網御日志管理系統在民航網絡的應用

寧召宇

摘要：目前民航網絡系統中大多數網絡設備都需要采用日志的方式對設備自身行為，包含一系列的網絡事件進行記錄，系統管理員可以借助日志審計系統記錄的這些數據實現對信息系統高效、快捷的維護。日志審計系統可有效解決民航信息數據盜取、旅客隱私數據被侵犯等問題，能夠很大程度的降低民航生產網絡信息泄露的風險。

Abstract： At present， most network devices in civil aviation network systems need to use logs to record the device's own behavior， including a series of network events to record. System administrators can use the data recorded by the log audit system to achieve efficient and fast maintenance of information systems. The log audit system can effectively solve the problems of theft of civil aviation information data and violations of passenger privacy data， and can greatly reduce the risk of information leakage in civil aviation production networks.

關鍵詞：日志審計系統;系統維護;信息泄露

Key words： log audit system;system maintenance;information leakage

中圖分類號：V260.5 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文章編號：1006-4311（2020）06-0282-02

0 ?引言

系統管理員可以通過對信息系統運行過程中產生的相關日志分析來檢驗信息系統安全機制的有效性，這就是安全日志審計。日志產生、收集、審計分析以及存儲的全過程是日志的分析和管理。系統管理員能夠通過日志審計系統及時的監管網絡設備及信息系統的運行狀況。日志審計系統能夠幫助系統運維人員及時發現民航信息系統來自非法軟硬及系統的入侵及攻擊，并且對系統運維人員自身的違法、違規操控及信息的泄露會留下相關的操作記錄，為事后運維人員對信息系統問題的分析和公安機關的調查取證提供了相關的信息[1]。

國家也發布了相關的法律法規文件，要求企業生產網絡要有必要的日志審計設備，如：GB/T 22239-2008《信息安全技術 信息系統安全等級保護基本要求》對于二級以上信息系統，在網絡安全、網絡設備、服務器主機安全和終端主機安全等相關需求中明確要求了信息系統必須進行安全審計[3]。日志審計系統恰好是符合這些需求的最基礎的方法。

1 ?民航網絡系統日志管理困難重重

現在網絡運維人員從事日志審計這一項工作面臨重重問題，主要表現為以下幾個問題：①日志分散。②日志格式不統一。③日志量巨大。

1.1 日志分散

民航網絡中的信息系統和服務器主機、終端主機以及各種網絡設備在生產運行過程中都會產生大量的日志信息。這些軟硬件設備產生的日志信息分別存放在各自的硬盤上，可以通過控制臺對每個設備的日志信息進行查看和審計，傳統的日志審計模式給系統運維人員增加了很大的工作量，由于設備的種類和數量較多，查看并分析這些設備的日志信息對系統運維人員來說就是噩夢，系統運維人員和日志審計員根本沒有精力和時間去查看這么多控制臺，因此日志審計效率低下，對日志信息的分析結果并不準確[2]。

1.2 日志格式不統一

由于設備類型及型號不統一因此服務器主機或者網絡安全設備產生的日志格式都不一樣，日志類型及編碼方式都不一樣。即使是表達同樣一個操作的日志記錄日志呈現給用戶的編碼類型都是各不相同的。例如同樣是設備關機、啟動、死機產生的相關的日志信息，聯想服務器主機和戴爾服務器主機、防火墻中的描述方式也各不相同。因此傳統的審計方法給系統運維人員增加了很大的工作量。同時也加大了運維人員的維護對系統的維護難度。

1.3 日志量巨大

由于絕大多數的服務器主機設備和網絡安全設備都是全年不間斷運行，這些設備產生的日志信息是非常龐大的。例如大型的服務器主機每小時就能夠產生成千上萬條日志記錄，所以企業全網的網絡安全設備當日產生的日志量是非常龐大的，日志量基本都是以百GB的量存儲。系統運維人員及審計員去查看和審計這些日志的工作量是非常大的。由于每天產生的日質量龐大把這些日志安全的存儲也是一個技術難題。

系統運維人員需要日志審計，更需要應對所面臨的挑戰。審計員和系統運維人員要從處理流程、組織策略以及技術體系等幾個方面進行分析，系統運維人員應當利用日志審計系統來為企業的信息系統的維護和審計等工作提供技術方面的支持。同時，日志審計系統還要能夠完成對生產網絡中運行的各種網絡設備產生的海量日志實行匯集，同時還要對不同的設備日志格式進行合并、規范化、集中化的描述，實現對日志信息的存儲、分析及展示[3]。

2 ?網御日志管理系統在網絡部署及優勢

2.1 民航網絡日志審計設備的部署

在內網安全管理區旁路方式部署日志審計設備，通過SNMP Trap、Syslog、ODBC＼JDBC、文件＼文件夾、WMI、FTP、SFTP、NetBIOS、OPSEC等多種方式完成日志收集，利用主動和被動兩種方式，支持擴展分布式存儲（可根據日志規模大小進行分布式存儲）、備份、索引、全文檢索等并給用戶提供導出報告、報表的功能。系統運維人員可通過這些報告分析出生產網絡設備的整體安全運行態勢，可以對網絡中的各種信息設備產生的日志進行管理[4]。網御產品部署拓撲圖如圖1所示。

2.2 網御日志審計設備在民航網絡的優勢

2.2.1 集中化日志系統的審計

網御日志系統為用戶提出完善的日志審計功能，為不同層級運維人員和用戶呈現出多層次、多視角的審計權限。網御日志審計系統首界面給用戶呈現出一個全面的信息系統展示儀表板，信息系統運維技術員可以在一個顯示大屏中看到整個企業生成網絡中的所有設備類型，能夠實時監測到日志的統計圖表并能夠導出日志記錄的詳細信息表以及信息系統的警告、待處理的日志信息等。運維人員還能夠自定義儀表板，根據自身的需求、習慣來布局儀表板顯示的內容，能夠給不同權限的角色賬戶確定不同維度的儀表板。

日志審計系統給用戶提供了實時的審計圖表，運維人員能夠依據系統不間斷的實時監測網絡設備的運行狀態及運行策略，可以從多維度觀測日志來確定網絡設備安全事件的走向，還能夠通過日志信息對信息事件的調查及記錄信息的提取提供依據。系統運維人員通過日志審計平臺能夠不間斷的監視信息系統的服務器主機、防火墻設備、網關設備以及信息系統的終端主機等網絡設備產生的高危安全事件;還能夠實時檢測到各部門、安全域、每個業務系統的重要的安全事件。同時系統管理員也可以實時監運維人員以及終端用戶違規登錄、推出、配置等操作行為。日志審計系統可以對非常重要數據庫服務器主機及終端主機入侵攻擊事件都可以起到檢測及預警的功能。

系統提供了統計視圖，審計員可以根據內置或者自定義的統計策略，從日志的多個維度實時進行安全事件統計分析，并以柱圖、餅圖、堆積圖等形式進行可視化的展示[5]。審計員可以查看一段時間內的主機流量排行、主機登錄失敗次數排行、活躍病毒排行、網絡設備故障排行、最多訪問用戶排行，等等。

系統提供了日志查詢功能，用戶可以制定查詢策略，針對歸一化后的日志或者原始日志進行綜合條件查詢和模糊查詢。系統提供了規則關聯、統計關聯等分析方法，通過建立科學的分析模型，協助用戶對日志的分析深度與安全事件的識別準確度得到進一步的提升。

2.2.2 支持多種采集協議

為了最大程度地采集各種廠商、各種類型的日志信息，系統沒有強求審計數據源必須具備什么日志協議，而是支持通過多種協議方式采集日志。這些協議包括并不限于：Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等等。

2.2.3 對用戶網絡和業務影響最小

LEADSEC-RS在實現對用戶網絡中的IT設施進行集中日志審計的同時，采取多種技術手段，力求對用戶網絡和業務的影響最小化。如表1所示。

2.2.4 完善的系統自身安全性保證

具備完善的自身安全性設計，保證系統自身的安全等級符合用戶的整體安全策略[6]。系統的自身安全性保證主要體現在三個方面，如表2所示。

2.2.5 無縫向安全管理平臺擴展

日志審計系統主要功能是收集異構的安全日志，進行存儲、分析、告警和報告。作為長期發展規劃，實現安全管理平臺是最終目標。

安全管理平臺不僅包括安全日志（事件）管理，還包括資產管理、業務管理、設備應用性能管理、安全風險管理、安全運維管理（工單流程、知識庫）和安全態勢感知等。LEADSEC-RS安全管理平臺采用與LEADSEC-RS完全相同的技術框架，因此，安全管理平臺建設可以在現有日志審計系統基礎架構上，通過熱插拔的方式實現安全管理的其他功能模塊，實現向安全管理平臺的無縫擴展。

3 ?結束語

針對民航網絡系統的特點，網御日志審計系統能夠為運維人員提供基于分組管理的功能，運維人員在控制臺能夠可清楚看到民航網絡的組織結構，系統管理員可按組進行統一的策略配置。民航網絡系統安裝調試聯想網御內網安全管理系統后，可以規范到內網用戶的網絡行為，提高民航內網的安全性，降低管理員維護難度，為推動民航信息化向縱深發展創造了有利條件。

參考文獻：

[1]國投瑞銀基金借助網御神州日志審計系統強化內控[J].信息安全與通信保密，2009（06）：42-43.

[2].醫院內網如何保障安全——聯想網御內網安全管理系統在醫療行業的應用[J].信息安全與通信保密，2008（10）：36.

[3]樊建永.日志綜合審計系統在高校中的應用研究[J].衛星電視與寬帶多媒體，2019（12）：35-37.

[4]汪琳.基于電子日志分析的信息化審計模式研究[J].金融科技時代，2018（12）：43-46.

[5]張玉暉.寧夏高速公路聯網系統網絡安全防護的實現策略與基本技術要求[J].中國設備工程，2018（22）：210-211.

[6]樊建永.日志綜合審計系統在高校中的應用研究[J].衛星電視與寬帶多媒體，2019（12）：35-37.