利用數(shù)據(jù)庫審計(jì)與日志審計(jì)系統(tǒng)保護(hù)企業(yè)核心數(shù)據(jù)和資產(chǎn)

三一重工利用數(shù)據(jù)庫審計(jì)與日志審計(jì)系統(tǒng)保

護(hù)企業(yè)核心數(shù)據(jù)和資產(chǎn)H更新時間:09-11-1914:18來源：中國安全信息網(wǎng)作者：中安網(wǎng)【大中小】三一集團(tuán)有限公司始創(chuàng)于1989年。二十年來，三一集團(tuán)秉持“創(chuàng)建一流企業(yè)，造就一流人才，做出一流貢獻(xiàn)”的企業(yè)宗旨，打造了業(yè)內(nèi)知名的“三一”品牌。三一是全球工程機(jī)械制造商50強(qiáng)、全球最大的混凝土機(jī)械制造商、中國企業(yè)500強(qiáng)、工程機(jī)械行業(yè)綜合效益和競爭力最強(qiáng)企業(yè)、福布斯“中國頂尖企業(yè)”，中國最具成長力自主品牌、中國最具競爭力品牌、中國工程機(jī)械行業(yè)標(biāo)志性品牌、亞洲品牌500強(qiáng)。三一集團(tuán)的核心企業(yè)三一重工于2003年7月3日上市，是中國股權(quán)分置改革首家成功并實(shí)現(xiàn)全流通的企業(yè)。在國內(nèi)，三一建有上海、北京、沈陽、昆山、長沙等五大產(chǎn)業(yè)園。在全球，三一建有12個海外子公司，業(yè)務(wù)覆蓋達(dá)150個國家，產(chǎn)品批量出口110多個國家和地區(qū)。目前，三一已在印度、美國相繼投資建設(shè)工程機(jī)械研發(fā)制造基地。2009年元月，三一在德國投資1億歐元建設(shè)工程機(jī)械研發(fā)制造基地項(xiàng)目正式簽約，中德總理共同見證了這一項(xiàng)目的簽約。伴隨著三一重工公司業(yè)務(wù)的壯大，以及信息技術(shù)的發(fā)展，三一重工公司業(yè)務(wù)對IT系統(tǒng)的依賴程度越來越高，IT風(fēng)險對業(yè)務(wù)風(fēng)險的影響也越來越大，尤其企業(yè)核心的生產(chǎn)經(jīng)營數(shù)據(jù)，成為了三一重工的重要業(yè)務(wù)資產(chǎn)。如果保護(hù)好這些數(shù)據(jù)資產(chǎn)、確保內(nèi)部人員IT操作的合規(guī)性，成為了三一重工信息技術(shù)部門的重要工作。三一重工的數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、系統(tǒng)平臺、應(yīng)用系統(tǒng)部署已經(jīng)十分廣泛，并且?guī)缀跛械年P(guān)鍵業(yè)務(wù)系統(tǒng)每天都產(chǎn)生大量日志。由于這些日志能夠反映企業(yè)生產(chǎn)經(jīng)營過程中的各種IT操作和行為，包括各種潛在的違規(guī)行為，因此，保護(hù)、利用好各種數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備和服務(wù)器等設(shè)備的日志也成為信息部門的重要任務(wù)，對各種日志的分析、審計(jì)也是整個信息系統(tǒng)安全建設(shè)的最重要組成部分。面對海量的日志，僅僅依靠開源的日志采集軟件和人工分析

都是遠(yuǎn)遠(yuǎn)不夠的，因此，三一重工計(jì)劃部署一套日志集中管理系統(tǒng)。從2008年初開始，一直到2009年2月，在這近一年的時間內(nèi)，三一重工對目前市面上主流的國內(nèi)外日志審計(jì)系統(tǒng)進(jìn)行了多方面的綜合對比測試。期間，網(wǎng)御神州根據(jù)客戶的需求和業(yè)務(wù)系統(tǒng)現(xiàn)狀，并利用在制造業(yè)網(wǎng)絡(luò)安全管理領(lǐng)域豐富的經(jīng)驗(yàn)積累，為客戶提出了一套完善的日志審計(jì)解決方案。該方案首先使用一套SecFox-SIM安全信息管理系統(tǒng)將三一重工各種設(shè)備和應(yīng)用的日志進(jìn)行統(tǒng)一的收集和審計(jì)。同時，針對三一重工的Oracle和SQLServer數(shù)據(jù)庫系統(tǒng)沒有采用傳統(tǒng)的日志采集方式，而是部署了兩臺硬件型SecFox-NBA數(shù)據(jù)庫審計(jì)探針，采用旁路抓包的形式直接對數(shù)據(jù)操作行為進(jìn)行審計(jì)，并將審計(jì)記錄以日志的形式匯總到SecFox-SIM管理系統(tǒng)。借助這種創(chuàng)新的日志審計(jì)模式，避免了因安裝數(shù)據(jù)庫日志采集代理而可能帶來的數(shù)據(jù)庫性能和穩(wěn)定性影響，對用戶重要的數(shù)據(jù)庫系統(tǒng)沒有造成任何影響。經(jīng)過反復(fù)比較，三一重工最終在2009年2月選定了網(wǎng)御神州的日志審計(jì)系統(tǒng)，部署了兩臺SecFox-NBA數(shù)據(jù)庫審計(jì)設(shè)備和一套SecFox-SIM安全信息管理系統(tǒng)。目前系統(tǒng)已經(jīng)正式上線，運(yùn)行穩(wěn)定。三一重工選擇網(wǎng)御神州的日志集中管理系統(tǒng)主要基于如下幾個方面的考慮:1） 一套系統(tǒng)就能夠收集企業(yè)中包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)的日志，并進(jìn)行分析與審計(jì)；2） 軟硬件一體化解決方案，即插即用，內(nèi)置海量存儲，無需再另外配備數(shù)據(jù)庫和存儲系統(tǒng)，大大節(jié)省了搭建和維護(hù)服務(wù)器的工作；3） 既能直接采集日志，也能夠通過專門的硬件設(shè)備以旁路抓包的方式進(jìn)行數(shù)據(jù)庫審計(jì),并將審計(jì)信息與其他日志信息進(jìn)行統(tǒng)一分析；4） 日志審計(jì)對象支持主流網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、數(shù)據(jù)庫、中間件及通用應(yīng)用;5） 日志支持海量存儲，日志查詢支持多重組合檢索條件，可以靈活查詢，滿足不同的查詢需求;

6） 系統(tǒng)內(nèi)置高容量硬盤，同時支持RAID5，可以最大限度的保障日志存儲的安全；7） 實(shí)時日志分析和告警，用戶可以靈活的定義需要展現(xiàn)的用戶關(guān)心的實(shí)時日志及告警規(guī)則；8） 價位合理，同類產(chǎn)品性價比較高；9） 網(wǎng)御神州公司是國內(nèi)專業(yè)做日志審計(jì)與安全信息管理系統(tǒng)的公司，該系統(tǒng)所屬的安全管理類產(chǎn)品在2007和2008年度蟬聯(lián)了中國安全管理產(chǎn)品（S0C）年度成功企業(yè)稱號；10） 網(wǎng)御神州技術(shù)支持到位，后期開發(fā)和擴(kuò)展有保障。網(wǎng)御神州公司將一套SecFox-SIM安全信息管理系統(tǒng)（SecurityInformationManagementSystem）部署在三一重工IT本部，負(fù)責(zé)采集各類日志；兩臺硬件SecFox-NBA（NetworkBehaviorAnalysis）網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（業(yè)務(wù)審計(jì)型）審計(jì)器分別部署在三一重工IT本部和研究院，用來采集Oracle和SQLServer數(shù)據(jù)庫的日志，并可靈活配置是否轉(zhuǎn)發(fā)到SecFox-SIM系統(tǒng)，進(jìn)行集中管理。整套日志審計(jì)解決方案在三一重工采集的日志如下表所示：

審計(jì)內(nèi)番進(jìn)服務(wù)器Windows(2000-,2003)Windows系統(tǒng)日志Limix系統(tǒng)debug以■上等級的爭件Solaris系統(tǒng)debug￡上等飯的爭件Aix系統(tǒng)debug以上等級的爭件網(wǎng)絡(luò)設(shè)備交換機(jī)H3C9506E盤換機(jī)的管理日志、系統(tǒng)日志剜W加交擬機(jī)的管厘日志、系統(tǒng)日志加腳蝕交換機(jī)的管理日志.系統(tǒng)日志H3C9512：交換機(jī)的管理日志、系統(tǒng)日志H3C9508交換機(jī)的昔理日志、系統(tǒng)日志DMZ1交換機(jī)的昔理日志.系統(tǒng)日志DMZ^變換機(jī)的営理日志、系統(tǒng)日志躋由器咖販NE40路討貉的管理日志、系統(tǒng)日志安全設(shè)備防火墻JuniperSSG520系統(tǒng)日志.訪問日志to^WGFW-4000系統(tǒng)日志、訪問日志■VPNH3CIPSecVPN系統(tǒng)日志、訪問日志北電IPKcVPN系統(tǒng)日志.訪問日志數(shù)據(jù)庫Oracle【抓包方式lOracle存儲過程丹志*Oracle管理員操作口志“Oracle數(shù)裾操作日志、Oracle數(shù)據(jù)陣結(jié)構(gòu)變更刃志、Oracle丟統(tǒng)數(shù)據(jù)表操作日志、O^le用戶貧錄和注銷日志、O^le用尸授根操作日志SQLSeiver【抓包方式】SQL沁弄^數(shù)據(jù)表孌更日志、艙碗哼管理員操作日志?碗啖r,用戶登錄和注銷日志、?觀加饗用戶授權(quán)操作汨志、或晚媲數(shù)據(jù)操作尺志、鞭LSeiv抵?jǐn)?shù)據(jù)庫結(jié)構(gòu)變更日志.瀝嶷iv抵存體過程巳志防病幸系統(tǒng)/Symantec防病垂系統(tǒng)日志通過SecFox-SIM和SecFox-NBA的聯(lián)合部署，提高了三一重工IT部對信息系統(tǒng)安全事件的整體管理水平。通過對各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、數(shù)據(jù)庫、防病毒系統(tǒng)和數(shù)據(jù)庫日志的統(tǒng)一收集和管理，三一重工IT部可以輕松的實(shí)時獲取到各種安全整體信息，例如：訪問被阻斷次數(shù)最多的源地址訪問被阻斷最多的目的地址

網(wǎng)絡(luò)設(shè)備事件數(shù)量排行網(wǎng)絡(luò)設(shè)備連接數(shù)源地址排行應(yīng)用服務(wù)器流量排行應(yīng)用服務(wù)器事件數(shù)量排行應(yīng)用服務(wù)器源地址訪問次數(shù)排行主機(jī)事件數(shù)量排行登陸失敗次數(shù)最多的用戶排行服務(wù)器用戶登陸次數(shù)排行等統(tǒng)計(jì)圖表圖1:實(shí)時整體監(jiān)控三一重工IT部也可以根據(jù)收集到的各類日志，非常方便快捷的制作出譬如防火墻拒絕目的地址排行、防火墻拒絕源地址排行和主機(jī)登錄失敗統(tǒng)計(jì)的統(tǒng)計(jì)報表；用戶還根據(jù)現(xiàn)有的網(wǎng)絡(luò)流量做網(wǎng)絡(luò)內(nèi)流量排行的趨勢分析；通過對上述一些圖表、報表和趨勢圖的分析，三一重工IT部可以對整個網(wǎng)絡(luò)的安全狀況有一個非常清晰的掌控。通過過濾器的設(shè)置，可以在實(shí)時審計(jì)場景中只顯示管理員關(guān)心的日志，去除了非關(guān)注日志的干擾；在主頁中為各個管理員設(shè)置的默認(rèn)視圖，使得管理員一登陸系統(tǒng)就可以監(jiān)視到自己所管理設(shè)備的重要事件。

@S€CfDK-SM￡ft4**y0I?； [J阿艸 JW甘帚 二 『?M?IJFPW 5Wf￥M￡K鼻BMltT±?**凹匚星昭勻?mr41門起崛:口" iiy轉(zhuǎn)址n17JM--SL?LK1□gjjg33.1>:3>L'昨托押<1機(jī)鼻/iL怕:曲井爾@S€CfDK-SM￡ft4**y0I?； [J阿艸 JW甘帚 二 『?M?IJFPW 5Wf￥M￡K鼻BMltT±?**凹匚星昭勻?mr41門起崛:口" iiy轉(zhuǎn)址n17JM--SL?LK1□gjjg33.1>:3>L'昨托押<1機(jī)鼻/iL怕:曲井爾L121◎弘訶曲齬就C=iaKHEiWLiFxML9A]□a?-ian；i>：3ijf43-5I?■SfKFFUL1"Wr-.PWmA<?W61-14你丄P越C3?S^ianhE眾丄]?±.]4.A16aL軌T中國安全信息岡列沖軒>珂JM:?尺用擇氐■和址■?逼■葉HLMfb"左品屣?1wmu.M<CJKeR,CN富斟E甲HiSflfl￡ 心s?i?3i：i]：s*un3^ia>?rir；.ITItde:?w?m:■址鼻■權(quán)rrJi><r3iSflPW-5Dr4lf■焙；床業(yè)aAMi]血iW￥?d#:l-M-'-d.-erMirt

_~f+ri-il-41?tt-HZ**LJIJh<I-J.-4rfklw:■>J>■??-*Bsani"OtjcW圖2：實(shí)時審計(jì)場景SecFox-SIM安全信息管理系統(tǒng)的日志查詢功能使得管理員能夠方便的查詢到需要查看的日志，并且能夠?qū)⒉樵兊降娜罩疽淮涡匀繉?dǎo)出以滿足審計(jì)的需求。整個系統(tǒng)通過告警規(guī)則的設(shè)置，對于一般的安全事件采用郵件告警的方式，一旦有安全事件產(chǎn)生就能夠及時通知到各個相關(guān)設(shè)備管理員，郵件告警的主題能夠自定義，可以顯示設(shè)備的IP地址及事件摘要，使得管理員無需查看郵件內(nèi)容即可知道哪臺設(shè)備發(fā)生了什么事情；SecFox-SIM系統(tǒng)集成了用戶現(xiàn)有的短信平臺，對于特別重要的設(shè)備，一旦產(chǎn)生安全事件，就可以立刻通過手機(jī)短信通知到設(shè)備管理員，在第一時間消除安全隱患，降低了安全風(fēng)險。

后期，三一重工IT部將借助日志審計(jì)系統(tǒng)完善審計(jì)規(guī)則，從而進(jìn)一步提高信息安全管理水平。關(guān)于網(wǎng)御神州SecFox-SIM安全信息管理系統(tǒng)為了不斷應(yīng)對來自內(nèi)部和外部的安全挑戰(zhàn)，企業(yè)和組織先后部署了大量的安全系統(tǒng)，但卻造成了安全防御的孤島，系統(tǒng)之間缺乏協(xié)同，各種安全系統(tǒng)產(chǎn)生了大量告警、日志和事件，出現(xiàn)信息過載的現(xiàn)象，造成很多誤報和漏報，導(dǎo)致問題不能及時發(fā)現(xiàn)和處理。此外，企業(yè)和組織正面臨不斷增大的內(nèi)控和信息系統(tǒng)審計(jì)的壓力，尤其是《企業(yè)內(nèi)部控制基本規(guī)范》即將開始施行，要求增強(qiáng)業(yè)務(wù)持續(xù)性的呼聲不斷提高，這些都促成了面向全網(wǎng)的安全信息集中管理平臺的出現(xiàn)。SecFox-SIM(SecurityInformationManagement)能夠?qū)崟r不間斷地將企業(yè)和組織中來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報等信息匯集到 SecFox-SIM服務(wù)器，實(shí)現(xiàn)海量信息的集中存儲和可靠保存。SecFox-SIM服務(wù)器能夠?qū)崟r地對采集到的不同類型的信息進(jìn)行歸一化、關(guān)聯(lián)分析、最大程度地消除誤報和錯報、找出漏報，通過統(tǒng)一的SecFox-SIM控制臺界面進(jìn)行實(shí)時、可視化的呈現(xiàn)，協(xié)助安全管理人員迅速準(zhǔn)確地識別安全事故，消除了管理員在多個控制臺之間來回切換的煩惱，同時提高工作效率。對于集中存儲起來的海量信息，SecFox-SIM可以讓分析人員借助歷史分析工具對信息進(jìn)行深度挖掘、調(diào)查取證、證據(jù)保全。SecFox-SIM能夠自動的或者在管理員人工干預(yù)的情況下對識別出來的安全事故進(jìn)行各種響應(yīng)。SecFox-SIM為客戶提供了豐富的報表，使得管理人員能夠從各個角度對企業(yè)和組織的

安全狀況進(jìn)行分析，并自動地、或者定期地產(chǎn)生報表。SecFox-SIM基于Web瀏覽器的界面和面向業(yè)務(wù)的呈現(xiàn)方式使得SecFox-SIM不僅適用于安全專家，也適用于業(yè)務(wù)管理人員。關(guān)于SIM安全信息管理（SIM）,也叫安全信息和事件管理（SIEM），或者簡稱安全管理系統(tǒng)，是安全管理領(lǐng)域發(fā)展的方向。SIM是一個全面的、面向企業(yè)和組織IT計(jì)算環(huán)境的、集中的安全集中管理平臺，這個平臺能夠收集來自企業(yè)和組織計(jì)算環(huán)境中各種設(shè)備和應(yīng)用的安全日志和事件，并進(jìn)行存儲、監(jiān)控、分析、報警、響應(yīng)和報告oSIM廣泛應(yīng)用于企業(yè)和組織內(nèi)部威脅管理、合規(guī)審計(jì)、安全審計(jì)、應(yīng)急響應(yīng)，等等，是信息系統(tǒng)安全集中管理的基石，是構(gòu)架安全運(yùn)行中心（SOC）的核心。關(guān)于數(shù)據(jù)庫審計(jì)系統(tǒng)與SIM的結(jié)合運(yùn)用SecFox-SIM能夠通過多種方式全面采集網(wǎng)絡(luò)中各種設(shè)備、應(yīng)用和系統(tǒng)的日志信息，確保用戶能夠收集并審計(jì)所有必需的日志信息，避免出現(xiàn)審計(jì)漏洞。同時，SecFox-SIM盡可能地使用被審計(jì)節(jié)點(diǎn)自身具備的日志外發(fā)協(xié)議，盡量不在被審計(jì)節(jié)點(diǎn)上安裝任何代理，保障被審計(jì)節(jié)點(diǎn)的完整性，使得對被審計(jì)節(jié)點(diǎn)的影響最小化。SecFox-SIM支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSECLEA、內(nèi)部私有TCP/UDP等網(wǎng)絡(luò)協(xié)議進(jìn)行日志采集。如果客戶網(wǎng)絡(luò)中無法采集日志，則可以在網(wǎng)絡(luò)中部署一個SecFox-NBA網(wǎng)絡(luò)行為分析系統(tǒng)主動收集網(wǎng)絡(luò)中的通訊信息，轉(zhuǎn)化為日志，并傳送給SecFox-SIM管理中心。例如，用戶要針對數(shù)據(jù)庫系統(tǒng)進(jìn)行日志審計(jì)，但是出于性能的考慮，無法開啟數(shù)據(jù)庫自身的日志記錄，同時也不能在數(shù)據(jù)庫服務(wù)器上安裝代理。此時，用戶可以將一個SecFox-NBA

以旁路部署（共享Hub/交換機(jī)端口鏡像/網(wǎng)絡(luò)分接TAP）的方式放置在數(shù)據(jù)庫系統(tǒng)所在的交換機(jī)旁邊，偵聽并分析數(shù)據(jù)庫訪問操作的指令，并轉(zhuǎn)化為操作日志送到SecFox-SIM管理中心。通過SecFox-SIM與SecFox-NBA的混合部署,實(shí)現(xiàn)了對無法產(chǎn)生日志的被審計(jì)對象的安全審計(jì)，做到全面審計(jì)，避免出現(xiàn)審計(jì)死角。網(wǎng)御神州SecFox-NBA（NetworkBehaviorAnalysisforBusinessAudit）網(wǎng)絡(luò)行為審計(jì)系統(tǒng)（業(yè)務(wù)審計(jì)型）作為一款出色的數(shù)據(jù)庫審計(jì)系統(tǒng)采用旁路偵聽的方式對通過網(wǎng)絡(luò)連接到重要業(yè)務(wù)系統(tǒng)（服務(wù)器、數(shù)據(jù)庫、業(yè)務(wù)中間件、數(shù)據(jù)文件等）的數(shù)據(jù)流進(jìn)行采集、分析和識別，實(shí)時監(jiān)視用戶訪問業(yè)務(wù)系統(tǒng)的狀態(tài)，記錄各種訪問行為，發(fā)現(xiàn)并及時制止用戶的誤操作、違規(guī)訪問或者可疑行為。SecFox-NBA（業(yè)務(wù)審計(jì)型）可審計(jì)包括各個平臺（Windows、Linux、Solaris、AIX）和版本的SQLServer、Oracle、DB2、Sybase、MySQL等在內(nèi)的數(shù)據(jù)庫的DDL,DML，DCL和其它操作等行為