电力企业日志审计系统的建构及应用

潘榕 国网浙江松阳县供电有限公司

电力企业是高技术密集产业，行业应用信息化技术特点，我国电网形成电压高的大容量电网体系，电力通信网络覆盖全国地区，渗透到电力行业电力生产与管理中。信息化技术在电力企业广泛应用，促进了业务快速发展，同时为电力企业带来新的困扰。信息化带来开放化导致非法访问等技术入侵问题，内部人员操作不当导致信息泄露等信息安全问题。电力企业信息化建设信息设备硬件等不断增多，如何实现电力企业信息系统日志审计，成为企业信息化管理面临的首要问题。本文全面梳理企业网络平台基础上，开展日志审计系统建设，加强公司管理力度，确保信息技术安全可控。

一、理论基础与电力企业日志审计系统需求分析

安全审计领域研究始于90年代末，Anderson首先提出系统日志信息进行安全审计的思想，日志审计是安全防护的手段，由于网络平台建立，基于日志审计安全监控工作日益重要，建立安全管理措施，根据以往记录寻找危险行为人员，通过追究非法行为制止用户侥幸心理。

日志安全审计包括基础网络审计，各类数据库审计，针对服务器审计，针对信息系统审计。为加强日志安全审计智能性，日志审计系统利用规则库为基础分析方法，决策支持智能分析应用[1]。UML具有使用方便，可视化等特点，利用UML可进行系统需求分析，进行软件设计开发工作，包括用例图，序列图等。目前常用日志采集方式包括Telnet采集等，系统设计按照客户要求采用SNMP Trap方式完成原始日志采集。

系统需求调研包括与用户交谈，汇总形成需求说明书。区分不同层次需求，区分需求优先级别，形成需求后通过走访使用日志是审计系统情况，了解需求与原系统差异，对业务需求进行直接补充，将客户需求汇总形成说明书，系统功能性需求包括被监控设备配置，审计规则配置，审计事件采集，日志功能管理等。系统非功能需求包括性能需求，系统安全与数据质量。

二、电力企业日志审计系统设计

安全日志审计管理系统包括服务层，业务层与数据层。数据层由数据库组成，对原始数据操作层，数据层对日志审计系统产生配置信息等数据存储，提供数据库增删修改等操作接口。业务层负责对业务分析处理，针对数据层审计信息数据筛分，提取可用应用逻辑层使用人工审计信息。

很多电力企业实现信息系统集中部署，在电力企业日志采集系统采集服务器各网络设备等设备系统日志，进行分析归并向用户展示。系统包含审计日志采集，审计日志分析与展示系统。审计日志采集系统包括标准化功能模块。日志审计管理系统收集有关系统发布日志消息。采集配置模块实现提供友好界面，用户可在操作界面配置采集方式，对Syslog方式参数配置。原始日志信息来源不同设备，收集日志信息不同，为便于数据存储应用，需对收集到日志统一标准化。

审计日志分析子系统有日志筛选，规则管理与信息分析子功能。审计日志信息筛选是根据筛选策略提取审计信息，包括日志筛选条件，抽样方式等信息。筛选策略可配置为周策略，筛选策略有生效日期[2]。日志分析模块对筛选信息分析，依据审计规则，甄别异常行为，通知管理人员发布警告，操作内容包括权限管理，业务操作与涉密信息等。审计规则系统支持5W1H审计分析模型，新建不同审计规则从审计信息中分析异常行为，在审计预警中可使用，根据5W1H原则制定审计规则，审计规则制定由审计规则管理模块实现，规制配置支持基于时间周期规则配置。

数据库设计是以用户需求为基础，对系统需求数据库结构设计，包括需求分析，验证设计[3]。日志审计系统主要数据库表包括IP包日志，Logs数据库用于存放主机日志文件，对其网络日志进行讨论，不同日志文件记录格式不同。IP数据包根据协议记录相应日志文件中。从系统级安全方面进系统安全设计行。系统级安全包括访问IP段限制，连接数限制等。提供完善安全机制，系统确保数据安全性，具有多层次数据备份机制，提供登录访问日志，系统记录用户操作进行追踪调查，具有日志记录功能，对日志进行查询备份。

三、电力企业日志审计系统实现与评估

按照统一建模语言要去，对子系统，审计日志采集，审计日志分析重要功能进行静态属性设计。审计日志采集模块提供良好操作界面，用户通过模块配置日志采集方式，日志采集模块通过建立信道连接实现接收Syslog的日志数据包，包括系统采集到日志信息时间，日志消息来源主机名，原始日志内容。

用户通过审计规则管理模块制定审计规则，信息包括规则创建时间，审计周期，审计类别等。审计规则是在审计规则管理模块手动添加。 用户通过审计警告管理模块看到告警日志，门口界面是告警日志列表，方便用户筛选告警信息。审计报表模块用以报表管理，包括报表预览，报表自动生成等功能。User-info是抽象类，every_user_info实现user_info定义方法，Login-info定义实体类基本特征，用于表现层与服务层数据传递。

为使系统质量得到保证，对系统采用系统测试。系统测试为电力企业日志审计系统项目方案一部分，系统实施包括多方面工作。系统测试分为内部测试，用户测试，验收测试。内部测试由项目开发人员进行自测，开发人员进行模块交叉测试。集成测试内容包括联合测试组对模块进行逐项确认测试，对应用系统全面测试等。系统运行前可由甲方项目组织用户测试。应用系统经测试后形成文档，验证系统功能是否符合需求测试报告。为确保测试质量，采用压力测试工具，编写测试案例，提高测试效率，采用测试软件管理测试环节，加强测试效果。系统测试是为投用前检查发现错误，确保系统运行后圆满远程任务。

通过对系统功能单元测试，调整相应BUG，对影响功能BUG进行处理，功能手工测试通过修改，解决功能性错误，系统能正常使用。系统在测试环境下能满足160个客户端同时并发，内存量随并发量递增。经对测试结果分析，日志审计系统功能性错误修改完成，功能基本达到系统要求。通过测试系统解决系统存在问题后，系统实施是系统开发最后阶段，按开发物理模型构建适应企业设计需要系统，审计系统实施经过系统环境安装调试，编写系统文档，准备基础数据与应用反馈阶段。

结语：本文从理论实践入手，分析日志审计系统发展，分析电力企业日志审计系统功能需求，以Syslog协议为基础，开发日志审计系统，解决信息系统安全防护问题，解决企业网络安全技术问题，为系统日志数据挖掘，远程防护打好基础。在日志信息系统设计中参与信息安全管理模式分析，根据企业对日志审计需求对日志审计系统功能需求分析，通过调研进行日志审计系统软硬件选型，提出系统解决方案，完成系统功能模块流程设计。