企業(yè)全網(wǎng)日志綜合管理系統(tǒng)設(shè)計(jì)

趙剛　王小飛　翟紅

摘 要：針對(duì)現(xiàn)有的企業(yè)日志管理系統(tǒng)存在的系統(tǒng)維護(hù)復(fù)雜、查詢效率較低、日志數(shù)據(jù)歸檔繁瑣等特點(diǎn)，引入分層模塊化設(shè)計(jì)思想，并結(jié)合當(dāng)前企業(yè)日志管理系統(tǒng)的實(shí)際運(yùn)作情況，提出并設(shè)計(jì)了企業(yè)全網(wǎng)日志管理等模塊，降低了企業(yè)日志維護(hù)管理成本，提高了企業(yè)日志綜合管理水平。研究表明，該系統(tǒng)具有良好的機(jī)密性、完整性和可用性。

關(guān)鍵詞：日志管理；網(wǎng)絡(luò)安全；集中管理；分層模塊化設(shè)計(jì)

中圖分類號(hào)：TN409 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：2095-1302（2015）04-00-03

0 引 言

隨著信息化技術(shù)的快速發(fā)展，企業(yè)信息化程度逐步提高。為了提高企業(yè)各項(xiàng)事務(wù)的管理和運(yùn)作效率，引入了企業(yè)管理信息系統(tǒng)[1]，比如辦公自動(dòng)化系統(tǒng)和企業(yè)資源計(jì)劃系統(tǒng)等，各個(gè)系統(tǒng)在運(yùn)行過程中都會(huì)產(chǎn)生大量的日志數(shù)據(jù)，這些數(shù)據(jù)詳細(xì)記錄了系統(tǒng)的各種事件，為企業(yè)系統(tǒng)地維護(hù)起到了不可替代的作用[2，3]。當(dāng)前，很多企業(yè)的日志管理系統(tǒng)都采用分布式方式進(jìn)行管理，分散的管理方式導(dǎo)致日志數(shù)據(jù)檢索效率較低、系統(tǒng)維護(hù)復(fù)雜、數(shù)據(jù)歸檔繁瑣等弊端[4，5]。隨著企業(yè)信息化程度提高，各個(gè)系統(tǒng)日志數(shù)據(jù)量急劇增大，如何對(duì)其進(jìn)行高效地管理，成為企業(yè)亟待解決的問題[6]。

針對(duì)當(dāng)前日志管理系統(tǒng)存在的問題，首先分析日志審計(jì)系統(tǒng)在目前網(wǎng)絡(luò)環(huán)境中的重要性以及它的作用，介紹了系統(tǒng)設(shè)計(jì)過程中采用的關(guān)鍵技術(shù)，并詳細(xì)闡述了系統(tǒng)框架設(shè)計(jì)思想，對(duì)系統(tǒng)中日志事件獲取模塊、資產(chǎn)管理模塊、規(guī)則庫模塊、統(tǒng)計(jì)圖表功能和權(quán)限管理模塊等五大模塊地設(shè)計(jì)作了詳細(xì)說明，其中包括每個(gè)模塊所需要完成的功能及其子模塊功能介紹。其次，設(shè)計(jì)了適于大型企業(yè)對(duì)日志信息進(jìn)行合理管理的企業(yè)全網(wǎng)日志綜合管理系統(tǒng)，解決了傳統(tǒng)日志管理系統(tǒng)中存在的問題。系統(tǒng)采用分層模塊化設(shè)計(jì)思想，分解了各層面實(shí)現(xiàn)過程，通過網(wǎng)絡(luò)資產(chǎn)設(shè)備上報(bào)的日志，實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)各類操作行為及攻擊信息，實(shí)現(xiàn)對(duì)企業(yè)應(yīng)用系統(tǒng)日志記錄的自動(dòng)采集、分析、審計(jì)和響應(yīng)，提升了企業(yè)日志管理的效率。

1 系統(tǒng)需求分析

根據(jù)對(duì)系統(tǒng)的分析可以明確，全網(wǎng)日志綜合管理系統(tǒng)主要由系統(tǒng)邊界、外網(wǎng)區(qū)域、業(yè)務(wù)區(qū)域及管理審計(jì)區(qū)域等四部分組成，其中系統(tǒng)邊界主要由邊界接口設(shè)備和邊界安全網(wǎng)關(guān)等設(shè)備組成，外網(wǎng)區(qū)域主要資產(chǎn)為支付應(yīng)用服務(wù)器和相應(yīng)支撐設(shè)備，業(yè)務(wù)區(qū)域主要資產(chǎn)為支付內(nèi)網(wǎng)應(yīng)用服務(wù)器和數(shù)據(jù)庫群組以及相應(yīng)的支撐系統(tǒng)，管理審計(jì)區(qū)域主要資產(chǎn)為業(yè)務(wù)管理系統(tǒng)、業(yè)務(wù)管理終端等。

系統(tǒng)的設(shè)計(jì)目標(biāo)是對(duì)上述四個(gè)區(qū)域的所有資產(chǎn)，根據(jù)等級(jí)保護(hù)規(guī)范的要求進(jìn)行完全性審計(jì)。審計(jì)的內(nèi)容包括資產(chǎn)事件的完全收集，如狀態(tài)事件、操作事件、故障事件和業(yè)務(wù)事件等，對(duì)事件的敏感級(jí)別、收集的資產(chǎn)事件進(jìn)行數(shù)據(jù)統(tǒng)計(jì)分析審計(jì)。為了利用所有的安全設(shè)施以保障信息資產(chǎn)和業(yè)務(wù)服務(wù)的保密性、完整性和可用性，作為一個(gè)整體化的安全信息總控中心，該系統(tǒng)應(yīng)具備集中化、智能化、實(shí)時(shí)化、可視化、流程化及規(guī)范化等特點(diǎn)。

2 全網(wǎng)日志綜合管理系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)架構(gòu)設(shè)計(jì)

根據(jù)對(duì)全網(wǎng)日志綜合管理系統(tǒng)的設(shè)計(jì)需求進(jìn)行分析，為解決其面臨的問題，采用分層模塊化設(shè)計(jì)思想，分解系統(tǒng)的各層面實(shí)現(xiàn)過程，并規(guī)范各層的基本作用及功能。本系統(tǒng)主要通過網(wǎng)絡(luò)資產(chǎn)設(shè)備上報(bào)的日志，實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)各類操作行為及攻擊信息。根據(jù)設(shè)置的規(guī)則，智能地判斷出各種風(fēng)險(xiǎn)行為，對(duì)違規(guī)行為進(jìn)行報(bào)警等。系統(tǒng)架構(gòu)共包括日志事件獲取模塊、資產(chǎn)管理模塊、規(guī)則庫模塊、統(tǒng)計(jì)圖表功能、權(quán)限管理模塊等五部分，全網(wǎng)日志綜合管理系統(tǒng)架構(gòu)如圖1所示。

日志事件獲取模塊：安全事件監(jiān)控系統(tǒng)是實(shí)時(shí)掌握全網(wǎng)安全威脅狀況的重要手段之一。通過事件監(jiān)控模塊監(jiān)控各個(gè)網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)等日志信息，以及安全產(chǎn)品的安全事件報(bào)警信息等，及時(shí)發(fā)現(xiàn)正在發(fā)生以及已經(jīng)發(fā)生的安全事件，通過響應(yīng)模塊采取措施，保證網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的安全、可靠運(yùn)行。

資產(chǎn)管理模塊：資產(chǎn)管理實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全管理平臺(tái)所管轄的設(shè)備和系統(tǒng)對(duì)象的管理。它將其所轄IP設(shè)備資產(chǎn)信息按其重要程度分類登記入庫，并為其他安全管理模塊提供信息接口。

規(guī)則庫模塊：規(guī)則庫支持主流網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等，而且還應(yīng)涵蓋已經(jīng)部署的安全系統(tǒng)，包括防火墻系統(tǒng)、防病毒系統(tǒng)等。并提供新日志格式適配功能，支持從安全運(yùn)營中心平臺(tái)接受新日志解析映射規(guī)則配置。用戶可以根據(jù)該適配功能，對(duì)新日志格式進(jìn)行自行適配。

統(tǒng)計(jì)圖表功能：具備強(qiáng)大的統(tǒng)計(jì)功能，可快速生成多種專業(yè)化的報(bào)表并支持自定義圖表的設(shè)定集展示。

權(quán)限管理模塊：超級(jí)管理員可根據(jù)用戶角色分配平臺(tái)查看、操作各模塊的權(quán)限，用戶可以訪問而且只能訪問自己被授權(quán)的資源。

2.2 安全設(shè)計(jì)要求及設(shè)計(jì)目標(biāo)

客戶需要對(duì)各類信息資產(chǎn)進(jìn)行安全審計(jì)，資產(chǎn)和審計(jì)要求特點(diǎn)：信息設(shè)備及資產(chǎn)種類重多；事件、日志協(xié)議繁雜；日志量較大；由于主備環(huán)境的存在，有一定地域分布。針對(duì)這些資產(chǎn)和審計(jì)要求特點(diǎn)，審計(jì)需求可分為網(wǎng)絡(luò)安全審計(jì)、主機(jī)安全審計(jì)和應(yīng)用安全審計(jì)三個(gè)方面。

網(wǎng)絡(luò)安全審計(jì)主要針對(duì)的對(duì)象是各種網(wǎng)絡(luò)層信息設(shè)備，主要為交換機(jī)、防火墻、IDS等。其中日志信息記錄應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行情況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；審計(jì)記錄應(yīng)包括事件的日期和事件、用戶、事件類型、事件是否成功及其它與審計(jì)相關(guān)的信息；網(wǎng)絡(luò)故障分析應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)故障進(jìn)行分析，查找原因并形成故障知識(shí)庫；網(wǎng)絡(luò)對(duì)象操作審計(jì)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；日志權(quán)限和保護(hù)應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等；審計(jì)分析和報(bào)告應(yīng)具備日志審計(jì)工具，對(duì)日志進(jìn)行記錄、分析和報(bào)告。主機(jī)安全審計(jì)主要針對(duì)客戶的多臺(tái)Windows/Linux主機(jī)進(jìn)行日志審計(jì)。其中審計(jì)記錄的內(nèi)容至少包括事件的日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等；日志保護(hù)應(yīng)保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄；系統(tǒng)信息分析應(yīng)提供對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析及生成審計(jì)報(bào)表的功能；對(duì)象操作審計(jì)應(yīng)提供覆蓋到每個(gè)用戶的安全審計(jì)功能，對(duì)應(yīng)用系統(tǒng)重要安全事件進(jìn)行審計(jì)。應(yīng)用安全審計(jì)應(yīng)確保應(yīng)用數(shù)據(jù)的完整性，避免因管理缺位造成數(shù)據(jù)丟失，并且管理者可以全面了解應(yīng)用的潛在風(fēng)險(xiǎn)，以及實(shí)際發(fā)生的情況，在可疑行為發(fā)生時(shí)可以自動(dòng)啟動(dòng)預(yù)先設(shè)置的告警流程，防范應(yīng)用安全風(fēng)險(xiǎn)。

2.3 系統(tǒng)功能設(shè)計(jì)

根據(jù)安全等級(jí)保護(hù)規(guī)范要求，審計(jì)系統(tǒng)主要在網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全三個(gè)層次進(jìn)行審計(jì)架構(gòu)設(shè)計(jì)。按照審計(jì)目標(biāo)的分解，得到等級(jí)保護(hù)規(guī)范事件邏輯審計(jì)模型。

在審計(jì)模型中，日志記錄及審查覆蓋的網(wǎng)絡(luò)安全層次采用了SNMP/SYSLOG方式，主機(jī)安全層次采用了SNMP/SYSLOG文件方式，而其應(yīng)用安全層次則采用了SYSLOG/文件/流量方式。對(duì)于審計(jì)內(nèi)容覆蓋、審計(jì)記錄格式要求、數(shù)據(jù)分析及報(bào)表、保護(hù)審計(jì)記錄、審計(jì)進(jìn)程保護(hù)、審計(jì)存儲(chǔ)空間閾值控制、信息系統(tǒng)的時(shí)間同步以及統(tǒng)一策略集中審計(jì)，其對(duì)應(yīng)的網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全三個(gè)層次分別為事件解析、標(biāo)記解析，事件解析、標(biāo)記解析、賬號(hào)解析，事件解析、標(biāo)記解析，會(huì)話解析；按照標(biāo)準(zhǔn)實(shí)現(xiàn)，按照標(biāo)準(zhǔn)實(shí)現(xiàn)，按照標(biāo)準(zhǔn)實(shí)現(xiàn)；流量分析、連接分析、標(biāo)記分析，權(quán)限分析、威脅分析、異常分析，威脅分析、異常分析、可用性分析；實(shí)時(shí)、冗余、加密，實(shí)時(shí)、冗余、加密，實(shí)時(shí)、冗余、加密；標(biāo)準(zhǔn)不涉及，審計(jì)進(jìn)程運(yùn)行于安全標(biāo)記操作系統(tǒng)，標(biāo)準(zhǔn)不涉及；自動(dòng)排程歸檔備份，標(biāo)準(zhǔn)不涉及，標(biāo)準(zhǔn)不涉及；采取NTP協(xié)議實(shí)現(xiàn)，標(biāo)準(zhǔn)不涉及，標(biāo)準(zhǔn)不涉及；標(biāo)準(zhǔn)不涉及，審計(jì)中心向策略中心請(qǐng)求策略，審計(jì)中心向策略中心請(qǐng)求策略。以上即為各分解后得到的等級(jí)保護(hù)規(guī)范事件邏輯審計(jì)模型詳述。

系統(tǒng)主要完成客戶對(duì)于安全審計(jì)中對(duì)于網(wǎng)絡(luò)安全審計(jì)和主機(jī)安全審計(jì)的要求，主要的審計(jì)目標(biāo)是等級(jí)保護(hù)要求進(jìn)行審計(jì)的網(wǎng)絡(luò)、主機(jī)及各層應(yīng)用。根據(jù)邏輯審計(jì)架構(gòu)模型和期望達(dá)到的效果，系統(tǒng)采用如下方案：

（1） 在企業(yè)每個(gè)終端節(jié)點(diǎn)部署1臺(tái)日志綜合審計(jì)系統(tǒng)的采集器，用以接收信息系統(tǒng)范圍內(nèi)的路由器、交換機(jī)、防火墻、入侵檢測、Windows操作系統(tǒng)、Linux操作系統(tǒng)、防病毒軟件等的告警日志，同時(shí)將日志進(jìn)行壓縮，加密傳輸?shù)缴霞?jí)平臺(tái)。

（2） 企業(yè)上級(jí)平臺(tái)部署一臺(tái)終端日志綜合審計(jì)系統(tǒng)，接收終端節(jié)點(diǎn)采集器上報(bào)的原始日志數(shù)據(jù)；每個(gè)終端節(jié)點(diǎn)的管理員可以自己定制告警規(guī)則，并進(jìn)行日志的儲(chǔ)存、檢索、報(bào)表生成。

（3） 系統(tǒng)另外部署2臺(tái)高端日志綜合審計(jì)系統(tǒng)，既可以做中心管控平臺(tái)使用，也可以獨(dú)立接收設(shè)備日志（接收網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、安全設(shè)備日志），實(shí)現(xiàn)分布式管理。

日志和事件的全面收集是等級(jí)保護(hù)審計(jì)系統(tǒng)的基礎(chǔ)功能和基礎(chǔ)要求，系統(tǒng)將采用以下日志采集方式：

網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)、負(fù)載均衡等，直接配置syslog主機(jī)地址，Web管理直接在后臺(tái)界面寫入日志綜合審計(jì)系統(tǒng)的IP地址。

安全設(shè)備：如天融信防火墻、啟明星辰IDS、綠盟NGFW、深信服VPN等設(shè)備，直接在后臺(tái)管理頁面填寫上日志綜合審計(jì)系統(tǒng)的IP地址，實(shí)現(xiàn)日志傳送。

支持Windows、Linux、Unix等操作系統(tǒng)的日志收集，微軟操作系統(tǒng)需要安裝客戶端軟件實(shí)現(xiàn)日志收集，同時(shí)支持第三方、安恒專用客戶端的收集方式，Unix系統(tǒng)可以通過自身的syslog或安恒客戶端進(jìn)行收集。

系統(tǒng)采用Agent管理非主動(dòng)的主機(jī)資產(chǎn)，做到了安全管理無死角，對(duì)網(wǎng)絡(luò)幾乎沒有影響，不存在業(yè)務(wù)風(fēng)險(xiǎn)，除了具有傳統(tǒng)日志管理系統(tǒng)的基本日志審計(jì)功能外，系統(tǒng)直接內(nèi)置支持IIS、Apache、Tomcat等常見Web應(yīng)用服務(wù)器的日志解析和分析，不需要增加功能模塊，降低了系統(tǒng)的總體擁有成本（TCO），擁有周期短、集成化程度高、后期升級(jí)便捷等優(yōu)點(diǎn)。

綜合日志審計(jì)平臺(tái)本身由四個(gè)模塊組成：采集器、通訊服務(wù)器、關(guān)聯(lián)分析引擎和管理中心，一般采取分離的硬件、分開部署的形式；根據(jù)客戶具體的需求和網(wǎng)絡(luò)容量情況分析，采取了緊湊型部署方式，將四個(gè)功能模塊集成于一臺(tái)高配硬件設(shè)備中，大幅降低了接入成本，提高了資源利用率，減輕了維護(hù)負(fù)擔(dān)。

3 性能分析

日志綜合審計(jì)系統(tǒng)是軟硬一體的智能性綜合日志審計(jì)設(shè)備，與傳統(tǒng)的企業(yè)日志管理系統(tǒng)相比有如下優(yōu)點(diǎn)：

（1）集中智能化。信息資產(chǎn)的擁有者對(duì)于全網(wǎng)日志綜合管理系統(tǒng)最基本的要求是能夠提供一個(gè)信息資產(chǎn)的集中性視圖，使他們可以全面了解信息系統(tǒng)的安全狀態(tài)，預(yù)測（事前）、應(yīng)對(duì)（事中）和追蹤（事后）系統(tǒng)安全問題。完善的全網(wǎng)日志綜合管理系統(tǒng)，僅僅將安全數(shù)據(jù)收集存儲(chǔ)起來供用戶查詢是不夠的。安全管理平臺(tái)在本質(zhì)上是商業(yè)智能系統(tǒng)，其核心引擎是具備一定人工智能的專家系統(tǒng)，通過對(duì)信息系統(tǒng)各種數(shù)據(jù)的自動(dòng)分析，為信息資產(chǎn)擁有者提供保護(hù)信息安全的工具和途徑。

（2）實(shí)時(shí)可視化。全網(wǎng)日志綜合管理系統(tǒng)對(duì)于安全事件的分析處理速度，對(duì)安全威脅的檢測、防護(hù)、阻斷、恢復(fù)和追蹤都有重大影響。所以，完善的系統(tǒng)應(yīng)尋求信息接收、分析、報(bào)告、響應(yīng)循環(huán)的實(shí)時(shí)化。另外，為管理人員提供相應(yīng)的工具和途徑，幫助他們?cè)谧疃虝r(shí)間內(nèi)了解最新的安全狀況并做出反應(yīng)，這也是實(shí)時(shí)化的一部分。全網(wǎng)日志綜合管理系統(tǒng)作為管理類系統(tǒng)，能否以友好直觀的方式將復(fù)雜的系統(tǒng)內(nèi)部數(shù)據(jù)展現(xiàn)出來，并提供方便的操作方式給管理人員，將直接決定客戶對(duì)產(chǎn)品地評(píng)價(jià)問題。

（3）流程規(guī)范化。對(duì)于安全投資的核心要求是保障業(yè)務(wù)和商務(wù)活動(dòng)的安全持續(xù)，所以必定要求安全管理平臺(tái)與業(yè)務(wù)和商務(wù)活動(dòng)有理解和融合能力。與業(yè)務(wù)融合的最主要方式就是與企業(yè)業(yè)務(wù)流程相結(jié)合，也就是安全管理流程化過程。規(guī)范化指綜合日志審計(jì)產(chǎn)品的開發(fā)、生產(chǎn)、部署、建設(shè)、管理、維護(hù)等活動(dòng)對(duì)各種行業(yè)標(biāo)準(zhǔn)、行業(yè)指導(dǎo)的遵守性和符合性。

4 結(jié) 語

本文在研究傳統(tǒng)日志管理體系的基礎(chǔ)上，結(jié)合企業(yè)自身的應(yīng)用管理系統(tǒng)，提出并設(shè)計(jì)了一個(gè)整體化的企業(yè)全網(wǎng)日志綜合管理系統(tǒng)，該系統(tǒng)具備日志管理集中性、保密性、完整性和可用性等特點(diǎn)，并提供了信息資產(chǎn)集中性視圖。通過結(jié)合對(duì)日志數(shù)據(jù)點(diǎn)的審計(jì)及取證分析，可幫助用戶全面了解信息系統(tǒng)的安全狀態(tài)，挖掘非法入侵者行為數(shù)據(jù)，分析系統(tǒng)遭受攻擊的痕跡，具有預(yù)測事前、應(yīng)對(duì)事中和追蹤事后系統(tǒng)的安全問題等能力。研究表明，該系統(tǒng)具有一定的實(shí)用性和可行性。

參考文獻(xiàn)

[1] 楊鋒英，劉會(huì)超，于海平，等. 網(wǎng)絡(luò)日志管理分析系統(tǒng)構(gòu)建技術(shù)研究[J]. 計(jì)算機(jī)與數(shù)字工程， 2014，42（3）： 465-470.

[2] 王子靖，錢純. 對(duì)日志統(tǒng)一管理的安全審計(jì)系統(tǒng)的實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件， 2012，29（3）： 287-289，300.

[3] 胡偉. 企業(yè)日志集中管理系統(tǒng)的研究與設(shè)計(jì)[D].北京：北京郵電大學(xué)，2013.

[4] Yoshida， D.Realini， E.Reguzzoni. M，et al.Integrating low-cost RTK positioning services with a web-based track log management system[J].Applied Geomatics，2013，5（2）：99-108.

[5] 楊鋒英，劉會(huì)超. 面向多平臺(tái)的日志遠(yuǎn)程采集系統(tǒng)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展， 2014（7）： 149-152.

[6]齊劍雄，郭燕慧. 分布式日志采集系統(tǒng)數(shù)據(jù)傳輸分析研究[J].軟件，2012，33（10）：95-98.