网络安全 频道

天融信助力中国移动成功构筑安全网络

  【IT168 方案】

  1 引言

  随着中国移动通信有限公司通信网、业务网、支撑系统的迅速发展,网络规模迅速扩大,主机、网络设备、应用软件数量不断增多,业务资源访问、操作量不断增加,由于内控措施不力造成的安全问题时有发生。依赖各通信网、业务网和各支撑系统中设备自身的日志功能进行审计的做法已经无法满足中国移动目前和未来业务发展的要求。为了满足自身日志审计需求,满足SOX审计法案及国家信息系统等级化保护基本要求,提高信息系统安全性,急需建立统一的日志集中管理与审计系统。天融信及时捕捉到这一市场需求,以广东某市中国移动为示范基地成功搭建了日志集中管理与审计平台。

  2 需求分析与产品方案

  2.1 需求分析

  根据《中国移动通信集团广东有限公司**分公司2013年日志集中管理与审计集成服务项目需求说明书》的要求,本项目需对某中国移动管理支撑网、业务支撑网及UAP平台实现日志采集、存储、分析、审计、告警等全生命周期的管理,具体目标如下:

  (1)实现自动的日志集中采集与存储。将各业务网中的系统日志、应用日志、操作访问日志汇聚到一起,进行分类、压缩存储与备份。

  (2)实现自动的日志集中分析。通过定义规则,对日志进行横向和纵向关联,进行自动化分析,找出潜在安全问题。

  (3)实现自动的日志集中审计。通过将操作、访问日志关联到用户,分析用户的操作行为,以便于责任认定。

  (4)实现审计结果的查询、自动触发告警机制,更快、更早地发现问题,将损失降低到最低限度。

  日志采集范围覆盖管理支撑网、业务支撑网及UAP平台重要主机系统、数据库、网络设备、安全设备、Web服务器(中间件)、B/S结构应用,C/S结构应用等。

  2.2 产品方案

  针对该中国移动的总体项目建设需求,天融信公司给出以天融信日志收集与分析系统(简称TA-L)为主体同时无缝融合天融信业务关联分析引擎模块(即天融信数据库审计系统,简称TA-DB)的方案,如图2-1。在该方案中,TA-L负责实现网络设备、安全设备、服务器、业务系统日志的收集、存储、查询、分析和告警,TA-DB主要用来实现数据库审计和业务关联分析。

天融信助力中国移动成功构筑安全网络

  图2-1 需求分析与产品方案简图

  3 网络环境与部署方案

  3.1 网络环境

  该中国移动网络环境相对复杂,总体情况如下:

  (1)有三个独立的网络(管理支撑网、业务支撑网及UAP平台)分属不同网络结构,且有严格的边界访问控制与安全区域划分。

  (2)每个网络中都有很多重要的主机系统、数据库、网络设备、安全设备、Web服务器、B/S结构应用、C/S结构应用等。

  3.2 部署方案

  由于该中国移动的网络结构相对复杂、日志量也相对较大,故整个平台采用多级部署方案。又由于其有上下级日志集中存储的需求,结合现场环境和设备资源,最终采用把IBM x3755服务器划分成4个虚拟机分别部署TA-L上下级的方案,部署示意图如图3-1所示。业务关联分析引擎部署简单,只需将其监听口接入提前配置的核心交换机的目的镜像口,将其管理口接入内网交换机即可。该方式属于旁路部署,透明接入,不会影响原有的网络。

天融信助力中国移动成功构筑安全网络

  图3-1 日志集中管理与审计平台部署示意图

  4 平台的基本功能

  4.1 全面支持各种日志源类型

  日志集中管理与审计平台全面支持各种类型(网络设备、安全设备、数据库、主机和应用系统等)日志源。对于网站、自有业务系统日志提供了方便灵活的扩展机制,有专业的日志分析团队,支持快速定制,只要获得审计数据源的日志样本以及通讯协议方式,即可通过编写相应日志解析文件导入系统,获得对该审计数据源的日志采集能力,无需编码。支持Syslog、SNMP、JDBC、FTP、NetFlow和代理等采集方式。

  4.2 专业的原始日志格式化处理

  全网设备种类繁多,各设备日志信息存储格式、字段含义、通信协议差异较大,不便于用户统一查看理解。日志集中管理与审计系统将原始日志进行了深层解析,提取日志携带的完整信息进行标准格式转换和字段映射,用户只需在系统页面轻松一点即可查看格式统一易于理解的日志信息。

  4.3 高效完备的日志存储方式

  采用独特的高效原始日志压缩存储技术,压缩比高达10:1,存储速度超过10000条/秒,每兆存储空间可存储日志25000条以上。最大限度的提高了原始日志存储速度和磁盘利用率。支持自定义指定存储位置(磁盘阵列、SAN、NAS等外部存储网络)以获取超大存储空间。

  完备的存储策略,符合等保、分保等标准、政策的合规性存储要求。日志数据的备份支持手动备份、自动备份两种模式,可备份到本地磁盘,也可备份到外部FTP上。支持存储空间实时动态监视,图形化显示最新存储空间使用情况。可设磁盘告警上限阀值和磁盘使用率阈值,且可为每个日志源设置不同的保存周期,灵活对待不同安全级别日志源,时间和空间的存储管理,保证系统无需人工值守稳定运行。

  4.4 快速精准的日志查询检索

  预制个性化查询模板,多条件组合查询;采用索引技术,准确迅速定位关键日志,支持对海量日志信息进行条件检索查询,即查即显;查询结果可原始日志和归一化日志格式同屏显示,对比分析;查询结果支持word、pdf等多种格式导出;支持将备份日志数据进行还原检索查询;支持查询结果二次查询,体验更佳。

  4.5 合规而人性化的报表功能

  日志集中管理与审计平台具有丰富的报表功能。系统提供了多种报表模板,不仅支持对网络事件按条件统计,而且提供了表格及多种图形(柱状图、曲线图)的表现形式,使管理员一目了然。不仅能够实时查询各种基本报表,还可以将用户所需的基本报表自由组合形成个性化报表。系统内置了部分满足SOX要求的报表(如图4-1),同时也可以通过自定报表生成符合SOX要求的报表。用户不仅可以按自己所需格式(PDF、Word、Excel和html格式)手动导出报表,也可以制定计划任务将所需报表定期定时自动发送到指定的邮件账户,满足了用户有规律的接收报表、定期了解设备情况的需求。

天融信助力中国移动成功构筑安全网络

  图4-1 系统内置的windows系列服务器的SOX合规性报表

  4.6 强大的安全事件分析能力

  该平台具有强大的安全事件分析能力,不仅内置大量事件规则,还可根据现场需要由用户自定义多种模式的事件规则,当安全事件发生时,系统会立即触发安全事件提醒管理者以便于管理者能及时采取保护措施。系统支持安全事件回溯,准确定位事件根源,事后取证定责有保障。

  平台融入的业务关联分析引擎(即天融信数据库审计系统)具有强大的数据库审计、网络审计和关联分析功能。通过本系统安全事件管理体系对浏览器与Web服务器、Web服务器与数据库服务器之间所产生的HTTP事件、SQL事件进行三层关联分析,管理者可以快速、方便的查询到某个数据库访问是由哪个HTTP访问触发,从而定位追查到真正的访问者,进而将访问Web的资源账号和相关的数据库操作关联起来,包括访问者用户名、源IP地址、SQL语句、业务用户IP、业务用户主机等信息,如图4-2所示。

天融信助力中国移动成功构筑安全网络

  图4-2 业务关联分析结果

  4.7 及时有效的告警响应功能

  系统内置重要告警规则,也支持用户根据现场需要灵活地自定义告警规则。支持多种不同类型的响应方式,如声音、短信、电子邮件、SNMP、执行本地命令、TopAnalyzer联动等。通过将告警事件与响应方式关联配置,当系统检测到不安全的告警事件时就会以相应的响应方式及时通知管理员进行处理,从而保障整个网络的安全运行。

  4.8 宏观实时的系统状态监视

  在平台首页的管理中心状态监视界面中会显示今日事件概要、整个系统的逻辑拓扑图和实时告警,如图4-3所示。审计中心状态监视界面中会显示系统存储状态、流量状态、CPU状态、内存状态、该采集节点的逻辑拓扑图、总日志数量统计,如图4-4所示。由于这些图表数据实时刷新,故管理员仅需登录系统查看首页中这些简单的图表就可以宏观掌握当前系统的运行状况和整个网络的安全态势。

天融信助力中国移动成功构筑安全网络

  图4-3 平台首页的管理中心状态监视界面

天融信助力中国移动成功构筑安全网络

  图4-4 平台首页的审计中心状态监视界面

  5 系统的特点与优势

  5.1 全面的产品功能

  该系统全面支持各种网络设备、安全设备、主机和应用系统,面向海量日志提供强大的日志收集和存储能力,同时支持海量日志即查即显。支持基本报表、复合报表和计划报表,报表可导出,也可由管理员指定时间自动发送到指定人员邮箱,帮助管理者轻松掌握网络安全态势。此外,系统具有强大的事件分析能力,不仅内置大量事件规则、告警规则,还可根据现场需要由用户自定义多种模式的事件规则、告警规则,当安全事件发生时,系统会立即通知管理者以便于管理者能及时采取保护措施。系统支持安全事件回溯,准确定位事件根源,事后取证定责有保障。

  5.2 卓越的产品性能

  该系统具有强大的日志数据采集性能,采集速度达到20000条/秒,综合处理能力达到10000条/秒;采用独特的压缩技术存储日志数据,压缩比高达10:1,每兆空间可存储日志25000条以上,高效利用磁盘空间;采用索引技术,准确迅速定位关键日志,海量日志检索速度不超过5秒;高效的内存统计机制使得报表生成与查看速度不超过20秒。

  5.3 灵活的部署方案

  系统支持单级部署和多级部署。单级部署适合网络环境相对简单且日志量较小的中小型企事业单位。多级部署适合网络环境相对复杂,日志量较大或具有多个分支机构且需要进行统一日志安全管理的大中型企事业单位。多级部署时系统由一个管理中心和多个数据处理中心组成。通过部署多个数据处理中心,线性扩展了系统的处理能力。下级数据处理中心处理的所有数据信息统一在上级管理中心页面集中展示,便于客户统一管理。

  5.4 完善的产品资质

  天融信日志收集与分析系统以其卓越的功能和性能受到了广泛的认可,获取的相关资质如下:

  (1)涉密信息系统产品检测证书(保密局颁发);

  (2)销售许可证(公安部颁发);

  (3)软件著作权-科技(国家版权局颁发);

  (4)军用信息安全产品认证证书(军队测评中心颁发);

  (5)北京市自主创新产品证书(北京市科学技术委员会/北京市发展和改革委员会/北京市住房和城乡建设委员会/北京市经济和信息化委员会/中关村科技园区管理委员会联合颁发);

  (6)软件产品登记证书;

  (7)计算机信息系统集成贰级资质证书(贰级);

  (8)质量管理体系认证证书;

  (9)国家信息安全测评信息安全服务资质证书(安全工程类二级)。

  6 结语

  天融信日志收集与分析系统是国内最早的由天融信公司自主研发的日志审计产品。其符合ISO27001等保、分保要求,支持三权分立的合规性审计。功能强大,性能卓越,服务体系完善,是基于日志视角的非常好的信息安全管理解决方案。自2003年推出以来,天融信日志收集与分析系统以其独特的优势得到了广泛的应用,拥有丰富的成功部署经验,成为构建政府、能源、教育、金融、电信、军队等组织机构海量日志审计系统的非常好的选择。无论是出于网络安全需求还是合规审计需求,天融信日志收集与分析系统值得拥有!

1
相关文章