企业全网日志综合管理系统设计

关键词：日志管理；网络安全；集中管理；分层模块化设计

引 言

随着信息化技术的快速发展，企业信息化程度逐步提高。为了提高企业各项事务的管理和运作效率，引入了企业管理信息系统 [1]，比如办公自动化系统和企业资源计划系统等，各个系统在运行过程中都会产生大量的日志数据，这些数据详细记录了系统的各种事件，为企业系统地维护起到了不可替代的作用[2,3]。当前，很多企业的日志管理系统都采用分布式方式进行管理，分散的管理方式导致日志数据检索效率较低、系统维护复杂、数据归档繁琐等弊端[4,5]。随着企业信息化程度提高，各个系统日志数据量急剧增大，如何对其进行高效地管理，成为企业亟待解决的问题 [6]。

针对当前日志管理系统存在的问题，首先分析日志审计系统在目前网络环境中的重要性以及它的作用，介绍了系统设计过程中采用的关键技术，并详细阐述了系统框架设计思想，对系统中日志事件获取模块、资产管理模块、规则库模块、统计图表功能和权限管理模块等五大模块地设计作了详细说明， 其中包括每个模块所需要完成的功能及其子模块功能介绍。其次，设计了适于大型企业对日志信息进行合理管理的企业全网日志综合管理系统，解决了传统日志管理系统中存在的问题。系统采用分层模块化设计思想，分解了各层面实现过程， 通过网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息，实现对企业应用系统日志记录的自动采集、分析、审计和响应，提升了企业日志管理的效率。

1 系统需求分析

根据对系统的分析可以明确，全网日志综合管理系统主要由系统边界、外网区域、业务区域及管理审计区域等四部分组成，其中系统边界主要由边界接口设备和边界安全网关等设备组成，外网区域主要资产为支付应用服务器和相应支撑设备，业务区域主要资产为支付内网应用服务器和数据库群组以及相应的支撑系统，管理审计区域主要资产为业务管理系统、业务管理终端等。

系统的设计目标是对上述四个区域的所有资产，根据等级保护规范的要求进行完全性审计。审计的内容包括资产事件的完全收集，如状态事件、操作事件、故障事件和业务事件等，对事件的敏感级别、收集的资产事件进行数据统计分析审计。为了利用所有的安全设施以保障信息资产和业务服务的保密性、完整性和可用性，作为一个整体化的安全信息总控中心，该系统应具备集中化、智能化、实时化、可视化、流程化及规范化等特点。

2 全网日志综合管理系统设计

2.1 系统架构设计

根据对全网日志综合管理系统的设计需求进行分析，为解决其面临的问题，采用分层模块化设计思想，分解系统的各层面实现过程，并规范各层的基本作用及功能。本系统主要通过网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能地判断出各种风险行为， 对违规行为进行报警等。系统架构共包括日志事件获取模块、资产管理模块、规则库模块、统计图表功能、权限管理模块等五部分，全网日志综合管理系统架构如图 1 所示。

日志事件获取模块 ：安全事件监控系统是实时掌握全网安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息，以及安全产品的安全事件报警信息等，及时发现正在发生以及已经发生的安全事件，通过响应模块采取措施，保证网络和业务系统的安全、可靠运行。

资产管理模块 ：资产管理实现对网络安全管理平台所管辖的设备和系统对象的管理。它将其所辖 IP 设备资产信息按其重要程度分类登记入库，并为其他安全管理模块提供信息接口。

规则库模块 ：规则库支持主流网络设备、主机系统、数据库系统等，而且还应涵盖已经部署的安全系统，包括防火墙系统、防病毒系统等。并提供新日志格式适配功能，支持从安全运营中心平台接受新日志解析映射规则配置。用户可以根据该适配功能，对新日志格式进行自行适配。

统计图表功能 ：具备强大的统计功能，可快速生成多种专业化的报表并支持自定义图表的设定集展示。

权限管理模块 ：超级管理员可根据用户角色分配平台查看、操作各模块的权限，用户可以访问而且只能访问自己被授权的资源。

2.2 安全设计要求及设计目标

客户需要对各类信息资产进行安全审计，资产和审计要求特点 ：信息设备及资产种类重多 ；事件、日志协议繁杂 ；日志量较大 ；由于主备环境的存在，有一定地域分布。针对这些资产和审计要求特点，审计需求可分为网络安全审计、主机安全审计和应用安全审计三个方面。

网络安全审计主要针对的对象是各种网络层信息设备， 主要为交换机、防火墙、IDS 等。其中日志信息记录应对网络系统中的网络设备运行情况、网络流量、用户行为等进行日志记录 ；审计记录应包括事件的日期和事件、用户、事件类型、事件是否成功及其它与审计相关的信息 ；网络故障分析应对网络系统故障进行分析，查找原因并形成故障知识库 ；网络对象操作审计应能够根据记录数据进行分析，并生成审计报表； 日志权限和保护应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等 ；审计分析和报告应具备日志审计工具， 对日志进行记录、分析和报告。主机安全审计主要针对客户的多台Windows/Linux 主机进行日志审计。其中审计记录的内容至少包括事件的日期、时间、发起者信息、类型、描述和结果等； 日志保护应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录 ；系统信息分析应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能 ；对象操作审计应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。应用安全审计应确保应用数据的完整性，避免因管理缺位造成数据丢失，并且管理者可以全面了解应用的潜在风险，以及实际发生的情况，在可疑行为发生时可以自动启动预先设置的告警流程，防范应用安全风险。

2.3 系统功能设计

根据安全等级保护规范要求，审计系统主要在网络安全、主机安全、应用安全三个层次进行审计架构设计。按照审计目标的分解，得到等级保护规范事件逻辑审计模型。

在审计模型中，日志记录及审查覆盖的网络安全层次采用了SNMP/SYSLOG 方式，主机安全层次采用了SNMP/ SYSLOG 文件方式，而其应用安全层次则采用了SYSLOG/ 文件/ 流量方式。对于审计内容覆盖、审计记录格式要求、数据分析及报表、保护审计记录、审计进程保护、审计存储空间阈值控制、信息系统的时间同步以及统一策略集中审计，其对应的网络安全、主机安全和应用安全三个层次分别为事件解析、标记解析，事件解析、标记解析、账号解析，事件解析、标记解析，会话解析；按照标准实现，按照标准实现，按照标准实现 ；流量分析、连接分析、标记分析，权限分析、威胁分析、异常分析，威胁分析、异常分析、可用性分析；实时、冗余、加密，实时、冗余、加密，实时、冗余、加密 ；标准不涉及，审计进程运行于安全标记操作系统，标准不涉及 ；自动排程归档备份，标准不涉及，标准不涉及；采取 NTP 协议实现， 标准不涉及，标准不涉及 ；标准不涉及，审计中心向策略中心请求策略，审计中心向策略中心请求策略。以上即为各分解后得到的等级保护规范事件逻辑审计模型详述。

系统主要完成客户对于安全审计中对于网络安全审计和主机安全审计的要求，主要的审计目标是等级保护要求进行审计的网络、主机及各层应用。根据逻辑审计架构模型和期望达到的效果，系统采用如下方案：

(1) 在企业每个终端节点部署1台日志综合审计系统的采集器，用以接收信息系统范围内的路由器、交换机、防火墙、入侵检测、Windows操作系统、Linux操作系统、防病毒软件等的告警日志，同时将日志进行压缩，加密传输到上级平台。

(2) 企业上级平台部署一台终端日志综合审计系统，接收终端节点采集器上报的原始日志数据 ；每个终端节点的管理员可以自己定制告警规则，并进行日志的储存、检索、报表生成。

(3) 系统另外部署 2台高端日志综合审计系统，既可以做中心管控平台使用，也可以独立接收设备日志（接收网络设备、操作系统、安全设备日志），实现分布式管理。

日志和事件的全面收集是等级保护审计系统的基础功能和基础要求，系统将采用以下日志采集方式：

网络设备 ：路由器、交换机、负载均衡等，直接配置syslog主机地址，Web管理直接在后台界面写入日志综合审计系统的IP 地址。

安全设备：如天融信防火墙、启明星辰 IDS、绿盟NGFW、深信服 VPN 等设备，直接在后台管理页面填写上日志综合审计系统的IP 地址，实现日志传送。

支持Windows、Linux、Unix 等操作系统的日志收集， 微软操作系统需要安装客户端软件实现日志收集，同时支持第三方、安恒专用客户端的收集方式，Unix 系统可以通过自身的syslog 或安恒客户端进行收集。

系统采用Agent 管理非主动的主机资产，做到了安全管理无死角，对网络几乎没有影响，不存在业务风险，除了具有传统日志管理系统的基本日志审计功能外，系统直接内置支持IIS、Apache、Tomcat 等常见Web 应用服务器的日志解析和分析，不需要增加功能模块，降低了系统的总体拥有成本（TCO），拥有周期短、集成化程度高、后期升级便捷等优点。系统主要的功能集合图如图 2 所示。

综合日志审计平台本身由四个模块组成 ：采集器、通讯服务器、关联分析引擎和管理中心，一般采取分离的硬件、分开部署的形式 ；根据客户具体的需求和网络容量情况分析， 采取了紧凑型部署方式，将四个功能模块集成于一台高配硬件设备中，大幅降低了接入成本，提高了资源利用率，减轻了维护负担。

3 性能分析

日志综合审计系统是软硬一体的智能性综合日志审计设备，与传统的企业日志管理系统相比有如下优点：

(1) 集中智能化。信息资产的拥有者对于全网日志综合管理系统最基本的要求是能够提供一个信息资产的集中性视图，使他们可以全面了解信息系统的安全状态，预测（事前）、应对（事中）和追踪（事后）系统安全问题。完善的全网日志综合管理系统，仅仅将安全数据收集存储起来供用户查询是不够的。安全管理平台在本质上是商业智能系统，其核心引擎是具备一定人工智能的专家系统，通过对信息系统各种数据的自动分析，为信息资产拥有者提供保护信息安全的工具和途径。

(2) 实时可视化。全网日志综合管理系统对于安全事件的分析处理速度，对安全威胁的检测、防护、阻断、恢复和追踪都有重大影响。所以，完善的系统应寻求信息接收、分析、报告、响应循环的实时化。另外，为管理人员提供相应的工具和途径，帮助他们在最短时间内了解最新的安全状况并做出反应，这也是实时化的一部分。全网日志综合管理系统作为管理类系统，能否以友好直观的方式将复杂的系统内部数据展现出来，并提供方便的操作方式给管理人员，将直接决定客户对产品地评价问题。

(3) 流程规范化。对于安全投资的核心要求是保障业务和商务活动的安全持续，所以必定要求安全管理平台与业务和商务活动有理解和融合能力。与业务融合的最主要方式就是与企业业务流程相结合，也就是安全管理流程化过程。规范化指综合日志审计产品的开发、生产、部署、建设、管理、维护等活动对各种行业标准、行业指导的遵守性和符合性。

结 语

本文在研究传统日志管理体系的基础上，结合企业自身的应用管理系统，提出并设计了一个整体化的企业全网日志综合管理系统，该系统具备日志管理集中性、保密性、完整性和可用性等特点，并提供了信息资产集中性视图。通过结合对日志数据点的审计及取证分析，可帮助用户全面了解信息系统的安全状态，挖掘非法入侵者行为数据，分析系统遭受攻击的痕迹，具有预测事前、应对事中和追踪事后系统的安全问题等能力。研究表明，该系统具有一定的实用性和可行性。