企業全網日志綜合管理系統設計

趙剛　王小飛　翟紅

摘 要：針對現有的企業日志管理系統存在的系統維護復雜、查詢效率較低、日志數據歸檔繁瑣等特點，引入分層模塊化設計思想，并結合當前企業日志管理系統的實際運作情況，提出并設計了企業全網日志管理等模塊，降低了企業日志維護管理成本，提高了企業日志綜合管理水平。研究表明，該系統具有良好的機密性、完整性和可用性。

關鍵詞：日志管理；網絡安全；集中管理；分層模塊化設計

中圖分類號：TN409 文獻標識碼：A 文章編號：2095-1302（2015）04-00-03

0 引 言

隨著信息化技術的快速發展，企業信息化程度逐步提高。為了提高企業各項事務的管理和運作效率，引入了企業管理信息系統[1]，比如辦公自動化系統和企業資源計劃系統等，各個系統在運行過程中都會產生大量的日志數據，這些數據詳細記錄了系統的各種事件，為企業系統地維護起到了不可替代的作用[2，3]。當前，很多企業的日志管理系統都采用分布式方式進行管理，分散的管理方式導致日志數據檢索效率較低、系統維護復雜、數據歸檔繁瑣等弊端[4，5]。隨著企業信息化程度提高，各個系統日志數據量急劇增大，如何對其進行高效地管理，成為企業亟待解決的問題[6]。

針對當前日志管理系統存在的問題，首先分析日志審計系統在目前網絡環境中的重要性以及它的作用，介紹了系統設計過程中采用的關鍵技術，并詳細闡述了系統框架設計思想，對系統中日志事件獲取模塊、資產管理模塊、規則庫模塊、統計圖表功能和權限管理模塊等五大模塊地設計作了詳細說明，其中包括每個模塊所需要完成的功能及其子模塊功能介紹。其次，設計了適于大型企業對日志信息進行合理管理的企業全網日志綜合管理系統，解決了傳統日志管理系統中存在的問題。系統采用分層模塊化設計思想，分解了各層面實現過程，通過網絡資產設備上報的日志，實時監視網絡各類操作行為及攻擊信息，實現對企業應用系統日志記錄的自動采集、分析、審計和響應，提升了企業日志管理的效率。

1 系統需求分析

根據對系統的分析可以明確，全網日志綜合管理系統主要由系統邊界、外網區域、業務區域及管理審計區域等四部分組成，其中系統邊界主要由邊界接口設備和邊界安全網關等設備組成，外網區域主要資產為支付應用服務器和相應支撐設備，業務區域主要資產為支付內網應用服務器和數據庫群組以及相應的支撐系統，管理審計區域主要資產為業務管理系統、業務管理終端等。

系統的設計目標是對上述四個區域的所有資產，根據等級保護規范的要求進行完全性審計。審計的內容包括資產事件的完全收集，如狀態事件、操作事件、故障事件和業務事件等，對事件的敏感級別、收集的資產事件進行數據統計分析審計。為了利用所有的安全設施以保障信息資產和業務服務的保密性、完整性和可用性，作為一個整體化的安全信息總控中心，該系統應具備集中化、智能化、實時化、可視化、流程化及規范化等特點。

2 全網日志綜合管理系統設計

2.1 系統架構設計

根據對全網日志綜合管理系統的設計需求進行分析，為解決其面臨的問題，采用分層模塊化設計思想，分解系統的各層面實現過程，并規范各層的基本作用及功能。本系統主要通過網絡資產設備上報的日志，實時監視網絡各類操作行為及攻擊信息。根據設置的規則，智能地判斷出各種風險行為，對違規行為進行報警等。系統架構共包括日志事件獲取模塊、資產管理模塊、規則庫模塊、統計圖表功能、權限管理模塊等五部分，全網日志綜合管理系統架構如圖1所示。

日志事件獲取模塊：安全事件監控系統是實時掌握全網安全威脅狀況的重要手段之一。通過事件監控模塊監控各個網絡設備、主機系統等日志信息，以及安全產品的安全事件報警信息等，及時發現正在發生以及已經發生的安全事件，通過響應模塊采取措施，保證網絡和業務系統的安全、可靠運行。

資產管理模塊：資產管理實現對網絡安全管理平臺所管轄的設備和系統對象的管理。它將其所轄IP設備資產信息按其重要程度分類登記入庫，并為其他安全管理模塊提供信息接口。

規則庫模塊：規則庫支持主流網絡設備、主機系統、數據庫系統等，而且還應涵蓋已經部署的安全系統，包括防火墻系統、防病毒系統等。并提供新日志格式適配功能，支持從安全運營中心平臺接受新日志解析映射規則配置。用戶可以根據該適配功能，對新日志格式進行自行適配。

統計圖表功能：具備強大的統計功能，可快速生成多種專業化的報表并支持自定義圖表的設定集展示。

權限管理模塊：超級管理員可根據用戶角色分配平臺查看、操作各模塊的權限，用戶可以訪問而且只能訪問自己被授權的資源。

2.2 安全設計要求及設計目標

客戶需要對各類信息資產進行安全審計，資產和審計要求特點：信息設備及資產種類重多；事件、日志協議繁雜；日志量較大；由于主備環境的存在，有一定地域分布。針對這些資產和審計要求特點，審計需求可分為網絡安全審計、主機安全審計和應用安全審計三個方面。

網絡安全審計主要針對的對象是各種網絡層信息設備，主要為交換機、防火墻、IDS等。其中日志信息記錄應對網絡系統中的網絡設備運行情況、網絡流量、用戶行為等進行日志記錄；審計記錄應包括事件的日期和事件、用戶、事件類型、事件是否成功及其它與審計相關的信息；網絡故障分析應對網絡系統故障進行分析，查找原因并形成故障知識庫；網絡對象操作審計應能夠根據記錄數據進行分析，并生成審計報表；日志權限和保護應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等；審計分析和報告應具備日志審計工具，對日志進行記錄、分析和報告。主機安全審計主要針對客戶的多臺Windows/Linux主機進行日志審計。其中審計記錄的內容至少包括事件的日期、時間、發起者信息、類型、描述和結果等；日志保護應保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄；系統信息分析應提供對審計記錄數據進行統計、查詢、分析及生成審計報表的功能；對象操作審計應提供覆蓋到每個用戶的安全審計功能，對應用系統重要安全事件進行審計。應用安全審計應確保應用數據的完整性，避免因管理缺位造成數據丟失，并且管理者可以全面了解應用的潛在風險，以及實際發生的情況，在可疑行為發生時可以自動啟動預先設置的告警流程，防范應用安全風險。

2.3 系統功能設計

根據安全等級保護規范要求，審計系統主要在網絡安全、主機安全、應用安全三個層次進行審計架構設計。按照審計目標的分解，得到等級保護規范事件邏輯審計模型。

在審計模型中，日志記錄及審查覆蓋的網絡安全層次采用了SNMP/SYSLOG方式，主機安全層次采用了SNMP/SYSLOG文件方式，而其應用安全層次則采用了SYSLOG/文件/流量方式。對于審計內容覆蓋、審計記錄格式要求、數據分析及報表、保護審計記錄、審計進程保護、審計存儲空間閾值控制、信息系統的時間同步以及統一策略集中審計，其對應的網絡安全、主機安全和應用安全三個層次分別為事件解析、標記解析，事件解析、標記解析、賬號解析，事件解析、標記解析，會話解析；按照標準實現，按照標準實現，按照標準實現；流量分析、連接分析、標記分析，權限分析、威脅分析、異常分析，威脅分析、異常分析、可用性分析；實時、冗余、加密，實時、冗余、加密，實時、冗余、加密；標準不涉及，審計進程運行于安全標記操作系統，標準不涉及；自動排程歸檔備份，標準不涉及，標準不涉及；采取NTP協議實現，標準不涉及，標準不涉及；標準不涉及，審計中心向策略中心請求策略，審計中心向策略中心請求策略。以上即為各分解后得到的等級保護規范事件邏輯審計模型詳述。

系統主要完成客戶對于安全審計中對于網絡安全審計和主機安全審計的要求，主要的審計目標是等級保護要求進行審計的網絡、主機及各層應用。根據邏輯審計架構模型和期望達到的效果，系統采用如下方案：

（1） 在企業每個終端節點部署1臺日志綜合審計系統的采集器，用以接收信息系統范圍內的路由器、交換機、防火墻、入侵檢測、Windows操作系統、Linux操作系統、防病毒軟件等的告警日志，同時將日志進行壓縮，加密傳輸到上級平臺。

（2） 企業上級平臺部署一臺終端日志綜合審計系統，接收終端節點采集器上報的原始日志數據；每個終端節點的管理員可以自己定制告警規則，并進行日志的儲存、檢索、報表生成。

（3） 系統另外部署2臺高端日志綜合審計系統，既可以做中心管控平臺使用，也可以獨立接收設備日志（接收網絡設備、操作系統、安全設備日志），實現分布式管理。

日志和事件的全面收集是等級保護審計系統的基礎功能和基礎要求，系統將采用以下日志采集方式：

網絡設備：路由器、交換機、負載均衡等，直接配置syslog主機地址，Web管理直接在后臺界面寫入日志綜合審計系統的IP地址。

安全設備：如天融信防火墻、啟明星辰IDS、綠盟NGFW、深信服VPN等設備，直接在后臺管理頁面填寫上日志綜合審計系統的IP地址，實現日志傳送。

支持Windows、Linux、Unix等操作系統的日志收集，微軟操作系統需要安裝客戶端軟件實現日志收集，同時支持第三方、安恒專用客戶端的收集方式，Unix系統可以通過自身的syslog或安恒客戶端進行收集。

系統采用Agent管理非主動的主機資產，做到了安全管理無死角，對網絡幾乎沒有影響，不存在業務風險，除了具有傳統日志管理系統的基本日志審計功能外，系統直接內置支持IIS、Apache、Tomcat等常見Web應用服務器的日志解析和分析，不需要增加功能模塊，降低了系統的總體擁有成本（TCO），擁有周期短、集成化程度高、后期升級便捷等優點。

綜合日志審計平臺本身由四個模塊組成：采集器、通訊服務器、關聯分析引擎和管理中心，一般采取分離的硬件、分開部署的形式；根據客戶具體的需求和網絡容量情況分析，采取了緊湊型部署方式，將四個功能模塊集成于一臺高配硬件設備中，大幅降低了接入成本，提高了資源利用率，減輕了維護負擔。

3 性能分析

日志綜合審計系統是軟硬一體的智能性綜合日志審計設備，與傳統的企業日志管理系統相比有如下優點：

（1）集中智能化。信息資產的擁有者對于全網日志綜合管理系統最基本的要求是能夠提供一個信息資產的集中性視圖，使他們可以全面了解信息系統的安全狀態，預測（事前）、應對（事中）和追蹤（事后）系統安全問題。完善的全網日志綜合管理系統，僅僅將安全數據收集存儲起來供用戶查詢是不夠的。安全管理平臺在本質上是商業智能系統，其核心引擎是具備一定人工智能的專家系統，通過對信息系統各種數據的自動分析，為信息資產擁有者提供保護信息安全的工具和途徑。

（2）實時可視化。全網日志綜合管理系統對于安全事件的分析處理速度，對安全威脅的檢測、防護、阻斷、恢復和追蹤都有重大影響。所以，完善的系統應尋求信息接收、分析、報告、響應循環的實時化。另外，為管理人員提供相應的工具和途徑，幫助他們在最短時間內了解最新的安全狀況并做出反應，這也是實時化的一部分。全網日志綜合管理系統作為管理類系統，能否以友好直觀的方式將復雜的系統內部數據展現出來，并提供方便的操作方式給管理人員，將直接決定客戶對產品地評價問題。

（3）流程規范化。對于安全投資的核心要求是保障業務和商務活動的安全持續，所以必定要求安全管理平臺與業務和商務活動有理解和融合能力。與業務融合的最主要方式就是與企業業務流程相結合，也就是安全管理流程化過程。規范化指綜合日志審計產品的開發、生產、部署、建設、管理、維護等活動對各種行業標準、行業指導的遵守性和符合性。

4 結 語

本文在研究傳統日志管理體系的基礎上，結合企業自身的應用管理系統，提出并設計了一個整體化的企業全網日志綜合管理系統，該系統具備日志管理集中性、保密性、完整性和可用性等特點，并提供了信息資產集中性視圖。通過結合對日志數據點的審計及取證分析，可幫助用戶全面了解信息系統的安全狀態，挖掘非法入侵者行為數據，分析系統遭受攻擊的痕跡，具有預測事前、應對事中和追蹤事后系統的安全問題等能力。研究表明，該系統具有一定的實用性和可行性。

參考文獻

[1] 楊鋒英，劉會超，于海平，等. 網絡日志管理分析系統構建技術研究[J]. 計算機與數字工程， 2014，42（3）： 465-470.

[2] 王子靖，錢純. 對日志統一管理的安全審計系統的實現[J].計算機應用與軟件， 2012，29（3）： 287-289，300.

[3] 胡偉. 企業日志集中管理系統的研究與設計[D].北京：北京郵電大學，2013.

[4] Yoshida， D.Realini， E.Reguzzoni. M，et al.Integrating low-cost RTK positioning services with a web-based track log management system[J].Applied Geomatics，2013，5（2）：99-108.

[5] 楊鋒英，劉會超. 面向多平臺的日志遠程采集系統研究[J].計算機技術與發展， 2014（7）： 149-152.

[6]齊劍雄，郭燕慧. 分布式日志采集系統數據傳輸分析研究[J].軟件，2012，33（10）：95-98.