利用數(shù)據(jù)庫審計與日志審計系統(tǒng)保護企業(yè)核心數(shù)據(jù)和資產(chǎn)

三一重工利用數(shù)據(jù)庫審計與日志審計系統(tǒng)保

護企業(yè)核心數(shù)據(jù)和資產(chǎn)H更新時間:09-11-1914:18來源：中國安全信息網(wǎng)作者：中安網(wǎng)【大中小】三一集團有限公司始創(chuàng)于1989年。二十年來，三一集團秉持“創(chuàng)建一流企業(yè)，造就一流人才，做出一流貢獻”的企業(yè)宗旨，打造了業(yè)內(nèi)知名的“三一”品牌。三一是全球工程機械制造商50強、全球最大的混凝土機械制造商、中國企業(yè)500強、工程機械行業(yè)綜合效益和競爭力最強企業(yè)、福布斯“中國頂尖企業(yè)”，中國最具成長力自主品牌、中國最具競爭力品牌、中國工程機械行業(yè)標志性品牌、亞洲品牌500強。三一集團的核心企業(yè)三一重工于2003年7月3日上市，是中國股權分置改革首家成功并實現(xiàn)全流通的企業(yè)。在國內(nèi)，三一建有上海、北京、沈陽、昆山、長沙等五大產(chǎn)業(yè)園。在全球，三一建有12個海外子公司，業(yè)務覆蓋達150個國家，產(chǎn)品批量出口110多個國家和地區(qū)。目前，三一已在印度、美國相繼投資建設工程機械研發(fā)制造基地。2009年元月，三一在德國投資1億歐元建設工程機械研發(fā)制造基地項目正式簽約，中德總理共同見證了這一項目的簽約。伴隨著三一重工公司業(yè)務的壯大，以及信息技術的發(fā)展，三一重工公司業(yè)務對IT系統(tǒng)的依賴程度越來越高，IT風險對業(yè)務風險的影響也越來越大，尤其企業(yè)核心的生產(chǎn)經(jīng)營數(shù)據(jù)，成為了三一重工的重要業(yè)務資產(chǎn)。如果保護好這些數(shù)據(jù)資產(chǎn)、確保內(nèi)部人員IT操作的合規(guī)性，成為了三一重工信息技術部門的重要工作。三一重工的數(shù)據(jù)庫、網(wǎng)絡設備、系統(tǒng)平臺、應用系統(tǒng)部署已經(jīng)十分廣泛，并且?guī)缀跛械年P鍵業(yè)務系統(tǒng)每天都產(chǎn)生大量日志。由于這些日志能夠反映企業(yè)生產(chǎn)經(jīng)營過程中的各種IT操作和行為，包括各種潛在的違規(guī)行為，因此，保護、利用好各種數(shù)據(jù)庫、網(wǎng)絡設備和服務器等設備的日志也成為信息部門的重要任務，對各種日志的分析、審計也是整個信息系統(tǒng)安全建設的最重要組成部分。面對海量的日志，僅僅依靠開源的日志采集軟件和人工分析

都是遠遠不夠的，因此，三一重工計劃部署一套日志集中管理系統(tǒng)。從2008年初開始，一直到2009年2月，在這近一年的時間內(nèi)，三一重工對目前市面上主流的國內(nèi)外日志審計系統(tǒng)進行了多方面的綜合對比測試。期間，網(wǎng)御神州根據(jù)客戶的需求和業(yè)務系統(tǒng)現(xiàn)狀，并利用在制造業(yè)網(wǎng)絡安全管理領域豐富的經(jīng)驗積累，為客戶提出了一套完善的日志審計解決方案。該方案首先使用一套SecFox-SIM安全信息管理系統(tǒng)將三一重工各種設備和應用的日志進行統(tǒng)一的收集和審計。同時，針對三一重工的Oracle和SQLServer數(shù)據(jù)庫系統(tǒng)沒有采用傳統(tǒng)的日志采集方式，而是部署了兩臺硬件型SecFox-NBA數(shù)據(jù)庫審計探針，采用旁路抓包的形式直接對數(shù)據(jù)操作行為進行審計，并將審計記錄以日志的形式匯總到SecFox-SIM管理系統(tǒng)。借助這種創(chuàng)新的日志審計模式，避免了因安裝數(shù)據(jù)庫日志采集代理而可能帶來的數(shù)據(jù)庫性能和穩(wěn)定性影響，對用戶重要的數(shù)據(jù)庫系統(tǒng)沒有造成任何影響。經(jīng)過反復比較，三一重工最終在2009年2月選定了網(wǎng)御神州的日志審計系統(tǒng)，部署了兩臺SecFox-NBA數(shù)據(jù)庫審計設備和一套SecFox-SIM安全信息管理系統(tǒng)。目前系統(tǒng)已經(jīng)正式上線，運行穩(wěn)定。三一重工選擇網(wǎng)御神州的日志集中管理系統(tǒng)主要基于如下幾個方面的考慮:1） 一套系統(tǒng)就能夠收集企業(yè)中包括網(wǎng)絡設備、安全設備、主機、數(shù)據(jù)庫和應用系統(tǒng)的日志，并進行分析與審計；2） 軟硬件一體化解決方案，即插即用，內(nèi)置海量存儲，無需再另外配備數(shù)據(jù)庫和存儲系統(tǒng)，大大節(jié)省了搭建和維護服務器的工作；3） 既能直接采集日志，也能夠通過專門的硬件設備以旁路抓包的方式進行數(shù)據(jù)庫審計,并將審計信息與其他日志信息進行統(tǒng)一分析；4） 日志審計對象支持主流網(wǎng)絡設備、安全設備、主機設備、數(shù)據(jù)庫、中間件及通用應用;5） 日志支持海量存儲，日志查詢支持多重組合檢索條件，可以靈活查詢，滿足不同的查詢需求;

6） 系統(tǒng)內(nèi)置高容量硬盤，同時支持RAID5，可以最大限度的保障日志存儲的安全；7） 實時日志分析和告警，用戶可以靈活的定義需要展現(xiàn)的用戶關心的實時日志及告警規(guī)則；8） 價位合理，同類產(chǎn)品性價比較高；9） 網(wǎng)御神州公司是國內(nèi)專業(yè)做日志審計與安全信息管理系統(tǒng)的公司，該系統(tǒng)所屬的安全管理類產(chǎn)品在2007和2008年度蟬聯(lián)了中國安全管理產(chǎn)品（S0C）年度成功企業(yè)稱號；10） 網(wǎng)御神州技術支持到位，后期開發(fā)和擴展有保障。網(wǎng)御神州公司將一套SecFox-SIM安全信息管理系統(tǒng)（SecurityInformationManagementSystem）部署在三一重工IT本部，負責采集各類日志；兩臺硬件SecFox-NBA（NetworkBehaviorAnalysis）網(wǎng)絡行為審計系統(tǒng)（業(yè)務審計型）審計器分別部署在三一重工IT本部和研究院，用來采集Oracle和SQLServer數(shù)據(jù)庫的日志，并可靈活配置是否轉發(fā)到SecFox-SIM系統(tǒng)，進行集中管理。整套日志審計解決方案在三一重工采集的日志如下表所示：

審計內(nèi)番進服務器Windows(2000-,2003)Windows系統(tǒng)日志Limix系統(tǒng)debug以■上等級的爭件Solaris系統(tǒng)debug￡上等飯的爭件Aix系統(tǒng)debug以上等級的爭件網(wǎng)絡設備交換機H3C9506E盤換機的管理日志、系統(tǒng)日志剜W加交擬機的管厘日志、系統(tǒng)日志加腳蝕交換機的管理日志.系統(tǒng)日志H3C9512：交換機的管理日志、系統(tǒng)日志H3C9508交換機的昔理日志、系統(tǒng)日志DMZ1交換機的昔理日志.系統(tǒng)日志DMZ^變換機的営理日志、系統(tǒng)日志躋由器咖販NE40路討貉的管理日志、系統(tǒng)日志安全設備防火墻JuniperSSG520系統(tǒng)日志.訪問日志to^WGFW-4000系統(tǒng)日志、訪問日志■VPNH3CIPSecVPN系統(tǒng)日志、訪問日志北電IPKcVPN系統(tǒng)日志.訪問日志數(shù)據(jù)庫Oracle【抓包方式lOracle存儲過程丹志*Oracle管理員操作口志“Oracle數(shù)裾操作日志、Oracle數(shù)據(jù)陣結構變更刃志、Oracle丟統(tǒng)數(shù)據(jù)表操作日志、O^le用戶貧錄和注銷日志、O^le用尸授根操作日志SQLSeiver【抓包方式】SQL沁弄^數(shù)據(jù)表孌更日志、艙碗哼管理員操作日志?碗啖r,用戶登錄和注銷日志、?觀加饗用戶授權操作汨志、或晚媲數(shù)據(jù)操作尺志、鞭LSeiv抵數(shù)據(jù)庫結構變更日志.瀝嶷iv抵存體過程巳志防病幸系統(tǒng)/Symantec防病垂系統(tǒng)日志通過SecFox-SIM和SecFox-NBA的聯(lián)合部署，提高了三一重工IT部對信息系統(tǒng)安全事件的整體管理水平。通過對各類網(wǎng)絡設備、安全設備、主機設備、數(shù)據(jù)庫、防病毒系統(tǒng)和數(shù)據(jù)庫日志的統(tǒng)一收集和管理，三一重工IT部可以輕松的實時獲取到各種安全整體信息，例如：訪問被阻斷次數(shù)最多的源地址訪問被阻斷最多的目的地址

網(wǎng)絡設備事件數(shù)量排行網(wǎng)絡設備連接數(shù)源地址排行應用服務器流量排行應用服務器事件數(shù)量排行應用服務器源地址訪問次數(shù)排行主機事件數(shù)量排行登陸失敗次數(shù)最多的用戶排行服務器用戶登陸次數(shù)排行等統(tǒng)計圖表圖1:實時整體監(jiān)控三一重工IT部也可以根據(jù)收集到的各類日志，非常方便快捷的制作出譬如防火墻拒絕目的地址排行、防火墻拒絕源地址排行和主機登錄失敗統(tǒng)計的統(tǒng)計報表；用戶還根據(jù)現(xiàn)有的網(wǎng)絡流量做網(wǎng)絡內(nèi)流量排行的趨勢分析；通過對上述一些圖表、報表和趨勢圖的分析，三一重工IT部可以對整個網(wǎng)絡的安全狀況有一個非常清晰的掌控。通過過濾器的設置，可以在實時審計場景中只顯示管理員關心的日志，去除了非關注日志的干擾；在主頁中為各個管理員設置的默認視圖，使得管理員一登陸系統(tǒng)就可以監(jiān)視到自己所管理設備的重要事件。

@S€CfDK-SM￡ft4**y0I?； [J阿艸 JW甘帚 二 『?M?IJFPW 5Wf￥M￡K鼻BMltT±?**凹匚星昭勻?mr41門起崛:口" iiy轉址n17JM--SL?LK1□gjjg33.1>:3>L'昨托押<1機鼻/iL怕:曲井爾@S€CfDK-SM￡ft4**y0I?； [J阿艸 JW甘帚 二 『?M?IJFPW 5Wf￥M￡K鼻BMltT±?**凹匚星昭勻?mr41門起崛:口" iiy轉址n17JM--SL?LK1□gjjg33.1>:3>L'昨托押<1機鼻/iL怕:曲井爾L121◎弘訶曲齬就C=iaKHEiWLiFxML9A]□a?-ian；i>：3ijf43-5I?■SfKFFUL1"Wr-.PWmA<?W61-14你丄P越C3?S^ianhE眾丄]?±.]4.A16aL軌T中國安全信息岡列沖軒>珂JM:?尺用擇氐■和址■?逼■葉HLMfb"左品屣?1wmu.M<CJKeR,CN富斟E甲HiSflfl￡ 心s?i?3i：i]：s*un3^ia>?rir；.ITItde:?w?m:■址鼻■權rrJi><r3iSflPW-5Dr4lf■焙；床業(yè)aAMi]血iW￥?d#:l-M-'-d.-erMirt

_~f+ri-il-41?tt-HZ**LJIJh<I-J.-4rfklw:■>J>■??-*Bsani"OtjcW圖2：實時審計場景SecFox-SIM安全信息管理系統(tǒng)的日志查詢功能使得管理員能夠方便的查詢到需要查看的日志，并且能夠將查詢到的日志一次性全部導出以滿足審計的需求。整個系統(tǒng)通過告警規(guī)則的設置，對于一般的安全事件采用郵件告警的方式，一旦有安全事件產(chǎn)生就能夠及時通知到各個相關設備管理員，郵件告警的主題能夠自定義，可以顯示設備的IP地址及事件摘要，使得管理員無需查看郵件內(nèi)容即可知道哪臺設備發(fā)生了什么事情；SecFox-SIM系統(tǒng)集成了用戶現(xiàn)有的短信平臺，對于特別重要的設備，一旦產(chǎn)生安全事件，就可以立刻通過手機短信通知到設備管理員，在第一時間消除安全隱患，降低了安全風險。

后期，三一重工IT部將借助日志審計系統(tǒng)完善審計規(guī)則，從而進一步提高信息安全管理水平。關于網(wǎng)御神州SecFox-SIM安全信息管理系統(tǒng)為了不斷應對來自內(nèi)部和外部的安全挑戰(zhàn)，企業(yè)和組織先后部署了大量的安全系統(tǒng)，但卻造成了安全防御的孤島，系統(tǒng)之間缺乏協(xié)同，各種安全系統(tǒng)產(chǎn)生了大量告警、日志和事件，出現(xiàn)信息過載的現(xiàn)象，造成很多誤報和漏報，導致問題不能及時發(fā)現(xiàn)和處理。此外，企業(yè)和組織正面臨不斷增大的內(nèi)控和信息系統(tǒng)審計的壓力，尤其是《企業(yè)內(nèi)部控制基本規(guī)范》即將開始施行，要求增強業(yè)務持續(xù)性的呼聲不斷提高，這些都促成了面向全網(wǎng)的安全信息集中管理平臺的出現(xiàn)。SecFox-SIM(SecurityInformationManagement)能夠實時不間斷地將企業(yè)和組織中來自不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)、用戶業(yè)務系統(tǒng)的日志、警報等信息匯集到 SecFox-SIM服務器，實現(xiàn)海量信息的集中存儲和可靠保存。SecFox-SIM服務器能夠實時地對采集到的不同類型的信息進行歸一化、關聯(lián)分析、最大程度地消除誤報和錯報、找出漏報，通過統(tǒng)一的SecFox-SIM控制臺界面進行實時、可視化的呈現(xiàn)，協(xié)助安全管理人員迅速準確地識別安全事故，消除了管理員在多個控制臺之間來回切換的煩惱，同時提高工作效率。對于集中存儲起來的海量信息，SecFox-SIM可以讓分析人員借助歷史分析工具對信息進行深度挖掘、調(diào)查取證、證據(jù)保全。SecFox-SIM能夠自動的或者在管理員人工干預的情況下對識別出來的安全事故進行各種響應。SecFox-SIM為客戶提供了豐富的報表，使得管理人員能夠從各個角度對企業(yè)和組織的

安全狀況進行分析，并自動地、或者定期地產(chǎn)生報表。SecFox-SIM基于Web瀏覽器的界面和面向業(yè)務的呈現(xiàn)方式使得SecFox-SIM不僅適用于安全專家，也適用于業(yè)務管理人員。關于SIM安全信息管理（SIM）,也叫安全信息和事件管理（SIEM），或者簡稱安全管理系統(tǒng)，是安全管理領域發(fā)展的方向。SIM是一個全面的、面向企業(yè)和組織IT計算環(huán)境的、集中的安全集中管理平臺，這個平臺能夠收集來自企業(yè)和組織計算環(huán)境中各種設備和應用的安全日志和事件，并進行存儲、監(jiān)控、分析、報警、響應和報告oSIM廣泛應用于企業(yè)和組織內(nèi)部威脅管理、合規(guī)審計、安全審計、應急響應，等等，是信息系統(tǒng)安全集中管理的基石，是構架安全運行中心（SOC）的核心。關于數(shù)據(jù)庫審計系統(tǒng)與SIM的結合運用SecFox-SIM能夠通過多種方式全面采集網(wǎng)絡中各種設備、應用和系統(tǒng)的日志信息，確保用戶能夠收集并審計所有必需的日志信息，避免出現(xiàn)審計漏洞。同時，SecFox-SIM盡可能地使用被審計節(jié)點自身具備的日志外發(fā)協(xié)議，盡量不在被審計節(jié)點上安裝任何代理，保障被審計節(jié)點的完整性，使得對被審計節(jié)點的影響最小化。SecFox-SIM支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSECLEA、內(nèi)部私有TCP/UDP等網(wǎng)絡協(xié)議進行日志采集。如果客戶網(wǎng)絡中無法采集日志，則可以在網(wǎng)絡中部署一個SecFox-NBA網(wǎng)絡行為分析系統(tǒng)主動收集網(wǎng)絡中的通訊信息，轉化為日志，并傳送給SecFox-SIM管理中心。例如，用戶要針對數(shù)據(jù)庫系統(tǒng)進行日志審計，但是出于性能的考慮，無法開啟數(shù)據(jù)庫自身的日志記錄，同時也不能在數(shù)據(jù)庫服務器上安裝代理。此時，用戶可以將一個SecFox-NBA

以旁路部署（共享Hub/交換機端口鏡像/網(wǎng)絡分接TAP）的方式放置在數(shù)據(jù)庫系統(tǒng)所在的交換機旁邊，偵聽并分析數(shù)據(jù)庫訪問操作的指令，并轉化為操作日志送到SecFox-SIM管理中心。通過SecFox-SIM與SecFox-NBA的混合部署,實現(xiàn)了對無法產(chǎn)生日志的被審計對象的安全審計，做到全面審計，避免出現(xiàn)審計死角。網(wǎng)御神州SecFox-NBA（NetworkBehaviorAnalysisforBusinessAudit）網(wǎng)絡行為審計系統(tǒng)（業(yè)務審計型）作為一款出色的數(shù)據(jù)庫審計系統(tǒng)采用旁路偵聽的方式對通過網(wǎng)絡連接到重要業(yè)務系統(tǒng)（服務器、數(shù)據(jù)庫、業(yè)務中間件、數(shù)據(jù)文件等）的數(shù)據(jù)流進行采集、分析和識別，實時監(jiān)視用戶訪問業(yè)務系統(tǒng)的狀態(tài)，記錄各種訪問行為，發(fā)現(xiàn)并及時制止用戶的誤操作、違規(guī)訪問或者可疑行為。SecFox-NBA（業(yè)務審計型）可審計包括各個平臺（Windows、Linux、Solaris、AIX）和版本的SQLServer、Oracle、DB2、Sybase、MySQL等在內(nèi)的數(shù)據(jù)庫的DDL,DML，DCL和其它操作等行為