潘榕 國(guó)網(wǎng)浙江松陽(yáng)縣供電有限公司

電力企業(yè)是高技術(shù)密集產(chǎn)業(yè)，行業(yè)應(yīng)用信息化技術(shù)特點(diǎn)，我國(guó)電網(wǎng)形成電壓高的大容量電網(wǎng)體系，電力通信網(wǎng)絡(luò)覆蓋全國(guó)地區(qū)，滲透到電力行業(yè)電力生產(chǎn)與管理中。信息化技術(shù)在電力企業(yè)廣泛應(yīng)用，促進(jìn)了業(yè)務(wù)快速發(fā)展，同時(shí)為電力企業(yè)帶來(lái)新的困擾。信息化帶來(lái)開(kāi)放化導(dǎo)致非法訪問(wèn)等技術(shù)入侵問(wèn)題，內(nèi)部人員操作不當(dāng)導(dǎo)致信息泄露等信息安全問(wèn)題。電力企業(yè)信息化建設(shè)信息設(shè)備硬件等不斷增多，如何實(shí)現(xiàn)電力企業(yè)信息系統(tǒng)日志審計(jì)，成為企業(yè)信息化管理面臨的首要問(wèn)題。本文全面梳理企業(yè)網(wǎng)絡(luò)平臺(tái)基礎(chǔ)上，開(kāi)展日志審計(jì)系統(tǒng)建設(shè)，加強(qiáng)公司管理力度，確保信息技術(shù)安全可控。

一、理論基礎(chǔ)與電力企業(yè)日志審計(jì)系統(tǒng)需求分析

安全審計(jì)領(lǐng)域研究始于90年代末，Anderson首先提出系統(tǒng)日志信息進(jìn)行安全審計(jì)的思想，日志審計(jì)是安全防護(hù)的手段，由于網(wǎng)絡(luò)平臺(tái)建立，基于日志審計(jì)安全監(jiān)控工作日益重要，建立安全管理措施，根據(jù)以往記錄尋找危險(xiǎn)行為人員，通過(guò)追究非法行為制止用戶僥幸心理。

日志安全審計(jì)包括基礎(chǔ)網(wǎng)絡(luò)審計(jì)，各類數(shù)據(jù)庫(kù)審計(jì)，針對(duì)服務(wù)器審計(jì)，針對(duì)信息系統(tǒng)審計(jì)。為加強(qiáng)日志安全審計(jì)智能性，日志審計(jì)系統(tǒng)利用規(guī)則庫(kù)為基礎(chǔ)分析方法，決策支持智能分析應(yīng)用[1]。UML具有使用方便，可視化等特點(diǎn)，利用UML可進(jìn)行系統(tǒng)需求分析，進(jìn)行軟件設(shè)計(jì)開(kāi)發(fā)工作，包括用例圖，序列圖等。目前常用日志采集方式包括Telnet采集等，系統(tǒng)設(shè)計(jì)按照客戶要求采用SNMP Trap方式完成原始日志采集。

系統(tǒng)需求調(diào)研包括與用戶交談，匯總形成需求說(shuō)明書(shū)。區(qū)分不同層次需求，區(qū)分需求優(yōu)先級(jí)別，形成需求后通過(guò)走訪使用日志是審計(jì)系統(tǒng)情況，了解需求與原系統(tǒng)差異，對(duì)業(yè)務(wù)需求進(jìn)行直接補(bǔ)充，將客戶需求匯總形成說(shuō)明書(shū)，系統(tǒng)功能性需求包括被監(jiān)控設(shè)備配置，審計(jì)規(guī)則配置，審計(jì)事件采集，日志功能管理等。系統(tǒng)非功能需求包括性能需求，系統(tǒng)安全與數(shù)據(jù)質(zhì)量。

二、電力企業(yè)日志審計(jì)系統(tǒng)設(shè)計(jì)

安全日志審計(jì)管理系統(tǒng)包括服務(wù)層，業(yè)務(wù)層與數(shù)據(jù)層。數(shù)據(jù)層由數(shù)據(jù)庫(kù)組成，對(duì)原始數(shù)據(jù)操作層，數(shù)據(jù)層對(duì)日志審計(jì)系統(tǒng)產(chǎn)生配置信息等數(shù)據(jù)存儲(chǔ)，提供數(shù)據(jù)庫(kù)增刪修改等操作接口。業(yè)務(wù)層負(fù)責(zé)對(duì)業(yè)務(wù)分析處理，針對(duì)數(shù)據(jù)層審計(jì)信息數(shù)據(jù)篩分，提取可用應(yīng)用邏輯層使用人工審計(jì)信息。

很多電力企業(yè)實(shí)現(xiàn)信息系統(tǒng)集中部署，在電力企業(yè)日志采集系統(tǒng)采集服務(wù)器各網(wǎng)絡(luò)設(shè)備等設(shè)備系統(tǒng)日志，進(jìn)行分析歸并向用戶展示。系統(tǒng)包含審計(jì)日志采集，審計(jì)日志分析與展示系統(tǒng)。審計(jì)日志采集系統(tǒng)包括標(biāo)準(zhǔn)化功能模塊。日志審計(jì)管理系統(tǒng)收集有關(guān)系統(tǒng)發(fā)布日志消息。采集配置模塊實(shí)現(xiàn)提供友好界面，用戶可在操作界面配置采集方式，對(duì)Syslog方式參數(shù)配置。原始日志信息來(lái)源不同設(shè)備，收集日志信息不同，為便于數(shù)據(jù)存儲(chǔ)應(yīng)用，需對(duì)收集到日志統(tǒng)一標(biāo)準(zhǔn)化。

審計(jì)日志分析子系統(tǒng)有日志篩選，規(guī)則管理與信息分析子功能。審計(jì)日志信息篩選是根據(jù)篩選策略提取審計(jì)信息，包括日志篩選條件，抽樣方式等信息。篩選策略可配置為周策略，篩選策略有生效日期[2]。日志分析模塊對(duì)篩選信息分析，依據(jù)審計(jì)規(guī)則，甄別異常行為，通知管理人員發(fā)布警告，操作內(nèi)容包括權(quán)限管理，業(yè)務(wù)操作與涉密信息等。審計(jì)規(guī)則系統(tǒng)支持5W1H審計(jì)分析模型，新建不同審計(jì)規(guī)則從審計(jì)信息中分析異常行為，在審計(jì)預(yù)警中可使用，根據(jù)5W1H原則制定審計(jì)規(guī)則，審計(jì)規(guī)則制定由審計(jì)規(guī)則管理模塊實(shí)現(xiàn)，規(guī)制配置支持基于時(shí)間周期規(guī)則配置。

數(shù)據(jù)庫(kù)設(shè)計(jì)是以用戶需求為基礎(chǔ)，對(duì)系統(tǒng)需求數(shù)據(jù)庫(kù)結(jié)構(gòu)設(shè)計(jì)，包括需求分析，驗(yàn)證設(shè)計(jì)[3]。日志審計(jì)系統(tǒng)主要數(shù)據(jù)庫(kù)表包括IP包日志，Logs數(shù)據(jù)庫(kù)用于存放主機(jī)日志文件，對(duì)其網(wǎng)絡(luò)日志進(jìn)行討論，不同日志文件記錄格式不同。IP數(shù)據(jù)包根據(jù)協(xié)議記錄相應(yīng)日志文件中。從系統(tǒng)級(jí)安全方面進(jìn)系統(tǒng)安全設(shè)計(jì)行。系統(tǒng)級(jí)安全包括訪問(wèn)IP段限制，連接數(shù)限制等。提供完善安全機(jī)制，系統(tǒng)確保數(shù)據(jù)安全性，具有多層次數(shù)據(jù)備份機(jī)制，提供登錄訪問(wèn)日志，系統(tǒng)記錄用戶操作進(jìn)行追蹤調(diào)查，具有日志記錄功能，對(duì)日志進(jìn)行查詢備份。

三、電力企業(yè)日志審計(jì)系統(tǒng)實(shí)現(xiàn)與評(píng)估

按照統(tǒng)一建模語(yǔ)言要去，對(duì)子系統(tǒng)，審計(jì)日志采集，審計(jì)日志分析重要功能進(jìn)行靜態(tài)屬性設(shè)計(jì)。審計(jì)日志采集模塊提供良好操作界面，用戶通過(guò)模塊配置日志采集方式，日志采集模塊通過(guò)建立信道連接實(shí)現(xiàn)接收Syslog的日志數(shù)據(jù)包，包括系統(tǒng)采集到日志信息時(shí)間，日志消息來(lái)源主機(jī)名，原始日志內(nèi)容。

用戶通過(guò)審計(jì)規(guī)則管理模塊制定審計(jì)規(guī)則，信息包括規(guī)則創(chuàng)建時(shí)間，審計(jì)周期，審計(jì)類別等。審計(jì)規(guī)則是在審計(jì)規(guī)則管理模塊手動(dòng)添加。 用戶通過(guò)審計(jì)警告管理模塊看到告警日志，門口界面是告警日志列表，方便用戶篩選告警信息。審計(jì)報(bào)表模塊用以報(bào)表管理，包括報(bào)表預(yù)覽，報(bào)表自動(dòng)生成等功能。User-info是抽象類，every_user_info實(shí)現(xiàn)user_info定義方法，Login-info定義實(shí)體類基本特征，用于表現(xiàn)層與服務(wù)層數(shù)據(jù)傳遞。

為使系統(tǒng)質(zhì)量得到保證，對(duì)系統(tǒng)采用系統(tǒng)測(cè)試。系統(tǒng)測(cè)試為電力企業(yè)日志審計(jì)系統(tǒng)項(xiàng)目方案一部分，系統(tǒng)實(shí)施包括多方面工作。系統(tǒng)測(cè)試分為內(nèi)部測(cè)試，用戶測(cè)試，驗(yàn)收測(cè)試。內(nèi)部測(cè)試由項(xiàng)目開(kāi)發(fā)人員進(jìn)行自測(cè)，開(kāi)發(fā)人員進(jìn)行模塊交叉測(cè)試。集成測(cè)試內(nèi)容包括聯(lián)合測(cè)試組對(duì)模塊進(jìn)行逐項(xiàng)確認(rèn)測(cè)試，對(duì)應(yīng)用系統(tǒng)全面測(cè)試等。系統(tǒng)運(yùn)行前可由甲方項(xiàng)目組織用戶測(cè)試。應(yīng)用系統(tǒng)經(jīng)測(cè)試后形成文檔，驗(yàn)證系統(tǒng)功能是否符合需求測(cè)試報(bào)告。為確保測(cè)試質(zhì)量，采用壓力測(cè)試工具，編寫(xiě)測(cè)試案例，提高測(cè)試效率，采用測(cè)試軟件管理測(cè)試環(huán)節(jié)，加強(qiáng)測(cè)試效果。系統(tǒng)測(cè)試是為投用前檢查發(fā)現(xiàn)錯(cuò)誤，確保系統(tǒng)運(yùn)行后圓滿遠(yuǎn)程任務(wù)。

通過(guò)對(duì)系統(tǒng)功能單元測(cè)試，調(diào)整相應(yīng)BUG，對(duì)影響功能BUG進(jìn)行處理，功能手工測(cè)試通過(guò)修改，解決功能性錯(cuò)誤，系統(tǒng)能正常使用。系統(tǒng)在測(cè)試環(huán)境下能滿足160個(gè)客戶端同時(shí)并發(fā)，內(nèi)存量隨并發(fā)量遞增。經(jīng)對(duì)測(cè)試結(jié)果分析，日志審計(jì)系統(tǒng)功能性錯(cuò)誤修改完成，功能基本達(dá)到系統(tǒng)要求。通過(guò)測(cè)試系統(tǒng)解決系統(tǒng)存在問(wèn)題后，系統(tǒng)實(shí)施是系統(tǒng)開(kāi)發(fā)最后階段，按開(kāi)發(fā)物理模型構(gòu)建適應(yīng)企業(yè)設(shè)計(jì)需要系統(tǒng)，審計(jì)系統(tǒng)實(shí)施經(jīng)過(guò)系統(tǒng)環(huán)境安裝調(diào)試，編寫(xiě)系統(tǒng)文檔，準(zhǔn)備基礎(chǔ)數(shù)據(jù)與應(yīng)用反饋階段。

結(jié)語(yǔ)：本文從理論實(shí)踐入手，分析日志審計(jì)系統(tǒng)發(fā)展，分析電力企業(yè)日志審計(jì)系統(tǒng)功能需求，以Syslog協(xié)議為基礎(chǔ)，開(kāi)發(fā)日志審計(jì)系統(tǒng)，解決信息系統(tǒng)安全防護(hù)問(wèn)題，解決企業(yè)網(wǎng)絡(luò)安全技術(shù)問(wèn)題，為系統(tǒng)日志數(shù)據(jù)挖掘，遠(yuǎn)程防護(hù)打好基礎(chǔ)。在日志信息系統(tǒng)設(shè)計(jì)中參與信息安全管理模式分析，根據(jù)企業(yè)對(duì)日志審計(jì)需求對(duì)日志審計(jì)系統(tǒng)功能需求分析，通過(guò)調(diào)研進(jìn)行日志審計(jì)系統(tǒng)軟硬件選型，提出系統(tǒng)解決方案，完成系統(tǒng)功能模塊流程設(shè)計(jì)。