应用级系统操作日志采集技术的优劣比较
我的图书馆
应用级系统操作日志采集技术的优劣比较
在即将过去的2014年，大大小小的个人信息泄露事件频发，信息安全问题比以往任何一个年份都更为突出。购物信息、保险银行信息、开房记录、快递信息等越来越多的公民个人信息成为不法分子争抢的“香饽饽”，要么被直接出卖非法获利，要么被非法公开引起舆论哗然，要么被犯罪分子利用，从事电信诈骗、非法讨债甚至绑架勒索等犯罪活动。也正是这些信息泄漏事件的切肤之痛，让更多的网民对信息安全有了更直接、更深刻的认识，要求信息拥有者保证用户信息安全的呼声也越来越高。分析目前用户信息泄露的途径，主要有两种，一种是外部攻击，即系统存在漏洞或BUG被黑客恶意攻击导致泄露；另一种是出了内鬼，往往是内部可以接触该类信息的人员，如数据库维护人员、合法的使用人员出于个人目的将信息泄漏到外面供非法用途。在实际运行中，超过70%的IT风险是由于操作风险造成的，愈复杂的IT环境，风险存在的概率越大，通过部署安全审计系统可以帮助IT管理者有效规避一定的风险，如：特权用户的访问风险、特权用户对数据库结构的修改、特权用户账号的恶意使用、超出正常业务需求的使用、非正常时间的访问等。很多重要个人隐私信息拥有单位为加强信息安全保护，在防范外部网络入侵做了大量的工作和技术保障，但是在如何防范“内鬼”方面却做得不多，至多是做了数据库层面的防护工作，对于应用级的信息安全往往只是依赖原有应用系统自身所带的日志功能。由于一般信息应用系统自带的日志功能往往只记录用户在哪个时间进行了哪个操作，没有记录操作的具体内容或对象，所以对一些平时用户操作频繁的应用系统而言，该日志所起的事后追溯作用不大甚至无用。举个例子，比如发生了一起开房记录信息泄露事件，原有系统的日志功能只会记录了几点几分可能有几个人进行查询的操作，而不会记录查询了什么内容。这种记录对排查信息泄露作用甚微。如果能记录哪个用户查询了信息被泄露人名字的行为，问题也就迎刃而解了。如何解决该问题，实现应用级信息安全审计日志成为问题的关键，而应用级信息安全审计日志系统的关键点和难点就在于前端部署的准确全面的应用级操作日志的采集和抓取，否则光有一个好的后台软件，没有前端全面准确的信息采集，“巧妇难为无米之炊”，还是空架子，无法发挥任何有用的价值。一个好的日志功能终端采集，才能满足对用户环境中关键应用服务系统数据的行为访问和文件访问的有效监管，可以追踪溯源，便于事后追查原因与界定责任。从目前的主流解决方案来看，主要有三种应用级信息操作日志终端采集技术路线来解决：应用系统改造升级方式、网络旁路抓包分析方式和服务环境侦测插件方式。应用系统改造升级方式，是指对已在用的信息应用系统进行功能升级改造，变原有的简单访问日志为详细的信息应用级操作记录（如记录每个用户几点几分查询了什么内容），并通过数据传输到后台汇总保存供日后查询和统计分析。其优点是与原系统整合度高，管理维护方便，审计信息准确全面，可以做到定向审计，可节省存储空间。但是其缺点也是显而易见，也是致命的。就是需要跟原有应用系统的开发建设公司进行协调，协调难度大，实施周期长，可操作不强。有些开发商还会漫天要价，改造费用巨大且不可控。同时如果应用系统的需求发生改变，相应的操作日志采集功能也需要不断的进行升级改造。每个应用系统改造会对原业务使用造成影响，项目实施举步维艰。网络旁路抓包分析方式，是指在网络协议层对流经抓包设备的数据进行拦截，通过并行处理技术大量计算对IP包进行拼包分析后传输到后台汇总保存供日后查询和统计分析。其优点是直接在网路交换机端部署，不影响原业务系统的运行，实施极为简单。但缺点也不少，一是对网络交换机有性能压力要求，同时当网络流量大的时候如果数据处理能力不够会出现丢包现象，不能保证操作日志信息全面抓取；二是对采用https加密传输的系统，抓取的数据无法解密；三是对于网络环境较为复杂的情况，需要对多条网络路径部署设备，容易造成系统整体的无限膨胀和资源的严重浪费；四是抓取的日志信息不能与用户进行关联，做不到对用户行为轨迹的全面跟踪；五是抓取的无用信息较多，会造成存储空间的严重浪费。
服务环境侦测插件方式，是指在应用系统服务器的运行环境部署服务器探针方式进行日志信息拦截，并通过数据传输到后台汇总保存供日后查询和统计分析。优点有四：一是部署简单，作为服务器插件，不需要人工干预，可随服务器启动、停止。二是可实现对https加密传输的应用系统信息进行解密和操作日志采集。三是拦截采集的数据信息全面。可采集用户访问提交的参数、系统Response返回信息、SQL语句，做到滴水不漏。四是信息精准，做到精准拦截操作日志信息，不产生垃圾数据，节省存储空间。其缺点是实施时需接触到应用系统的运行环境，在每台服务器上部署。
综上所述，针对目前各个重要个人隐私信息拥有单位的应用系统繁多、网络环境复杂、安全问题突出等问题，实现应用级信息操作日志终端采集，采用服务环境侦测插件方式的技术路线最为合适，具有较大的可行性、合理性、经济性和灵活性。
发表评论：
馆藏&99439
TA的最新馆藏【图文】数据采集与处理技术_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
评价文档：
数据采集与处理技术
上传于||文档简介
&&数​据​采​集​与​处​理​技​术
大小：7.78MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢