企业全网日志综合管理系统的设计.docVIP

企业全网日志综合管理系统的设计 　　摘 要：针对现有的企业日志管理系统存在的系统维护复杂、查询效率较低、日志数据归档繁琐等特点，引入分层模块化设计思想，并结合当前企业日志管理系统的实际运作情况，提出并设计了企业全网日志管理等模块，降低了企业日志维护管理成本，提高了企业日志综合管理水平。研究表明，该系统具有良好的机密性、完整性和可用性。 　　关键词：日志管理；网络安全；集中管理；分层模块化设计 　　中图分类号：TN409 文献标识码：A 文章编号：2095-1302（2015）04-00-03 　　0 引 言 　　随着信息化技术的快速发展，企业信息化程度逐步提高。为了提高企业各项事务的管理和运作效率，引入了企业管理信息系统[1]，比如办公自动化系统和企业资源计划系统等，各个系统在运行过程中都会产生大量的日志数据，这些数据详细记录了系统的各种事件，为企业系统地维护起到了不可替代的作用[2，3]。当前，很多企业的日志管理系统都采用分布式方式进行管理，分散的管理方式导致日志数据检索效率较低、系统维护复杂、数据归档繁琐等弊端[4，5]。随着企业信息化程度提高，各个系统日志数据量急剧增大，如何对其进行高效地管理，成为企业亟待解决的问题[6]。 　　针对当前日志管理系统存在的问题，首先分析日志审计系统在目前网络环境中的重要性以及它的作用，介绍了系统设计过程中采用的关键技术，并详细阐述了系统框架设计思想，对系统中日志事件获取模块、资产管理模块、规则库模块、统计图表功能和权限管理模块等五大模块地设计作了详细说明，其中包括每个模块所需要完成的功能及其子模块功能介绍。其次，设计了适于大型企业对日志信息进行合理管理的企业全网日志综合管理系统，解决了传统日志管理系统中存在的问题。系统采用分层模块化设计思想，分解了各层面实现过程，通过网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息，实现对企业应用系统日志记录的自动采集、分析、审计和响应，提升了企业日志管理的效率。 　　1 系统需求分析 　　根据对系统的分析可以明确，全网日志综合管理系统主要由系统边界、外网区域、业务区域及管理审计区域等四部分组成，其中系统边界主要由边界接口设备和边界安全网关等设备组成，外网区域主要资产为支付应用服务器和相应支撑设备，业务区域主要资产为支付内网应用服务器和数据库群组以及相应的支撑系统，管理审计区域主要资产为业务管理系统、业务管理终端等。 　　系统的设计目标是对上述四个区域的所有资产，根据等级保护规范的要求进行完全性审计。审计的内容包括资产事件的完全收集，如状态事件、操作事件、故障事件和业务事件等，对事件的敏感级别、收集的资产事件进行数据统计分析审计。为了利用所有的安全设施以保障信息资产和业务服务的保密性、完整性和可用性，作为一个整体化的安全信息总控中心，该系统应具备集中化、智能化、实时化、可视化、流程化及规范化等特点。 　　2 全网日志综合管理系统设计 　　2.1 系统架构设计 　　根据对全网日志综合管理系统的设计需求进行分析，为解决其面临的问题，采用分层模块化设计思想，分解系统的各层面实现过程，并规范各层的基本作用及功能。本系统主要通过网络资产设备上报的日志，实时监视网络各类操作行为及攻击信息。根据设置的规则，智能地判断出各种风险行为，对违规行为进行报警等。系统架构共包括日志事件获取模块、资产管理模块、规则库模块、统计图表功能、权限管理模块等五部分，全网日志综合管理系统架构如图1所示。 　　日志事件获取模块：安全事件监控系统是实时掌握全网安全威胁状况的重要手段之一。通过事件监控模块监控各个网络设备、主机系统等日志信息，以及安全产品的安全事件报警信息等，及时发现正在发生以及已经发生的安全事件，通过响应模块采取措施，保证网络和业务系统的安全、可靠运行。 　　资产管理模块：资产管理实现对网络安全管理平台所管辖的设备和系统对象的管理。它将其所辖IP设备资产信息按其重要程度分类登记入库，并为其他安全管理模块提供信息接口。 　　规则库模块：规则库支持主流网络设备、主机系统、数据库系统等，而且还应涵盖已经部署的安全系统，包括防火墙系统、防病毒系统等。并提供新日志格式适配功能，支持从安全运营中心平台接受新日志解析映射规则配置。用户可以根据该适配功能，对新日志格式进行自行适配。 　　统计图表功能：具备强大的统计功能，可快速生成多种专业化的报表并支持自定义图表的设定集展示。 　　权限管理模块：超级管理员可根据用户角色分配平台查看、操作各模块的权限，用户可以访问而且只能访问自己被授权的资源。 　　2.2 安全设计要求及设计目标 　　客户需要对各类信息资产进行安全审计，资产和审计要求特点：信息设备及资产种类重多；事件、日志协议繁杂；日志量较大；由