寧召宇

摘要：目前民航網(wǎng)絡(luò)系統(tǒng)中大多數(shù)網(wǎng)絡(luò)設(shè)備都需要采用日志的方式對設(shè)備自身行為，包含一系列的網(wǎng)絡(luò)事件進(jìn)行記錄，系統(tǒng)管理員可以借助日志審計系統(tǒng)記錄的這些數(shù)據(jù)實現(xiàn)對信息系統(tǒng)高效、快捷的維護(hù)。日志審計系統(tǒng)可有效解決民航信息數(shù)據(jù)盜取、旅客隱私數(shù)據(jù)被侵犯等問題，能夠很大程度的降低民航生產(chǎn)網(wǎng)絡(luò)信息泄露的風(fēng)險。

Abstract： At present， most network devices in civil aviation network systems need to use logs to record the device's own behavior， including a series of network events to record. System administrators can use the data recorded by the log audit system to achieve efficient and fast maintenance of information systems. The log audit system can effectively solve the problems of theft of civil aviation information data and violations of passenger privacy data， and can greatly reduce the risk of information leakage in civil aviation production networks.

關(guān)鍵詞：日志審計系統(tǒng);系統(tǒng)維護(hù);信息泄露

Key words： log audit system;system maintenance;information leakage

中圖分類號：V260.5 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1006-4311（2020）06-0282-02

0 ?引言

系統(tǒng)管理員可以通過對信息系統(tǒng)運行過程中產(chǎn)生的相關(guān)日志分析來檢驗信息系統(tǒng)安全機制的有效性，這就是安全日志審計。日志產(chǎn)生、收集、審計分析以及存儲的全過程是日志的分析和管理。系統(tǒng)管理員能夠通過日志審計系統(tǒng)及時的監(jiān)管網(wǎng)絡(luò)設(shè)備及信息系統(tǒng)的運行狀況。日志審計系統(tǒng)能夠幫助系統(tǒng)運維人員及時發(fā)現(xiàn)民航信息系統(tǒng)來自非法軟硬及系統(tǒng)的入侵及攻擊，并且對系統(tǒng)運維人員自身的違法、違規(guī)操控及信息的泄露會留下相關(guān)的操作記錄，為事后運維人員對信息系統(tǒng)問題的分析和公安機關(guān)的調(diào)查取證提供了相關(guān)的信息[1]。

國家也發(fā)布了相關(guān)的法律法規(guī)文件，要求企業(yè)生產(chǎn)網(wǎng)絡(luò)要有必要的日志審計設(shè)備，如：GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》對于二級以上信息系統(tǒng)，在網(wǎng)絡(luò)安全、網(wǎng)絡(luò)設(shè)備、服務(wù)器主機安全和終端主機安全等相關(guān)需求中明確要求了信息系統(tǒng)必須進(jìn)行安全審計[3]。日志審計系統(tǒng)恰好是符合這些需求的最基礎(chǔ)的方法。

1 ?民航網(wǎng)絡(luò)系統(tǒng)日志管理困難重重

現(xiàn)在網(wǎng)絡(luò)運維人員從事日志審計這一項工作面臨重重問題，主要表現(xiàn)為以下幾個問題：①日志分散。②日志格式不統(tǒng)一。③日志量巨大。

1.1 日志分散

民航網(wǎng)絡(luò)中的信息系統(tǒng)和服務(wù)器主機、終端主機以及各種網(wǎng)絡(luò)設(shè)備在生產(chǎn)運行過程中都會產(chǎn)生大量的日志信息。這些軟硬件設(shè)備產(chǎn)生的日志信息分別存放在各自的硬盤上，可以通過控制臺對每個設(shè)備的日志信息進(jìn)行查看和審計，傳統(tǒng)的日志審計模式給系統(tǒng)運維人員增加了很大的工作量，由于設(shè)備的種類和數(shù)量較多，查看并分析這些設(shè)備的日志信息對系統(tǒng)運維人員來說就是噩夢，系統(tǒng)運維人員和日志審計員根本沒有精力和時間去查看這么多控制臺，因此日志審計效率低下，對日志信息的分析結(jié)果并不準(zhǔn)確[2]。

1.2 日志格式不統(tǒng)一

由于設(shè)備類型及型號不統(tǒng)一因此服務(wù)器主機或者網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志格式都不一樣，日志類型及編碼方式都不一樣。即使是表達(dá)同樣一個操作的日志記錄日志呈現(xiàn)給用戶的編碼類型都是各不相同的。例如同樣是設(shè)備關(guān)機、啟動、死機產(chǎn)生的相關(guān)的日志信息，聯(lián)想服務(wù)器主機和戴爾服務(wù)器主機、防火墻中的描述方式也各不相同。因此傳統(tǒng)的審計方法給系統(tǒng)運維人員增加了很大的工作量。同時也加大了運維人員的維護(hù)對系統(tǒng)的維護(hù)難度。

1.3 日志量巨大

由于絕大多數(shù)的服務(wù)器主機設(shè)備和網(wǎng)絡(luò)安全設(shè)備都是全年不間斷運行，這些設(shè)備產(chǎn)生的日志信息是非常龐大的。例如大型的服務(wù)器主機每小時就能夠產(chǎn)生成千上萬條日志記錄，所以企業(yè)全網(wǎng)的網(wǎng)絡(luò)安全設(shè)備當(dāng)日產(chǎn)生的日志量是非常龐大的，日志量基本都是以百GB的量存儲。系統(tǒng)運維人員及審計員去查看和審計這些日志的工作量是非常大的。由于每天產(chǎn)生的日質(zhì)量龐大把這些日志安全的存儲也是一個技術(shù)難題。

系統(tǒng)運維人員需要日志審計，更需要應(yīng)對所面臨的挑戰(zhàn)。審計員和系統(tǒng)運維人員要從處理流程、組織策略以及技術(shù)體系等幾個方面進(jìn)行分析，系統(tǒng)運維人員應(yīng)當(dāng)利用日志審計系統(tǒng)來為企業(yè)的信息系統(tǒng)的維護(hù)和審計等工作提供技術(shù)方面的支持。同時，日志審計系統(tǒng)還要能夠完成對生產(chǎn)網(wǎng)絡(luò)中運行的各種網(wǎng)絡(luò)設(shè)備產(chǎn)生的海量日志實行匯集，同時還要對不同的設(shè)備日志格式進(jìn)行合并、規(guī)范化、集中化的描述，實現(xiàn)對日志信息的存儲、分析及展示[3]。

2 ?網(wǎng)御日志管理系統(tǒng)在網(wǎng)絡(luò)部署及優(yōu)勢

2.1 民航網(wǎng)絡(luò)日志審計設(shè)備的部署

在內(nèi)網(wǎng)安全管理區(qū)旁路方式部署日志審計設(shè)備，通過SNMP Trap、Syslog、ODBC＼JDBC、文件＼文件夾、WMI、FTP、SFTP、NetBIOS、OPSEC等多種方式完成日志收集，利用主動和被動兩種方式，支持?jǐn)U展分布式存儲（可根據(jù)日志規(guī)模大小進(jìn)行分布式存儲）、備份、索引、全文檢索等并給用戶提供導(dǎo)出報告、報表的功能。系統(tǒng)運維人員可通過這些報告分析出生產(chǎn)網(wǎng)絡(luò)設(shè)備的整體安全運行態(tài)勢，可以對網(wǎng)絡(luò)中的各種信息設(shè)備產(chǎn)生的日志進(jìn)行管理[4]。網(wǎng)御產(chǎn)品部署拓?fù)鋱D如圖1所示。

2.2 網(wǎng)御日志審計設(shè)備在民航網(wǎng)絡(luò)的優(yōu)勢

2.2.1 集中化日志系統(tǒng)的審計

網(wǎng)御日志系統(tǒng)為用戶提出完善的日志審計功能，為不同層級運維人員和用戶呈現(xiàn)出多層次、多視角的審計權(quán)限。網(wǎng)御日志審計系統(tǒng)首界面給用戶呈現(xiàn)出一個全面的信息系統(tǒng)展示儀表板，信息系統(tǒng)運維技術(shù)員可以在一個顯示大屏中看到整個企業(yè)生成網(wǎng)絡(luò)中的所有設(shè)備類型，能夠?qū)崟r監(jiān)測到日志的統(tǒng)計圖表并能夠?qū)С鋈罩居涗浀脑敿?xì)信息表以及信息系統(tǒng)的警告、待處理的日志信息等。運維人員還能夠自定義儀表板，根據(jù)自身的需求、習(xí)慣來布局儀表板顯示的內(nèi)容，能夠給不同權(quán)限的角色賬戶確定不同維度的儀表板。

日志審計系統(tǒng)給用戶提供了實時的審計圖表，運維人員能夠依據(jù)系統(tǒng)不間斷的實時監(jiān)測網(wǎng)絡(luò)設(shè)備的運行狀態(tài)及運行策略，可以從多維度觀測日志來確定網(wǎng)絡(luò)設(shè)備安全事件的走向，還能夠通過日志信息對信息事件的調(diào)查及記錄信息的提取提供依據(jù)。系統(tǒng)運維人員通過日志審計平臺能夠不間斷的監(jiān)視信息系統(tǒng)的服務(wù)器主機、防火墻設(shè)備、網(wǎng)關(guān)設(shè)備以及信息系統(tǒng)的終端主機等網(wǎng)絡(luò)設(shè)備產(chǎn)生的高危安全事件;還能夠?qū)崟r檢測到各部門、安全域、每個業(yè)務(wù)系統(tǒng)的重要的安全事件。同時系統(tǒng)管理員也可以實時監(jiān)運維人員以及終端用戶違規(guī)登錄、推出、配置等操作行為。日志審計系統(tǒng)可以對非常重要數(shù)據(jù)庫服務(wù)器主機及終端主機入侵攻擊事件都可以起到檢測及預(yù)警的功能。

系統(tǒng)提供了統(tǒng)計視圖，審計員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計策略，從日志的多個維度實時進(jìn)行安全事件統(tǒng)計分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示[5]。審計員可以查看一段時間內(nèi)的主機流量排行、主機登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問用戶排行，等等。

系統(tǒng)提供了日志查詢功能，用戶可以制定查詢策略，針對歸一化后的日志或者原始日志進(jìn)行綜合條件查詢和模糊查詢。系統(tǒng)提供了規(guī)則關(guān)聯(lián)、統(tǒng)計關(guān)聯(lián)等分析方法，通過建立科學(xué)的分析模型，協(xié)助用戶對日志的分析深度與安全事件的識別準(zhǔn)確度得到進(jìn)一步的提升。

2.2.2 支持多種采集協(xié)議

為了最大程度地采集各種廠商、各種類型的日志信息，系統(tǒng)沒有強求審計數(shù)據(jù)源必須具備什么日志協(xié)議，而是支持通過多種協(xié)議方式采集日志。這些協(xié)議包括并不限于：Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等等。

2.2.3 對用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小

LEADSEC-RS在實現(xiàn)對用戶網(wǎng)絡(luò)中的IT設(shè)施進(jìn)行集中日志審計的同時，采取多種技術(shù)手段，力求對用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。如表1所示。

2.2.4 完善的系統(tǒng)自身安全性保證

具備完善的自身安全性設(shè)計，保證系統(tǒng)自身的安全等級符合用戶的整體安全策略[6]。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個方面，如表2所示。

2.2.5 無縫向安全管理平臺擴(kuò)展

日志審計系統(tǒng)主要功能是收集異構(gòu)的安全日志，進(jìn)行存儲、分析、告警和報告。作為長期發(fā)展規(guī)劃，實現(xiàn)安全管理平臺是最終目標(biāo)。

安全管理平臺不僅包括安全日志（事件）管理，還包括資產(chǎn)管理、業(yè)務(wù)管理、設(shè)備應(yīng)用性能管理、安全風(fēng)險管理、安全運維管理（工單流程、知識庫）和安全態(tài)勢感知等。LEADSEC-RS安全管理平臺采用與LEADSEC-RS完全相同的技術(shù)框架，因此，安全管理平臺建設(shè)可以在現(xiàn)有日志審計系統(tǒng)基礎(chǔ)架構(gòu)上，通過熱插拔的方式實現(xiàn)安全管理的其他功能模塊，實現(xiàn)向安全管理平臺的無縫擴(kuò)展。

3 ?結(jié)束語

針對民航網(wǎng)絡(luò)系統(tǒng)的特點，網(wǎng)御日志審計系統(tǒng)能夠為運維人員提供基于分組管理的功能，運維人員在控制臺能夠可清楚看到民航網(wǎng)絡(luò)的組織結(jié)構(gòu)，系統(tǒng)管理員可按組進(jìn)行統(tǒng)一的策略配置。民航網(wǎng)絡(luò)系統(tǒng)安裝調(diào)試聯(lián)想網(wǎng)御內(nèi)網(wǎng)安全管理系統(tǒng)后，可以規(guī)范到內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為，提高民航內(nèi)網(wǎng)的安全性，降低管理員維護(hù)難度，為推動民航信息化向縱深發(fā)展創(chuàng)造了有利條件。

參考文獻(xiàn)：

[1]國投瑞銀基金借助網(wǎng)御神州日志審計系統(tǒng)強化內(nèi)控[J].信息安全與通信保密，2009（06）：42-43.

[2].醫(yī)院內(nèi)網(wǎng)如何保障安全——聯(lián)想網(wǎng)御內(nèi)網(wǎng)安全管理系統(tǒng)在醫(yī)療行業(yè)的應(yīng)用[J].信息安全與通信保密，2008（10）：36.

[3]樊建永.日志綜合審計系統(tǒng)在高校中的應(yīng)用研究[J].衛(wèi)星電視與寬帶多媒體，2019（12）：35-37.

[4]汪琳.基于電子日志分析的信息化審計模式研究[J].金融科技時代，2018（12）：43-46.

[5]張玉暉.寧夏高速公路聯(lián)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的實現(xiàn)策略與基本技術(shù)要求[J].中國設(shè)備工程，2018（22）：210-211.

[6]樊建永.日志綜合審計系統(tǒng)在高校中的應(yīng)用研究[J].衛(wèi)星電視與寬帶多媒體，2019（12）：35-37.