歌华有线利用日志审计追踪安全事件

2010-06-22 10:22:00来源:it168网站 作者:安景华热度:

  北京歌华有线电视网络股份有限公司(SHA:600037)是唯一负责北京地区有线广播电视网络的建设开发、经营、管理和维护,从事广播电视节目收转传送和广播电视网络信息服务的企业。公司2001年在上海证券交易所挂牌上市。经过多年的建设,歌华有线已形成覆盖全北京市18个区县、敷设光缆线路1万余公里、电缆线路10万余公里、接入397万户的超大型有线电视光缆网络。

  歌华有线总部的网络承担了北京地区有线电视网络业务的运营维护任务。这个网络的安全可靠运营直接影响着歌华有线的业务服务质量。

  为了加强总部网络的安全防护水平,歌华有线进行了大规模的网络安全改造。其中,为了对总部安全设备,尤其是防火墙设备的日志进行集中采集和分析,部署了网御神州SecFox-LAS日志审计系统。通过对锐捷防火墙日志的统一收集和分析,有效地采集并存储下了海量的防火墙日志,包括NAT日志、包过滤日志等重要日志,并提供了多种可视化的实时日志分析展示工具,提升了歌华有线追踪网络安全事件、发现外部入侵的效率。

  网御神州SecFox-LAS日志审计系统介绍

  当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。

  为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。

  另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。

  尤其是国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。

  综上所述,企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、监控、审计、分析、报警、响应和报告。

  网御神州借助在安全领域的长期积累,结合中国信息安全领域的特殊性,自主研制出了面向中国客户的安全日志审计平台——SecFox-LAS(Log Audit System),真正满足了客户的安全审计需求。

  SecFox-LAS日志安全审计系统作为一个统一日志监控与审计平台,能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。如果客户网络中重要网络和业务系统无法产生日志,SecFox-LAS也能够通过部署硬件探测器的方式主动侦测网络中的协议通讯,并转化为日志,汇集到审计中心。

  SecFox-LAS能够实时地对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。

  SecFox-LAS能够实时采集NetFlow数据流,对一段时间内的网络流量或者网络连接数进行统计,并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,进而对异常流量和行为进行审计。

  对于集中存储起来的海量信息,SecFox-LAS可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。

  SecFox-LAS能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。

  SecFox-LAS为客户提供了丰富的报表模板,使得用户能够从各个角度对企业和组织的安全状况进行审计,并自动、定期地产生报表。用户也能够自定义报表。
SecFox-LAS日志审计系统与传统日志审计系统的本质区别

  需要特别指出的是,SecFox-LAS日志审计系统与传统安全日志审计系统具有本质的区别:

  首先,SecFox-LAS日志审计系统的日志归一化功能能够将异构的日志变成系统可识别的统一的日志,屏蔽了不同厂商以及不同类型的产品之间的日志差异,使得日志关联分析成为可能;而传统的日志审计系统仅针对原始日志的时间、源/目的IP地址等信息进行简单分解,其他主要内容则原封不动,全部存储在数据库中,仅仅提供普通的日志查询功能。更加地,SecFox-LAS日志审计系统在进行日志归一化的同时,还保留了原始日志记录,便于将来进行具有司法证据效力的调查取证分析。

  其次,SecFox-LAS日志审计系统具有多事件(日志)关联分析能力,是该系统区别于传统安全日志审计系统的最关键特征。正是通过关联分析,将来自不同信息源的日志融合到一起,发掘出日志之间的关系,找到真正的外部入侵和内部违规。SecFox-LAS日志审计系统的核心是SecFox独有的基于安全监测、告警和响应技术(Security Monitor, Alert and Response Technology,简称SMART)的事件关联分析引擎。在关联规则的驱动下,SMART事件关联分析引擎能够进行多种方式的事件关联,包括统计关联、时序关联、单事件关联、多事件关联、递归关联,等等。SMART关联分析引擎完全自主研发,拥有多项专利,并且是在内存中进行的,因而具备极强的实时性和稳定的性能。系统在采集和归一化日志后,一方面将日志存入数据库,另一方面同步地在内存中(In-Memory)进行实时关联分析。实时性确保了日志被及时审计,同时能够快速发现安全隐患。

责任编辑:DVBCN编辑部