基于區(qū)塊鏈的日志審計(jì)安全平臺(tái)建設(shè)

◆白娟

（北京第二外國語學(xué)院 北京 100024）

1 引言

信息技術(shù)的快速發(fā)展給人類社會(huì)生活注入新的活力，電腦端及移動(dòng)端的各類網(wǎng)絡(luò)應(yīng)用與人們生活結(jié)合得越來越緊密，在信息技術(shù)造福人類的同時(shí)，也給了一些黑客帶來了可乘之機(jī)，使得信息系統(tǒng)被攻擊的可能性大大增加。隨著網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，安全防護(hù)系統(tǒng)對(duì)一些異常攻擊進(jìn)行了有效阻攔與隔斷。面對(duì)日益頻繁的網(wǎng)絡(luò)嗅探與攻擊，即使是強(qiáng)大的網(wǎng)絡(luò)防火墻、入侵檢測(cè)系統(tǒng)和反病毒軟件都無法保證系統(tǒng)的絕對(duì)安全。在這樣的情況下，審計(jì)系統(tǒng)應(yīng)運(yùn)而生，審計(jì)系統(tǒng)通過記錄系統(tǒng)中發(fā)生的事件，對(duì)各種操作行為進(jìn)行溯源及分析，從而具備記錄、智能分析、監(jiān)測(cè)、控制和處理等功能。

審計(jì)系統(tǒng)一般都具有強(qiáng)大的日志收集、自定義日志解析、完整日志分析、日志搜索引擎、日志歸檔等多種管理及分析功能，由于現(xiàn)有的審計(jì)系統(tǒng)存在權(quán)限劃分不清晰、信息有可能被篡改的問題，因此，有必要建設(shè)一套基于區(qū)塊鏈的審計(jì)系統(tǒng)，既保留原系統(tǒng)功能，同時(shí)可進(jìn)一步加強(qiáng)賬號(hào)的管控能力，利用區(qū)塊鏈技術(shù)中可溯源的特性，提高數(shù)據(jù)日志的安全服務(wù)能力。

2 建設(shè)目標(biāo)

基于區(qū)塊鏈的日志審計(jì)平臺(tái)通過抓取賬號(hào)數(shù)據(jù)庫數(shù)據(jù)，不斷通過區(qū)塊鏈的加密、驗(yàn)證及上鏈來形成區(qū)塊私有鏈體系。安全審計(jì)平臺(tái)以安全事件為中心，以全面審計(jì)和精確審計(jì)為基礎(chǔ)，對(duì)系統(tǒng)的各類操作行為進(jìn)行監(jiān)視并記錄，以郵件或者短信的方式及時(shí)發(fā)出告警信息。并通過大數(shù)據(jù)搜索技術(shù)形成高效查詢審計(jì)報(bào)告，定位事件原因，以便日后查詢、分析、過濾，實(shí)現(xiàn)對(duì)目標(biāo)系統(tǒng)的用戶操作的監(jiān)控和審計(jì)，為信息安全保護(hù)提供必要的依據(jù)。

系統(tǒng)建設(shè)目標(biāo)如下：

（1）對(duì)日志數(shù)據(jù)進(jìn)行自主分類，根據(jù)日志的重要性等級(jí)，將日志數(shù)據(jù)存儲(chǔ)到區(qū)塊鏈上，并允許進(jìn)行加密處理，實(shí)現(xiàn)對(duì)日志數(shù)據(jù)的知悉范圍進(jìn)行控制。

（2）具備關(guān)鍵數(shù)據(jù)信息加密能力，通過密鑰生產(chǎn)管理中心生成系統(tǒng)公私鑰對(duì)（mpk 和msk），對(duì)關(guān)鍵數(shù)據(jù)信息生成、保存和分發(fā)系統(tǒng)中公私鑰數(shù)據(jù)，實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)信息在網(wǎng)絡(luò)中的密文傳播。

（3）具備關(guān)鍵數(shù)據(jù)信息比對(duì)防篡改能力，共識(shí)節(jié)點(diǎn)群收到已被加密的密文關(guān)鍵數(shù)據(jù)信息后通過門限算法的區(qū)塊鏈共識(shí)機(jī)制驗(yàn)證其有效性，驗(yàn)證成功后形成新節(jié)點(diǎn)納入現(xiàn)有公認(rèn)的區(qū)塊鏈中，通過區(qū)塊鏈已上鏈的數(shù)據(jù)自動(dòng)比對(duì)業(yè)務(wù)現(xiàn)有數(shù)據(jù)，實(shí)現(xiàn)關(guān)鍵數(shù)據(jù)信息防篡改功能。

（4）具備數(shù)據(jù)操作行為要素的輸出能力，以預(yù)警為主，以圖形化展示為主要方式為安全行為審計(jì)人員提供直觀、強(qiáng)大且清晰的讀寫狀況輸出。

（5）基于多種協(xié)議進(jìn)行日志采集，真正實(shí)現(xiàn)日志統(tǒng)一采集，集中管理和高效監(jiān)控，提高日志管理能力，實(shí)現(xiàn)高效管理。

（6）通過郵件、短信、聲音等方式進(jìn)行發(fā)送告警，第一時(shí)間通知日志管理相關(guān)人員，快速定位并處理，提高設(shè)備預(yù)警能力，提升運(yùn)維效率，降低應(yīng)用風(fēng)險(xiǎn)。

3 具體建設(shè)內(nèi)容

3.1 區(qū)塊鏈安全審計(jì)實(shí)現(xiàn)原理

本系統(tǒng)是基于區(qū)塊鏈技術(shù)的日志審計(jì)平臺(tái)，處理服務(wù)器向密鑰管理服務(wù)器申請(qǐng)簽名公私鑰對(duì)和密鑰，區(qū)塊鏈服務(wù)器向密鑰管理服務(wù)器申請(qǐng)簽名公鑰。在數(shù)據(jù)處理及傳送過程中，均使用加密技術(shù)進(jìn)行數(shù)據(jù)加密及傳送。處理服務(wù)器采集數(shù)據(jù)并加密生成A，對(duì)加密密鑰再加密生成B，以私鑰對(duì)A 和B 數(shù)字簽名生成N；處理服務(wù)器向區(qū)塊鏈服務(wù)器發(fā)送A、B 和N，并由區(qū)塊鏈服務(wù)器以公鑰驗(yàn)證有效后將數(shù)據(jù)置入數(shù)據(jù)緩沖區(qū)。該系統(tǒng)利用區(qū)塊鏈技術(shù)不可算改的特性在業(yè)務(wù)系統(tǒng)中添加使用區(qū)塊，保障關(guān)鍵數(shù)據(jù)不可篡改，提升數(shù)據(jù)安全性。

3.2 平臺(tái)架構(gòu)

基于區(qū)塊鏈的日志審計(jì)平臺(tái)采用分布式系統(tǒng)架構(gòu)，主要由以下三部分組成：

（1）數(shù)據(jù)輸入；提供人員信息、財(cái)務(wù)信息等敏感數(shù)據(jù)的操作口志，并通過第三方工具將數(shù)據(jù)傳入數(shù)據(jù)處理服務(wù)。

（2）數(shù)據(jù)處理：數(shù)據(jù)處理服務(wù)通過向密鑰服務(wù)申請(qǐng)加密密鑰，以及區(qū)塊鏈集群向密鑰服務(wù)申請(qǐng)簽名公并以數(shù)字簽名形式生成加密數(shù)據(jù)。該服務(wù)向區(qū)塊鏈集群發(fā)送加密數(shù)據(jù)，并由區(qū)塊鏈集群驗(yàn)證有效后將數(shù)據(jù)置入數(shù)據(jù)緩沖區(qū)，若區(qū)塊生成條件滿足后則生成新的區(qū)塊。

（3）數(shù)據(jù)輸出：展示端可通過PC、移動(dòng)設(shè)備等不同終端，向區(qū)塊鏈集群請(qǐng)求查詢數(shù)據(jù)，獲得數(shù)據(jù)資源，進(jìn)而呈現(xiàn)數(shù)據(jù)信息。

3.3 功能組成

系統(tǒng)具體功能如下圖1 所示：

圖1 系統(tǒng)功能

（1）采集操作數(shù)據(jù)、形成日志系統(tǒng)

在詳細(xì)確定數(shù)據(jù)庫賬號(hào)權(quán)限的情況下，增加數(shù)據(jù)訪問賬號(hào)，使用第三方工具采集網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、應(yīng)用程序等數(shù)據(jù)操作日志和系統(tǒng)日志，對(duì)數(shù)據(jù)做統(tǒng)一化處理。

（2）日志分類及整理

為保證敏感業(yè)務(wù)數(shù)據(jù)和操作日志等數(shù)據(jù)的機(jī)密性，需要將其加密后上鏈。為保證加解密的效率和安全性，選擇相應(yīng)算法且加密密鑰從自有密鑰服務(wù)器中直接獲取。

（3）數(shù)據(jù)簽名與驗(yàn)簽、形成日志池

為了防止加密后的數(shù)據(jù)被惡意篡改，需要將加密的數(shù)據(jù)簽名，此處采用RSA 算法且簽名與驗(yàn)簽的密鑰對(duì)同樣從自有密鑰管理服務(wù)器中直接獲取。經(jīng)過簽名與驗(yàn)簽的數(shù)據(jù)再統(tǒng)一整理后，形成日志池。

（4）數(shù)據(jù)上鏈

數(shù)據(jù)上鏈即將通過驗(yàn)證的數(shù)據(jù)，在各節(jié)點(diǎn)通過共識(shí)機(jī)制達(dá)成一致后將其寫入?yún)^(qū)塊鏈的程。此目標(biāo)建設(shè)是一條私鏈，因此采用的共識(shí)機(jī)制算法是門限數(shù)字簽名。

（5）數(shù)據(jù)解密及比對(duì)

提供入口實(shí)現(xiàn)數(shù)據(jù)快速對(duì)比、異常操作行為評(píng)判和已上鏈原始數(shù)據(jù)下載，可選擇進(jìn)行人工比對(duì)或自動(dòng)比對(duì)。人工比對(duì)指提供數(shù)據(jù)比對(duì)入口，對(duì)異常數(shù)據(jù)進(jìn)行告警，能夠提供多維度的篩選條件，用戶可隨時(shí)進(jìn)行人工自查比對(duì)，比對(duì)結(jié)果列表支持分頁，異帶操作行為判斷和異常數(shù)據(jù)告警。同時(shí)可查看己上鏈原始數(shù)據(jù)，支持多種格化下載。自動(dòng)比對(duì)指系統(tǒng)自動(dòng)將區(qū)塊鏈上的數(shù)據(jù)與數(shù)據(jù)庫的數(shù)據(jù)進(jìn)行智能比對(duì)，并對(duì)異常數(shù)據(jù)進(jìn)行判斷，包括刪除、篡改和插入行為等。

（6）后臺(tái)管理

通過后臺(tái)管理模塊實(shí)現(xiàn)日志審計(jì)平臺(tái)運(yùn)行情況的監(jiān)控、用戶權(quán)限管理、安全告警分析等功能，為日志審計(jì)平臺(tái)安全運(yùn)行提供基礎(chǔ)保障。

4 建設(shè)特點(diǎn)

綜合而言，本系統(tǒng)的建設(shè)特點(diǎn)如下：

（1）全面審計(jì)：能夠?qū)徲?jì)所有來源，包括所有訪問數(shù)據(jù)庫的路徑、數(shù)據(jù)庫操作，還支持對(duì)加密網(wǎng)絡(luò)的審計(jì)。

（2）精確審計(jì)：通過U 盾、CA 認(rèn)證信息整合和應(yīng)用程序賬戶來精確的識(shí)別操作人，可以精確的識(shí)別來自于B/S 架構(gòu)的瀏覽器終端信息，支持加密網(wǎng)絡(luò)傳輸、應(yīng)用程序注入和假冒檢測(cè)等獨(dú)有功能。

（3）法規(guī)遵循安全報(bào)表：定制各種法規(guī)遵循向?qū)Ш蛨?bào)表，以方便用戶完成法規(guī)遵循。遵循系統(tǒng)內(nèi)置的法規(guī)遵循主要包含：等級(jí)保護(hù)（二級(jí)和三級(jí)）、個(gè)人數(shù)據(jù)保護(hù)要求、防統(tǒng)方法規(guī)、SOX 法案、PCI-DSS法案、HIPAA 法案、GLBA 法案，以及數(shù)據(jù)庫安全最佳實(shí)踐。

（4）未知威脅的智能化告警：對(duì)于任何不認(rèn)識(shí)的新面孔和操作進(jìn)行識(shí)別并告警：包括新發(fā)現(xiàn)的IP 地址、應(yīng)用程序、數(shù)據(jù)庫賬戶、應(yīng)用賬戶，訪問對(duì)象、訪問操作、SQL 語句等，進(jìn)行重點(diǎn)分析和告警。

4.5 日志報(bào)表：具有豐富可定制的報(bào)表分析系統(tǒng)。

日常工作報(bào)表：運(yùn)維人員可通過以下任意方式、在每日工作結(jié)束之后提供數(shù)據(jù)庫審計(jì)報(bào)表。常規(guī)性報(bào)表：日?qǐng)?bào)，周報(bào)和月報(bào)，完成不同側(cè)重點(diǎn)的報(bào)告。綜合性報(bào)表：可以根據(jù)常規(guī)性報(bào)表搭配而成，這樣只需要查看一個(gè)報(bào)表即可。自動(dòng)化管理：不同人員可以按需定制不同報(bào)表，報(bào)表完全自動(dòng)化生成并且可以自動(dòng)通過郵件傳遞。

4.6 審計(jì)管理

（1）告警量不泛濫：實(shí)時(shí)處理的告警引擎可以使安全事件快速發(fā)布，重復(fù)性事件自動(dòng)合并和過慮，減少不必要的告警量，還提供大數(shù)據(jù)搜索引擎確?；趶?fù)雜搜索定制。

（2）單條事件分析和回溯：以當(dāng)前事件為基礎(chǔ)，進(jìn)行不同角度的統(tǒng)計(jì)分析。也可以基于該事件，從數(shù)據(jù)庫登錄到當(dāng)前操作進(jìn)行一致性回溯。

（3）同類事件回顧：如果相同的安全審計(jì)事件曾經(jīng)發(fā)生過，可以進(jìn)行回顧分析。

（4）自定義和個(gè)性化訂閱；高度靈活的告警規(guī)則，達(dá)到精細(xì)化事件告警，不同身份的人可以按需訂閱相關(guān)告警事件。

5 應(yīng)用價(jià)值

基于區(qū)塊鏈的日志審計(jì)平臺(tái)在實(shí)際應(yīng)用中，可產(chǎn)生重要的使用價(jià)值，具體如下：

（1）應(yīng)用價(jià)值：采用集中化的統(tǒng)一管理平臺(tái)，將日志信息收集到平臺(tái)中，進(jìn)行信息資產(chǎn)的統(tǒng)一日志管理；多維度、跨設(shè)備、細(xì)粒度的關(guān)聯(lián)分析，打破信息孤島，自動(dòng)進(jìn)行日志審計(jì)，快速發(fā)現(xiàn)潛在安全事件；對(duì)各類風(fēng)險(xiǎn)和安全事件進(jìn)行實(shí)時(shí)監(jiān)控告警，保障資產(chǎn)數(shù)據(jù)安全。該平臺(tái)不但利用了區(qū)塊鏈的安全特性，即不可算改性；同時(shí)彌補(bǔ)了區(qū)塊鏈技術(shù)的查找效率低的問題，因此應(yīng)用價(jià)值顯著。

（2）安全價(jià)值：日志數(shù)據(jù)采用對(duì)稱加密或非對(duì)稱加密或者其他加密算法進(jìn)行處理，旨在對(duì)日志數(shù)據(jù)的機(jī)密性、完整性進(jìn)行保證。由于數(shù)字簽名具有的不可更改性，從而滿足防篡改性，保障數(shù)據(jù)安全。

（3）效率價(jià)值：基于區(qū)塊鏈的日志審計(jì)系統(tǒng)中公私鑰的產(chǎn)生，以及對(duì)數(shù)據(jù)采集網(wǎng)關(guān)簽名的驗(yàn)證，這些操作都可在秒級(jí)完成，因此效率較高；在數(shù)據(jù)采集階段完善的數(shù)據(jù)采集工具的采集可達(dá)百萬條每秒的速度，因此該階段不會(huì)是該系統(tǒng)效率瓶頸；在數(shù)據(jù)下鏈階段采用引入數(shù)據(jù)庫的方式，讓整個(gè)下鏈過程非?？焖?。因此綜合面言，該系統(tǒng)的工作效率較高。