在采集上述设备的各类日志后,针对各类日志设置了关联告警规则,相关事件产生告警后,将会邮件自动通知相关管理员进行处理。
通过SecFox-SIM 和 SecFox-NBA的联合部署,提高了三一重工IT部对信息系统安全事件的整体管理水平。通过对各类网络设备、安全设备、主机设备、数据库、防病毒系统和数据库日志的统一收集和管理,三一重工IT部可以轻松的实时获取到各种安全整体信息,例如:
●访问被阻断次数最多的源地址
●访问被阻断最多的目的地址
●网络设备事件数量排行
●网络设备连接数源地址排行
●应用服务器流量排行
●应用服务器事件数量排行
●应用服务器源地址访问次数排行
●主机事件数量排行
● 登陆失败次数最多的用户排行
●服务器用户登陆次数排行等统计图表
图1:实时整体监控
三一重工IT部也可以根据收集到的各类日志,非常方便快捷的制作出譬如防火墙拒绝目的地址排行、防火墙拒绝源地址排行和主机登录失败统计的统计报表;用户还根据现有的网络流量做网络内流量排行的趋势分析;通过对上述一些图表、报表和趋势图的分析,三一重工IT部可以对整个网络的安全状况有一个非常清晰的掌控。
通过过滤器的设置,可以在实时审计场景中只显示管理员关心的日志,去除了非关注日志的干扰;在主页中为各个管理员设置的默认视图,使得管理员一登陆系统就可以监视到自己所管理设备的重要事件。
图2:实时审计场景
SecFox-SIM安全信息管理系统的日志查询功能使得管理员能够方便的查询到需要查看的日志,并且能够将查询到的日志一次性全部导出以满足审计的需求。
整个系统通过告警规则的设置,对于一般的安全事件采用邮件告警的方式,一旦有安全事件产生就能够及时通知到各个相关设备管理员,邮件告警的主题能够自定义,可以显示设备的IP地址及事件摘要,使得管理员无需查看邮件内容即可知道哪台设备发生了什么事情;SecFox-SIM系统集成了用户现有的短信平台,对于特别重要的设备,一旦产生安全事件,就可以立刻通过手机短信通知到设备管理员,在第一时间消除安全隐患,降低了安全风险。
后期,三一重工IT部将借助日志审计系统完善审计规则,从而进一步提高信息安全管理水平。
关于网御神州SecFox-SIM安全信息管理系统
为了不断应对来自内部和外部的安全挑战,企业和组织先后部署了大量的安全系统,但却造成了安全防御的孤岛,系统之间缺乏协同,各种安全系统产生了大量告警、日志和事件,出现信息过载的现象,造成很多误报和漏报,导致问题不能及时发现和处理。此外,企业和组织正面临不断增大的内控和信息系统审计的压力,尤其是《企业内部控制基本规范》即将开始施行,要求增强业务持续性的呼声不断提高,这些都促成了面向全网的安全信息集中管理平台的出现。
SecFox-SIM(Security Information Management)能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到SecFox-SIM服务器,实现海量信息的集中存储和可靠保存。
SecFox-SIM服务器能够实时地对采集到的不同类型的信息进行归一化、关联分析、最大程度地消除误报和错报、找出漏报,通过统一的SecFox-SIM控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。
对于集中存储起来的海量信息,SecFox-SIM可以让分析人员借助历史分析工具对信息进行深度挖掘、调查取证、证据保全。
SecFox-SIM能够自动的或者在管理员人工干预的情况下对识别出来的安全事故进行各种响应。
SecFox-SIM为客户提供了丰富的报表,使得管理人员能够从各个角度对企业和组织的安全状况进行分析,并自动地、或者定期地产生报表。
SecFox-SIM基于Web浏览器的界面和面向业务的呈现方式使得SecFox-SIM不仅适用于安全专家,也适用于业务管理人员。
关于SIM
安全信息管理(SIM),也叫安全信息和事件管理(SIEM),或者简称安全管理系统,是安全管理领域发展的方向。SIM是一个全面的、面向企业和组织IT计算环境的、集中的安全集中管理平台,这个平台能够收集来自企业和组织计算环境中各种设备和应用的安全日志和事件,并进行存储、监控、分析、报警、响应和报告。SIM广泛应用于企业和组织内部威胁管理、合规审计、安全审计、应急响应,等等,是信息系统安全集中管理的基石,是构架安全运行中心(SOC)的核心。
关于数据库审计系统与SIM的结合运用
SecFox-SIM能够通过多种方式全面采集网络中各种设备、应用和系统的日志信息,确保用户能够收集并审计所有必需的日志信息,避免出现审计漏洞。同时,SecFox-SIM尽可能地使用被审计节点自身具备的日志外发协议,尽量不在被审计节点上安装任何代理,保障被审计节点的完整性,使得对被审计节点的影响最小化。
SecFox-SIM支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA、内部私有TCP/ UDP等网络协议进行日志采集。
如果客户网络中无法采集日志,则可以在网络中部署一个SecFox-NBA网络行为分析系统主动收集网络中的通讯信息,转化为日志,并传送给SecFox-SIM管理中心。
例如,用户要针对数据库系统进行日志审计,但是出于性能的考虑,无法开启数据库自身的日志记录,同时也不能在数据库服务器上安装代理。此时,用户可以将一个SecFox-NBA以旁路部署(共享Hub/交换机端口镜像/网络分接TAP)的方式放置在数据库系统所在的交换机旁边,侦听并分析数据库访问操作的指令,并转化为操作日志送到SecFox-SIM管理中心。
通过SecFox-SIM与SecFox-NBA的混合部署,实现了对无法产生日志的被审计对象的安全审计,做到全面审计,避免出现审计死角。
网御神州SecFox-NBA(Network Behavior Analysis for Business Audit)网络行为审计系统(业务审计型)作为一款出色的数据库审计系统采用旁路侦听的方式对通过网络连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。
SecFox-NBA(业务审计型)可审计包括各个平台(Windows、Linux、Solaris、AIX)和版本的SQL Server、Oracle、DB2、Sybase、MySQL等在内的数据库的DDL,DML,DCL和其它操作等行为。
表2:SecFox-NBA数据库审计系统审计的数据库操作
借助网御神州独有的基于会话的行为分析(Session-based Behavior Analysis)技术,真正实现了对“谁、什么时间段内、对什么(数据)、进行了哪些操作、结果如何”的全程审计。
关于网御神州安全管理
网御神州安全管理团队根据长期以来在安全管理领域的深入研究,结合来自客户的需求与市场的现状,提出了具有完全自主知识产权的网神SecFox安全管理产品理念,尤其强调网络管理、安全管理与运维管理的一体化,为政府、军队、公安、税务、电力、保险、电信、金融、交通、制造、教育、广电等各个领域的客户提供全面的安全运营保障平台。网御神州建立了专门的安全管理研发和实施队伍——SOC事业部,在国内市场突飞猛进,取得了令人瞩目的市场成就。在CCID2008年和2009年《中国信息安全产品市场研究年度报告》中网御神州连续两年位居安全管理(SOC)市场第一名,成为了中国安全管理市场的领导厂商之一。
中国路面机械网是工程机械行业主流、权威的传播媒体。中国路面机械网的新闻资讯是百度、谷歌、新浪、搜狐等媒体的新闻源提供者,中国路面机械网所刊登的新闻将同步显示在以上媒体的新闻搜索中。
