基于區塊鏈的日志審計安全平臺建設

◆白娟

（北京第二外國語學院 北京 100024）

1 引言

信息技術的快速發展給人類社會生活注入新的活力，電腦端及移動端的各類網絡應用與人們生活結合得越來越緊密，在信息技術造福人類的同時，也給了一些黑客帶來了可乘之機，使得信息系統被攻擊的可能性大大增加。隨著網絡安全技術的不斷發展，安全防護系統對一些異常攻擊進行了有效阻攔與隔斷。面對日益頻繁的網絡嗅探與攻擊，即使是強大的網絡防火墻、入侵檢測系統和反病毒軟件都無法保證系統的絕對安全。在這樣的情況下，審計系統應運而生，審計系統通過記錄系統中發生的事件，對各種操作行為進行溯源及分析，從而具備記錄、智能分析、監測、控制和處理等功能。

審計系統一般都具有強大的日志收集、自定義日志解析、完整日志分析、日志搜索引擎、日志歸檔等多種管理及分析功能，由于現有的審計系統存在權限劃分不清晰、信息有可能被篡改的問題，因此，有必要建設一套基于區塊鏈的審計系統，既保留原系統功能，同時可進一步加強賬號的管控能力，利用區塊鏈技術中可溯源的特性，提高數據日志的安全服務能力。

2 建設目標

基于區塊鏈的日志審計平臺通過抓取賬號數據庫數據，不斷通過區塊鏈的加密、驗證及上鏈來形成區塊私有鏈體系。安全審計平臺以安全事件為中心，以全面審計和精確審計為基礎，對系統的各類操作行為進行監視并記錄，以郵件或者短信的方式及時發出告警信息。并通過大數據搜索技術形成高效查詢審計報告，定位事件原因，以便日后查詢、分析、過濾，實現對目標系統的用戶操作的監控和審計，為信息安全保護提供必要的依據。

系統建設目標如下：

（1）對日志數據進行自主分類，根據日志的重要性等級，將日志數據存儲到區塊鏈上，并允許進行加密處理，實現對日志數據的知悉范圍進行控制。

（2）具備關鍵數據信息加密能力，通過密鑰生產管理中心生成系統公私鑰對（mpk 和msk），對關鍵數據信息生成、保存和分發系統中公私鑰數據，實現關鍵數據信息在網絡中的密文傳播。

（3）具備關鍵數據信息比對防篡改能力，共識節點群收到已被加密的密文關鍵數據信息后通過門限算法的區塊鏈共識機制驗證其有效性，驗證成功后形成新節點納入現有公認的區塊鏈中，通過區塊鏈已上鏈的數據自動比對業務現有數據，實現關鍵數據信息防篡改功能。

（4）具備數據操作行為要素的輸出能力，以預警為主，以圖形化展示為主要方式為安全行為審計人員提供直觀、強大且清晰的讀寫狀況輸出。

（5）基于多種協議進行日志采集，真正實現日志統一采集，集中管理和高效監控，提高日志管理能力，實現高效管理。

（6）通過郵件、短信、聲音等方式進行發送告警，第一時間通知日志管理相關人員，快速定位并處理，提高設備預警能力，提升運維效率，降低應用風險。

3 具體建設內容

3.1 區塊鏈安全審計實現原理

本系統是基于區塊鏈技術的日志審計平臺，處理服務器向密鑰管理服務器申請簽名公私鑰對和密鑰，區塊鏈服務器向密鑰管理服務器申請簽名公鑰。在數據處理及傳送過程中，均使用加密技術進行數據加密及傳送。處理服務器采集數據并加密生成A，對加密密鑰再加密生成B，以私鑰對A 和B 數字簽名生成N；處理服務器向區塊鏈服務器發送A、B 和N，并由區塊鏈服務器以公鑰驗證有效后將數據置入數據緩沖區。該系統利用區塊鏈技術不可算改的特性在業務系統中添加使用區塊，保障關鍵數據不可篡改，提升數據安全性。

3.2 平臺架構

基于區塊鏈的日志審計平臺采用分布式系統架構，主要由以下三部分組成：

（1）數據輸入；提供人員信息、財務信息等敏感數據的操作口志，并通過第三方工具將數據傳入數據處理服務。

（2）數據處理：數據處理服務通過向密鑰服務申請加密密鑰，以及區塊鏈集群向密鑰服務申請簽名公并以數字簽名形式生成加密數據。該服務向區塊鏈集群發送加密數據，并由區塊鏈集群驗證有效后將數據置入數據緩沖區，若區塊生成條件滿足后則生成新的區塊。

（3）數據輸出：展示端可通過PC、移動設備等不同終端，向區塊鏈集群請求查詢數據，獲得數據資源，進而呈現數據信息。

3.3 功能組成

系統具體功能如下圖1 所示：

圖1 系統功能

（1）采集操作數據、形成日志系統

在詳細確定數據庫賬號權限的情況下，增加數據訪問賬號，使用第三方工具采集網絡設備、服務器設備、應用程序等數據操作日志和系統日志，對數據做統一化處理。

（2）日志分類及整理

為保證敏感業務數據和操作日志等數據的機密性，需要將其加密后上鏈。為保證加解密的效率和安全性，選擇相應算法且加密密鑰從自有密鑰服務器中直接獲取。

（3）數據簽名與驗簽、形成日志池

為了防止加密后的數據被惡意篡改，需要將加密的數據簽名，此處采用RSA 算法且簽名與驗簽的密鑰對同樣從自有密鑰管理服務器中直接獲取。經過簽名與驗簽的數據再統一整理后，形成日志池。

（4）數據上鏈

數據上鏈即將通過驗證的數據，在各節點通過共識機制達成一致后將其寫入區塊鏈的程。此目標建設是一條私鏈，因此采用的共識機制算法是門限數字簽名。

（5）數據解密及比對

提供入口實現數據快速對比、異常操作行為評判和已上鏈原始數據下載，可選擇進行人工比對或自動比對。人工比對指提供數據比對入口，對異常數據進行告警，能夠提供多維度的篩選條件，用戶可隨時進行人工自查比對，比對結果列表支持分頁，異帶操作行為判斷和異常數據告警。同時可查看己上鏈原始數據，支持多種格化下載。自動比對指系統自動將區塊鏈上的數據與數據庫的數據進行智能比對，并對異常數據進行判斷，包括刪除、篡改和插入行為等。

（6）后臺管理

通過后臺管理模塊實現日志審計平臺運行情況的監控、用戶權限管理、安全告警分析等功能，為日志審計平臺安全運行提供基礎保障。

4 建設特點

綜合而言，本系統的建設特點如下：

（1）全面審計：能夠審計所有來源，包括所有訪問數據庫的路徑、數據庫操作，還支持對加密網絡的審計。

（2）精確審計：通過U 盾、CA 認證信息整合和應用程序賬戶來精確的識別操作人，可以精確的識別來自于B/S 架構的瀏覽器終端信息，支持加密網絡傳輸、應用程序注入和假冒檢測等獨有功能。

（3）法規遵循安全報表：定制各種法規遵循向導和報表，以方便用戶完成法規遵循。遵循系統內置的法規遵循主要包含：等級保護（二級和三級）、個人數據保護要求、防統方法規、SOX 法案、PCI-DSS法案、HIPAA 法案、GLBA 法案，以及數據庫安全最佳實踐。

（4）未知威脅的智能化告警：對于任何不認識的新面孔和操作進行識別并告警：包括新發現的IP 地址、應用程序、數據庫賬戶、應用賬戶，訪問對象、訪問操作、SQL 語句等，進行重點分析和告警。

4.5 日志報表：具有豐富可定制的報表分析系統。

日常工作報表：運維人員可通過以下任意方式、在每日工作結束之后提供數據庫審計報表。常規性報表：日報，周報和月報，完成不同側重點的報告。綜合性報表：可以根據常規性報表搭配而成，這樣只需要查看一個報表即可。自動化管理：不同人員可以按需定制不同報表，報表完全自動化生成并且可以自動通過郵件傳遞。

4.6 審計管理

（1）告警量不泛濫：實時處理的告警引擎可以使安全事件快速發布，重復性事件自動合并和過慮，減少不必要的告警量，還提供大數據搜索引擎確保基于復雜搜索定制。

（2）單條事件分析和回溯：以當前事件為基礎，進行不同角度的統計分析。也可以基于該事件，從數據庫登錄到當前操作進行一致性回溯。

（3）同類事件回顧：如果相同的安全審計事件曾經發生過，可以進行回顧分析。

（4）自定義和個性化訂閱；高度靈活的告警規則，達到精細化事件告警，不同身份的人可以按需訂閱相關告警事件。

5 應用價值

基于區塊鏈的日志審計平臺在實際應用中，可產生重要的使用價值，具體如下：

（1）應用價值：采用集中化的統一管理平臺，將日志信息收集到平臺中，進行信息資產的統一日志管理；多維度、跨設備、細粒度的關聯分析，打破信息孤島，自動進行日志審計，快速發現潛在安全事件；對各類風險和安全事件進行實時監控告警，保障資產數據安全。該平臺不但利用了區塊鏈的安全特性，即不可算改性；同時彌補了區塊鏈技術的查找效率低的問題，因此應用價值顯著。

（2）安全價值：日志數據采用對稱加密或非對稱加密或者其他加密算法進行處理，旨在對日志數據的機密性、完整性進行保證。由于數字簽名具有的不可更改性，從而滿足防篡改性，保障數據安全。

（3）效率價值：基于區塊鏈的日志審計系統中公私鑰的產生，以及對數據采集網關簽名的驗證，這些操作都可在秒級完成，因此效率較高；在數據采集階段完善的數據采集工具的采集可達百萬條每秒的速度，因此該階段不會是該系統效率瓶頸；在數據下鏈階段采用引入數據庫的方式，讓整個下鏈過程非常快速。因此綜合面言，該系統的工作效率較高。