鉆井企業安全信息事件管理SIEM系統的設計與實現

關鍵詞：數據安全；數據治理；網絡安全；SIEM，數據融合

0 引言

2022年，長慶油田躋身我國產量最大的油田之列。其勘探范圍高達37萬平方公里，橫跨陜甘寧晉蒙五省區，16個地市，61個縣（旗），各單位分布廣泛。每天，來自各單位的鉆井數據都匯聚到長慶鉆井總公司的信息中心。由于網絡層級多，覆蓋范圍廣，企業網絡安全面臨巨大挑戰，因此構筑完善的網絡安全體系以確保正常的生產生活顯得尤為必要[1]。目前，長慶鉆井總公司已在網絡安全方面投入大量資金，購置了防火墻、入侵檢測系統IDS、漏洞掃描、入侵防御系統IPS、Web應用防護系統WAF等設備。每個系統都有獨特的功能和各自產生的日志。如果管理員頻繁查看各個系統的信息，將會消耗大量精力和時間，也會影響對突發事件的響應速度[2]。如何將這些來自各個產品的安全信息和安全事件記錄融合起來，形成一個安全信息事件管理（SIEM） 系統，已成為一個新的研究熱點[3]。本文介紹了一種采用開源工具組合定制開發的安全信息事件管理SIEM系統，探索了一套安全信息融合的解決方案，并在小范圍實驗中取得了較為理想的結果。

1 安全信息事件管理SIEM 系統的構建

在過去幾年里，長慶鉆井總公司響應中國石油天然氣集團的號召，開展了鉆井數據的分類分級工作，已取得了一定成果。前期的工作為深化數據治理奠定了堅實的基礎，接下來如何保障數據合規高效地共享，進一步筑牢網絡安全與數據安全的防線，加強數據管控能力就成為當前工作的重點[4]。

安全信息和事件管理SIEM系統是一種集成了安全信息管理（SIM） 和安全事件管理（SEM） 的綜合性網絡安全強化方案，主要用于實時監控其他設備或應用軟件提供的安全信息日志或事件報告，融合分析并報告潛在威脅或已發生的安全事件[5]。SIEM的主要功能有：

1） 收集管理各種設備日志：采集來自網絡安全設備、服務器程序、操作系統等的日志信息，并存儲這些信息，為其建立索引以供將來分析與取證。

2） 分析事件相關性：解析各種日志并識別其行為模式和框架，對不同來源的事件進行關聯分析，構建可視化的安全事件視圖。

3） 及時警報：根據預先設定好的規則和識別算法，及時發現安全威脅，生成警報，通知網管人員對安全威脅采取應對措施。

4） 用戶友好的可視化界面：提供快捷的數據分析工具，幫助識別復雜的威脅模式。采用儀表板的方式展現分析結果并支持自動化生成合規報告，減少人員工作量。

5） 智能化的威脅檢測：利用用戶行為輪廓分析、機器學習和人工智能技術來發現異常行為，自主識別出以前從未出現過的，新型的未知安全威脅。通過用正常的網絡行為模式進行訓練，能夠自動識別出一反常態的異常行為。

6） 事后取證和分析：支持事后調查取證，收集安全事件的相關信息，為法律訴訟提供呈堂證供。

SIEM系統通過提供融合多源信息綜合分析的工具及直觀的安全視圖，增強企業數據安全的防御力，提高對安全事件的反應速度，滿足數據治理的要求。

本文采用開源的工5d542194bc23b755be5227ffb4822cc34ad3d1693d93206447f1e0559e1864b7具ELK Stack（Elasticsearch，Logstash， Kibana） 來實現安全信息事件管理SIEM系統。SIEM系統的拓撲結構如圖1所示，Logstash從網絡設備、Apache服務器、OpenDLP應用程序和漏洞掃描設備中獲取日志文件和漏洞掃描報告。Elastic?search用于存儲從Logstash中獲取的信息，存儲并建立索引，提供搜索服務。Kibana提供了和用戶交互的友好界面，用于展示安全信息和事件的統計結果。

2 安全信息事件管理SIEM 系統的模塊

如圖1所示，安全信息事件管理SIEM系統共分為3個模塊。

2.1 信息采集模塊

信息采集模塊的核心是Logstash。它采集的數據來自DLP、漏洞掃描、服務器日志和交換機日志。針對不同形式的日志，Logstash創建配置文件，定義解析形式，并將數據輸出到數據存儲和搜索模塊。

近兩年來，長慶鉆井已經進行了卓有成效的數據治理工作，實現了部分鉆井數據的分類分級。因此，需要使用數據丟失防護DLP（Data Loss Prevention） 系統來阻止未經授權的用戶訪問敏感數據或傳輸。DLP主要工作包括：

數據識別：判定哪些數據是敏感的，這可以直接采用前期分類分級的結果。

定義策略：企業需要定義哪些數據需要保護，向哪類用戶可以開放訪問，在滿足何等條件下可以傳輸。這些可以依據本企業已制訂的《數據安全合規工作流程規范》來處理。

數據監控：DLP系統在網絡設備、存儲設備、桌面和移動設備上監控敏感數據的訪問和傳輸，保證對敏感數據的操作符合規定。

數據控制：制訂數據保護策略，阻止敏感數據泄漏到外網，或被復制到外部存儲介質上，或被打印出來。

審計報告：DLP系統可以自動生成日志，幫助企業發現數據泄漏的風險，并為訴諸法律提供呈堂證供。

本文采用的DLP系統是開源軟件OpenDLP，在內網的服務器上和私有云的虛擬機中部署了它。OpenDLP保護數據的粒度可以非常精細靈活，既可以掃描特定的數據庫中的數據表，還可以識別表中的敏感字段。此外，還能夠掃描特定目錄和文件，以及掃描保護文件中的敏感數據。在配置OpenDLP時，可以指定要掃描的庫、表、字段和文件，實現精準防護。

OpenDLP的日志文件包括：

掃描信息：記錄掃描類型（掃描數據庫還是文件）、掃描任務的起始時間。

掃描配置：記錄掃描的具體配置，例如指定目錄下的文件或指定數據庫中的表和字段。

掃描結果：記錄掃描結果，包括敏感數據的位置及數據識別規則。

安全信息：記錄發生安全違規事件所觸發的警報。

系統事件：系統停止、重啟、外部嘗試登錄等。

本文定義了一個Logstash配置文件，用于讀取、篩選和導出OpenDLP的日志文件。偽碼如下：

Logstash采集的數據源不僅包括OpenDLP，還有漏洞掃描系統的報告。本文采用OpenVAS（Open Vul?nerability Assessment System） 來掃描檢測網絡環境中的各種安全漏洞，像操作系統漏洞、應用程序漏洞、配置錯誤、沒有及時更新補丁等。OpenVAS可以生成系統掃描結果的報告，內容包括掃描找出的漏洞、危害性級別、并給出彌補措施。OpenVAS的日志可以是CSV數據表格形式也可以TXT文本。

網絡設備日志和Apache 服務器日志也是Log?stash采集的數據源。Apache服務器的日志條目如下所示：

分別對應了IP地址、用戶名、時間戳、請求方法、資源、協議、服務器狀態響應碼及對象字節數。

網絡設備日志則包括：系統事件：啟動、重啟、系統錯誤、硬件故障、配置更改。

網絡活動：端口啟用/禁用、連接成功/失敗、速率限制等。

安全事件：登錄成功/失敗、來自訪問控制列表項的訪問、端口安全違規。

資源狀況：CPU利用率、內存占用率。

2.2 數據存儲與搜索模塊

數據的存儲和搜索模塊選用了Elasticsearch 來實現。

首先，Elasticsearch是一款開源的搜索引擎，支持復雜的查詢語言、精確搜索、模糊搜索和聚合等操作。既可用于像數據庫表類的結構化數據搜索，也可用于網頁、文檔類非結構化數據的全文搜索。它具有可擴展性好、支持分布式處理、實時索引和搜索的特點。

其次，Elasticsearch本身就是一個分布式的文件存儲系統，能夠存儲結構化和非結構化的各類數據，所有類型的數據都可以轉化為JSON格式。數據一旦被索引就立刻能被搜索，非常適合實時監控和分析的應用場景。雖然Elasticsearch支持增刪改查的操作，但它并不是一個關系型數據庫。它最突出的優點是能快速地索引和檢索大量復雜的數據結構，并支持復雜數據結構的統計和分析。

采集模塊中的各個數據源有著不同結構的數據。OpenDLP中的日志文件需要自定義解析，屬于非結構化數據；OpenVAS中的數據可以是CSV數據表形式，屬于結構化數據。而網絡設備和Apache服務器日志中的每一行都是固定格式，可以看作半結構化數據。加之SIEM具有良好的擴展性，以后可能還會接入更多類型的數據，復雜多樣的數據結構，分布式存儲則正好契合了Elasticsearch的特點。因此，數據存儲和搜索模塊選擇了Elasticsearch。只要把Logstash處理過的數據輸出到Elasticsearch，它就能為它們快速地建立索引。以下偽碼表示了Elasticsearch為OpenVAS 日志建立索引。

2.3 用戶視圖模塊

用戶視圖選用的Kibana 是一個開源的數據管理平臺，界面友好，為用戶提供了豐富的可視化工具，支持各類圖表、地圖和圖形來直觀地表示數據。內置的數據分析功能可以實時監控數據變化并進行分析，還能提供數字化駕駛艙，用多個儀表盤同時顯示多路數據變化，功能十分強大。圖2是用Kibana開發的，顯示OpenDLP日志文件信息的儀表盤。該儀表盤包括三個小組件，分別是顯示檢測到的敏感數據類型分布的餅圖（標簽為"Sensitive Data Type Distribution"） 、顯示隨時間變化的事件計數的二維平面折線圖（標簽為"Incidents OverTime"） ，以及列出最近發現的包含敏感數據的日志條目的數據表（標簽為"Recent Sensitive Data Findings"） 。儀表板布局清晰，整體展現出專業的外觀。

3 結束語

長慶鉆井總公司由于具有地域分布范圍廣、數據產生量大、來源分散、傳遞層級多的特點，對網絡安全和數據安全提出了更高的要求。為了滿足日益增長的安全需求，本文在采取常規安全措施的基礎上又探索了安全信息事件管理系統SIEM的設計與開發。實際效果表明，應用SIEM系統可以更有效地提高網管人員的工作效率，幫助他們更快更早地發現并解決安全隱患，從而有力地保障了網絡和數據安全。