伴随着三一重工公司业务的壮大,以及信息技术的发展,三一重工公司业务对IT系统的依赖程度越来越高,IT风险对业务风险的影响也越来越大,尤其企业核心的生产经营数据,成为了三一重工的重要业务资产。如果保护好这些数据资产、确保内部人员IT操作的合规性,成为了三一重工信息技术部门的重要工作。
三一重工的数据库、网络设备、系统平台、应用系统部署已经十分广泛,并且几乎所有的关键业务系统每天都产生大量日志。由于这些日志能够反映企业生产经营过程中的各种IT操作和行为,包括各种潜在的违规行为,因此,保护、利用好各种数据库、网络设备和服务器等设备的日志也成为信息部门的重要任务,对各种日志的分析、审计也是整个信息系统安全建设的最重要组成部分。面对海量的日志,仅仅依靠开源的日志采集软件和人工分析都是远远不够的,因此,三一重工计划部署一套日志集中管理系统。从2008年初开始,一直到2009年2月,在这近一年的时间内,三一重工对目前市面上主流的国内外日志审计系统进行了多方面的综合对比测试。
期间,网御神州根据客户的需求和业务系统现状,并利用在制造业网络安全管理领域丰富的经验积累,为客户提出了一套完善的日志审计解决方案。该方案首先使用一套SecFox-SIM安全信息管理系统将三一重工各种设备和应用的日志进行统一的收集和审计。同时,针对三一重工的Oracle和SQL Server数据库系统没有采用传统的日志采集方式,而是部署了两台硬件型SecFox-NBA数据库审计探针,采用旁路抓包的形式直接对数据操作行为进行审计,并将审计记录以日志的形式汇总到SecFox-SIM管理系统。借助这种创新的日志审计模式,避免了因安装数据库日志采集代理而可能带来的数据库性能和稳定性影响,对用户重要的数据库系统没有造成任何影响。
经过反复比较,三一重工最终在2009年2月选定了网御神州的日志审计系统,部署了两台SecFox-NBA数据库审计设备和一套SecFox-SIM安全信息管理系统。目前系统已经正式上线,运行稳定。
三一重工选择网御神州的日志集中管理系统主要基于如下几个方面的考虑:
1) 一套系统就能够收集企业中包括网络设备、安全设备、主机、数据库和应用系统的日志,并进行分析与审计;
2) 软硬件一体化解决方案,即插即用,内置海量存储,无需再另外配备数据库和存储系统,大大节省了搭建和维护服务器的工作;
3) 既能直接采集日志,也能够通过专门的硬件设备以旁路抓包的方式进行数据库审计,并将审计信息与其他日志信息进行统一分析;
4) 日志审计对象支持主流网络设备、安全设备、主机设备、数据库、中间件及通用应用;
5) 日志支持海量存储,日志查询支持多重组合检索条件,可以灵活查询,满足不同的查询需求;
6) 系统内置高容量硬盘,同时支持RAID5,可以最大限度的保障日志存储的安全;
7) 实时日志分析和告警,用户可以灵活的定义需要展现的用户关心的实时日志及告警规则;
8) 价位合理,同类产品性价比较高;
9) 网御神州公司是国内专业做日志审计与安全信息管理系统的公司,该系统所属的安全管理类产品在2007和2008年度蝉联了中国安全管理产品(SOC)年度成功企业称号;
10) 网御神州技术支持到位,后期开发和扩展有保障。
网御神州公司将一套SecFox-SIM安全信息管理系统(Security Information Management System)部署在三一重工IT本部,负责采集各类日志;两台硬件SecFox-NBA(Network Behavior Analysis)网络行为审计系统(业务审计型)审计器分别部署在三一重工IT本部和研究院,用来采集Oracle和SQL Server数据库的日志,并可灵活配置是否转发到SecFox-SIM系统,进行集中管理。整套日志审计解决方案在三一重工采集的日志如下表所示:
表1:三一重工采集的日志类型