李鎮(zhèn)京

摘要：隨著網(wǎng)絡(luò)信息安全技術(shù)的發(fā)展應(yīng)用，安全運(yùn)維已成為各級(jí)政府部門運(yùn)維管理人員保障業(yè)務(wù)系統(tǒng)穩(wěn)定運(yùn)行的重要支撐，日志信息成為日常運(yùn)維管理工作重要數(shù)據(jù)分析來(lái)源。本文以省級(jí)政府部門日常IT運(yùn)維管理為例，總結(jié)分析了日常運(yùn)維主要內(nèi)容、運(yùn)維過(guò)程中日志信息的應(yīng)用，分析了日志信息存在的安全問(wèn)題，提出了日志信息助力安全運(yùn)維工作的思路和方法，希望對(duì)各單位、部門IT運(yùn)維工作有所幫助。

關(guān)鍵詞：日志信息;安全運(yùn)維;日志分析

中圖分類號(hào)：G642 ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2020）28-0258-03

1 背景

近年來(lái)隨著信息化技術(shù)的迅猛發(fā)展，各級(jí)政府部門根據(jù)國(guó)家“互聯(lián)網(wǎng)+政務(wù)”工作的推進(jìn)和部署，陸續(xù)建成一批信息系統(tǒng)，這些信息系統(tǒng)的運(yùn)行為社會(huì)公共提供了信息便利，為政府部門提供了數(shù)據(jù)支撐。面對(duì)這些信息系統(tǒng)及承載他們運(yùn)行的IT基礎(chǔ)設(shè)施，運(yùn)維管理人員的運(yùn)維工作也越來(lái)越繁重，安全運(yùn)維問(wèn)題、日志信息安全問(wèn)題日益嚴(yán)峻。社會(huì)上相繼出現(xiàn)重要企業(yè)內(nèi)部信息泄露，安全攻擊事件時(shí)有發(fā)生，且在發(fā)生攻擊前、攻擊時(shí)，存在著日志信息記錄不全、攻擊日志保留時(shí)間過(guò)短等問(wèn)題，給安全運(yùn)維人員事前預(yù)警、事中監(jiān)管、事后排查分析帶來(lái)了困擾。

政府部門IT運(yùn)維中心在基礎(chǔ)設(shè)施及信息系統(tǒng)運(yùn)行時(shí)，網(wǎng)絡(luò)基礎(chǔ)設(shè)施、系統(tǒng)應(yīng)用服務(wù)均產(chǎn)生了日志信息，且日志信息中包含著大量用戶的登錄、操作記錄等各種行為數(shù)據(jù)，數(shù)據(jù)量也越來(lái)越大以海量計(jì)，網(wǎng)絡(luò)中的日志種類也越來(lái)越多。在網(wǎng)絡(luò)時(shí)代誰(shuí)掌握了數(shù)據(jù)誰(shuí)就掌握了主動(dòng)權(quán)，網(wǎng)絡(luò)信息安全中的日志信息除了能夠借助于進(jìn)行安全運(yùn)維之外，還可用于抵對(duì)信息網(wǎng)絡(luò)攻擊及預(yù)警分析。

2 日志信息的分類

本文以省級(jí)政府部門中心機(jī)房安全運(yùn)維管理為例，日常安全運(yùn)維管理過(guò)程常見(jiàn)的日志包括：服務(wù)器日志、業(yè)務(wù)系統(tǒng)日志、網(wǎng)絡(luò)設(shè)備日志、數(shù)據(jù)庫(kù)中間件日志和數(shù)據(jù)存儲(chǔ)備份日志五大類：

1）服務(wù)器日志。主要包括：管理賬號(hào)登錄日志、審計(jì)日志，詳細(xì)信息有管理員賬號(hào)、登錄IP、登錄成功失敗次數(shù);應(yīng)用程序日志、安全日志、設(shè)置日志、系統(tǒng)日志。

2）業(yè)務(wù)系統(tǒng)日志。主要包括：業(yè)務(wù)軟件系統(tǒng)管理員賬號(hào)日志、普通用戶日志（包含：操作日志、訪問(wèn)日志、登錄日志）、系統(tǒng)性能監(jiān)控日志、系統(tǒng)運(yùn)行異常日志等。

3）網(wǎng)絡(luò)設(shè)備日志。主要包括：邊界安全設(shè)備，抗DDOS設(shè)備日志、負(fù)責(zé)均衡設(shè)備日志、防火墻設(shè)備日志、入侵防御設(shè)備日志、防病毒設(shè)備日志、WAF設(shè)備日志，及旁路設(shè)備漏洞掃描設(shè)備日志、上網(wǎng)行為審計(jì)日志等安全設(shè)備的系統(tǒng)管理賬戶日志、流量數(shù)據(jù)日志、攻擊防御日志。

4）數(shù)據(jù)庫(kù)中間件日志。主要包括：Windows服務(wù)器環(huán)境下的IIS日志、Weblogic日志、Linux服務(wù)器下的Tomcat日志以及常見(jiàn)的Oracle、SQL數(shù)據(jù)庫(kù)日志信息。

5）存儲(chǔ)備份日志。主要包括：備份數(shù)據(jù)原設(shè)備名稱、數(shù)據(jù)備份路徑、備份數(shù)據(jù)類型、備份周期、備份大小等。

3 安全運(yùn)維管理中日志安全問(wèn)題

3.1 安全運(yùn)維主要內(nèi)容

1）服務(wù)器運(yùn)維。該項(xiàng)運(yùn)維是省級(jí)政府部門運(yùn)維人員經(jīng)常使用的一種運(yùn)維方式，因業(yè)務(wù)系統(tǒng)使用過(guò)程中需要對(duì)業(yè)務(wù)系統(tǒng)功能、服務(wù)器性能、服務(wù)器磁盤空間等服務(wù)器環(huán)境進(jìn)行日志巡查或程序更新、調(diào)優(yōu);服務(wù)器運(yùn)維一般通過(guò)統(tǒng)一設(shè)置的堡壘機(jī)進(jìn)行遠(yuǎn)程訪問(wèn)，運(yùn)維人員通過(guò)堡壘機(jī)申請(qǐng)業(yè)務(wù)系統(tǒng)對(duì)應(yīng)服務(wù)器的運(yùn)維權(quán)限，進(jìn)行服務(wù)器運(yùn)維， 堡壘機(jī)全程記錄用戶操作記錄，并進(jìn)行視頻錄像保存。

2）業(yè)務(wù)系統(tǒng)運(yùn)維。隨著信息化應(yīng)用的快速發(fā)展以及國(guó)家“互聯(lián)網(wǎng)+政務(wù)”的推進(jìn)，政務(wù)信息化得到很好的發(fā)展和應(yīng)用。據(jù)不完全統(tǒng)計(jì)，省廳級(jí)單位業(yè)務(wù)應(yīng)用系統(tǒng)在平均20個(gè)之多，大量業(yè)務(wù)應(yīng)用的系統(tǒng)建成、使用、推廣和維護(hù)過(guò)程中需要持續(xù)對(duì)業(yè)務(wù)系統(tǒng)維護(hù)，后臺(tái)優(yōu)化調(diào)整系統(tǒng)參數(shù)，開通修改用戶賬號(hào)、權(quán)限等系統(tǒng)運(yùn)維工作。業(yè)務(wù)系統(tǒng)運(yùn)維中涉及賬號(hào)管理、參數(shù)配置等方面內(nèi)容的一般通過(guò)系統(tǒng)后臺(tái)管理員賬號(hào)直接登錄進(jìn)行業(yè)務(wù)系統(tǒng)后臺(tái)進(jìn)行運(yùn)維，比較安全的做法是通過(guò)各單位建設(shè)的統(tǒng)一用戶管理支撐平臺(tái)進(jìn)行登錄維護(hù)。系統(tǒng)管理員登錄業(yè)務(wù)系統(tǒng)后臺(tái)運(yùn)維時(shí)會(huì)產(chǎn)生登錄日志，包括用戶賬號(hào)、登錄IP、登錄時(shí)間、退出時(shí)間、操作類型（增加、刪除、修改、查閱、統(tǒng)計(jì)）等主要操作內(nèi)容。

3）網(wǎng)絡(luò)設(shè)備運(yùn)維。網(wǎng)絡(luò)設(shè)備運(yùn)維包括路由交換設(shè)備和防火墻、IPS、防病毒等安全設(shè)備的運(yùn)維，其中網(wǎng)絡(luò)路由設(shè)備的運(yùn)維主要指核心交換機(jī)VLAN配置、端口配置、路由配置;防火墻等安全設(shè)備的運(yùn)維主要指安全策略、安全路由、訪問(wèn)控制、日志審計(jì)、病毒庫(kù)、特征庫(kù)優(yōu)化更新等;網(wǎng)絡(luò)設(shè)備運(yùn)維一般通過(guò)設(shè)備管理IP地址直接登錄進(jìn)行操作，比較安全的做法是網(wǎng)絡(luò)、安全設(shè)備管理登錄全部通過(guò)堡壘機(jī)進(jìn)行安全管控。

4）數(shù)據(jù)庫(kù)中間件運(yùn)維。數(shù)據(jù)中間件運(yùn)維與業(yè)務(wù)系統(tǒng)運(yùn)維相輔相成是保障業(yè)務(wù)系統(tǒng)安全穩(wěn)定運(yùn)行的基礎(chǔ)，數(shù)據(jù)庫(kù)日志包括：查詢?nèi)罩尽⒙樵內(nèi)罩?、錯(cuò)誤日志、二進(jìn)制日志、中繼日志、事務(wù)日志;中間件是業(yè)務(wù)系統(tǒng)服務(wù)的運(yùn)行的容器，日志信息包括基本的運(yùn)行日志、錯(cuò)誤日志以及業(yè)務(wù)系統(tǒng)配置的賬號(hào)登錄日志、用戶訪問(wèn)日志等重要日志信息。

5）存儲(chǔ)備份運(yùn)維。此次把存儲(chǔ)備份設(shè)備運(yùn)維單獨(dú)提出，是綜合考慮該對(duì)于省級(jí)政府部門數(shù)據(jù)中心、IT機(jī)房運(yùn)維中心，數(shù)據(jù)存儲(chǔ)備份的重要性。隨著大數(shù)據(jù)技術(shù)的成熟及廣泛使用，數(shù)據(jù)存儲(chǔ)備份設(shè)備的運(yùn)維管理也日益提上日程。存儲(chǔ)備份運(yùn)維主要包括：存儲(chǔ)設(shè)備運(yùn)行情況監(jiān)控（包括備份介質(zhì)、備份設(shè)備的日志）、備份軟件運(yùn)行日志（包含備份日志、恢復(fù)日志、復(fù)制日志、遷移日志）、容災(zāi)設(shè)備運(yùn)行情況、容災(zāi)鏡像軟件恢復(fù)演練日志情況;其中備份日志是最重要包括：策略名稱、備份級(jí)別（全量、增量）、介質(zhì)池、開始時(shí)間、運(yùn)行時(shí)間、速度、文件數(shù)量、數(shù)據(jù)數(shù)量、存儲(chǔ)類型、運(yùn)行狀態(tài)等主要日志內(nèi)容。

3.2 日志安全問(wèn)題

通過(guò)綜合分析省級(jí)政府部門日常運(yùn)維管理中的經(jīng)常使用、接觸的服務(wù)器、業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)中間件和存儲(chǔ)備份等5種主要安全運(yùn)維服務(wù)及日志類型、內(nèi)容，我們可以看出，省級(jí)政府部門運(yùn)維管理人員在日常運(yùn)維過(guò)程中會(huì)與接觸、使用各種日志，通過(guò)作者這么多年的經(jīng)驗(yàn)，發(fā)現(xiàn)日志管理方面還有許多問(wèn)題需要加強(qiáng)和加固，主要存在的問(wèn)題描述如下：

3.2.1 日志內(nèi)容記錄不完整

詳細(xì)的日志內(nèi)容記錄是確保后續(xù)業(yè)務(wù)系統(tǒng)運(yùn)行情況排查、網(wǎng)絡(luò)安全攻擊排查、網(wǎng)絡(luò)故障排查、數(shù)據(jù)存儲(chǔ)備份分析所必須的條件。日常運(yùn)維過(guò)程中經(jīng)常存在一些日志記錄內(nèi)容保存不完整情況：

1）安全審計(jì)日志沒(méi)有開啟。據(jù)不完全統(tǒng)計(jì)，Windows服務(wù)器中有90%服務(wù)器是在開始使用時(shí)是默認(rèn)配置，沒(méi)有啟用安全審計(jì)策略，服務(wù)器運(yùn)行日志沒(méi)有記錄賬號(hào)登錄、訪問(wèn)成功、失敗的日志記錄，一旦出現(xiàn)網(wǎng)絡(luò)攻擊或者服務(wù)器被植入惡意軟件、遠(yuǎn)程控制，運(yùn)維人員無(wú)法通過(guò)日志分析判斷服務(wù)器被攻擊的行為和痕跡。

2）業(yè)務(wù)系統(tǒng)賬號(hào)日志記錄不完整。業(yè)務(wù)應(yīng)用系統(tǒng)的安全性受限于軟件開發(fā)工程師的安全意識(shí)、軟件代碼編寫規(guī)范、安全知識(shí)儲(chǔ)備以及軟件項(xiàng)目工期限制，業(yè)務(wù)系統(tǒng)賬號(hào)登錄、訪問(wèn)、操作（含增加、刪除、修改、查詢）等日志記錄存在只記錄訪問(wèn)日志，記錄用戶登錄IP地址，但是沒(méi)有記錄IP對(duì)應(yīng)的端口號(hào)，存在部分業(yè)務(wù)系統(tǒng)重要頁(yè)面沒(méi)有記錄用戶操作行為或者只同一個(gè)頁(yè)面只記錄最后一條操作日志等情況。當(dāng)業(yè)務(wù)系統(tǒng)出現(xiàn)安全問(wèn)題，進(jìn)行日志反查，尋找操作痕跡時(shí)，運(yùn)維人員就無(wú)法找到完整的日志記錄。

3）網(wǎng)絡(luò)安全設(shè)備日志記錄不完整。網(wǎng)絡(luò)安全設(shè)備日志是運(yùn)維人員了解掌握本部門本單位網(wǎng)絡(luò)信息安全的第一線索，是發(fā)現(xiàn)安全攻擊的首要來(lái)源，網(wǎng)絡(luò)安全設(shè)備的日志記錄基本具有比較完整的內(nèi)容。但作者也發(fā)現(xiàn)，存在由于設(shè)備的系統(tǒng)時(shí)間不對(duì)造成日志信息無(wú)法正確使用、只記錄安全日志未記錄審計(jì)日志等問(wèn)題。

3.2.2 日志存儲(chǔ)時(shí)間太短

隨著2016年網(wǎng)絡(luò)安全法的實(shí)施，所有安全設(shè)備、業(yè)務(wù)系統(tǒng)運(yùn)行日志保存時(shí)間都要求不少于60天。以省級(jí)政府部門IT運(yùn)維中心一臺(tái)負(fù)載均衡設(shè)備為例，在一臺(tái)設(shè)置了內(nèi)外網(wǎng)IP地址和服務(wù)映射的負(fù)責(zé)均衡設(shè)備上，存在著100條服務(wù)器映射關(guān)系，每條映射平均每天用戶訪問(wèn)量到3000人次，數(shù)據(jù)記錄到3萬(wàn)條，60天的數(shù)據(jù)記錄達(dá)到180萬(wàn)條，一般網(wǎng)絡(luò)安全設(shè)備考慮設(shè)備運(yùn)行高性能，保留的數(shù)據(jù)量都非常有限一般為1周的時(shí)間。

3.2.3 日志查閱不方便

以一個(gè)約200平方米政府部門中心機(jī)房為例，其中網(wǎng)絡(luò)安全設(shè)備約80臺(tái)，服務(wù)器設(shè)備160臺(tái)，日常運(yùn)維人員每天需要登錄不同設(shè)備巡檢分析不同安全日志，給日常工作帶來(lái)諸多不便，且工作效率非常低。

3.2.4 日志信息可被修改

網(wǎng)絡(luò)安全設(shè)備運(yùn)行的日志可能會(huì)被修改，網(wǎng)絡(luò)安全是對(duì)外服務(wù)的第一道門，一旦被攻破之后，攻擊人員可能會(huì)進(jìn)行了入侵操作，然后從安全設(shè)備上清除運(yùn)行日志，已達(dá)到銷毀痕跡的目的，給后續(xù)運(yùn)維人員進(jìn)行攻擊行為排查和日志分析帶來(lái)非常嚴(yán)重隱患。

4 日志信息助力安全運(yùn)維的思路與方法

經(jīng)過(guò)以上情況的分析，在省級(jí)政府部門日常運(yùn)維過(guò)程中如何提升日志信息的記錄、存儲(chǔ)等保障能力，從而進(jìn)一步提升日志信息應(yīng)用于日常運(yùn)維管理中，成為非常必要的技術(shù)手段，也是提高省級(jí)政府部門抵御網(wǎng)絡(luò)攻擊、提升抗風(fēng)險(xiǎn)能力的一種重要舉措。作者提出了在運(yùn)維管理過(guò)程中心幾種優(yōu)化和提升日志信息安全服務(wù)的能力：

4.1 建立健全日常管理機(jī)制

建立健全日常安全運(yùn)維管理機(jī)制是確保日常安全運(yùn)維高效、規(guī)范的制度保障。需要制定科學(xué)規(guī)范的日志管理和安全運(yùn)維方面的制度，如建立《IT資產(chǎn)管理辦法》《中心機(jī)房日志存儲(chǔ)備份管理辦法》《業(yè)務(wù)系統(tǒng)安全開發(fā)規(guī)范-系統(tǒng)后臺(tái)日志》《中心機(jī)房IT運(yùn)維工作規(guī)程》和《數(shù)據(jù)備份管理辦法》等一系列的管理制度。

4.2 建立統(tǒng)一的日志收集系統(tǒng)

統(tǒng)一的日志收集系統(tǒng)應(yīng)該能夠支持多線程，可以通過(guò)許多協(xié)議進(jìn)行傳輸U(kuò)DP，TCP，SSL，支持直接將日志寫入到數(shù)據(jù)庫(kù)，支持加密協(xié)議：ssl，tls，relp、強(qiáng)大的過(guò)濾器，實(shí)現(xiàn)過(guò)濾日志信息中任何部分的內(nèi)容、自定義輸出格式。日志收集系統(tǒng)架構(gòu)包括三部分：

1）日志客戶端。為了收集日志，每一臺(tái)日志服務(wù)器上都會(huì)部署一個(gè)日志收集客戶端，安全設(shè)備需要配置syslog服務(wù)器IP和端口。

2）中心服務(wù)器。中心服務(wù)器作用就是把散落在各個(gè)機(jī)器的日志統(tǒng)一收集起來(lái)。

3）存儲(chǔ)服務(wù)器。最終存儲(chǔ)日志的地方，通過(guò)FC光纖接入大容量共享存儲(chǔ)，供計(jì)算框架以及搜索引擎框架計(jì)算使用。

統(tǒng)一日志收集系統(tǒng)的建立解決了日志分散存儲(chǔ)在各系統(tǒng)、設(shè)備上的問(wèn)題、解決了設(shè)備日志可能被清除的問(wèn)題，解決了日常存儲(chǔ)周期過(guò)短問(wèn)題，很大程度上為提升了安全運(yùn)維的水平。

4.3 進(jìn)行安全運(yùn)維管理態(tài)勢(shì)分析

通過(guò)以上兩個(gè)方面的提升，一個(gè)管理規(guī)范、日志信息存儲(chǔ)安全的局面逐步建立起來(lái)。想要借助信息化手段進(jìn)一步提高安全運(yùn)維效能，提高日志信息用于安全攻擊、安全預(yù)警和分析，需要一套安全態(tài)勢(shì)感知預(yù)警平臺(tái)。該平臺(tái)可在原有日志信息的基礎(chǔ)上進(jìn)行大屏展示、安全攻擊形勢(shì)分析、安全攻擊預(yù)警分析、安全故障預(yù)警、安全運(yùn)維分析以及進(jìn)行運(yùn)維工單管理。態(tài)勢(shì)感知平臺(tái)的PC端可進(jìn)行日常監(jiān)控展示和重大事件調(diào)度，平臺(tái)的手機(jī)端可進(jìn)行遠(yuǎn)程值班、值守監(jiān)控。安全運(yùn)維態(tài)勢(shì)感知平臺(tái)的建立是的安全運(yùn)維工作有了質(zhì)的提升，為日志信息更好服務(wù)日常運(yùn)維提供了平臺(tái)基礎(chǔ)。

4.4 實(shí)施雙因子認(rèn)證

安全管理機(jī)制的建立提升了安全運(yùn)維管理規(guī)范性，日志收集服務(wù)器提供了大容量、兼容性高的日志服務(wù)器，態(tài)勢(shì)感知平臺(tái)提供了統(tǒng)一的安全調(diào)度、預(yù)警監(jiān)測(cè)中心。雙因子認(rèn)證技術(shù)是解決網(wǎng)絡(luò)安全設(shè)備、服務(wù)器等設(shè)備登錄安全問(wèn)題，解決非法入侵攻擊后清理日志信息的問(wèn)題，也是用于提升安全運(yùn)維的另一個(gè)重要支撐保障。借鑒目前銀行支付使用的手機(jī)短信驗(yàn)證，我們采用了基于手機(jī)短信認(rèn)證和原有用戶名密碼認(rèn)證結(jié)合的雙因子認(rèn)證方法。同時(shí)，將短信認(rèn)證日志信息接入統(tǒng)一日志收集服務(wù)器，形成日志信息閉環(huán)管理，全面提升日志信息助力安全運(yùn)維的保障能力。

5 結(jié)語(yǔ)

總之，通過(guò)建立規(guī)范的管理機(jī)制，搭建統(tǒng)一的日志信息收集、存儲(chǔ)、分析系統(tǒng)，進(jìn)行日志信息安全態(tài)勢(shì)預(yù)警分析結(jié)合雙因子認(rèn)證，挖掘日志信息的價(jià)值，可全面提升各部門的安全運(yùn)維管理水平，更有力保障業(yè)務(wù)應(yīng)用系統(tǒng)安全穩(wěn)定運(yùn)行。

參考文獻(xiàn)：

[1] 付洋. 大中型企業(yè)IT運(yùn)維管理簡(jiǎn)述[J]. 科技經(jīng)濟(jì)導(dǎo)刊，2016（13）：202-202.

[2] 劉昕林，張華兵，張海濤. 日志搜索分析管理系統(tǒng)的研究與應(yīng)用[J]. 信息與電腦，2017（9）：81-82.

[3] 石健行. IT運(yùn)維管理中局域網(wǎng)及網(wǎng)絡(luò)安全的應(yīng)用分析[J]. 信息與電腦，2018（6）：198-199，202.

[4] 胡沐創(chuàng). 大數(shù)據(jù)日志分析平臺(tái)應(yīng)用探索與實(shí)踐[J]. 金融科技時(shí)代，2018（1）.

【通聯(lián)編輯：王力】