日志信息在安全運維管理中的應用

李鎮(zhèn)京

摘要：隨著網(wǎng)絡信息安全技術(shù)的發(fā)展應用，安全運維已成為各級政府部門運維管理人員保障業(yè)務系統(tǒng)穩(wěn)定運行的重要支撐，日志信息成為日常運維管理工作重要數(shù)據(jù)分析來源。本文以省級政府部門日常IT運維管理為例，總結(jié)分析了日常運維主要內(nèi)容、運維過程中日志信息的應用，分析了日志信息存在的安全問題，提出了日志信息助力安全運維工作的思路和方法，希望對各單位、部門IT運維工作有所幫助。

關(guān)鍵詞：日志信息;安全運維;日志分析

中圖分類號：G642 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2020）28-0258-03

1 背景

近年來隨著信息化技術(shù)的迅猛發(fā)展，各級政府部門根據(jù)國家“互聯(lián)網(wǎng)+政務”工作的推進和部署，陸續(xù)建成一批信息系統(tǒng)，這些信息系統(tǒng)的運行為社會公共提供了信息便利，為政府部門提供了數(shù)據(jù)支撐。面對這些信息系統(tǒng)及承載他們運行的IT基礎(chǔ)設(shè)施，運維管理人員的運維工作也越來越繁重，安全運維問題、日志信息安全問題日益嚴峻。社會上相繼出現(xiàn)重要企業(yè)內(nèi)部信息泄露，安全攻擊事件時有發(fā)生，且在發(fā)生攻擊前、攻擊時，存在著日志信息記錄不全、攻擊日志保留時間過短等問題，給安全運維人員事前預警、事中監(jiān)管、事后排查分析帶來了困擾。

政府部門IT運維中心在基礎(chǔ)設(shè)施及信息系統(tǒng)運行時，網(wǎng)絡基礎(chǔ)設(shè)施、系統(tǒng)應用服務均產(chǎn)生了日志信息，且日志信息中包含著大量用戶的登錄、操作記錄等各種行為數(shù)據(jù)，數(shù)據(jù)量也越來越大以海量計，網(wǎng)絡中的日志種類也越來越多。在網(wǎng)絡時代誰掌握了數(shù)據(jù)誰就掌握了主動權(quán)，網(wǎng)絡信息安全中的日志信息除了能夠借助于進行安全運維之外，還可用于抵對信息網(wǎng)絡攻擊及預警分析。

2 日志信息的分類

本文以省級政府部門中心機房安全運維管理為例，日常安全運維管理過程常見的日志包括：服務器日志、業(yè)務系統(tǒng)日志、網(wǎng)絡設(shè)備日志、數(shù)據(jù)庫中間件日志和數(shù)據(jù)存儲備份日志五大類：

1）服務器日志。主要包括：管理賬號登錄日志、審計日志，詳細信息有管理員賬號、登錄IP、登錄成功失敗次數(shù);應用程序日志、安全日志、設(shè)置日志、系統(tǒng)日志。

2）業(yè)務系統(tǒng)日志。主要包括：業(yè)務軟件系統(tǒng)管理員賬號日志、普通用戶日志（包含：操作日志、訪問日志、登錄日志）、系統(tǒng)性能監(jiān)控日志、系統(tǒng)運行異常日志等。

3）網(wǎng)絡設(shè)備日志。主要包括：邊界安全設(shè)備，抗DDOS設(shè)備日志、負責均衡設(shè)備日志、防火墻設(shè)備日志、入侵防御設(shè)備日志、防病毒設(shè)備日志、WAF設(shè)備日志，及旁路設(shè)備漏洞掃描設(shè)備日志、上網(wǎng)行為審計日志等安全設(shè)備的系統(tǒng)管理賬戶日志、流量數(shù)據(jù)日志、攻擊防御日志。

4）數(shù)據(jù)庫中間件日志。主要包括：Windows服務器環(huán)境下的IIS日志、Weblogic日志、Linux服務器下的Tomcat日志以及常見的Oracle、SQL數(shù)據(jù)庫日志信息。

5）存儲備份日志。主要包括：備份數(shù)據(jù)原設(shè)備名稱、數(shù)據(jù)備份路徑、備份數(shù)據(jù)類型、備份周期、備份大小等。

3 安全運維管理中日志安全問題

3.1 安全運維主要內(nèi)容

1）服務器運維。該項運維是省級政府部門運維人員經(jīng)常使用的一種運維方式，因業(yè)務系統(tǒng)使用過程中需要對業(yè)務系統(tǒng)功能、服務器性能、服務器磁盤空間等服務器環(huán)境進行日志巡查或程序更新、調(diào)優(yōu);服務器運維一般通過統(tǒng)一設(shè)置的堡壘機進行遠程訪問，運維人員通過堡壘機申請業(yè)務系統(tǒng)對應服務器的運維權(quán)限，進行服務器運維， 堡壘機全程記錄用戶操作記錄，并進行視頻錄像保存。

2）業(yè)務系統(tǒng)運維。隨著信息化應用的快速發(fā)展以及國家“互聯(lián)網(wǎng)+政務”的推進，政務信息化得到很好的發(fā)展和應用。據(jù)不完全統(tǒng)計，省廳級單位業(yè)務應用系統(tǒng)在平均20個之多，大量業(yè)務應用的系統(tǒng)建成、使用、推廣和維護過程中需要持續(xù)對業(yè)務系統(tǒng)維護，后臺優(yōu)化調(diào)整系統(tǒng)參數(shù)，開通修改用戶賬號、權(quán)限等系統(tǒng)運維工作。業(yè)務系統(tǒng)運維中涉及賬號管理、參數(shù)配置等方面內(nèi)容的一般通過系統(tǒng)后臺管理員賬號直接登錄進行業(yè)務系統(tǒng)后臺進行運維，比較安全的做法是通過各單位建設(shè)的統(tǒng)一用戶管理支撐平臺進行登錄維護。系統(tǒng)管理員登錄業(yè)務系統(tǒng)后臺運維時會產(chǎn)生登錄日志，包括用戶賬號、登錄IP、登錄時間、退出時間、操作類型（增加、刪除、修改、查閱、統(tǒng)計）等主要操作內(nèi)容。

3）網(wǎng)絡設(shè)備運維。網(wǎng)絡設(shè)備運維包括路由交換設(shè)備和防火墻、IPS、防病毒等安全設(shè)備的運維，其中網(wǎng)絡路由設(shè)備的運維主要指核心交換機VLAN配置、端口配置、路由配置;防火墻等安全設(shè)備的運維主要指安全策略、安全路由、訪問控制、日志審計、病毒庫、特征庫優(yōu)化更新等;網(wǎng)絡設(shè)備運維一般通過設(shè)備管理IP地址直接登錄進行操作，比較安全的做法是網(wǎng)絡、安全設(shè)備管理登錄全部通過堡壘機進行安全管控。

4）數(shù)據(jù)庫中間件運維。數(shù)據(jù)中間件運維與業(yè)務系統(tǒng)運維相輔相成是保障業(yè)務系統(tǒng)安全穩(wěn)定運行的基礎(chǔ)，數(shù)據(jù)庫日志包括：查詢?nèi)罩?、慢查詢?nèi)罩?、錯誤日志、二進制日志、中繼日志、事務日志;中間件是業(yè)務系統(tǒng)服務的運行的容器，日志信息包括基本的運行日志、錯誤日志以及業(yè)務系統(tǒng)配置的賬號登錄日志、用戶訪問日志等重要日志信息。

5）存儲備份運維。此次把存儲備份設(shè)備運維單獨提出，是綜合考慮該對于省級政府部門數(shù)據(jù)中心、IT機房運維中心，數(shù)據(jù)存儲備份的重要性。隨著大數(shù)據(jù)技術(shù)的成熟及廣泛使用，數(shù)據(jù)存儲備份設(shè)備的運維管理也日益提上日程。存儲備份運維主要包括：存儲設(shè)備運行情況監(jiān)控（包括備份介質(zhì)、備份設(shè)備的日志）、備份軟件運行日志（包含備份日志、恢復日志、復制日志、遷移日志）、容災設(shè)備運行情況、容災鏡像軟件恢復演練日志情況;其中備份日志是最重要包括：策略名稱、備份級別（全量、增量）、介質(zhì)池、開始時間、運行時間、速度、文件數(shù)量、數(shù)據(jù)數(shù)量、存儲類型、運行狀態(tài)等主要日志內(nèi)容。

3.2 日志安全問題

通過綜合分析省級政府部門日常運維管理中的經(jīng)常使用、接觸的服務器、業(yè)務系統(tǒng)、網(wǎng)絡設(shè)備、數(shù)據(jù)庫中間件和存儲備份等5種主要安全運維服務及日志類型、內(nèi)容，我們可以看出，省級政府部門運維管理人員在日常運維過程中會與接觸、使用各種日志，通過作者這么多年的經(jīng)驗，發(fā)現(xiàn)日志管理方面還有許多問題需要加強和加固，主要存在的問題描述如下：

3.2.1 日志內(nèi)容記錄不完整

詳細的日志內(nèi)容記錄是確保后續(xù)業(yè)務系統(tǒng)運行情況排查、網(wǎng)絡安全攻擊排查、網(wǎng)絡故障排查、數(shù)據(jù)存儲備份分析所必須的條件。日常運維過程中經(jīng)常存在一些日志記錄內(nèi)容保存不完整情況：

1）安全審計日志沒有開啟。據(jù)不完全統(tǒng)計，Windows服務器中有90%服務器是在開始使用時是默認配置，沒有啟用安全審計策略，服務器運行日志沒有記錄賬號登錄、訪問成功、失敗的日志記錄，一旦出現(xiàn)網(wǎng)絡攻擊或者服務器被植入惡意軟件、遠程控制，運維人員無法通過日志分析判斷服務器被攻擊的行為和痕跡。

2）業(yè)務系統(tǒng)賬號日志記錄不完整。業(yè)務應用系統(tǒng)的安全性受限于軟件開發(fā)工程師的安全意識、軟件代碼編寫規(guī)范、安全知識儲備以及軟件項目工期限制，業(yè)務系統(tǒng)賬號登錄、訪問、操作（含增加、刪除、修改、查詢）等日志記錄存在只記錄訪問日志，記錄用戶登錄IP地址，但是沒有記錄IP對應的端口號，存在部分業(yè)務系統(tǒng)重要頁面沒有記錄用戶操作行為或者只同一個頁面只記錄最后一條操作日志等情況。當業(yè)務系統(tǒng)出現(xiàn)安全問題，進行日志反查，尋找操作痕跡時，運維人員就無法找到完整的日志記錄。

3）網(wǎng)絡安全設(shè)備日志記錄不完整。網(wǎng)絡安全設(shè)備日志是運維人員了解掌握本部門本單位網(wǎng)絡信息安全的第一線索，是發(fā)現(xiàn)安全攻擊的首要來源，網(wǎng)絡安全設(shè)備的日志記錄基本具有比較完整的內(nèi)容。但作者也發(fā)現(xiàn)，存在由于設(shè)備的系統(tǒng)時間不對造成日志信息無法正確使用、只記錄安全日志未記錄審計日志等問題。

3.2.2 日志存儲時間太短

隨著2016年網(wǎng)絡安全法的實施，所有安全設(shè)備、業(yè)務系統(tǒng)運行日志保存時間都要求不少于60天。以省級政府部門IT運維中心一臺負載均衡設(shè)備為例，在一臺設(shè)置了內(nèi)外網(wǎng)IP地址和服務映射的負責均衡設(shè)備上，存在著100條服務器映射關(guān)系，每條映射平均每天用戶訪問量到3000人次，數(shù)據(jù)記錄到3萬條，60天的數(shù)據(jù)記錄達到180萬條，一般網(wǎng)絡安全設(shè)備考慮設(shè)備運行高性能，保留的數(shù)據(jù)量都非常有限一般為1周的時間。

3.2.3 日志查閱不方便

以一個約200平方米政府部門中心機房為例，其中網(wǎng)絡安全設(shè)備約80臺，服務器設(shè)備160臺，日常運維人員每天需要登錄不同設(shè)備巡檢分析不同安全日志，給日常工作帶來諸多不便，且工作效率非常低。

3.2.4 日志信息可被修改

網(wǎng)絡安全設(shè)備運行的日志可能會被修改，網(wǎng)絡安全是對外服務的第一道門，一旦被攻破之后，攻擊人員可能會進行了入侵操作，然后從安全設(shè)備上清除運行日志，已達到銷毀痕跡的目的，給后續(xù)運維人員進行攻擊行為排查和日志分析帶來非常嚴重隱患。

4 日志信息助力安全運維的思路與方法

經(jīng)過以上情況的分析，在省級政府部門日常運維過程中如何提升日志信息的記錄、存儲等保障能力，從而進一步提升日志信息應用于日常運維管理中，成為非常必要的技術(shù)手段，也是提高省級政府部門抵御網(wǎng)絡攻擊、提升抗風險能力的一種重要舉措。作者提出了在運維管理過程中心幾種優(yōu)化和提升日志信息安全服務的能力：

4.1 建立健全日常管理機制

建立健全日常安全運維管理機制是確保日常安全運維高效、規(guī)范的制度保障。需要制定科學規(guī)范的日志管理和安全運維方面的制度，如建立《IT資產(chǎn)管理辦法》《中心機房日志存儲備份管理辦法》《業(yè)務系統(tǒng)安全開發(fā)規(guī)范-系統(tǒng)后臺日志》《中心機房IT運維工作規(guī)程》和《數(shù)據(jù)備份管理辦法》等一系列的管理制度。

4.2 建立統(tǒng)一的日志收集系統(tǒng)

統(tǒng)一的日志收集系統(tǒng)應該能夠支持多線程，可以通過許多協(xié)議進行傳輸UDP，TCP，SSL，支持直接將日志寫入到數(shù)據(jù)庫，支持加密協(xié)議：ssl，tls，relp、強大的過濾器，實現(xiàn)過濾日志信息中任何部分的內(nèi)容、自定義輸出格式。日志收集系統(tǒng)架構(gòu)包括三部分：

1）日志客戶端。為了收集日志，每一臺日志服務器上都會部署一個日志收集客戶端，安全設(shè)備需要配置syslog服務器IP和端口。

2）中心服務器。中心服務器作用就是把散落在各個機器的日志統(tǒng)一收集起來。

3）存儲服務器。最終存儲日志的地方，通過FC光纖接入大容量共享存儲，供計算框架以及搜索引擎框架計算使用。

統(tǒng)一日志收集系統(tǒng)的建立解決了日志分散存儲在各系統(tǒng)、設(shè)備上的問題、解決了設(shè)備日志可能被清除的問題，解決了日常存儲周期過短問題，很大程度上為提升了安全運維的水平。

4.3 進行安全運維管理態(tài)勢分析

通過以上兩個方面的提升，一個管理規(guī)范、日志信息存儲安全的局面逐步建立起來。想要借助信息化手段進一步提高安全運維效能，提高日志信息用于安全攻擊、安全預警和分析，需要一套安全態(tài)勢感知預警平臺。該平臺可在原有日志信息的基礎(chǔ)上進行大屏展示、安全攻擊形勢分析、安全攻擊預警分析、安全故障預警、安全運維分析以及進行運維工單管理。態(tài)勢感知平臺的PC端可進行日常監(jiān)控展示和重大事件調(diào)度，平臺的手機端可進行遠程值班、值守監(jiān)控。安全運維態(tài)勢感知平臺的建立是的安全運維工作有了質(zhì)的提升，為日志信息更好服務日常運維提供了平臺基礎(chǔ)。

4.4 實施雙因子認證

安全管理機制的建立提升了安全運維管理規(guī)范性，日志收集服務器提供了大容量、兼容性高的日志服務器，態(tài)勢感知平臺提供了統(tǒng)一的安全調(diào)度、預警監(jiān)測中心。雙因子認證技術(shù)是解決網(wǎng)絡安全設(shè)備、服務器等設(shè)備登錄安全問題，解決非法入侵攻擊后清理日志信息的問題，也是用于提升安全運維的另一個重要支撐保障。借鑒目前銀行支付使用的手機短信驗證，我們采用了基于手機短信認證和原有用戶名密碼認證結(jié)合的雙因子認證方法。同時，將短信認證日志信息接入統(tǒng)一日志收集服務器，形成日志信息閉環(huán)管理，全面提升日志信息助力安全運維的保障能力。

5 結(jié)語

總之，通過建立規(guī)范的管理機制，搭建統(tǒng)一的日志信息收集、存儲、分析系統(tǒng)，進行日志信息安全態(tài)勢預警分析結(jié)合雙因子認證，挖掘日志信息的價值，可全面提升各部門的安全運維管理水平，更有力保障業(yè)務應用系統(tǒng)安全穩(wěn)定運行。

參考文獻：

[1] 付洋. 大中型企業(yè)IT運維管理簡述[J]. 科技經(jīng)濟導刊，2016（13）：202-202.

[2] 劉昕林，張華兵，張海濤. 日志搜索分析管理系統(tǒng)的研究與應用[J]. 信息與電腦，2017（9）：81-82.

[3] 石健行. IT運維管理中局域網(wǎng)及網(wǎng)絡安全的應用分析[J]. 信息與電腦，2018（6）：198-199，202.

[4] 胡沐創(chuàng). 大數(shù)據(jù)日志分析平臺應用探索與實踐[J]. 金融科技時代，2018（1）.

【通聯(lián)編輯：王力】