本站原创摘 要 :中国移动通信集团内蒙古有限公司随着信息化技术的发展,各种类型的设备、系统的大量使用,产生了大量的日志,而对日志的有效管理、使用,将直接影响到信息化技术的效率和安全.因此,对信息化系统日志进行自动化、智能化集中管理和分析,成为信息化日志研究的新需求.
关 键 词 :分层统一
日志 移动通信
中图分类号:TN91
文献标识码:A
文章编号:1007-3973(2011)010-055-02
1.统一日志系统架构
本文介绍的统一日志系统,就满足了以上需求,统一日志系统架构该系统共分4层:管理对象层、数据采集层、应用怎么写作层、应用展现层.实现了以下功能:实时监测:从分析、审计信息网络活动的角度,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御.多维度:基于网络与主机相结合的立体型结构,横向实现了网络审计的广大,纵向实现了主机审计的细度,全方位、多角度的对网络和主机进行审计与保护.多层次:从系统级、进程级、应用级以及各协议层、应用层等多层次的对各种硬件设备、应用平台进行审计与监控.多平台:由于审计过程中,对不同的操作系统审计内容,审计方式都不相同,因此,审计系统将对现有的Windows系列、Linux、各种商用Unix等进行专有审计系统的开发.自适应:由于网络结构越来越复杂,主机资源也在不断的更新,因此,该审计系统对一些常用的主机资源有自动识别功能,并自动装载相应的审计或保护模块.关联分析:各系统、各模块、各引擎协的日志都收集到统一平台后,将进行关联分析,从而达到共同保护整个网络、主机,实现统一的日志审计,只要有一个点出现问题,就将反应在整体上.可扩展性:统一日志系统不仅能满足现有网络、主机、各系统的需求,更能适应于技术的快速发展,通过插件技术,可以自动更新和动态装载.
2.统一日志系统功能
通过采集各种网络设备、安全设备、操作系统及系统软件平台的安全事件日志及各种消息、主动探测运行状态等手段,全面地监测、记录信息系统各部分的动态信息及配置变更,提供实时告警并输出各种综合分析报告,为系统管理人员提供了一个监测面广、响应及时、具有强大分析能力的信息系统.通过统一日志系统,不仅能够实现对安全事件中,对已经发生的破坏行为提供有效的追究证据,而且还能对潜在的问题起到警告作用,从而帮助管理员及时、准确的发现系统入侵行为或潜在的系统漏洞,更能够通过对主机、网络、应用系统日志的分析,使管理员今早发现性能的不足.
2.1日志采集
该系统能够实现对信息化各系统平台日志文件的采集工作,其中包括Solaris、Windows、Linux以及Oracle等.对网络及安全设备的信息源采集主要是采用通用标准协议(syslog),涉及设备包括路由器、交换机、防火墙、等网络及安全设备.
2.2统一格式
日志统一分类:减少日志间可读性方面的差距;日志统一呈现:不同日志、同样呈现方式,使管理人员脱离原始日志杂乱无章呈现方式.内容合理转换:将特殊的代码、符号进行书面化(如中文)方式呈现,加强可读性.
2.3日志数据
预处理审计系统提供基于一定策略对原始日志数据进行筛选等预处理功能,预处理工作在将原始日志存入数据库前完成统一分析防止数据丢失当与审计中心连接出现故障时,要有一定的措施防止审计数据丢失.确保该时段内的各项审计日志在连接正常之后传输到审计中心.
2.4日志存储
该系统对抓到数据包进行分析、匹配、统计,并且将信息记录下来.通过对数据流的重组,按照管理员的规则,将所有对要保护的数据库的操作都记录下来,并且还可以将语句还原.审计系统以一种安全的方式对日志进行保存,保证在线三个月的有效查询期,并提供对日志报表的导入、导出功能.
2.5实时监视
审计系统需要对部分或者全部数据源所产生的日志进行实时监视,监视及告警规则应支持灵活调整,以满足不同的监视需求.审计中心是以软件实现,提供Windows下的图形化界面,方便用户使用.它是网络管理员操作审计系统的人机界面,通过它可以设置各种审计规则;看到数据采集器发来的报警信息,查看具体的报警信息、浏览历史数据、生成各种报表等.
2.6条件查询
提供至少基于时间、源地址、目的地址、协议类型、危险级别等字段的组合查询,方便管理员对日志进行快速定位.
2.7统计报表
审计系统应能够手动或自动生成统计报表,至少能按各数据源生成报表.
3.统一日志系统技术创新
3.1分布式体系结构
统一日志系统由于是对多种硬件和多种操作系统进行全面、多角度的日志分析系统,因此,统一日志系统的总体架构就是一个分布式结构的,日志收集及审计功能,都是由分布于网络、主机等各处的功能单元协作完成,这些单元还能在更高层次结构上进一步扩展,从而能够适应网络、主机规模的扩大.分布式结构相对于集中式结构它有以下优点:扩展能力强:能够满足业务的不断发展,只需要通过扩展日志收集单元,就能够实现安全审计范围的不断扩大.兼容性:即可包含基于主机的审计,又可含有基于网络的审计,超越了传统审计模型的界限.
3.2统一日志系统设计要素
由于统一日志系统需要收集来自网络、各类操作系统、各种应用系统的日志,从而实现安全审计,而收集的各类日志,都采用不同的记录格式,因此,需要设计处理不同格式、不同节点之间的互操作,从而实现关联分析.由于在收集日志过程中,数据是需要进行网络传输的,因此,原始数据的安全就必须要考虑,必须要保证数据在传输过程中的完整性和机密性.需要完整性是为了防止入侵者通过修改传输的审计信息来掩盖其行为,需要机密性是因为传输的审计信息可能是有价值的.
3.3高级检索工具
全文检索技术是智能信息管理的关键技术之一,利用新版Oracle数据库提供了强大的全文检索功能,就可以充分利用其全文检索技术,构建复杂的大型文档管理系统.内蒙统一日志系统通过建表并装载文本,配置索引,建立索引,发出查询,索引维护,同步与优化等手段实现日志的全文检索,可以极大提高超大数据量日志表的查询速度,避免出现响应超时的情况.
3.4写作技巧自身的安全性
由于在各个主机中,安装了用于收集日志的写作技巧,因此,写作技巧自身的安全就必须要考虑.统一日志系统在写作技巧安全上采取如下设计:(1)启动安全为防止写作技巧在操作系统启动的时候,不能够自动启动,失去对采集日志主机的监控,将写作技巧作为系统的一个怎么写作,并且将启动方式锁死为自动重启,用户不能随意修改写作技巧进程状态.(2)运行安全写作技巧在运行过程中,统一日志系统也是不停的监控其状态的,防止发生进程意外终止,从而使被监控对象处于“失控”状态.具体实现方式是:统一日志系统与写作技巧之间定期通信,写作技巧向收集系统发送一个存活标志,控制台如果一段时间收不到这个标志,那么,就说明这个写作技巧存在问题了.
4.总结
统一日志系统作为信息化平台管理的一个不可缺少的工具,充分做到了按照层次实现日志的采集、审计等功能,真正做到了将各类日志汇聚到一个平台,实现关联分析,达到事前、事后的全面审计.