宁召宇

摘要：目前民航网络系统中大多数网络设备都需要采用日志的方式对设备自身行为，包含一系列的网络事件进行记录，系统管理员可以借助日志审计系统记录的这些数据实现对信息系统高效、快捷的维护。日志审计系统可有效解决民航信息数据盗取、旅客隐私数据被侵犯等问题，能够很大程度的降低民航生产网络信息泄露的风险。

Abstract： At present， most network devices in civil aviation network systems need to use logs to record the device's own behavior， including a series of network events to record. System administrators can use the data recorded by the log audit system to achieve efficient and fast maintenance of information systems. The log audit system can effectively solve the problems of theft of civil aviation information data and violations of passenger privacy data， and can greatly reduce the risk of information leakage in civil aviation production networks.

关键词：日志审计系统;系统维护;信息泄露

Key words： log audit system;system maintenance;information leakage

中图分类号：V260.5                                      文献标识码：A                                  文章编号：1006-4311（2020）06-0282-02

0  引言

系统管理员可以通过对信息系统运行过程中产生的相关日志分析来检验信息系统安全机制的有效性，这就是安全日志审计。日志产生、收集、审计分析以及存储的全过程是日志的分析和管理。系统管理员能够通过日志审计系统及时的监管网络设备及信息系统的运行状况。日志审计系统能够帮助系统运维人员及时发现民航信息系统来自非法软硬及系统的入侵及攻击，并且对系统运维人员自身的违法、违规操控及信息的泄露会留下相关的操作记录，为事后运维人员对信息系统问题的分析和公安机关的调查取证提供了相关的信息[1]。

国家也发布了相关的法律法规文件，要求企业生产网络要有必要的日志审计设备，如：GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》对于二级以上信息系统，在网络安全、网络设备、服务器主機安全和终端主机安全等相关需求中明确要求了信息系统必须进行安全审计[3]。日志审计系统恰好是符合这些需求的最基础的方法。

1  民航网络系统日志管理困难重重

现在网络运维人员从事日志审计这一项工作面临重重问题，主要表现为以下几个问题：①日志分散。②日志格式不统一。③日志量巨大。

1.1 日志分散

民航网络中的信息系统和服务器主机、终端主机以及各种网络设备在生产运行过程中都会产生大量的日志信息。这些软硬件设备产生的日志信息分别存放在各自的硬盘上，可以通过控制台对每个设备的日志信息进行查看和审计，传统的日志审计模式给系统运维人员增加了很大的工作量，由于设备的种类和数量较多，查看并分析这些设备的日志信息对系统运维人员来说就是噩梦，系统运维人员和日志审计员根本没有精力和时间去查看这么多控制台，因此日志审计效率低下，对日志信息的分析结果并不准确[2]。

1.2 日志格式不统一

由于设备类型及型号不统一因此服务器主机或者网络安全设备产生的日志格式都不一样，日志类型及编码方式都不一样。即使是表达同样一个操作的日志记录日志呈现给用户的编码类型都是各不相同的。例如同样是设备关机、启动、死机产生的相关的日志信息，联想服务器主机和戴尔服务器主机、防火墙中的描述方式也各不相同。因此传统的审计方法给系统运维人员增加了很大的工作量。同时也加大了运维人员的维护对系统的维护难度。

1.3 日志量巨大

由于绝大多数的服务器主机设备和网络安全设备都是全年不间断运行，这些设备产生的日志信息是非常庞大的。例如大型的服务器主机每小时就能够产生成千上万条日志记录，所以企业全网的网络安全设备当日产生的日志量是非常庞大的，日志量基本都是以百GB的量存储。系统运维人员及审计员去查看和审计这些日志的工作量是非常大的。由于每天产生的日质量庞大把这些日志安全的存储也是一个技术难题。

系统运维人员需要日志审计，更需要应对所面临的挑战。审计员和系统运维人员要从处理流程、组织策略以及技术体系等几个方面进行分析，系统运维人员应当利用日志审计系统来为企业的信息系统的维护和审计等工作提供技术方面的支持。同时，日志审计系统还要能够完成对生产网络中运行的各种网络设备产生的海量日志实行汇集，同时还要对不同的设备日志格式进行合并、规范化、集中化的描述，实现对日志信息的存储、分析及展示[3]。

2  网御日志管理系统在网络部署及优势

2.1 民航网络日志审计设备的部署

在内网安全管理区旁路方式部署日志审计设备，通过SNMP Trap、Syslog、ODBC＼JDBC、文件＼文件夹、WMI、FTP、SFTP、NetBIOS、OPSEC等多种方式完成日志收集，利用主动和被动两种方式，支持扩展分布式存储（可根据日志规模大小进行分布式存储）、备份、索引、全文检索等并给用户提供导出报告、报表的功能。系统运维人员可通过这些报告分析出生产网络设备的整体安全运行态势，可以对网络中的各种信息设备产生的日志进行管理[4]。网御产品部署拓扑图如图1所示。

2.2 网御日志审计设备在民航网络的优势

2.2.1 集中化日志系统的审计

网御日志系统为用户提出完善的日志审计功能，为不同层级运维人员和用户呈现出多层次、多视角的审计权限。网御日志审计系统首界面给用户呈现出一个全面的信息系统展示仪表板，信息系统运维技术员可以在一个显示大屏中看到整个企业生成网络中的所有设备类型，能够实时监测到日志的统计图表并能够导出日志记录的详细信息表以及信息系统的警告、待处理的日志信息等。运维人员还能够自定义仪表板，根据自身的需求、习惯来布局儀表板显示的内容，能够给不同权限的角色账户确定不同维度的仪表板。

日志审计系统给用户提供了实时的审计图表，运维人员能够依据系统不间断的实时监测网络设备的运行状态及运行策略，可以从多维度观测日志来确定网络设备安全事件的走向，还能够通过日志信息对信息事件的调查及记录信息的提取提供依据。系统运维人员通过日志审计平台能够不间断的监视信息系统的服务器主机、防火墙设备、网关设备以及信息系统的终端主机等网络设备产生的高危安全事件;还能够实时检测到各部门、安全域、每个业务系统的重要的安全事件。同时系统管理员也可以实时监运维人员以及终端用户违规登录、推出、配置等操作行为。日志审计系统可以对非常重要数据库服务器主机及终端主机入侵攻击事件都可以起到检测及预警的功能。

系统提供了统计视图，审计员可以根据内置或者自定义的统计策略，从日志的多个维度实时进行安全事件统计分析，并以柱图、饼图、堆积图等形式进行可视化的展示[5]。审计员可以查看一段时间内的主机流量排行、主机登录失败次数排行、活跃病毒排行、网络设备故障排行、最多访问用户排行，等等。

系统提供了日志查询功能，用户可以制定查询策略，针对归一化后的日志或者原始日志进行综合条件查询和模糊查询。系统提供了规则关联、统计关联等分析方法，通过建立科学的分析模型，协助用户对日志的分析深度与安全事件的识别准确度得到进一步的提升。

2.2.2 支持多种采集协议

为了最大程度地采集各种厂商、各种类型的日志信息，系统没有强求审计数据源必须具备什么日志协议，而是支持通过多种协议方式采集日志。这些协议包括并不限于：Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等等。

2.2.3 对用户网络和业务影响最小

LEADSEC-RS在实现对用户网络中的IT设施进行集中日志审计的同时，采取多种技术手段，力求对用户网络和业务的影响最小化。如表1所示。

2.2.4 完善的系统自身安全性保证

具备完善的自身安全性设计，保证系统自身的安全等级符合用户的整体安全策略[6]。系统的自身安全性保证主要体现在三个方面，如表2所示。

2.2.5 无缝向安全管理平台扩展

日志审计系统主要功能是收集异构的安全日志，进行存储、分析、告警和报告。作为长期发展规划，实现安全管理平台是最终目标。

安全管理平台不仅包括安全日志（事件）管理，还包括资产管理、业务管理、设备应用性能管理、安全风险管理、安全运维管理（工单流程、知识库）和安全态势感知等。LEADSEC-RS安全管理平台采用与LEADSEC-RS完全相同的技术框架，因此，安全管理平台建设可以在现有日志审计系统基础架构上，通过热插拔的方式实现安全管理的其他功能模块，实现向安全管理平台的无缝扩展。

3  结束语

针对民航网络系统的特点，网御日志审计系统能够为运维人员提供基于分组管理的功能，运维人员在控制台能够可清楚看到民航网络的组织结构，系统管理员可按组进行统一的策略配置。民航网络系统安装调试联想网御内网安全管理系统后，可以规范到内网用户的网络行为，提高民航内网的安全性，降低管理员维护难度，为推动民航信息化向纵深发展创造了有利条件。

参考文献：

[1]国投瑞银基金借助网御神州日志审计系统强化内控[J].信息安全与通信保密，2009（06）：42-43.

[2].医院内网如何保障安全——联想网御内网安全管理系统在医疗行业的应用[J].信息安全与通信保密，2008（10）：36.

[3]樊建永.日志综合审计系统在高校中的应用研究[J].卫星电视与宽带多媒体，2019（12）：35-37.

[4]汪琳.基于电子日志分析的信息化审计模式研究[J].金融科技时代，2018（12）：43-46.

[5]张玉晖.宁夏高速公路联网系统网络安全防护的实现策略与基本技术要求[J].中国设备工程，2018（22）：210-211.

[6]樊建永.日志综合审计系统在高校中的应用研究[J].卫星电视与宽带多媒体，2019（12）：35-37.