壠脚_。

（2） 企業(yè)上級平臺部署一臺終端日志綜合審計系統(tǒng)，接收終端節(jié)點采集器上報的原始日志數(shù)據(jù)；每個終端節(jié)點的管理員可以自己定制告警規(guī)則，并進(jìn)行日志的儲存、檢索、報表生成。

（3） 系統(tǒng)另外部署2臺高端日志綜合審計系統(tǒng)，既可以做中心管控平臺使用，也可以獨立接收設(shè)備日志（接收網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、安全設(shè)備日志），實現(xiàn)分布式管理。

日志和事件的全面收集是等級保護(hù)審計系統(tǒng)的基礎(chǔ)功能和基礎(chǔ)要求，系統(tǒng)將采用以下日志采集方式：

網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、負(fù)載均衡等，直接配置syslog主機(jī)地址，Web管理直接在后臺界面寫入日志綜合審計系統(tǒng)的IP地址。

安全設(shè)備：如天融信防火墻、啟明星辰IDS、綠盟NGFW、深信服VPN等設(shè)備，直接在后臺管理頁面填寫上日志綜合審計系統(tǒng)的IP地址，實現(xiàn)日志傳送。

支持Windows、Linux、Unix等操作系統(tǒng)的日志收集，微軟操作系統(tǒng)需要安裝客戶端軟件實現(xiàn)日志收集，同時支持第三方、安恒專用客戶端的收集方式，Unix系統(tǒng)可以通過自身的syslog或安恒客戶端進(jìn)行收集。

系統(tǒng)采用Agent管理非主動的主機(jī)資產(chǎn)，做到了安全管理無死角，對網(wǎng)絡(luò)幾乎沒有影響，不存在業(yè)務(wù)風(fēng)險，除了具有傳統(tǒng)日志管理系統(tǒng)的基本日志審計功能外，系統(tǒng)直接內(nèi)置支持IIS、Apache、Tomcat等常見Web應(yīng)用服務(wù)器的日志解析和分析，不需要增加功能模塊，降低了系統(tǒng)的總體擁有成本（TCO），擁有周期短、集成化程度高、后期升級便捷等優(yōu)點。

綜合日志審計平臺本身由四個模塊組成：采集器、通訊服務(wù)器、關(guān)聯(lián)分析引擎和管理中心，一般采取分離的硬件、分開部署的形式；根據(jù)客戶具體的需求和網(wǎng)絡(luò)容量情況分析，采取了緊湊型部署方式，將四個功能模塊集成于一臺高配硬件設(shè)備中，大幅降低了接入成本，提高了資源利用率，減輕了維護(hù)負(fù)擔(dān)。

3 性能分析

日志綜合審計系統(tǒng)是軟硬一體的智能性綜合日志審計設(shè)備，與傳統(tǒng)的企業(yè)日志管理系統(tǒng)相比有如下優(yōu)點：

（1）集中智能化。信息資產(chǎn)的擁有者對于全網(wǎng)日志綜合管理系統(tǒng)最基本的要求是能夠提供一個信息資產(chǎn)的集中性視圖，使他們可以全面了解信息系統(tǒng)的安全狀態(tài)，預(yù)測（事前）、應(yīng)對（事中）和追蹤（事后）系統(tǒng)安全問題。完善的全網(wǎng)日志綜合管理系統(tǒng)，僅僅將安全數(shù)據(jù)收集存儲起來供用戶查詢是不夠的。安全管理平臺在本質(zhì)上是商業(yè)智能系統(tǒng)，其核心引擎是具備一定人工智能的專家系統(tǒng)，通過對信息系統(tǒng)各種數(shù)據(jù)的自動分析，為信息資產(chǎn)擁有者提供保護(hù)信息安全的工具和途徑。

（2）實時可視化。全網(wǎng)日志綜合管理系統(tǒng)對于安全事件的分析處理速度，對安全威脅的檢測、防護(hù)、阻斷、恢復(fù)和追蹤都有重大影響。所以，完善的系統(tǒng)應(yīng)尋求信息接收、分析、報告、響應(yīng)循環(huán)的實時化。另外，為管理人員提供相應(yīng)的工具和途徑，幫助他們在最短時間內(nèi)了解最新的安全狀況并做出反應(yīng)，這也是實時化的一部分。全網(wǎng)日志綜合管理系統(tǒng)作為管理類系統(tǒng)，能否以友好直觀的方式將復(fù)雜的系統(tǒng)內(nèi)部數(shù)據(jù)展現(xiàn)出來，并提供方便的操作方式給管理人員，將直接決定客戶對產(chǎn)品地評價問題。

（3）流程規(guī)范化。對于安全投資的核心要求是保障業(yè)務(wù)和商務(wù)活動的安全持續(xù)，所以必定要求安全管理平臺與業(yè)務(wù)和商務(wù)活動有理解和融合能力。與業(yè)務(wù)融合的最主要方式就是與企業(yè)業(yè)務(wù)流程相結(jié)合，也就是安全管理流程化過程。規(guī)范化指綜合日志審計產(chǎn)品的開發(fā)、生產(chǎn)、部署、建設(shè)、管理、維護(hù)等活動對各種行業(yè)標(biāo)準(zhǔn)、行業(yè)指導(dǎo)的遵守性和符合性。

4 結(jié) 語

本文在研究傳統(tǒng)日志管理體系的基礎(chǔ)上，結(jié)合企業(yè)自身的應(yīng)用管理系統(tǒng)，提出并設(shè)計了一個整體化的企業(yè)全網(wǎng)日志綜合管理系統(tǒng)，該系統(tǒng)具備日志管理集中性、保密性、完整性和可用性等特點，并提供了信息資產(chǎn)集中性視圖。通過結(jié)合對日志數(shù)據(jù)點的審計及取證分析，可幫助用戶全面了解信息系統(tǒng)的安全狀態(tài)，挖掘非法入侵者行為數(shù)據(jù)，分析系統(tǒng)遭受攻擊的痕跡，具有預(yù)測事前、應(yīng)對事中和追蹤事后系統(tǒng)的安全問題等能力。研究表明，該系統(tǒng)具有一定的實用性和可行性。

參考文獻(xiàn)

[1] 楊鋒英，劉會超，于海平，等. 網(wǎng)絡(luò)日志管理分析系統(tǒng)構(gòu)建技術(shù)研究[J]. 計算機(jī)與數(shù)字工程， 2014，42（3）： 465-470.

[2] 王子靖，錢純. 對日志統(tǒng)一管理的安全審計系統(tǒng)的實現(xiàn)[J].計算機(jī)應(yīng)用與軟件， 2012，29（3）： 287-289，300.

[3] 胡偉. 企業(yè)日志集中管理系統(tǒng)的研究與設(shè)計[D].北京：北京郵電大學(xué)，2013.

[4] Yoshida， D.Realini， E.Reguzzoni. M，et al.Integrating low-cost RTK positioning services with a web-based track log management system[J].Applied Geomatics，2013，5（2）：99-108.

[5] 楊鋒英，劉會超. 面向多平臺的日志遠(yuǎn)程采集系統(tǒng)研究[J].計算機(jī)技術(shù)與發(fā)展， 2014（7）： 149-152.

[6]齊劍雄，郭燕慧. 分布式日志采集系統(tǒng)數(shù)據(jù)傳輸分析研究[J].軟件，2012，33（10）：95-98.