邱成相++唐秀忠

摘要：互聯(lián)網的普及對計算機運用的安全造成沖擊。計算機日志作為記錄計算機運行行為的重要工具，可為計算機網絡安全控制提供有效幫助。本文簡要介紹了計算機系統(tǒng)日志的內涵，以Windows系統(tǒng)為例分別采用本地及采用遠程管理模式，研究基于日志的計算機網絡安全控制辦法。

關鍵詞：日志；網絡安全控制；IIS

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1007-9416（2017）10-0213-02

計算機是人們日常工作生活乃至社會發(fā)展的重要工具。網絡信息時代，病毒、木馬、黑客入侵對計算機的正常使用產生負面影響。通過網絡安全控制機制，能夠最大程度確保網絡有效數據和用戶信息的安全，在保證用戶使用便捷、效率提升的前提下為其提供更高的安全性和可靠性。計算機系統(tǒng)日志針對計算機工作事件進行詳實記錄，并可作為網絡安全控制的重要依據。

1 日志文件概述

用戶通過操作計算機系統(tǒng)產生系列行為，計算機系統(tǒng)對用戶的行為及事件進行詳實記錄進而生成的此類文件稱為計算機日志文件。日志按照日期、時間、用戶和行為等作為記錄對象，并按照時間為排列依據形成序列集合。通過分析日志文件內容的變化，可在處理歷史數據、故障診斷及恢復、掌握系統(tǒng)異?；顒拥确矫姘l(fā)揮重要作用。根據記錄對象不同，日志可分為應用程序日志、系統(tǒng)日志和安全日志等，根據記錄內容不同可分為事件日志和消息日志。計算機系統(tǒng)運行產生大量的日志文件，分別記錄相關對象活動內容。

網絡環(huán)境中，通過遍歷來自多源的日志文件組合來掌握系統(tǒng)活動內容，以及事件和行為變化進而實現(xiàn)對系統(tǒng)的監(jiān)控、查詢、可疑行為篩選和審計。

2 日志視角下網絡安全控制策略

當前中小型網絡服務器及客戶端大部分運行的是Windows系統(tǒng)，它通過IIS提供互聯(lián)網信息服務，以Web服務組件為核心，便于用戶通過網絡計算機實現(xiàn)網頁瀏覽、郵件傳送和文件傳輸等功能。長期以來，IIS是非法用戶入侵Windows系統(tǒng)的重要突破口，入侵者通過IIS的漏洞，通過偽造用戶信息、網絡嗅探、遠程控制木馬等方式實施遠程攻擊，如采用SQL注入方式非法獲取用戶賬戶，或者通過DDoS向目標系統(tǒng)發(fā)起定向入侵，造成網絡阻塞、訪問中斷或服務器崩潰等嚴重后果。另外，黑客利用HTTP協(xié)議堆棧中存在的遠程執(zhí)行代碼漏洞發(fā)送特殊設計的HTTP請求，在HTTP.sys無法正確分析識別該請求時實施入侵。

2.1 通過本地日志實施網絡安全控制

系統(tǒng)默認情況下，任何對計算機的訪問行為都會被系統(tǒng)日志自動記錄，攻擊者對計算機系統(tǒng)的掃描行為就會記錄在系統(tǒng)日志文件之中。針對入侵者利用IIS攻擊的手段，用戶以系統(tǒng)管理員身份訪問系統(tǒng)“控制面板”內“管理工具”下的“事件管理器”，詳細查看系統(tǒng)日志和安全日志，獲取攻擊源、服務器端口、攻擊時間等信息，根據上述信息立刻采取相應防范措施。

利用Windows系統(tǒng)查找功能分析防火墻日志，通過查找對應IP地址、通訊端口連接情況、字符串等方式，獲取接入本地計算機數據的發(fā)送及接收時間、發(fā)送者IP地址和通訊端口、數據包類型等信息，根據這些信息判斷該連接是否安全，計算機IIS系統(tǒng)是否存在安全隱患，采取應對措施。

2.2 利用遠程管理實現(xiàn)網絡安全控制

網絡安全威脅每個時刻都有可能發(fā)生，管理人員卻無法保證7ⅹ24小時都在現(xiàn)場。對此，利用遠程管理技術對系統(tǒng)日志分析，是在本地日志分析基礎上安全控制的有效補充。啟用遠程管理功能前，計算機系統(tǒng)須安裝遠程管理功能組件，并啟用該功能。

在系統(tǒng)管理員權限下，通過控制面板“程序”項里面的“打開或關閉Windows功能”來安裝遠程管理功能組件。組件安裝成功后，設置可通過遠程授權訪問的IP地址及域名，從而實現(xiàn)遠程安全管理的基礎操作。借助對開放遠程管理功能組件的計算機進行遠程管理時，通過異地計算機的瀏覽器中輸入帶有端口號的IP地址如http：//172.21.1.16：8088，在登錄對話框內輸入賬戶名及密碼遠程登錄目標計算機系統(tǒng)。遠程登錄默認端口為3389，黑客可通過該端口采用猜測用戶口令等方式遠程接入。解決方式之一就是修改默認遠程登錄端口。登錄后，通過維護功能對Web、FTP服務器進行的啟停和刪除等操作，可像與本地計算機日志管理方式一樣管理日志信息。

2.3 專業(yè)日志分析工具實施網絡安全控制

通常計算機每日產生大量的日志記錄，其產生的量級與系統(tǒng)服務運行時間的長短存在必然聯(lián)系。在IIS服務長期運行的情況下，日志文件大小不可避免的持續(xù)增加。常規(guī)方式下通過人為逐個查找，不僅工作效率極低，且可能造成查找疏失。系統(tǒng)自身日志分析功能受限于用戶的專業(yè)水平和巨大的工作量，單一通過用戶識別、修正并排除計算機安全隱患很難實現(xiàn)。專業(yè)日志分析工具能夠全面細致分析網絡中的網絡設備、服務器、客戶端及各類應用系統(tǒng)等產生的日志，并以可視化方式實時呈現(xiàn)出來。利用定義日志篩選規(guī)則和策略來準確查找關鍵信息，幫助管理員了解系統(tǒng)運行狀況，實現(xiàn)網絡故障定位及安全威脅識別。

3 日志文件管理

日志信息的安全直接關系到計算機系統(tǒng)的安全。非法入侵者采取刪除、篡改系統(tǒng)日志等操作，設法隱藏或銷毀目標計算機系統(tǒng)上相關攻擊記錄，來躲避系統(tǒng)防控人員的追蹤、審計和取證。常規(guī)狀態(tài)下，計算機日志文件處于非保護加密的系統(tǒng)目錄中，攻擊者通過對日志信息進行刪除或篡改來隱匿自身信息，管理員獲取完整有效記錄困難。因此，可從制度體系及技術措施兩方面來強化日志文件管理。

技術層面上，首先要正確規(guī)范日志等級如debug（調試信息）、info（收集關注的信息）、warn（警告信息）和error（錯誤信息），混亂的日志級別不便于運維，也對后期日志分析和處理留下很大隱患。其次，日志文件需統(tǒng)一集中管理，合理控制日志文件大小，并定期清理。最重要的一點是強調日志文件的安全性，定期備份日志文件，對于存儲私密敏感信息的日志文件，保證通過加密機制或者控制用戶訪問權限等操作來為日志文件提供安全保障。

制度體系建設上，配備專業(yè)管理人員，做到專人專管，制定具體的日志管理計劃，從備份、維護及清除無用的日志信息等操作嚴格按照計劃執(zhí)行。

4 結語

網絡環(huán)境下的計算機安全控制是當前重要研究內容之一。用戶可以通過本地及遠程管理功能對日志文件進行分析，實現(xiàn)網絡中計算機系統(tǒng)安全控制和管理。在管理過程中，可采用專業(yè)工具及系統(tǒng)日志分析相結合的方式，精確查找分析威脅源并采取技術措施，從而增強計算機運行的可靠性。

參考文獻

[1]謝樂華.關于計算機網絡安全管理的分析探討[J].信息化建設，2016，（8）：11-12.

[2]明小波，郭金華.看日志加強計算機的網絡安全控制初探[J].中國新通信，2017，（15）：8-9.

[3]黃詩敏.網絡安全問題應對解決方案[J].網絡安全技術與應用，2016，（4）：7-8.

[4]林輝，竇旻.系統(tǒng)日志的安全保護[J].計算機工程，2003，（17）：130-131.endprint