李镇京

摘要：随着网络信息安全技术的发展应用，安全运维已成为各级政府部门运维管理人员保障业务系统稳定运行的重要支撑，日志信息成为日常运维管理工作重要数据分析来源。本文以省级政府部门日常IT运维管理为例，总结分析了日常运维主要内容、运维过程中日志信息的应用，分析了日志信息存在的安全问题，提出了日志信息助力安全运维工作的思路和方法，希望对各单位、部门IT运维工作有所帮助。

关键词：日志信息;安全运维;日志分析

中图分类号：G642        文献标识码：A

文章编号：1009-3044（2020）28-0258-03

1 背景

近年来随着信息化技术的迅猛发展，各级政府部门根据国家“互联网+政务”工作的推进和部署，陆续建成一批信息系统，这些信息系统的运行为社会公共提供了信息便利，为政府部门提供了数据支撑。面对这些信息系统及承载他们运行的IT基础设施，运维管理人员的运维工作也越来越繁重，安全运维问题、日志信息安全问题日益严峻。社会上相继出现重要企业内部信息泄露，安全攻击事件时有发生，且在发生攻击前、攻击时，存在着日志信息记录不全、攻击日志保留时间过短等问题，给安全运维人员事前预警、事中监管、事后排查分析带来了困扰。

政府部门IT运维中心在基础设施及信息系统运行时，网络基础设施、系统应用服务均产生了日志信息，且日志信息中包含着大量用户的登录、操作记录等各种行为数据，数据量也越来越大以海量计，网络中的日志种类也越来越多。在网络时代谁掌握了数据谁就掌握了主动权，网络信息安全中的日志信息除了能够借助于进行安全运维之外，还可用于抵对信息网络攻击及预警分析。

2 日志信息的分类

本文以省级政府部门中心机房安全运维管理为例，日常安全运维管理过程常见的日志包括：服务器日志、业务系统日志、网络设备日志、数据库中间件日志和数据存储备份日志五大类：

1）服务器日志。主要包括：管理账号登录日志、审计日志，详细信息有管理员账号、登录IP、登录成功失败次数;应用程序日志、安全日志、设置日志、系统日志。

2）业务系统日志。主要包括：业务软件系统管理员账号日志、普通用户日志（包含：操作日志、访问日志、登录日志）、系统性能监控日志、系统运行异常日志等。

3）网络设备日志。主要包括：边界安全设备，抗DDOS设备日志、负责均衡设备日志、防火墙设备日志、入侵防御设备日志、防病毒设备日志、WAF设备日志，及旁路设备漏洞扫描设备日志、上网行为审计日志等安全设备的系统管理账户日志、流量数据日志、攻击防御日志。

4）数据库中间件日志。主要包括：Windows服务器环境下的IIS日志、Weblogic日志、Linux服务器下的Tomcat日志以及常见的Oracle、SQL数据库日志信息。

5）存储备份日志。主要包括：备份数据原设备名称、数据备份路径、备份数据类型、备份周期、备份大小等。

3 安全运维管理中日志安全问题

3.1 安全运维主要内容

1）服务器运维。该项运维是省级政府部门运维人员经常使用的一种运维方式，因业务系统使用过程中需要对业务系统功能、服务器性能、服务器磁盘空间等服务器环境进行日志巡查或程序更新、调优;服务器运维一般通过统一设置的堡垒机进行远程访问，运维人员通过堡垒机申请业务系统对应服务器的运维权限，进行服务器运维， 堡垒机全程记录用户操作记录，并进行视频录像保存。

2）业务系统运维。随着信息化应用的快速发展以及国家“互联网+政务”的推进，政务信息化得到很好的发展和应用。据不完全统计，省厅级单位业务应用系统在平均20个之多，大量业务应用的系统建成、使用、推广和维护过程中需要持续对业务系统维护，后台优化调整系统参数，开通修改用户账号、权限等系统运维工作。业务系统运维中涉及账号管理、参数配置等方面內容的一般通过系统后台管理员账号直接登录进行业务系统后台进行运维，比较安全的做法是通过各单位建设的统一用户管理支撑平台进行登录维护。系统管理员登录业务系统后台运维时会产生登录日志，包括用户账号、登录IP、登录时间、退出时间、操作类型（增加、删除、修改、查阅、统计）等主要操作内容。

3）网络设备运维。网络设备运维包括路由交换设备和防火墙、IPS、防病毒等安全设备的运维，其中网络路由设备的运维主要指核心交换机VLAN配置、端口配置、路由配置;防火墙等安全设备的运维主要指安全策略、安全路由、访问控制、日志审计、病毒库、特征库优化更新等;网络设备运维一般通过设备管理IP地址直接登录进行操作，比较安全的做法是网络、安全设备管理登录全部通过堡垒机进行安全管控。

4）数据库中间件运维。数据中间件运维与业务系统运维相辅相成是保障业务系统安全稳定运行的基础，数据库日志包括：查询日志、慢查询日志、错误日志、二进制日志、中继日志、事务日志;中间件是业务系统服务的运行的容器，日志信息包括基本的运行日志、错误日志以及业务系统配置的账号登录日志、用户访问日志等重要日志信息。

5）存储备份运维。此次把存储备份设备运维单独提出，是综合考虑该对于省级政府部门数据中心、IT机房运维中心，数据存储备份的重要性。随着大数据技术的成熟及广泛使用，数据存储备份设备的运维管理也日益提上日程。存储备份运维主要包括：存储设备运行情况监控（包括备份介质、备份设备的日志）、备份软件运行日志（包含备份日志、恢复日志、复制日志、迁移日志）、容灾设备运行情况、容灾镜像软件恢复演练日志情况;其中备份日志是最重要包括：策略名称、备份级别（全量、增量）、介质池、开始时间、运行时间、速度、文件数量、数据数量、存储类型、运行状态等主要日志内容。

3.2 日志安全问题

通过综合分析省级政府部门日常运维管理中的经常使用、接触的服务器、业务系统、网络设备、数据库中间件和存储备份等5种主要安全运维服务及日志类型、内容，我们可以看出，省级政府部门运维管理人员在日常运维过程中会与接触、使用各种日志，通过作者这么多年的经验，发现日志管理方面还有许多问题需要加强和加固，主要存在的问题描述如下：

3.2.1 日志内容记录不完整

详细的日志内容记录是确保后续业务系统运行情况排查、网络安全攻击排查、网络故障排查、数据存储备份分析所必须的条件。日常运维过程中经常存在一些日志记录内容保存不完整情况：

1）安全审计日志没有开启。据不完全统计，Windows服务器中有90%服务器是在开始使用时是默认配置，没有启用安全审计策略，服务器运行日志没有记录账号登录、访问成功、失败的日志记录，一旦出现网络攻击或者服务器被植入恶意软件、远程控制，运维人员无法通过日志分析判断服务器被攻击的行为和痕迹。

2）业务系统账号日志记录不完整。业务应用系统的安全性受限于软件开发工程师的安全意识、软件代码编写规范、安全知识储备以及软件项目工期限制，業务系统账号登录、访问、操作（含增加、删除、修改、查询）等日志记录存在只记录访问日志，记录用户登录IP地址，但是没有记录IP对应的端口号，存在部分业务系统重要页面没有记录用户操作行为或者只同一个页面只记录最后一条操作日志等情况。当业务系统出现安全问题，进行日志反查，寻找操作痕迹时，运维人员就无法找到完整的日志记录。

3）网络安全设备日志记录不完整。网络安全设备日志是运维人员了解掌握本部门本单位网络信息安全的第一线索，是发现安全攻击的首要来源，网络安全设备的日志记录基本具有比较完整的内容。但作者也发现，存在由于设备的系统时间不对造成日志信息无法正确使用、只记录安全日志未记录审计日志等问题。

3.2.2 日志存储时间太短

随着2016年网络安全法的实施，所有安全设备、业务系统运行日志保存时间都要求不少于60天。以省级政府部门IT运维中心一台负载均衡设备为例，在一台设置了内外网IP地址和服务映射的负责均衡设备上，存在着100条服务器映射关系，每条映射平均每天用户访问量到3000人次，数据记录到3万条，60天的数据记录达到180万条，一般网络安全设备考虑设备运行高性能，保留的数据量都非常有限一般为1周的时间。

3.2.3 日志查阅不方便

以一个约200平方米政府部门中心机房为例，其中网络安全设备约80台，服务器设备160台，日常运维人员每天需要登录不同设备巡检分析不同安全日志，给日常工作带来诸多不便，且工作效率非常低。

3.2.4 日志信息可被修改

网络安全设备运行的日志可能会被修改，网络安全是对外服务的第一道门，一旦被攻破之后，攻击人员可能会进行了入侵操作，然后从安全设备上清除运行日志，已达到销毁痕迹的目的，给后续运维人员进行攻击行为排查和日志分析带来非常严重隐患。

4 日志信息助力安全运维的思路与方法

经过以上情况的分析，在省级政府部门日常运维过程中如何提升日志信息的记录、存储等保障能力，从而进一步提升日志信息应用于日常运维管理中，成为非常必要的技术手段，也是提高省级政府部门抵御网络攻击、提升抗风险能力的一种重要举措。作者提出了在运维管理过程中心几种优化和提升日志信息安全服务的能力：

4.1 建立健全日常管理机制

建立健全日常安全运维管理机制是确保日常安全运维高效、规范的制度保障。需要制定科学规范的日志管理和安全运维方面的制度，如建立《IT资产管理办法》《中心机房日志存储备份管理办法》《业务系统安全开发规范-系统后台日志》《中心机房IT运维工作规程》和《数据备份管理办法》等一系列的管理制度。

4.2 建立统一的日志收集系统

统一的日志收集系统应该能够支持多线程，可以通过许多协议进行传输UDP，TCP，SSL，支持直接将日志写入到数据库，支持加密协议：ssl，tls，relp、强大的过滤器，实现过滤日志信息中任何部分的内容、自定义输出格式。日志收集系统架构包括三部分：

1）日志客户端。为了收集日志，每一台日志服务器上都会部署一个日志收集客户端，安全设备需要配置syslog服务器IP和端口。

2）中心服务器。中心服务器作用就是把散落在各个机器的日志统一收集起来。

3）存储服务器。最终存储日志的地方，通过FC光纤接入大容量共享存储，供计算框架以及搜索引擎框架计算使用。

统一日志收集系统的建立解决了日志分散存储在各系统、设备上的问题、解决了设备日志可能被清除的问题，解决了日常存储周期过短问题，很大程度上为提升了安全运维的水平。

4.3 进行安全运维管理态势分析

通过以上两个方面的提升，一个管理规范、日志信息存储安全的局面逐步建立起来。想要借助信息化手段进一步提高安全运维效能，提高日志信息用于安全攻击、安全预警和分析，需要一套安全态势感知预警平台。该平台可在原有日志信息的基础上进行大屏展示、安全攻击形势分析、安全攻击预警分析、安全故障预警、安全运维分析以及进行运维工单管理。态势感知平台的PC端可进行日常监控展示和重大事件调度，平台的手机端可进行远程值班、值守监控。安全运维态势感知平台的建立是的安全运维工作有了质的提升，为日志信息更好服务日常运维提供了平台基础。

4.4 实施双因子认证

安全管理机制的建立提升了安全运维管理规范性，日志收集服务器提供了大容量、兼容性高的日志服务器，态势感知平台提供了统一的安全调度、预警监测中心。双因子认证技术是解决网络安全设备、服务器等设备登录安全问题，解决非法入侵攻击后清理日志信息的问题，也是用于提升安全运维的另一个重要支撑保障。借鉴目前银行支付使用的手机短信验证，我们采用了基于手机短信认证和原有用户名密码认证结合的双因子认证方法。同时，将短信认证日志信息接入统一日志收集服务器，形成日志信息闭环管理，全面提升日志信息助力安全运维的保障能力。

5 结语

总之，通过建立规范的管理机制，搭建统一的日志信息收集、存储、分析系统，进行日志信息安全态势预警分析结合双因子认证，挖掘日志信息的价值，可全面提升各部门的安全运维管理水平，更有力保障业务应用系统安全稳定运行。

参考文献：

[1] 付洋. 大中型企业IT运维管理简述[J]. 科技经济导刊，2016（13）：202-202.

[2] 刘昕林，张华兵，张海涛. 日志搜索分析管理系统的研究与应用[J]. 信息与电脑，2017（9）：81-82.

[3] 石健行. IT运维管理中局域网及网络安全的应用分析[J]. 信息与电脑，2018（6）：198-199，202.

[4] 胡沐创. 大数据日志分析平台应用探索与实践[J]. 金融科技时代，2018（1）.

【通联编辑：王力】