鉆井企業(yè)安全信息事件管理SIEM系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

關(guān)鍵詞：數(shù)據(jù)安全；數(shù)據(jù)治理；網(wǎng)絡(luò)安全；SIEM，數(shù)據(jù)融合

0 引言

2022年，長慶油田躋身我國產(chǎn)量最大的油田之列。其勘探范圍高達(dá)37萬平方公里，橫跨陜甘寧晉蒙五省區(qū)，16個(gè)地市，61個(gè)縣（旗），各單位分布廣泛。每天，來自各單位的鉆井?dāng)?shù)據(jù)都匯聚到長慶鉆井總公司的信息中心。由于網(wǎng)絡(luò)層級多，覆蓋范圍廣，企業(yè)網(wǎng)絡(luò)安全面臨巨大挑戰(zhàn)，因此構(gòu)筑完善的網(wǎng)絡(luò)安全體系以確保正常的生產(chǎn)生活顯得尤為必要[1]。目前，長慶鉆井總公司已在網(wǎng)絡(luò)安全方面投入大量資金，購置了防火墻、入侵檢測系統(tǒng)IDS、漏洞掃描、入侵防御系統(tǒng)IPS、Web應(yīng)用防護(hù)系統(tǒng)WAF等設(shè)備。每個(gè)系統(tǒng)都有獨(dú)特的功能和各自產(chǎn)生的日志。如果管理員頻繁查看各個(gè)系統(tǒng)的信息，將會消耗大量精力和時(shí)間，也會影響對突發(fā)事件的響應(yīng)速度[2]。如何將這些來自各個(gè)產(chǎn)品的安全信息和安全事件記錄融合起來，形成一個(gè)安全信息事件管理（SIEM） 系統(tǒng)，已成為一個(gè)新的研究熱點(diǎn)[3]。本文介紹了一種采用開源工具組合定制開發(fā)的安全信息事件管理SIEM系統(tǒng)，探索了一套安全信息融合的解決方案，并在小范圍實(shí)驗(yàn)中取得了較為理想的結(jié)果。

1 安全信息事件管理SIEM 系統(tǒng)的構(gòu)建

在過去幾年里，長慶鉆井總公司響應(yīng)中國石油天然氣集團(tuán)的號召，開展了鉆井?dāng)?shù)據(jù)的分類分級工作，已取得了一定成果。前期的工作為深化數(shù)據(jù)治理奠定了堅(jiān)實(shí)的基礎(chǔ)，接下來如何保障數(shù)據(jù)合規(guī)高效地共享，進(jìn)一步筑牢網(wǎng)絡(luò)安全與數(shù)據(jù)安全的防線，加強(qiáng)數(shù)據(jù)管控能力就成為當(dāng)前工作的重點(diǎn)[4]。

安全信息和事件管理SIEM系統(tǒng)是一種集成了安全信息管理（SIM） 和安全事件管理（SEM） 的綜合性網(wǎng)絡(luò)安全強(qiáng)化方案，主要用于實(shí)時(shí)監(jiān)控其他設(shè)備或應(yīng)用軟件提供的安全信息日志或事件報(bào)告，融合分析并報(bào)告潛在威脅或已發(fā)生的安全事件[5]。SIEM的主要功能有：

1） 收集管理各種設(shè)備日志：采集來自網(wǎng)絡(luò)安全設(shè)備、服務(wù)器程序、操作系統(tǒng)等的日志信息，并存儲這些信息，為其建立索引以供將來分析與取證。

2） 分析事件相關(guān)性：解析各種日志并識別其行為模式和框架，對不同來源的事件進(jìn)行關(guān)聯(lián)分析，構(gòu)建可視化的安全事件視圖。

3） 及時(shí)警報(bào)：根據(jù)預(yù)先設(shè)定好的規(guī)則和識別算法，及時(shí)發(fā)現(xiàn)安全威脅，生成警報(bào)，通知網(wǎng)管人員對安全威脅采取應(yīng)對措施。

4） 用戶友好的可視化界面：提供快捷的數(shù)據(jù)分析工具，幫助識別復(fù)雜的威脅模式。采用儀表板的方式展現(xiàn)分析結(jié)果并支持自動(dòng)化生成合規(guī)報(bào)告，減少人員工作量。

5） 智能化的威脅檢測：利用用戶行為輪廓分析、機(jī)器學(xué)習(xí)和人工智能技術(shù)來發(fā)現(xiàn)異常行為，自主識別出以前從未出現(xiàn)過的，新型的未知安全威脅。通過用正常的網(wǎng)絡(luò)行為模式進(jìn)行訓(xùn)練，能夠自動(dòng)識別出一反常態(tài)的異常行為。

6） 事后取證和分析：支持事后調(diào)查取證，收集安全事件的相關(guān)信息，為法律訴訟提供呈堂證供。

SIEM系統(tǒng)通過提供融合多源信息綜合分析的工具及直觀的安全視圖，增強(qiáng)企業(yè)數(shù)據(jù)安全的防御力，提高對安全事件的反應(yīng)速度，滿足數(shù)據(jù)治理的要求。

本文采用開源的工5d542194bc23b755be5227ffb4822cc34ad3d1693d93206447f1e0559e1864b7具ELK Stack（Elasticsearch，Logstash， Kibana） 來實(shí)現(xiàn)安全信息事件管理SIEM系統(tǒng)。SIEM系統(tǒng)的拓?fù)浣Y(jié)構(gòu)如圖1所示，Logstash從網(wǎng)絡(luò)設(shè)備、Apache服務(wù)器、OpenDLP應(yīng)用程序和漏洞掃描設(shè)備中獲取日志文件和漏洞掃描報(bào)告。Elastic?search用于存儲從Logstash中獲取的信息，存儲并建立索引，提供搜索服務(wù)。Kibana提供了和用戶交互的友好界面，用于展示安全信息和事件的統(tǒng)計(jì)結(jié)果。

2 安全信息事件管理SIEM 系統(tǒng)的模塊

如圖1所示，安全信息事件管理SIEM系統(tǒng)共分為3個(gè)模塊。

2.1 信息采集模塊

信息采集模塊的核心是Logstash。它采集的數(shù)據(jù)來自DLP、漏洞掃描、服務(wù)器日志和交換機(jī)日志。針對不同形式的日志，Logstash創(chuàng)建配置文件，定義解析形式，并將數(shù)據(jù)輸出到數(shù)據(jù)存儲和搜索模塊。

近兩年來，長慶鉆井已經(jīng)進(jìn)行了卓有成效的數(shù)據(jù)治理工作，實(shí)現(xiàn)了部分鉆井?dāng)?shù)據(jù)的分類分級。因此，需要使用數(shù)據(jù)丟失防護(hù)DLP（Data Loss Prevention） 系統(tǒng)來阻止未經(jīng)授權(quán)的用戶訪問敏感數(shù)據(jù)或傳輸。DLP主要工作包括：

數(shù)據(jù)識別：判定哪些數(shù)據(jù)是敏感的，這可以直接采用前期分類分級的結(jié)果。

定義策略：企業(yè)需要定義哪些數(shù)據(jù)需要保護(hù)，向哪類用戶可以開放訪問，在滿足何等條件下可以傳輸。這些可以依據(jù)本企業(yè)已制訂的《數(shù)據(jù)安全合規(guī)工作流程規(guī)范》來處理。

數(shù)據(jù)監(jiān)控：DLP系統(tǒng)在網(wǎng)絡(luò)設(shè)備、存儲設(shè)備、桌面和移動(dòng)設(shè)備上監(jiān)控敏感數(shù)據(jù)的訪問和傳輸，保證對敏感數(shù)據(jù)的操作符合規(guī)定。

數(shù)據(jù)控制：制訂數(shù)據(jù)保護(hù)策略，阻止敏感數(shù)據(jù)泄漏到外網(wǎng)，或被復(fù)制到外部存儲介質(zhì)上，或被打印出來。

審計(jì)報(bào)告：DLP系統(tǒng)可以自動(dòng)生成日志，幫助企業(yè)發(fā)現(xiàn)數(shù)據(jù)泄漏的風(fēng)險(xiǎn)，并為訴諸法律提供呈堂證供。

本文采用的DLP系統(tǒng)是開源軟件OpenDLP，在內(nèi)網(wǎng)的服務(wù)器上和私有云的虛擬機(jī)中部署了它。OpenDLP保護(hù)數(shù)據(jù)的粒度可以非常精細(xì)靈活，既可以掃描特定的數(shù)據(jù)庫中的數(shù)據(jù)表，還可以識別表中的敏感字段。此外，還能夠掃描特定目錄和文件，以及掃描保護(hù)文件中的敏感數(shù)據(jù)。在配置OpenDLP時(shí)，可以指定要掃描的庫、表、字段和文件，實(shí)現(xiàn)精準(zhǔn)防護(hù)。

OpenDLP的日志文件包括：

掃描信息：記錄掃描類型（掃描數(shù)據(jù)庫還是文件）、掃描任務(wù)的起始時(shí)間。

掃描配置：記錄掃描的具體配置，例如指定目錄下的文件或指定數(shù)據(jù)庫中的表和字段。

掃描結(jié)果：記錄掃描結(jié)果，包括敏感數(shù)據(jù)的位置及數(shù)據(jù)識別規(guī)則。

安全信息：記錄發(fā)生安全違規(guī)事件所觸發(fā)的警報(bào)。

系統(tǒng)事件：系統(tǒng)停止、重啟、外部嘗試登錄等。

本文定義了一個(gè)Logstash配置文件，用于讀取、篩選和導(dǎo)出OpenDLP的日志文件。偽碼如下：

Logstash采集的數(shù)據(jù)源不僅包括OpenDLP，還有漏洞掃描系統(tǒng)的報(bào)告。本文采用OpenVAS（Open Vul?nerability Assessment System） 來掃描檢測網(wǎng)絡(luò)環(huán)境中的各種安全漏洞，像操作系統(tǒng)漏洞、應(yīng)用程序漏洞、配置錯(cuò)誤、沒有及時(shí)更新補(bǔ)丁等。OpenVAS可以生成系統(tǒng)掃描結(jié)果的報(bào)告，內(nèi)容包括掃描找出的漏洞、危害性級別、并給出彌補(bǔ)措施。OpenVAS的日志可以是CSV數(shù)據(jù)表格形式也可以TXT文本。

網(wǎng)絡(luò)設(shè)備日志和Apache 服務(wù)器日志也是Log?stash采集的數(shù)據(jù)源。Apache服務(wù)器的日志條目如下所示：

分別對應(yīng)了IP地址、用戶名、時(shí)間戳、請求方法、資源、協(xié)議、服務(wù)器狀態(tài)響應(yīng)碼及對象字節(jié)數(shù)。

網(wǎng)絡(luò)設(shè)備日志則包括：系統(tǒng)事件：啟動(dòng)、重啟、系統(tǒng)錯(cuò)誤、硬件故障、配置更改。

網(wǎng)絡(luò)活動(dòng)：端口啟用/禁用、連接成功/失敗、速率限制等。

安全事件：登錄成功/失敗、來自訪問控制列表項(xiàng)的訪問、端口安全違規(guī)。

資源狀況：CPU利用率、內(nèi)存占用率。

2.2 數(shù)據(jù)存儲與搜索模塊

數(shù)據(jù)的存儲和搜索模塊選用了Elasticsearch 來實(shí)現(xiàn)。

首先，Elasticsearch是一款開源的搜索引擎，支持復(fù)雜的查詢語言、精確搜索、模糊搜索和聚合等操作。既可用于像數(shù)據(jù)庫表類的結(jié)構(gòu)化數(shù)據(jù)搜索，也可用于網(wǎng)頁、文檔類非結(jié)構(gòu)化數(shù)據(jù)的全文搜索。它具有可擴(kuò)展性好、支持分布式處理、實(shí)時(shí)索引和搜索的特點(diǎn)。

其次，Elasticsearch本身就是一個(gè)分布式的文件存儲系統(tǒng)，能夠存儲結(jié)構(gòu)化和非結(jié)構(gòu)化的各類數(shù)據(jù)，所有類型的數(shù)據(jù)都可以轉(zhuǎn)化為JSON格式。數(shù)據(jù)一旦被索引就立刻能被搜索，非常適合實(shí)時(shí)監(jiān)控和分析的應(yīng)用場景。雖然Elasticsearch支持增刪改查的操作，但它并不是一個(gè)關(guān)系型數(shù)據(jù)庫。它最突出的優(yōu)點(diǎn)是能快速地索引和檢索大量復(fù)雜的數(shù)據(jù)結(jié)構(gòu)，并支持復(fù)雜數(shù)據(jù)結(jié)構(gòu)的統(tǒng)計(jì)和分析。

采集模塊中的各個(gè)數(shù)據(jù)源有著不同結(jié)構(gòu)的數(shù)據(jù)。OpenDLP中的日志文件需要自定義解析，屬于非結(jié)構(gòu)化數(shù)據(jù)；OpenVAS中的數(shù)據(jù)可以是CSV數(shù)據(jù)表形式，屬于結(jié)構(gòu)化數(shù)據(jù)。而網(wǎng)絡(luò)設(shè)備和Apache服務(wù)器日志中的每一行都是固定格式，可以看作半結(jié)構(gòu)化數(shù)據(jù)。加之SIEM具有良好的擴(kuò)展性，以后可能還會接入更多類型的數(shù)據(jù)，復(fù)雜多樣的數(shù)據(jù)結(jié)構(gòu)，分布式存儲則正好契合了Elasticsearch的特點(diǎn)。因此，數(shù)據(jù)存儲和搜索模塊選擇了Elasticsearch。只要把Logstash處理過的數(shù)據(jù)輸出到Elasticsearch，它就能為它們快速地建立索引。以下偽碼表示了Elasticsearch為OpenVAS 日志建立索引。

2.3 用戶視圖模塊

用戶視圖選用的Kibana 是一個(gè)開源的數(shù)據(jù)管理平臺，界面友好，為用戶提供了豐富的可視化工具，支持各類圖表、地圖和圖形來直觀地表示數(shù)據(jù)。內(nèi)置的數(shù)據(jù)分析功能可以實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)變化并進(jìn)行分析，還能提供數(shù)字化駕駛艙，用多個(gè)儀表盤同時(shí)顯示多路數(shù)據(jù)變化，功能十分強(qiáng)大。圖2是用Kibana開發(fā)的，顯示OpenDLP日志文件信息的儀表盤。該儀表盤包括三個(gè)小組件，分別是顯示檢測到的敏感數(shù)據(jù)類型分布的餅圖（標(biāo)簽為"Sensitive Data Type Distribution"） 、顯示隨時(shí)間變化的事件計(jì)數(shù)的二維平面折線圖（標(biāo)簽為"Incidents OverTime"） ，以及列出最近發(fā)現(xiàn)的包含敏感數(shù)據(jù)的日志條目的數(shù)據(jù)表（標(biāo)簽為"Recent Sensitive Data Findings"） 。儀表板布局清晰，整體展現(xiàn)出專業(yè)的外觀。

3 結(jié)束語

長慶鉆井總公司由于具有地域分布范圍廣、數(shù)據(jù)產(chǎn)生量大、來源分散、傳遞層級多的特點(diǎn)，對網(wǎng)絡(luò)安全和數(shù)據(jù)安全提出了更高的要求。為了滿足日益增長的安全需求，本文在采取常規(guī)安全措施的基礎(chǔ)上又探索了安全信息事件管理系統(tǒng)SIEM的設(shè)計(jì)與開發(fā)。實(shí)際效果表明，應(yīng)用SIEM系統(tǒng)可以更有效地提高網(wǎng)管人員的工作效率，幫助他們更快更早地發(fā)現(xiàn)并解決安全隱患，從而有力地保障了網(wǎng)絡(luò)和數(shù)據(jù)安全。