電力企業日志審計系統的建構及應用

潘榕 國網浙江松陽縣供電有限公司

電力企業是高技術密集產業，行業應用信息化技術特點，我國電網形成電壓高的大容量電網體系，電力通信網絡覆蓋全國地區，滲透到電力行業電力生產與管理中。信息化技術在電力企業廣泛應用，促進了業務快速發展，同時為電力企業帶來新的困擾。信息化帶來開放化導致非法訪問等技術入侵問題，內部人員操作不當導致信息泄露等信息安全問題。電力企業信息化建設信息設備硬件等不斷增多，如何實現電力企業信息系統日志審計，成為企業信息化管理面臨的首要問題。本文全面梳理企業網絡平臺基礎上，開展日志審計系統建設，加強公司管理力度，確保信息技術安全可控。

一、理論基礎與電力企業日志審計系統需求分析

安全審計領域研究始于90年代末，Anderson首先提出系統日志信息進行安全審計的思想，日志審計是安全防護的手段，由于網絡平臺建立，基于日志審計安全監控工作日益重要，建立安全管理措施，根據以往記錄尋找危險行為人員，通過追究非法行為制止用戶僥幸心理。

日志安全審計包括基礎網絡審計，各類數據庫審計，針對服務器審計，針對信息系統審計。為加強日志安全審計智能性，日志審計系統利用規則庫為基礎分析方法，決策支持智能分析應用[1]。UML具有使用方便，可視化等特點，利用UML可進行系統需求分析，進行軟件設計開發工作，包括用例圖，序列圖等。目前常用日志采集方式包括Telnet采集等，系統設計按照客戶要求采用SNMP Trap方式完成原始日志采集。

系統需求調研包括與用戶交談，匯總形成需求說明書。區分不同層次需求，區分需求優先級別，形成需求后通過走訪使用日志是審計系統情況，了解需求與原系統差異，對業務需求進行直接補充，將客戶需求匯總形成說明書，系統功能性需求包括被監控設備配置，審計規則配置，審計事件采集，日志功能管理等。系統非功能需求包括性能需求，系統安全與數據質量。

二、電力企業日志審計系統設計

安全日志審計管理系統包括服務層，業務層與數據層。數據層由數據庫組成，對原始數據操作層，數據層對日志審計系統產生配置信息等數據存儲，提供數據庫增刪修改等操作接口。業務層負責對業務分析處理，針對數據層審計信息數據篩分，提取可用應用邏輯層使用人工審計信息。

很多電力企業實現信息系統集中部署，在電力企業日志采集系統采集服務器各網絡設備等設備系統日志，進行分析歸并向用戶展示。系統包含審計日志采集，審計日志分析與展示系統。審計日志采集系統包括標準化功能模塊。日志審計管理系統收集有關系統發布日志消息。采集配置模塊實現提供友好界面，用戶可在操作界面配置采集方式，對Syslog方式參數配置。原始日志信息來源不同設備，收集日志信息不同，為便于數據存儲應用，需對收集到日志統一標準化。

審計日志分析子系統有日志篩選，規則管理與信息分析子功能。審計日志信息篩選是根據篩選策略提取審計信息，包括日志篩選條件，抽樣方式等信息。篩選策略可配置為周策略，篩選策略有生效日期[2]。日志分析模塊對篩選信息分析，依據審計規則，甄別異常行為，通知管理人員發布警告，操作內容包括權限管理，業務操作與涉密信息等。審計規則系統支持5W1H審計分析模型，新建不同審計規則從審計信息中分析異常行為，在審計預警中可使用，根據5W1H原則制定審計規則，審計規則制定由審計規則管理模塊實現，規制配置支持基于時間周期規則配置。

數據庫設計是以用戶需求為基礎，對系統需求數據庫結構設計，包括需求分析，驗證設計[3]。日志審計系統主要數據庫表包括IP包日志，Logs數據庫用于存放主機日志文件，對其網絡日志進行討論，不同日志文件記錄格式不同。IP數據包根據協議記錄相應日志文件中。從系統級安全方面進系統安全設計行。系統級安全包括訪問IP段限制，連接數限制等。提供完善安全機制，系統確保數據安全性，具有多層次數據備份機制，提供登錄訪問日志，系統記錄用戶操作進行追蹤調查，具有日志記錄功能，對日志進行查詢備份。

三、電力企業日志審計系統實現與評估

按照統一建模語言要去，對子系統，審計日志采集，審計日志分析重要功能進行靜態屬性設計。審計日志采集模塊提供良好操作界面，用戶通過模塊配置日志采集方式，日志采集模塊通過建立信道連接實現接收Syslog的日志數據包，包括系統采集到日志信息時間，日志消息來源主機名，原始日志內容。

用戶通過審計規則管理模塊制定審計規則，信息包括規則創建時間，審計周期，審計類別等。審計規則是在審計規則管理模塊手動添加。 用戶通過審計警告管理模塊看到告警日志，門口界面是告警日志列表，方便用戶篩選告警信息。審計報表模塊用以報表管理，包括報表預覽，報表自動生成等功能。User-info是抽象類，every_user_info實現user_info定義方法，Login-info定義實體類基本特征，用于表現層與服務層數據傳遞。

為使系統質量得到保證，對系統采用系統測試。系統測試為電力企業日志審計系統項目方案一部分，系統實施包括多方面工作。系統測試分為內部測試，用戶測試，驗收測試。內部測試由項目開發人員進行自測，開發人員進行模塊交叉測試。集成測試內容包括聯合測試組對模塊進行逐項確認測試，對應用系統全面測試等。系統運行前可由甲方項目組織用戶測試。應用系統經測試后形成文檔，驗證系統功能是否符合需求測試報告。為確保測試質量，采用壓力測試工具，編寫測試案例，提高測試效率，采用測試軟件管理測試環節，加強測試效果。系統測試是為投用前檢查發現錯誤，確保系統運行后圓滿遠程任務。

通過對系統功能單元測試，調整相應BUG，對影響功能BUG進行處理，功能手工測試通過修改，解決功能性錯誤，系統能正常使用。系統在測試環境下能滿足160個客戶端同時并發，內存量隨并發量遞增。經對測試結果分析，日志審計系統功能性錯誤修改完成，功能基本達到系統要求。通過測試系統解決系統存在問題后，系統實施是系統開發最后階段，按開發物理模型構建適應企業設計需要系統，審計系統實施經過系統環境安裝調試，編寫系統文檔，準備基礎數據與應用反饋階段。

結語：本文從理論實踐入手，分析日志審計系統發展，分析電力企業日志審計系統功能需求，以Syslog協議為基礎，開發日志審計系統，解決信息系統安全防護問題，解決企業網絡安全技術問題，為系統日志數據挖掘，遠程防護打好基礎。在日志信息系統設計中參與信息安全管理模式分析，根據企業對日志審計需求對日志審計系統功能需求分析，通過調研進行日志審計系統軟硬件選型，提出系統解決方案，完成系統功能模塊流程設計。