基于区块链的日志审计安全平台建设
2022-10-14白娟
◆白娟
(北京第二外国语学院 北京 100024)
1 引言
信息技术的快速发展给人类社会生活注入新的活力,电脑端及移动端的各类网络应用与人们生活结合得越来越紧密,在信息技术造福人类的同时,也给了一些黑客带来了可乘之机,使得信息系统被攻击的可能性大大增加。随着网络安全技术的不断发展,安全防护系统对一些异常攻击进行了有效阻拦与隔断。面对日益频繁的网络嗅探与攻击,即使是强大的网络防火墙、入侵检测系统和反病毒软件都无法保证系统的绝对安全。在这样的情况下,审计系统应运而生,审计系统通过记录系统中发生的事件,对各种操作行为进行溯源及分析,从而具备记录、智能分析、监测、控制和处理等功能。
审计系统一般都具有强大的日志收集、自定义日志解析、完整日志分析、日志搜索引擎、日志归档等多种管理及分析功能,由于现有的审计系统存在权限划分不清晰、信息有可能被篡改的问题,因此,有必要建设一套基于区块链的审计系统,既保留原系统功能,同时可进一步加强账号的管控能力,利用区块链技术中可溯源的特性,提高数据日志的安全服务能力。
2 建设目标
基于区块链的日志审计平台通过抓取账号数据库数据,不断通过区块链的加密、验证及上链来形成区块私有链体系。安全审计平台以安全事件为中心,以全面审计和精确审计为基础,对系统的各类操作行为进行监视并记录,以邮件或者短信的方式及时发出告警信息。并通过大数据搜索技术形成高效查询审计报告,定位事件原因,以便日后查询、分析、过滤,实现对目标系统的用户操作的监控和审计,为信息安全保护提供必要的依据。
系统建设目标如下:
(1)对日志数据进行自主分类,根据日志的重要性等级,将日志数据存储到区块链上,并允许进行加密处理,实现对日志数据的知悉范围进行控制。
(2)具备关键数据信息加密能力,通过密钥生产管理中心生成系统公私钥对(mpk 和msk),对关键数据信息生成、保存和分发系统中公私钥数据,实现关键数据信息在网络中的密文传播。
(3)具备关键数据信息比对防篡改能力,共识节点群收到已被加密的密文关键数据信息后通过门限算法的区块链共识机制验证其有效性,验证成功后形成新节点纳入现有公认的区块链中,通过区块链已上链的数据自动比对业务现有数据,实现关键数据信息防篡改功能。
(4)具备数据操作行为要素的输出能力,以预警为主,以图形化展示为主要方式为安全行为审计人员提供直观、强大且清晰的读写状况输出。
(5)基于多种协议进行日志采集,真正实现日志统一采集,集中管理和高效监控,提高日志管理能力,实现高效管理。
(6)通过邮件、短信、声音等方式进行发送告警,第一时间通知日志管理相关人员,快速定位并处理,提高设备预警能力,提升运维效率,降低应用风险。
3 具体建设内容
3.1 区块链安全审计实现原理
本系统是基于区块链技术的日志审计平台,处理服务器向密钥管理服务器申请签名公私钥对和密钥,区块链服务器向密钥管理服务器申请签名公钥。在数据处理及传送过程中,均使用加密技术进行数据加密及传送。处理服务器采集数据并加密生成A,对加密密钥再加密生成B,以私钥对A 和B 数字签名生成N;处理服务器向区块链服务器发送A、B 和N,并由区块链服务器以公钥验证有效后将数据置入数据缓冲区。该系统利用区块链技术不可算改的特性在业务系统中添加使用区块,保障关键数据不可篡改,提升数据安全性。
3.2 平台架构
基于区块链的日志审计平台采用分布式系统架构,主要由以下三部分组成:
(1)数据输入;提供人员信息、财务信息等敏感数据的操作口志,并通过第三方工具将数据传入数据处理服务。
(2)数据处理:数据处理服务通过向密钥服务申请加密密钥,以及区块链集群向密钥服务申请签名公并以数字签名形式生成加密数据。该服务向区块链集群发送加密数据,并由区块链集群验证有效后将数据置入数据缓冲区,若区块生成条件满足后则生成新的区块。
(3)数据输出:展示端可通过PC、移动设备等不同终端,向区块链集群请求查询数据,获得数据资源,进而呈现数据信息。
3.3 功能组成
系统具体功能如下图1 所示:
图1 系统功能
(1)采集操作数据、形成日志系统
在详细确定数据库账号权限的情况下,增加数据访问账号,使用第三方工具采集网络设备、服务器设备、应用程序等数据操作日志和系统日志,对数据做统一化处理。
(2)日志分类及整理
为保证敏感业务数据和操作日志等数据的机密性,需要将其加密后上链。为保证加解密的效率和安全性,选择相应算法且加密密钥从自有密钥服务器中直接获取。
(3)数据签名与验签、形成日志池
为了防止加密后的数据被恶意篡改,需要将加密的数据签名,此处采用RSA 算法且签名与验签的密钥对同样从自有密钥管理服务器中直接获取。经过签名与验签的数据再统一整理后,形成日志池。
(4)数据上链
数据上链即将通过验证的数据,在各节点通过共识机制达成一致后将其写入区块链的程。此目标建设是一条私链,因此采用的共识机制算法是门限数字签名。
(5)数据解密及比对
提供入口实现数据快速对比、异常操作行为评判和已上链原始数据下载,可选择进行人工比对或自动比对。人工比对指提供数据比对入口,对异常数据进行告警,能够提供多维度的筛选条件,用户可随时进行人工自查比对,比对结果列表支持分页,异带操作行为判断和异常数据告警。同时可查看己上链原始数据,支持多种格化下载。自动比对指系统自动将区块链上的数据与数据库的数据进行智能比对,并对异常数据进行判断,包括删除、篡改和插入行为等。
(6)后台管理
通过后台管理模块实现日志审计平台运行情况的监控、用户权限管理、安全告警分析等功能,为日志审计平台安全运行提供基础保障。
4 建设特点
综合而言,本系统的建设特点如下:
(1)全面审计:能够审计所有来源,包括所有访问数据库的路径、数据库操作,还支持对加密网络的审计。
(2)精确审计:通过U 盾、CA 认证信息整合和应用程序账户来精确的识别操作人,可以精确的识别来自于B/S 架构的浏览器终端信息,支持加密网络传输、应用程序注入和假冒检测等独有功能。
(3)法规遵循安全报表:定制各种法规遵循向导和报表,以方便用户完成法规遵循。遵循系统内置的法规遵循主要包含:等级保护(二级和三级)、个人数据保护要求、防统方法规、SOX 法案、PCI-DSS法案、HIPAA 法案、GLBA 法案,以及数据库安全最佳实践。
(4)未知威胁的智能化告警:对于任何不认识的新面孔和操作进行识别并告警:包括新发现的IP 地址、应用程序、数据库账户、应用账户,访问对象、访问操作、SQL 语句等,进行重点分析和告警。
4.5 日志报表:具有丰富可定制的报表分析系统。
日常工作报表:运维人员可通过以下任意方式、在每日工作结束之后提供数据库审计报表。常规性报表:日报,周报和月报,完成不同侧重点的报告。综合性报表:可以根据常规性报表搭配而成,这样只需要查看一个报表即可。自动化管理:不同人员可以按需定制不同报表,报表完全自动化生成并且可以自动通过邮件传递。
4.6 审计管理
(1)告警量不泛滥:实时处理的告警引擎可以使安全事件快速发布,重复性事件自动合并和过虑,减少不必要的告警量,还提供大数据搜索引擎确保基于复杂搜索定制。
(2)单条事件分析和回溯:以当前事件为基础,进行不同角度的统计分析。也可以基于该事件,从数据库登录到当前操作进行一致性回溯。
(3)同类事件回顾:如果相同的安全审计事件曾经发生过,可以进行回顾分析。
(4)自定义和个性化订阅;高度灵活的告警规则,达到精细化事件告警,不同身份的人可以按需订阅相关告警事件。
5 应用价值
基于区块链的日志审计平台在实际应用中,可产生重要的使用价值,具体如下:
(1)应用价值:采用集中化的统一管理平台,将日志信息收集到平台中,进行信息资产的统一日志管理;多维度、跨设备、细粒度的关联分析,打破信息孤岛,自动进行日志审计,快速发现潜在安全事件;对各类风险和安全事件进行实时监控告警,保障资产数据安全。该平台不但利用了区块链的安全特性,即不可算改性;同时弥补了区块链技术的查找效率低的问题,因此应用价值显著。
(2)安全价值:日志数据采用对称加密或非对称加密或者其他加密算法进行处理,旨在对日志数据的机密性、完整性进行保证。由于数字签名具有的不可更改性,从而满足防篡改性,保障数据安全。
(3)效率价值:基于区块链的日志审计系统中公私钥的产生,以及对数据采集网关签名的验证,这些操作都可在秒级完成,因此效率较高;在数据采集阶段完善的数据采集工具的采集可达百万条每秒的速度,因此该阶段不会是该系统效率瓶颈;在数据下链阶段采用引入数据库的方式,让整个下链过程非常快速。因此综合面言,该系统的工作效率较高。