樊建永

【摘要】通过对学校各类日志的管理实践，使用日志综合审计系统对学校各类设备的运行日志和系统访问日志进行采集并集中管理，分析检测各类设备与系统的运行状况，及时发现网络中的可疑行为和各种安全威胁，弥补现有各类技术和设备在威胁分析发现方面的不足，为安全事件的责任追查、故障定位提供有力的技术手段，确保业务不中断，保障信息安全。

【关键词】日志审计;信息安全;教育信息化

随着高校信息化程度不断提高，高校在教学、科研、管理、后勤服务等方面对信息系统的依赖程度越来越高，使得网络与信息安全的风险也随之增大，高校对已有信息系统进行了基本的安全防护，如在校园网边界部署防火墙、入侵检测系统、防攻击系统等，然而信息系统因缺乏日志的实时分析，使得信息系统依然面临着诸多的安全风险和隐患，比如由于操作系统、网络设备、应用程序出现故障、配置错误或被攻击而导致系统异常运行，业务中断，此外由于用户非授权访问、管理员误操作、黑客攻击等导致出现应用及数据风险。

日志作为系统运行和网络访问时产生的重要事件记录，对发现安全隐患和威胁发挥着重要的作用。通过日志分析可检测系统运行是否正常，及时发现网络中的可疑行为。但各类主机操作系统、网络设备、安全设备、以及业务应用系统的数量都在不断的增加，系统产生的日志数量越来越大，每日产生的日志量条目可能数以百万计，且各类系统、设备及应用产生的日志都分散存储在各自的系统中，日志格式也不统一，使得日志的检索、读取和管理非常不便，对于日志的生成也无法实时监控分析，及时预警和发现，因此信息化系统中急需一个能够统一存储管理和实时监控分析的综合日志管理审计系统。

1. 日志综合审计系统功能框架

日志综合审计系统提供全生命周期日志管理模型，集日志数据采集、日志数据处理、实时动态分析、智能关联分析、安全存储管理、可视化展示、综合审计报告功能于一体，帮助信息安全管理人员快速、有效地完成信息系统安全审计工作。

通过对各类设备和系统日志的实时采集、实时分析、异常报警、集中存储和事后分析，对各类设备及应用进行全面的日志审计，为安全事故的责任追查、故障定位提供有力的技术手段。日志综合审计功能框架如图1所示。

1.1 日志数据采集

日志综合审计系统通过采集学校信息系统中的各类系统安全告警事件、用户在网络上的访问行为、操作系统运行日志、应用系统运行状态等信息，对多种协议格式数据进行归一化处理后，使用过滤归并，剔除无用日志，合并同一条件日志，最终生成系统专用日志格式，以标准的数据形式进行集中存储和管理，并提供丰富的日志统计汇总及综合查询分析，实现对校内信息系统整体安全状况的全面审计。

日志综合审计系统在不改变原有业务及系统的情况下，使用多种采集方式实现信息系统中不同类型的日志数据的采集。主要的采集方式包括使用标准协议采集SYSLOG、SNMP_TRAP、OPSEC_LEA协议类日志信息;通过旁路侦听和网络抓包方式解析数据包，形成网络访问行为日志记录;对于已有的日志文件，通过FTP等方式上传至审计系统。

日志采集的对象主要包括以下几类：第一各类操作系统，如Windows、LINUX、AIX、HP-UX、UNIX;第二各类网络设备，如交换机、路由器、无线AP、无线控制器等;第三各类安全设备，如网络防火墙、Web防火墙、IDS/IPS、Ddos系统等;第四应用及中间件系统，如WEB容器、WebLogic、Nginx、Tomcat等;第五各类数据库，如Oracle、DB2、MSSQL、MySQL、MogoDB等;第六各类用户行为日志，如网页浏览、搜索记录、即时通讯、文件传输、邮件收发及网页提交等。

日志综合审计系统将各类日志数据采集并通过解析规则标准化处理，对多种协议格式进行统一，使用过滤归并，剔除无用日志，合并同一条件日志，最终形成系统专用日志格式，以文本方式存储在分布式文件系统中，以便快速查询和统计分析。

1.2 实时动态分析

日志综合审计系统根据已有的日志规则库，对采集到的日志数据进行实时动态分析，将网络异常访问、网络攻击、数据泄露及违规操作、应用程序或中间件进程异常、网络及安全设备故障等安全事件，从日志数据库中过滤提取出来，并通过邮件、短信、SYSLOG、SNMP等方式及时通知管理员。

日志综合审计系统同时开放了灵活的规则定义条件，信息安全管理人员可以根据自己的需要，通过审计系统个性化的定制符合自己实际应用环境的审计规则库，更细致地关注信息系统的安全事件，及时发现安全隐患。

日志综合审计系统支持多层业务系统的访问数据源解析，通过抓取前端Web访问数据流及后端数据库操作，基于访问时间、访问IP地址、端口号、访问关键字、会话标识等要素进行关联匹配，以过滤符合数据库操作请求的Web应用，将访问终端用户、访问应用、访问数据库关联起来，更精确地定位事件发生前后各业务层的访问及操作请求。

1.3 安全存储管理

日志综合审计系统应对硬件平台和操作系统进行优化，在确保底层安全的基础上保障其性能。还需要使用磁盘阵列存储架构和专用日志存储系统确保日志数据存储的安全。系统还需具有日志的防篡改、防删除设计，任何人都无法对原始日志数据进行修改和删除。日志综合审计系统可以对日志数据手备份和自动归档，对归档文件通过加密方式存储，以保证日志数据的完整性、安全性和可用性。

1.4 历史事件检索

日志综合审计系统支持基于内容关键字、系统类型、访问终端用户、访问时间、操作关键字、源IP地址、目标IP地址等条件组合查询，对事件进行快速精确定位。具有查询模板自定义功能，方便管理人員对特定事件使用模板检索，同时具有查询结果导出功能，方便用户保存和编辑。

1.5 综合审计报告

日志综合审计系统提供丰富的合规性报表功能，满足用户的日常审计需求。系统支持手动或者自动报表生成，不但支持用户自定义多条件组合，还支持自动生成月度、季度、年度综合报表，并具有导出功能，可以使安全管理人员从多角度对各类网络设备、服务器和应用系统进行安全审计。

2. 系统性能评价

2.1 强大的日志采集能力

完整全面的采集日志信息是日志审计的基础，日志综合审计系统基于对多种平台、常用协议及多类应用系统的深入分析，运用多种灵活的、安全的、可靠的采集手段，构建全网日志管理审计平台，包括操作系统日志、上网行为记录、数据库操作行为、网络设备及安全设备日志、应用系统日志，真正构建全面的、统一的日志综合审计平台。

2.2 安全可靠的保障能力

日志综合审计系统内置安全系统，可以设定严格的访问源，从而避免处理大部分无关的数据流量，进一步提高系统性能，保障系统本身的安全性;对内部的用户管理实施严格的细粒度的权限控制，并对用户的登录退出活动进行详细记录，以有效防止内部管理员的越权访问，避免日志数据修改和删除。系统内部存储使用具有冗余能力磁盘阵列，保障日志信息在设备内的安全存储需要。此外还应具有远程或异地的数据备份功能，防止审计系统本身出现误操作或系统故障导致数据丢失。

2.3 丰富的日志规则库

通过基于机器学习形成日志内容分析规则库，实时分析日志信息中反映出的各类问题和威胁，诸如设备故障、配置错误、系统安全警告、应用程序报错、违规违法信息传播、数据库敏感操作等信息，并能通过邮件或短信方式通知信息安全管理人员。

2.4 自定义组合查询

系统在接收日志信息采集阶段，根据日志类型进行分类、切词处理，并根据分词结果生词索引数据。用户在检索时，可以根据日志的类型，字段内容进行精细匹配，如日志的源IP地址、目标IP地址、日志生成时间、设备类型、协议类型等，从而实现日志的快速准确定位。系统还应具有高级查询功能，支持常用逻辑运算以及跨系统（不同的日志来源）的关联日志查询，管理员能够通过多条件组合，对日志进行精确定位匹配。

2.5 多种部署模式

系统在不改变和影响现有网络拓扑的前提下，支持全旁路方式进行审计，也无需在设备和主机上运行脚本和安装代理，不改变原有的访问方式。对系统进行维护、升级时不影响原有业务的正常运行。在日志流量比较大的情况下，可采用分布式部署，在中心平台进行各种管理规则，各种配置策略自动分发，支持远程自动升级，提高系统扩展和可管理性。

2.6 良好的扩展性设计

系统可扩展及伸缩性能力表现在以下几个方面：第一数据采集时，通过增加数据采集探针来分担日志采集压力;第二日志采集及实时分析时可进行分布式运算，即当系统日志量超出了系统处理能力时，可将实时分析系统模块从分离出来，进行多负载部署，支撑更高并发日志量的审计分析。第三当用户缓存日志的保留天数及数量大幅度提高，造成审计人员进行日志检索及报表生成过程中的速度降低时，系统可对多台缓存日志存储及检索模块进行分布式部署。第四对外开放多种系统接口，方便与第三方平台对接和集成。

2.7 丰富的合规性报表

系统审计报表均根据各行业审计需求、国家法律法规相关要求进行专门设计，包括对特定上网行为进行日志记录并通过报表系统对异常行为进行集中审计。对数据库操作、主机操作进行审计，设计开发了大量法律法规和等级保护审计需求的报表。同时还提供特定操作统计报表、用户访问日志报表、关键操作明细报表等。

3. 结束语

通过在高校数据管理中心部署日志综合审计系统，实现对校内日志信息的统一管理、监控各类系统的运行状况，协助高校安全管理人员全面获悉信息系统整体安全情况，实现对信息系统安全事件的关联分析、评估、调查及安全事件的准确跟踪定位，预防敏感信息泄露，为信息系统整体安全策略的制定提供权威可靠的依据，为安全事故的责任追查、故障定位提供有力的技术手段，显著提高高校信息系统的安全性、可靠性和运行效率，实现全生命周期的日志管理。

参考文献：

[1] 朱宏.安全日志统一收集平台的数据架构设计与实现[J].计算机安全，2010（10）.

[2] 陈玮.网络信息安全审计系统关键技术研究[J].计算机与现代化，2009（3）.

[3]洪杰，耿德成，於晓晖，詹磊.网络日志审计系统在电力信息安全中的运用[J].信息网络安全，2010（7）.

[4] 郝漩.基于Apache Flume的分布式日志收集系統设计与实现[J]. 软件导刊，2014（7）.