日志綜合審計(jì)系統(tǒng)在高校中的應(yīng)用研究

樊建永

【摘要】通過對(duì)學(xué)校各類日志的管理實(shí)踐，使用日志綜合審計(jì)系統(tǒng)對(duì)學(xué)校各類設(shè)備的運(yùn)行日志和系統(tǒng)訪問日志進(jìn)行采集并集中管理，分析檢測(cè)各類設(shè)備與系統(tǒng)的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為和各種安全威脅，彌補(bǔ)現(xiàn)有各類技術(shù)和設(shè)備在威脅分析發(fā)現(xiàn)方面的不足，為安全事件的責(zé)任追查、故障定位提供有力的技術(shù)手段，確保業(yè)務(wù)不中斷，保障信息安全。

【關(guān)鍵詞】日志審計(jì);信息安全;教育信息化

隨著高校信息化程度不斷提高，高校在教學(xué)、科研、管理、后勤服務(wù)等方面對(duì)信息系統(tǒng)的依賴程度越來越高，使得網(wǎng)絡(luò)與信息安全的風(fēng)險(xiǎn)也隨之增大，高校對(duì)已有信息系統(tǒng)進(jìn)行了基本的安全防護(hù)，如在校園網(wǎng)邊界部署防火墻、入侵檢測(cè)系統(tǒng)、防攻擊系統(tǒng)等，然而信息系統(tǒng)因缺乏日志的實(shí)時(shí)分析，使得信息系統(tǒng)依然面臨著諸多的安全風(fēng)險(xiǎn)和隱患，比如由于操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用程序出現(xiàn)故障、配置錯(cuò)誤或被攻擊而導(dǎo)致系統(tǒng)異常運(yùn)行，業(yè)務(wù)中斷，此外由于用戶非授權(quán)訪問、管理員誤操作、黑客攻擊等導(dǎo)致出現(xiàn)應(yīng)用及數(shù)據(jù)風(fēng)險(xiǎn)。

日志作為系統(tǒng)運(yùn)行和網(wǎng)絡(luò)訪問時(shí)產(chǎn)生的重要事件記錄，對(duì)發(fā)現(xiàn)安全隱患和威脅發(fā)揮著重要的作用。通過日志分析可檢測(cè)系統(tǒng)運(yùn)行是否正常，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的可疑行為。但各類主機(jī)操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、以及業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)量都在不斷的增加，系統(tǒng)產(chǎn)生的日志數(shù)量越來越大，每日產(chǎn)生的日志量條目可能數(shù)以百萬計(jì)，且各類系統(tǒng)、設(shè)備及應(yīng)用產(chǎn)生的日志都分散存儲(chǔ)在各自的系統(tǒng)中，日志格式也不統(tǒng)一，使得日志的檢索、讀取和管理非常不便，對(duì)于日志的生成也無法實(shí)時(shí)監(jiān)控分析，及時(shí)預(yù)警和發(fā)現(xiàn)，因此信息化系統(tǒng)中急需一個(gè)能夠統(tǒng)一存儲(chǔ)管理和實(shí)時(shí)監(jiān)控分析的綜合日志管理審計(jì)系統(tǒng)。

1. 日志綜合審計(jì)系統(tǒng)功能框架

日志綜合審計(jì)系統(tǒng)提供全生命周期日志管理模型，集日志數(shù)據(jù)采集、日志數(shù)據(jù)處理、實(shí)時(shí)動(dòng)態(tài)分析、智能關(guān)聯(lián)分析、安全存儲(chǔ)管理、可視化展示、綜合審計(jì)報(bào)告功能于一體，幫助信息安全管理人員快速、有效地完成信息系統(tǒng)安全審計(jì)工作。

通過對(duì)各類設(shè)備和系統(tǒng)日志的實(shí)時(shí)采集、實(shí)時(shí)分析、異常報(bào)警、集中存儲(chǔ)和事后分析，對(duì)各類設(shè)備及應(yīng)用進(jìn)行全面的日志審計(jì)，為安全事故的責(zé)任追查、故障定位提供有力的技術(shù)手段。日志綜合審計(jì)功能框架如圖1所示。

1.1 日志數(shù)據(jù)采集

日志綜合審計(jì)系統(tǒng)通過采集學(xué)校信息系統(tǒng)中的各類系統(tǒng)安全告警事件、用戶在網(wǎng)絡(luò)上的訪問行為、操作系統(tǒng)運(yùn)行日志、應(yīng)用系統(tǒng)運(yùn)行狀態(tài)等信息，對(duì)多種協(xié)議格式數(shù)據(jù)進(jìn)行歸一化處理后，使用過濾歸并，剔除無用日志，合并同一條件日志，最終生成系統(tǒng)專用日志格式，以標(biāo)準(zhǔn)的數(shù)據(jù)形式進(jìn)行集中存儲(chǔ)和管理，并提供豐富的日志統(tǒng)計(jì)匯總及綜合查詢分析，實(shí)現(xiàn)對(duì)校內(nèi)信息系統(tǒng)整體安全狀況的全面審計(jì)。

日志綜合審計(jì)系統(tǒng)在不改變?cè)袠I(yè)務(wù)及系統(tǒng)的情況下，使用多種采集方式實(shí)現(xiàn)信息系統(tǒng)中不同類型的日志數(shù)據(jù)的采集。主要的采集方式包括使用標(biāo)準(zhǔn)協(xié)議采集SYSLOG、SNMP_TRAP、OPSEC_LEA協(xié)議類日志信息;通過旁路偵聽和網(wǎng)絡(luò)抓包方式解析數(shù)據(jù)包，形成網(wǎng)絡(luò)訪問行為日志記錄;對(duì)于已有的日志文件，通過FTP等方式上傳至審計(jì)系統(tǒng)。

日志采集的對(duì)象主要包括以下幾類：第一各類操作系統(tǒng)，如Windows、LINUX、AIX、HP-UX、UNIX;第二各類網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器、無線AP、無線控制器等;第三各類安全設(shè)備，如網(wǎng)絡(luò)防火墻、Web防火墻、IDS/IPS、Ddos系統(tǒng)等;第四應(yīng)用及中間件系統(tǒng)，如WEB容器、WebLogic、Nginx、Tomcat等;第五各類數(shù)據(jù)庫(kù)，如Oracle、DB2、MSSQL、MySQL、MogoDB等;第六各類用戶行為日志，如網(wǎng)頁瀏覽、搜索記錄、即時(shí)通訊、文件傳輸、郵件收發(fā)及網(wǎng)頁提交等。

日志綜合審計(jì)系統(tǒng)將各類日志數(shù)據(jù)采集并通過解析規(guī)則標(biāo)準(zhǔn)化處理，對(duì)多種協(xié)議格式進(jìn)行統(tǒng)一，使用過濾歸并，剔除無用日志，合并同一條件日志，最終形成系統(tǒng)專用日志格式，以文本方式存儲(chǔ)在分布式文件系統(tǒng)中，以便快速查詢和統(tǒng)計(jì)分析。

1.2 實(shí)時(shí)動(dòng)態(tài)分析

日志綜合審計(jì)系統(tǒng)根據(jù)已有的日志規(guī)則庫(kù)，對(duì)采集到的日志數(shù)據(jù)進(jìn)行實(shí)時(shí)動(dòng)態(tài)分析，將網(wǎng)絡(luò)異常訪問、網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露及違規(guī)操作、應(yīng)用程序或中間件進(jìn)程異常、網(wǎng)絡(luò)及安全設(shè)備故障等安全事件，從日志數(shù)據(jù)庫(kù)中過濾提取出來，并通過郵件、短信、SYSLOG、SNMP等方式及時(shí)通知管理員。

日志綜合審計(jì)系統(tǒng)同時(shí)開放了靈活的規(guī)則定義條件，信息安全管理人員可以根據(jù)自己的需要，通過審計(jì)系統(tǒng)個(gè)性化的定制符合自己實(shí)際應(yīng)用環(huán)境的審計(jì)規(guī)則庫(kù)，更細(xì)致地關(guān)注信息系統(tǒng)的安全事件，及時(shí)發(fā)現(xiàn)安全隱患。

日志綜合審計(jì)系統(tǒng)支持多層業(yè)務(wù)系統(tǒng)的訪問數(shù)據(jù)源解析，通過抓取前端Web訪問數(shù)據(jù)流及后端數(shù)據(jù)庫(kù)操作，基于訪問時(shí)間、訪問IP地址、端口號(hào)、訪問關(guān)鍵字、會(huì)話標(biāo)識(shí)等要素進(jìn)行關(guān)聯(lián)匹配，以過濾符合數(shù)據(jù)庫(kù)操作請(qǐng)求的Web應(yīng)用，將訪問終端用戶、訪問應(yīng)用、訪問數(shù)據(jù)庫(kù)關(guān)聯(lián)起來，更精確地定位事件發(fā)生前后各業(yè)務(wù)層的訪問及操作請(qǐng)求。

1.3 安全存儲(chǔ)管理

日志綜合審計(jì)系統(tǒng)應(yīng)對(duì)硬件平臺(tái)和操作系統(tǒng)進(jìn)行優(yōu)化，在確保底層安全的基礎(chǔ)上保障其性能。還需要使用磁盤陣列存儲(chǔ)架構(gòu)和專用日志存儲(chǔ)系統(tǒng)確保日志數(shù)據(jù)存儲(chǔ)的安全。系統(tǒng)還需具有日志的防篡改、防刪除設(shè)計(jì)，任何人都無法對(duì)原始日志數(shù)據(jù)進(jìn)行修改和刪除。日志綜合審計(jì)系統(tǒng)可以對(duì)日志數(shù)據(jù)手備份和自動(dòng)歸檔，對(duì)歸檔文件通過加密方式存儲(chǔ)，以保證日志數(shù)據(jù)的完整性、安全性和可用性。

1.4 歷史事件檢索

日志綜合審計(jì)系統(tǒng)支持基于內(nèi)容關(guān)鍵字、系統(tǒng)類型、訪問終端用戶、訪問時(shí)間、操作關(guān)鍵字、源IP地址、目標(biāo)IP地址等條件組合查詢，對(duì)事件進(jìn)行快速精確定位。具有查詢模板自定義功能，方便管理人員對(duì)特定事件使用模板檢索，同時(shí)具有查詢結(jié)果導(dǎo)出功能，方便用戶保存和編輯。

1.5 綜合審計(jì)報(bào)告

日志綜合審計(jì)系統(tǒng)提供豐富的合規(guī)性報(bào)表功能，滿足用戶的日常審計(jì)需求。系統(tǒng)支持手動(dòng)或者自動(dòng)報(bào)表生成，不但支持用戶自定義多條件組合，還支持自動(dòng)生成月度、季度、年度綜合報(bào)表，并具有導(dǎo)出功能，可以使安全管理人員從多角度對(duì)各類網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用系統(tǒng)進(jìn)行安全審計(jì)。

2. 系統(tǒng)性能評(píng)價(jià)

2.1 強(qiáng)大的日志采集能力

完整全面的采集日志信息是日志審計(jì)的基礎(chǔ)，日志綜合審計(jì)系統(tǒng)基于對(duì)多種平臺(tái)、常用協(xié)議及多類應(yīng)用系統(tǒng)的深入分析，運(yùn)用多種靈活的、安全的、可靠的采集手段，構(gòu)建全網(wǎng)日志管理審計(jì)平臺(tái)，包括操作系統(tǒng)日志、上網(wǎng)行為記錄、數(shù)據(jù)庫(kù)操作行為、網(wǎng)絡(luò)設(shè)備及安全設(shè)備日志、應(yīng)用系統(tǒng)日志，真正構(gòu)建全面的、統(tǒng)一的日志綜合審計(jì)平臺(tái)。

2.2 安全可靠的保障能力

日志綜合審計(jì)系統(tǒng)內(nèi)置安全系統(tǒng)，可以設(shè)定嚴(yán)格的訪問源，從而避免處理大部分無關(guān)的數(shù)據(jù)流量，進(jìn)一步提高系統(tǒng)性能，保障系統(tǒng)本身的安全性;對(duì)內(nèi)部的用戶管理實(shí)施嚴(yán)格的細(xì)粒度的權(quán)限控制，并對(duì)用戶的登錄退出活動(dòng)進(jìn)行詳細(xì)記錄，以有效防止內(nèi)部管理員的越權(quán)訪問，避免日志數(shù)據(jù)修改和刪除。系統(tǒng)內(nèi)部存儲(chǔ)使用具有冗余能力磁盤陣列，保障日志信息在設(shè)備內(nèi)的安全存儲(chǔ)需要。此外還應(yīng)具有遠(yuǎn)程或異地的數(shù)據(jù)備份功能，防止審計(jì)系統(tǒng)本身出現(xiàn)誤操作或系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失。

2.3 豐富的日志規(guī)則庫(kù)

通過基于機(jī)器學(xué)習(xí)形成日志內(nèi)容分析規(guī)則庫(kù)，實(shí)時(shí)分析日志信息中反映出的各類問題和威脅，諸如設(shè)備故障、配置錯(cuò)誤、系統(tǒng)安全警告、應(yīng)用程序報(bào)錯(cuò)、違規(guī)違法信息傳播、數(shù)據(jù)庫(kù)敏感操作等信息，并能通過郵件或短信方式通知信息安全管理人員。

2.4 自定義組合查詢

系統(tǒng)在接收日志信息采集階段，根據(jù)日志類型進(jìn)行分類、切詞處理，并根據(jù)分詞結(jié)果生詞索引數(shù)據(jù)。用戶在檢索時(shí)，可以根據(jù)日志的類型，字段內(nèi)容進(jìn)行精細(xì)匹配，如日志的源IP地址、目標(biāo)IP地址、日志生成時(shí)間、設(shè)備類型、協(xié)議類型等，從而實(shí)現(xiàn)日志的快速準(zhǔn)確定位。系統(tǒng)還應(yīng)具有高級(jí)查詢功能，支持常用邏輯運(yùn)算以及跨系統(tǒng)（不同的日志來源）的關(guān)聯(lián)日志查詢，管理員能夠通過多條件組合，對(duì)日志進(jìn)行精確定位匹配。

2.5 多種部署模式

系統(tǒng)在不改變和影響現(xiàn)有網(wǎng)絡(luò)拓?fù)涞那疤嵯?，支持全旁路方式進(jìn)行審計(jì)，也無需在設(shè)備和主機(jī)上運(yùn)行腳本和安裝代理，不改變?cè)械脑L問方式。對(duì)系統(tǒng)進(jìn)行維護(hù)、升級(jí)時(shí)不影響原有業(yè)務(wù)的正常運(yùn)行。在日志流量比較大的情況下，可采用分布式部署，在中心平臺(tái)進(jìn)行各種管理規(guī)則，各種配置策略自動(dòng)分發(fā)，支持遠(yuǎn)程自動(dòng)升級(jí)，提高系統(tǒng)擴(kuò)展和可管理性。

2.6 良好的擴(kuò)展性設(shè)計(jì)

系統(tǒng)可擴(kuò)展及伸縮性能力表現(xiàn)在以下幾個(gè)方面：第一數(shù)據(jù)采集時(shí)，通過增加數(shù)據(jù)采集探針來分擔(dān)日志采集壓力;第二日志采集及實(shí)時(shí)分析時(shí)可進(jìn)行分布式運(yùn)算，即當(dāng)系統(tǒng)日志量超出了系統(tǒng)處理能力時(shí)，可將實(shí)時(shí)分析系統(tǒng)模塊從分離出來，進(jìn)行多負(fù)載部署，支撐更高并發(fā)日志量的審計(jì)分析。第三當(dāng)用戶緩存日志的保留天數(shù)及數(shù)量大幅度提高，造成審計(jì)人員進(jìn)行日志檢索及報(bào)表生成過程中的速度降低時(shí)，系統(tǒng)可對(duì)多臺(tái)緩存日志存儲(chǔ)及檢索模塊進(jìn)行分布式部署。第四對(duì)外開放多種系統(tǒng)接口，方便與第三方平臺(tái)對(duì)接和集成。

2.7 豐富的合規(guī)性報(bào)表

系統(tǒng)審計(jì)報(bào)表均根據(jù)各行業(yè)審計(jì)需求、國(guó)家法律法規(guī)相關(guān)要求進(jìn)行專門設(shè)計(jì)，包括對(duì)特定上網(wǎng)行為進(jìn)行日志記錄并通過報(bào)表系統(tǒng)對(duì)異常行為進(jìn)行集中審計(jì)。對(duì)數(shù)據(jù)庫(kù)操作、主機(jī)操作進(jìn)行審計(jì)，設(shè)計(jì)開發(fā)了大量法律法規(guī)和等級(jí)保護(hù)審計(jì)需求的報(bào)表。同時(shí)還提供特定操作統(tǒng)計(jì)報(bào)表、用戶訪問日志報(bào)表、關(guān)鍵操作明細(xì)報(bào)表等。

3. 結(jié)束語

通過在高校數(shù)據(jù)管理中心部署日志綜合審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)校內(nèi)日志信息的統(tǒng)一管理、監(jiān)控各類系統(tǒng)的運(yùn)行狀況，協(xié)助高校安全管理人員全面獲悉信息系統(tǒng)整體安全情況，實(shí)現(xiàn)對(duì)信息系統(tǒng)安全事件的關(guān)聯(lián)分析、評(píng)估、調(diào)查及安全事件的準(zhǔn)確跟蹤定位，預(yù)防敏感信息泄露，為信息系統(tǒng)整體安全策略的制定提供權(quán)威可靠的依據(jù)，為安全事故的責(zé)任追查、故障定位提供有力的技術(shù)手段，顯著提高高校信息系統(tǒng)的安全性、可靠性和運(yùn)行效率，實(shí)現(xiàn)全生命周期的日志管理。

參考文獻(xiàn)：

[1] 朱宏.安全日志統(tǒng)一收集平臺(tái)的數(shù)據(jù)架構(gòu)設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)安全，2010（10）.

[2] 陳瑋.網(wǎng)絡(luò)信息安全審計(jì)系統(tǒng)關(guān)鍵技術(shù)研究[J].計(jì)算機(jī)與現(xiàn)代化，2009（3）.

[3]洪杰，耿德成，於曉暉，詹磊.網(wǎng)絡(luò)日志審計(jì)系統(tǒng)在電力信息安全中的運(yùn)用[J].信息網(wǎng)絡(luò)安全，2010（7）.

[4] 郝漩.基于Apache Flume的分布式日志收集系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[J]. 軟件導(dǎo)刊，2014（7）.