文｜倪竹清

引言

文匯新民聯(lián)合報業(yè)集團（以下簡稱“文新集團”）是中國最大的報業(yè)集團之一，集團共擁有18家紙質(zhì)媒體，10余個新媒體產(chǎn)品，實現(xiàn)了報紙、網(wǎng)絡(luò)、手機和戶外多維空間傳播和互動。集團成立十年來，先后建立了網(wǎng)絡(luò)管理基礎(chǔ)平臺，包括萬兆主干、千兆、百兆到桌面的內(nèi)部局域網(wǎng)；連接集團6幢大樓，總出口高達200多兆的互聯(lián)網(wǎng)；覆蓋文新大樓的無線網(wǎng)絡(luò)；實現(xiàn)遠程辦公的虛擬專用網(wǎng)（VPN）；用戶多達3000個集團電子郵件系統(tǒng)。建立了集團采、編、圖、排流程一體化的數(shù)字化生產(chǎn)平臺，包括新聞采編系統(tǒng)、飛騰組版系統(tǒng)等。建立了集團辦公經(jīng)營數(shù)字化管理平臺，包括公文管理系統(tǒng)、人力資源管理系統(tǒng)、財務(wù)管理系統(tǒng)等。建立了集被動防御和主動管理于一體的立體式安全防御系統(tǒng)，包括Juniper、 NetScreen高性能防火墻、McAfee Network IDS/IPS設(shè)備、Symantec病毒防護中心等。

文新集團目前共擁有網(wǎng)絡(luò)交換機近150臺、應(yīng)用服務(wù)器100多臺和各類應(yīng)用系統(tǒng)30余套。為保障集團各類IT設(shè)備和系統(tǒng)的正常運行，減少來自內(nèi)部用戶和外部互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊，保證集團每天的正常出報工作，集團網(wǎng)絡(luò)安全管理員通過日常監(jiān)控各系統(tǒng)的運行日志來分析整個集團信息安全的情況。然而這些核心設(shè)備和關(guān)鍵應(yīng)用系統(tǒng)均采用各自供應(yīng)商提供的安全事件監(jiān)控界面，有的為C/S結(jié)構(gòu)的用戶界面，有的是B/S結(jié)構(gòu)的用戶界面，各系統(tǒng)的日志格式和語義也不盡相同。這就給安全管理員的監(jiān)控工作帶來了很大的麻煩，繁瑣的操作花費了大量的時間，使真正的安全隱患無法及時被發(fā)現(xiàn)。為此，文新集團研發(fā)并實施了網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)。

系統(tǒng)介紹

系統(tǒng)結(jié)構(gòu)

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)主要由日志采集客戶端、安全審計控制中心、日志統(tǒng)計分析服務(wù)器三個部分組成。

日志采集客戶端（Collector）

日志采集客戶端是整個系統(tǒng)的觸角,負責(zé)收集各種操作系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、應(yīng)用程序的日志信息，過濾后發(fā)送給安全審計中心處理,同時還能夠收集各類系統(tǒng)無法遠程收集的信息。

文新集團目前采集的主要日志有：Syslog日志、IIS W3C擴展日志、ISA WEB代理W3C擴展日志、ISA防火墻、MSSQL錯誤日志、MSSQL代理日志、Windows事件日志、NetScreen事件日志、MDaemon SMTP(in)日志、MDaemon SMTP(out)日志、Symantec Antivirus日志、Juniper IDP800日志等，涵蓋了集團所有的安全設(shè)備。

安全審計控制中心(Console)

安全審計控制中心接收日志采集客戶端和各種安全設(shè)備、系統(tǒng)轉(zhuǎn)發(fā)的日志信息，配置任務(wù)、設(shè)置過濾條件，配置系統(tǒng)參數(shù)，查看安全審計報表，查看實時日志數(shù)據(jù)等。

文新集團對關(guān)鍵系統(tǒng)、核心設(shè)備配置監(jiān)控任務(wù)，根據(jù)安全監(jiān)控的實際需求預(yù)先設(shè)定了：磁盤使用報告、FTP日志統(tǒng)計報表、ISA日志統(tǒng)計報表、Syslog消息級別統(tǒng)計報表、NetScreen日志統(tǒng)計報表、MDaemon日志統(tǒng)計報表、Windows事件日志統(tǒng)計報表、Juniper IDP800日志統(tǒng)計表、客戶端日志分析等報表，便于網(wǎng)絡(luò)安全管理員實時監(jiān)控。

日志統(tǒng)計分析數(shù)據(jù)庫（DataBase）

圖1 網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)系統(tǒng)架構(gòu)

表1 網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)功能表

日志統(tǒng)計分析數(shù)據(jù)庫海量存儲各種日志信息、系統(tǒng)配置信息、統(tǒng)計分析數(shù)據(jù)等信息。系統(tǒng)可根據(jù)用戶要求按年、月、日來作統(tǒng)計數(shù)據(jù)，形成報表。安全管理員可以實時查詢到集團員工上得最多網(wǎng)站、用戶流量最大的客戶端等信息。

系統(tǒng)特點

部署便捷

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)中的客戶端只需要安裝初始化一次即可使用，無需額外的其他配置?？蛻舳说母?、升級等服務(wù)將由網(wǎng)絡(luò)安全管理員通過系統(tǒng)中的推送方式實現(xiàn)。

統(tǒng)一管理

文新集團在完成采集客戶端的部署后，網(wǎng)絡(luò)安全管理員通過系統(tǒng)中心控制臺對每一臺客戶端進行任務(wù)參數(shù)的統(tǒng)一配置和統(tǒng)一管理，而且還可以對每個客戶端進行任務(wù)的啟、停用操作以及任務(wù)的增、刪、改等。

設(shè)置預(yù)警

系統(tǒng)一旦發(fā)現(xiàn)符合預(yù)警條件的日志時，通過配置好的若干種預(yù)警方式進行提醒，包括Email預(yù)警、鈴聲預(yù)警、短信預(yù)警、GUI預(yù)警等，使管理員及時發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患。

高度集成

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)提供可擴展的日志類型接口，可以不斷豐富日志類型，發(fā)現(xiàn)一個，集成一個，實現(xiàn)網(wǎng)絡(luò)監(jiān)控全覆蓋。

創(chuàng)新之處

先進的多級架構(gòu)設(shè)計

圖2 網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)首頁

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)采用業(yè)界領(lǐng)先的多級架構(gòu)設(shè)計，支持多套系統(tǒng)級聯(lián)和分布式部署的方式，日志數(shù)據(jù)分庫存儲，系統(tǒng)可以非常方便、快捷地部署在大型復(fù)雜的網(wǎng)絡(luò)環(huán)境中。同時，多級審計結(jié)構(gòu)也有效地解決了含有 NAT的復(fù)雜網(wǎng)絡(luò)中事件的收集和審計問題。

文新集團旗下媒體眾多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、IT規(guī)模較大，而對應(yīng)的集團網(wǎng)絡(luò)安全監(jiān)控工程師卻只有6位。因此，集團采用多套系統(tǒng)級聯(lián)和分布式部署的方式，實現(xiàn)集團對下級各應(yīng)用部門的信息安全管理和監(jiān)控。

可擴充的日志采集

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)可以跨網(wǎng)絡(luò)、跨網(wǎng)段地對應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備在運行期間所產(chǎn)生的日志進行采集、分析和存儲；全面支持安全設(shè)備（如防火墻等）、網(wǎng)絡(luò)設(shè)備（如路由、交換機）、應(yīng)用系統(tǒng)（如Web、Mail、FTP、Database）、操作系統(tǒng)（如Windows、Linux、Unix）等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的采集和分析；支持對不同日志格式的分類、篩選、最大效率的保存；支持不斷擴充的日志類型，使安全審計的范圍不斷擴大。

支持海量數(shù)據(jù)存儲

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)采用科學(xué)合理的分布式存儲單元，支持海量日志數(shù)據(jù)的存儲。這不僅滿足了公安部、信安部規(guī)定各單位上網(wǎng)日志需保存一年，以便于事后查詢的要求，更有利于各單位網(wǎng)絡(luò)安全管理人員對各安全事件的統(tǒng)一分析與統(tǒng)一管理。

根據(jù)統(tǒng)計，文新集團每天采集監(jiān)控的各類產(chǎn)品的日志達到1200萬條到1400萬條，每月存儲的日志達到2TB。如此海量信息的采集監(jiān)控絲毫不會影響系統(tǒng)的運行和查詢，也不會對集團的網(wǎng)絡(luò)和其他應(yīng)用系統(tǒng)造成影響。文新集團在立項調(diào)研時，曾對幾個國外的同類產(chǎn)品進行實際環(huán)境的測試，大部分產(chǎn)品在采集海量日志數(shù)據(jù)時就已經(jīng)無法正常運行。

高效的日志檢索算法

對于海量存儲的數(shù)據(jù)，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)采用了快速、高效、準確的數(shù)據(jù)檢索算法，提供海量數(shù)據(jù)快速檢索、高效匯總和分析統(tǒng)計的功能。系統(tǒng)能夠在較短的響應(yīng)時間內(nèi)精確定位用戶所需的日志詳細信息，供用戶分析，使安全管理人員能在最短的時間內(nèi)發(fā)現(xiàn)和消除網(wǎng)絡(luò)安全隱患。文新集團幾年來沒有發(fā)生過因網(wǎng)絡(luò)安全故障而影響出報的重大事故。

實施效果

文新集團在網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)部署前，網(wǎng)絡(luò)安全管理員主動發(fā)現(xiàn)安全隱患的次數(shù)并不多，往往是故障已經(jīng)發(fā)生了，管理人員再去分析故障設(shè)備或者故障系統(tǒng)的日志，尋找故障發(fā)生的原因，找出解決故障的方法。由于故障已經(jīng)發(fā)生，所以一定會對集團某些日常工作造成影響。如果出報服務(wù)器或者網(wǎng)絡(luò)代理服務(wù)器受到攻擊無法正常工作，還將會影響到出報環(huán)節(jié)，造成無可挽回的損失。

2008年，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)在文新集團正式上線運行后，首先，集團信息安全管理員不再需要像以前一樣針對每一種設(shè)備、每一套系統(tǒng)進行單獨的日志管理，可以通過網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)這一整合平臺，統(tǒng)一監(jiān)控授權(quán)范圍內(nèi)的系統(tǒng)、設(shè)備的運作情況，及時發(fā)現(xiàn)安全隱患；其次，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)提供了多種預(yù)警方式，第一時間告知管理人員目前可能存在哪些安全問題，系統(tǒng)會將相關(guān)信息以郵件、短信等方式主動推送給相關(guān)管理人員，及時解決故障隱患，減少故障的發(fā)生；再者，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)提供了豐富的統(tǒng)計報表功能，可以幫助管理人員分析可能存在的安全隱患或網(wǎng)絡(luò)中有哪些不良操作行為，讓技術(shù)人員及時制止，保證了集團整個網(wǎng)絡(luò)、IT系統(tǒng)的安全運行。

案例一

文新集團擁有一個龐大遠程傳版系統(tǒng)，集團旗下的所有媒體都實現(xiàn)了遠程傳輸版面異地印刷。集團印務(wù)中心每天不僅異地印刷本集團的報紙，還負責(zé)國內(nèi)50多家報紙的異地印刷任務(wù)。因此，集團印務(wù)中心部署了專用FTP文件服務(wù)器，負責(zé)從互聯(lián)網(wǎng)上遠程接收各類報紙的版面文件，任何一份報紙的任何一個版面文件如果丟失或被惡意篡改均會造成不可估量的損失。在網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)中，集團專門設(shè)有針對FTP用戶帳號及密碼安全度的審計功能，通過對FTP服務(wù)器上IIS-FTP日志的采集和分析，可以看到所有合法帳戶的一舉一動，什么時候登錄、退出、什么時候上傳了什么文件、什么時候刪除了什么文件等都能查的一清二楚。一旦服務(wù)器遭受異常的登錄請求（譬如針對某些弱口令用戶進行字典式用戶試探登錄），系統(tǒng)會在第一事件捕獲這一異?，F(xiàn)象，通過預(yù)先設(shè)置的短信等方式及時告知相應(yīng)管理人員，將潛在的危險提前排除。

文新集團的遠程FTP傳版服務(wù)器曾遭到非法用戶攻擊，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)監(jiān)控及時通過預(yù)設(shè)的方式向集團網(wǎng)絡(luò)安全管理員進行手機短信報警，并同時向網(wǎng)絡(luò)監(jiān)控人員進行蜂鳴式報警。集團技術(shù)部門快速反應(yīng)，在FTP服務(wù)器未被破壞之前，及時調(diào)整傳版線路，啟用備用服務(wù)器和備用地址，使出報數(shù)據(jù)安全、準確、及時地傳輸?shù)接∷S和國內(nèi)27個代印點、海外30個城市。同時對非法攻擊行為進行快速處理，杜絕了一起嚴重的出報事故。

案例二

文新集團在企業(yè)內(nèi)部部署了微軟的ISA代理服務(wù)器，所有員工均通過統(tǒng)一的代理服務(wù)器進行上網(wǎng)，各種上網(wǎng)行為均可以在其日志中得到反映，一旦發(fā)生互聯(lián)網(wǎng)上的安全違法亂紀行為，可以查到具體什么人什么時候在那臺機器上做了什么事情。網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)不僅采集的了相應(yīng)的日志，還可以直接提供查詢功能，并且可以通過豐富的統(tǒng)計報表功能幫助網(wǎng)絡(luò)安全管理人員合理分配網(wǎng)絡(luò)帶寬資源。

文新集團擁有3000多臺電腦，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)會對感染病毒的電腦及時報警。感染病毒電腦會不停地對樓層網(wǎng)絡(luò)交換機進行攻擊，如果不及時解決，攻擊的數(shù)據(jù)量不斷增大，將會導(dǎo)致樓層交換機工作異常，整個樓層的用戶無法上網(wǎng)，影響正常工作。網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)一旦監(jiān)測到有此情況的電腦會立即通過蜂鳴、短信等方式進行報警。技術(shù)人員接到報警后可以通過系統(tǒng)迅速定位被病毒感染的電腦，并進行殺毒，排除網(wǎng)絡(luò)故障隱患。而此時，使用“病毒”電腦的用戶還根本沒有感覺到自己的電腦出現(xiàn)了問題，整個樓層的用戶的正常工作絲毫未受到影響，整個處理過程快速、有序。

結(jié)語

隨著信息化技術(shù)不斷發(fā)展，IT規(guī)模的不斷擴大和互聯(lián)網(wǎng)應(yīng)用不斷增長，來自企業(yè)內(nèi)部和互聯(lián)網(wǎng)外部的安全問題得到了越來越多的重視。網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)是文新集團根據(jù)多年的IT管理經(jīng)驗，結(jié)合日常IT管理業(yè)務(wù)中發(fā)現(xiàn)的實際問題而研發(fā)的一套整體解決方案。系統(tǒng)能夠幫助企業(yè)網(wǎng)絡(luò)安全管理員實時監(jiān)控網(wǎng)絡(luò)中核心設(shè)備、關(guān)鍵應(yīng)用、電腦的運行狀況，及時發(fā)現(xiàn)設(shè)備故障、安全隱患、非法攻擊，保障網(wǎng)絡(luò)安全。系統(tǒng)部署靈活、界面清晰、操作簡單，具有很強的實用性和產(chǎn)業(yè)推廣性。