日志视角下计算机网络安全控制研究

邱成相++唐秀忠

摘要：互联网的普及对计算机运用的安全造成冲击。计算机日志作为记录计算机运行行为的重要工具，可为计算机网络安全控制提供有效帮助。本文简要介绍了计算机系统日志的内涵，以Windows系统为例分别采用本地及采用远程管理模式，研究基于日志的计算机网络安全控制办法。

关键词：日志；网络安全控制；IIS

中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2017）10-0213-02

计算机是人们日常工作生活乃至社会发展的重要工具。网络信息时代，病毒、木马、黑客入侵对计算机的正常使用产生负面影响。通过网络安全控制机制，能够最大程度确保网络有效数据和用户信息的安全，在保证用户使用便捷、效率提升的前提下为其提供更高的安全性和可靠性。计算机系统日志针对计算机工作事件进行详实记录，并可作为网络安全控制的重要依据。

1 日志文件概述

用户通过操作计算机系统产生系列行为，计算机系统对用户的行为及事件进行详实记录进而生成的此类文件称为计算机日志文件。日志按照日期、时间、用户和行为等作为记录对象，并按照时间为排列依据形成序列集合。通过分析日志文件内容的变化，可在处理历史数据、故障诊断及恢复、掌握系统异常活动等方面发挥重要作用。根据记录对象不同，日志可分为应用程序日志、系统日志和安全日志等，根据记录内容不同可分为事件日志和消息日志。计算机系统运行产生大量的日志文件，分别记录相关对象活动内容。

网络环境中，通过遍历来自多源的日志文件组合来掌握系统活动内容，以及事件和行为变化进而实现对系统的监控、查询、可疑行为筛选和审计。

2 日志视角下网络安全控制策略

当前中小型网络服务器及客户端大部分运行的是Windows系统，它通过IIS提供互联网信息服务，以Web服务组件为核心，便于用户通过网络计算机实现网页浏览、邮件传送和文件传输等功能。长期以来，IIS是非法用户入侵Windows系统的重要突破口，入侵者通过IIS的漏洞，通过伪造用户信息、网络嗅探、远程控制木马等方式实施远程攻击，如采用SQL注入方式非法获取用户账户，或者通过DDoS向目标系统发起定向入侵，造成网络阻塞、访问中断或服务器崩溃等严重后果。另外，黑客利用HTTP协议堆栈中存在的远程执行代码漏洞发送特殊设计的HTTP请求，在HTTP.sys无法正确分析识别该请求时实施入侵。

2.1 通过本地日志实施网络安全控制

系统默认情况下，任何对计算机的访问行为都会被系统日志自动记录，攻击者对计算机系统的扫描行为就会记录在系统日志文件之中。针对入侵者利用IIS攻击的手段，用户以系统管理员身份访问系统“控制面板”内“管理工具”下的“事件管理器”，詳细查看系统日志和安全日志，获取攻击源、服务器端口、攻击时间等信息，根据上述信息立刻采取相应防范措施。

利用Windows系统查找功能分析防火墙日志，通过查找对应IP地址、通讯端口连接情况、字符串等方式，获取接入本地计算机数据的发送及接收时间、发送者IP地址和通讯端口、数据包类型等信息，根据这些信息判断该连接是否安全，计算机IIS系统是否存在安全隐患，采取应对措施。

2.2 利用远程管理实现网络安全控制

网络安全威胁每个时刻都有可能发生，管理人员却无法保证7ⅹ24小时都在现场。对此，利用远程管理技术对系统日志分析，是在本地日志分析基础上安全控制的有效补充。启用远程管理功能前，计算机系统须安装远程管理功能组件，并启用该功能。

在系统管理员权限下，通过控制面板“程序”项里面的“打开或关闭Windows功能”来安装远程管理功能组件。组件安装成功后，设置可通过远程授权访问的IP地址及域名，从而实现远程安全管理的基础操作。借助对开放远程管理功能组件的计算机进行远程管理时，通过异地计算机的浏览器中输入带有端口号的IP地址如http：//172.21.1.16：8088，在登录对话框内输入账户名及密码远程登录目标计算机系统。远程登录默认端口为3389，黑客可通过该端口采用猜测用户口令等方式远程接入。解决方式之一就是修改默认远程登录端口。登录后，通过维护功能对Web、FTP服务器进行的启停和删除等操作，可像与本地计算机日志管理方式一样管理日志信息。

2.3 专业日志分析工具实施网络安全控制

通常计算机每日产生大量的日志记录，其产生的量级与系统服务运行时间的长短存在必然联系。在IIS服务长期运行的情况下，日志文件大小不可避免的持续增加。常规方式下通过人为逐个查找，不仅工作效率极低，且可能造成查找疏失。系统自身日志分析功能受限于用户的专业水平和巨大的工作量，单一通过用户识别、修正并排除计算机安全隐患很难实现。专业日志分析工具能够全面细致分析网络中的网络设备、服务器、客户端及各类应用系统等产生的日志，并以可视化方式实时呈现出来。利用定义日志筛选规则和策略来准确查找关键信息，帮助管理员了解系统运行状况，实现网络故障定位及安全威胁识别。

3 日志文件管理

日志信息的安全直接关系到计算机系统的安全。非法入侵者采取删除、篡改系统日志等操作，设法隐藏或销毁目标计算机系统上相关攻击记录，来躲避系统防控人员的追踪、审计和取证。常规状态下，计算机日志文件处于非保护加密的系统目录中，攻击者通过对日志信息进行删除或篡改来隐匿自身信息，管理员获取完整有效记录困难。因此，可从制度体系及技术措施两方面来强化日志文件管理。

技术层面上，首先要正确规范日志等级如debug（调试信息）、info（收集关注的信息）、warn（警告信息）和error（错误信息），混乱的日志级别不便于运维，也对后期日志分析和处理留下很大隐患。其次，日志文件需统一集中管理，合理控制日志文件大小，并定期清理。最重要的一点是强调日志文件的安全性，定期备份日志文件，对于存储私密敏感信息的日志文件，保证通过加密机制或者控制用户访问权限等操作来为日志文件提供安全保障。

制度体系建设上，配备专业管理人员，做到专人专管，制定具体的日志管理计划，从备份、维护及清除无用的日志信息等操作严格按照计划执行。

4 结语

网络环境下的计算机安全控制是当前重要研究内容之一。用户可以通过本地及远程管理功能对日志文件进行分析，实现网络中计算机系统安全控制和管理。在管理过程中，可采用专业工具及系统日志分析相结合的方式，精确查找分析威胁源并采取技术措施，从而增强计算机运行的可靠性。

参考文献

[1]谢乐华.关于计算机网络安全管理的分析探讨[J].信息化建设，2016，（8）：11-12.

[2]明小波，郭金华.看日志加强计算机的网络安全控制初探[J].中国新通信，2017，（15）：8-9.

[3]黄诗敏.网络安全问题应对解决方案[J].网络安全技术与应用，2016，（4）：7-8.

[4]林辉，窦旻.系统日志的安全保护[J].计算机工程，2003，（17）：130-131.endprint