文｜倪竹清

引言

文匯新民聯(lián)合報(bào)業(yè)集團(tuán)（以下簡(jiǎn)稱(chēng)“文新集團(tuán)”）是中國(guó)最大的報(bào)業(yè)集團(tuán)之一，集團(tuán)共擁有18家紙質(zhì)媒體，10余個(gè)新媒體產(chǎn)品，實(shí)現(xiàn)了報(bào)紙、網(wǎng)絡(luò)、手機(jī)和戶外多維空間傳播和互動(dòng)。集團(tuán)成立十年來(lái)，先后建立了網(wǎng)絡(luò)管理基礎(chǔ)平臺(tái)，包括萬(wàn)兆主干、千兆、百兆到桌面的內(nèi)部局域網(wǎng)；連接集團(tuán)6幢大樓，總出口高達(dá)200多兆的互聯(lián)網(wǎng)；覆蓋文新大樓的無(wú)線網(wǎng)絡(luò)；實(shí)現(xiàn)遠(yuǎn)程辦公的虛擬專(zhuān)用網(wǎng)（VPN）；用戶多達(dá)3000個(gè)集團(tuán)電子郵件系統(tǒng)。建立了集團(tuán)采、編、圖、排流程一體化的數(shù)字化生產(chǎn)平臺(tái)，包括新聞采編系統(tǒng)、飛騰組版系統(tǒng)等。建立了集團(tuán)辦公經(jīng)營(yíng)數(shù)字化管理平臺(tái)，包括公文管理系統(tǒng)、人力資源管理系統(tǒng)、財(cái)務(wù)管理系統(tǒng)等。建立了集被動(dòng)防御和主動(dòng)管理于一體的立體式安全防御系統(tǒng)，包括Juniper、 NetScreen高性能防火墻、McAfee Network IDS/IPS設(shè)備、Symantec病毒防護(hù)中心等。

文新集團(tuán)目前共擁有網(wǎng)絡(luò)交換機(jī)近150臺(tái)、應(yīng)用服務(wù)器100多臺(tái)和各類(lèi)應(yīng)用系統(tǒng)30余套。為保障集團(tuán)各類(lèi)IT設(shè)備和系統(tǒng)的正常運(yùn)行，減少來(lái)自內(nèi)部用戶和外部互聯(lián)網(wǎng)的網(wǎng)絡(luò)攻擊，保證集團(tuán)每天的正常出報(bào)工作，集團(tuán)網(wǎng)絡(luò)安全管理員通過(guò)日常監(jiān)控各系統(tǒng)的運(yùn)行日志來(lái)分析整個(gè)集團(tuán)信息安全的情況。然而這些核心設(shè)備和關(guān)鍵應(yīng)用系統(tǒng)均采用各自供應(yīng)商提供的安全事件監(jiān)控界面，有的為C/S結(jié)構(gòu)的用戶界面，有的是B/S結(jié)構(gòu)的用戶界面，各系統(tǒng)的日志格式和語(yǔ)義也不盡相同。這就給安全管理員的監(jiān)控工作帶來(lái)了很大的麻煩，繁瑣的操作花費(fèi)了大量的時(shí)間，使真正的安全隱患無(wú)法及時(shí)被發(fā)現(xiàn)。為此，文新集團(tuán)研發(fā)并實(shí)施了網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)。

系統(tǒng)介紹

系統(tǒng)結(jié)構(gòu)

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)主要由日志采集客戶端、安全審計(jì)控制中心、日志統(tǒng)計(jì)分析服務(wù)器三個(gè)部分組成。

日志采集客戶端（Collector）

日志采集客戶端是整個(gè)系統(tǒng)的觸角,負(fù)責(zé)收集各種操作系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、應(yīng)用程序的日志信息，過(guò)濾后發(fā)送給安全審計(jì)中心處理,同時(shí)還能夠收集各類(lèi)系統(tǒng)無(wú)法遠(yuǎn)程收集的信息。

文新集團(tuán)目前采集的主要日志有：Syslog日志、IIS W3C擴(kuò)展日志、ISA WEB代理W3C擴(kuò)展日志、ISA防火墻、MSSQL錯(cuò)誤日志、MSSQL代理日志、Windows事件日志、NetScreen事件日志、MDaemon SMTP(in)日志、MDaemon SMTP(out)日志、Symantec Antivirus日志、Juniper IDP800日志等，涵蓋了集團(tuán)所有的安全設(shè)備。

安全審計(jì)控制中心(Console)

安全審計(jì)控制中心接收日志采集客戶端和各種安全設(shè)備、系統(tǒng)轉(zhuǎn)發(fā)的日志信息，配置任務(wù)、設(shè)置過(guò)濾條件，配置系統(tǒng)參數(shù)，查看安全審計(jì)報(bào)表，查看實(shí)時(shí)日志數(shù)據(jù)等。

文新集團(tuán)對(duì)關(guān)鍵系統(tǒng)、核心設(shè)備配置監(jiān)控任務(wù)，根據(jù)安全監(jiān)控的實(shí)際需求預(yù)先設(shè)定了：磁盤(pán)使用報(bào)告、FTP日志統(tǒng)計(jì)報(bào)表、ISA日志統(tǒng)計(jì)報(bào)表、Syslog消息級(jí)別統(tǒng)計(jì)報(bào)表、NetScreen日志統(tǒng)計(jì)報(bào)表、MDaemon日志統(tǒng)計(jì)報(bào)表、Windows事件日志統(tǒng)計(jì)報(bào)表、Juniper IDP800日志統(tǒng)計(jì)表、客戶端日志分析等報(bào)表，便于網(wǎng)絡(luò)安全管理員實(shí)時(shí)監(jiān)控。

日志統(tǒng)計(jì)分析數(shù)據(jù)庫(kù)（DataBase）

圖1 網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)系統(tǒng)架構(gòu)

表1 網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)功能表

日志統(tǒng)計(jì)分析數(shù)據(jù)庫(kù)海量存儲(chǔ)各種日志信息、系統(tǒng)配置信息、統(tǒng)計(jì)分析數(shù)據(jù)等信息。系統(tǒng)可根據(jù)用戶要求按年、月、日來(lái)作統(tǒng)計(jì)數(shù)據(jù)，形成報(bào)表。安全管理員可以實(shí)時(shí)查詢到集團(tuán)員工上得最多網(wǎng)站、用戶流量最大的客戶端等信息。

系統(tǒng)特點(diǎn)

部署便捷

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)中的客戶端只需要安裝初始化一次即可使用，無(wú)需額外的其他配置。客戶端的更新、升級(jí)等服務(wù)將由網(wǎng)絡(luò)安全管理員通過(guò)系統(tǒng)中的推送方式實(shí)現(xiàn)。

統(tǒng)一管理

文新集團(tuán)在完成采集客戶端的部署后，網(wǎng)絡(luò)安全管理員通過(guò)系統(tǒng)中心控制臺(tái)對(duì)每一臺(tái)客戶端進(jìn)行任務(wù)參數(shù)的統(tǒng)一配置和統(tǒng)一管理，而且還可以對(duì)每個(gè)客戶端進(jìn)行任務(wù)的啟、停用操作以及任務(wù)的增、刪、改等。

設(shè)置預(yù)警

系統(tǒng)一旦發(fā)現(xiàn)符合預(yù)警條件的日志時(shí)，通過(guò)配置好的若干種預(yù)警方式進(jìn)行提醒，包括Email預(yù)警、鈴聲預(yù)警、短信預(yù)警、GUI預(yù)警等，使管理員及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患。

高度集成

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)提供可擴(kuò)展的日志類(lèi)型接口，可以不斷豐富日志類(lèi)型，發(fā)現(xiàn)一個(gè)，集成一個(gè)，實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控全覆蓋。

創(chuàng)新之處

先進(jìn)的多級(jí)架構(gòu)設(shè)計(jì)

圖2 網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)首頁(yè)

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)采用業(yè)界領(lǐng)先的多級(jí)架構(gòu)設(shè)計(jì)，支持多套系統(tǒng)級(jí)聯(lián)和分布式部署的方式，日志數(shù)據(jù)分庫(kù)存儲(chǔ)，系統(tǒng)可以非常方便、快捷地部署在大型復(fù)雜的網(wǎng)絡(luò)環(huán)境中。同時(shí)，多級(jí)審計(jì)結(jié)構(gòu)也有效地解決了含有 NAT的復(fù)雜網(wǎng)絡(luò)中事件的收集和審計(jì)問(wèn)題。

文新集團(tuán)旗下媒體眾多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、IT規(guī)模較大，而對(duì)應(yīng)的集團(tuán)網(wǎng)絡(luò)安全監(jiān)控工程師卻只有6位。因此，集團(tuán)采用多套系統(tǒng)級(jí)聯(lián)和分布式部署的方式，實(shí)現(xiàn)集團(tuán)對(duì)下級(jí)各應(yīng)用部門(mén)的信息安全管理和監(jiān)控。

可擴(kuò)充的日志采集

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)可以跨網(wǎng)絡(luò)、跨網(wǎng)段地對(duì)應(yīng)用服務(wù)器、網(wǎng)絡(luò)設(shè)備在運(yùn)行期間所產(chǎn)生的日志進(jìn)行采集、分析和存儲(chǔ)；全面支持安全設(shè)備（如防火墻等）、網(wǎng)絡(luò)設(shè)備（如路由、交換機(jī)）、應(yīng)用系統(tǒng)（如Web、Mail、FTP、Database）、操作系統(tǒng)（如Windows、Linux、Unix）等多種產(chǎn)品及系統(tǒng)的日志數(shù)據(jù)的采集和分析；支持對(duì)不同日志格式的分類(lèi)、篩選、最大效率的保存；支持不斷擴(kuò)充的日志類(lèi)型，使安全審計(jì)的范圍不斷擴(kuò)大。

支持海量數(shù)據(jù)存儲(chǔ)

網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)采用科學(xué)合理的分布式存儲(chǔ)單元，支持海量日志數(shù)據(jù)的存儲(chǔ)。這不僅滿足了公安部、信安部規(guī)定各單位上網(wǎng)日志需保存一年，以便于事后查詢的要求，更有利于各單位網(wǎng)絡(luò)安全管理人員對(duì)各安全事件的統(tǒng)一分析與統(tǒng)一管理。

根據(jù)統(tǒng)計(jì)，文新集團(tuán)每天采集監(jiān)控的各類(lèi)產(chǎn)品的日志達(dá)到1200萬(wàn)條到1400萬(wàn)條，每月存儲(chǔ)的日志達(dá)到2TB。如此海量信息的采集監(jiān)控絲毫不會(huì)影響系統(tǒng)的運(yùn)行和查詢，也不會(huì)對(duì)集團(tuán)的網(wǎng)絡(luò)和其他應(yīng)用系統(tǒng)造成影響。文新集團(tuán)在立項(xiàng)調(diào)研時(shí)，曾對(duì)幾個(gè)國(guó)外的同類(lèi)產(chǎn)品進(jìn)行實(shí)際環(huán)境的測(cè)試，大部分產(chǎn)品在采集海量日志數(shù)據(jù)時(shí)就已經(jīng)無(wú)法正常運(yùn)行。

高效的日志檢索算法

對(duì)于海量存儲(chǔ)的數(shù)據(jù)，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)采用了快速、高效、準(zhǔn)確的數(shù)據(jù)檢索算法，提供海量數(shù)據(jù)快速檢索、高效匯總和分析統(tǒng)計(jì)的功能。系統(tǒng)能夠在較短的響應(yīng)時(shí)間內(nèi)精確定位用戶所需的日志詳細(xì)信息，供用戶分析，使安全管理人員能在最短的時(shí)間內(nèi)發(fā)現(xiàn)和消除網(wǎng)絡(luò)安全隱患。文新集團(tuán)幾年來(lái)沒(méi)有發(fā)生過(guò)因網(wǎng)絡(luò)安全故障而影響出報(bào)的重大事故。

實(shí)施效果

文新集團(tuán)在網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)部署前，網(wǎng)絡(luò)安全管理員主動(dòng)發(fā)現(xiàn)安全隱患的次數(shù)并不多，往往是故障已經(jīng)發(fā)生了，管理人員再去分析故障設(shè)備或者故障系統(tǒng)的日志，尋找故障發(fā)生的原因，找出解決故障的方法。由于故障已經(jīng)發(fā)生，所以一定會(huì)對(duì)集團(tuán)某些日常工作造成影響。如果出報(bào)服務(wù)器或者網(wǎng)絡(luò)代理服務(wù)器受到攻擊無(wú)法正常工作，還將會(huì)影響到出報(bào)環(huán)節(jié)，造成無(wú)可挽回的損失。

2008年，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)在文新集團(tuán)正式上線運(yùn)行后，首先，集團(tuán)信息安全管理員不再需要像以前一樣針對(duì)每一種設(shè)備、每一套系統(tǒng)進(jìn)行單獨(dú)的日志管理，可以通過(guò)網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)這一整合平臺(tái)，統(tǒng)一監(jiān)控授權(quán)范圍內(nèi)的系統(tǒng)、設(shè)備的運(yùn)作情況，及時(shí)發(fā)現(xiàn)安全隱患；其次，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)提供了多種預(yù)警方式，第一時(shí)間告知管理人員目前可能存在哪些安全問(wèn)題，系統(tǒng)會(huì)將相關(guān)信息以郵件、短信等方式主動(dòng)推送給相關(guān)管理人員，及時(shí)解決故障隱患，減少故障的發(fā)生；再者，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)提供了豐富的統(tǒng)計(jì)報(bào)表功能，可以幫助管理人員分析可能存在的安全隱患或網(wǎng)絡(luò)中有哪些不良操作行為，讓技術(shù)人員及時(shí)制止，保證了集團(tuán)整個(gè)網(wǎng)絡(luò)、IT系統(tǒng)的安全運(yùn)行。

案例一

文新集團(tuán)擁有一個(gè)龐大遠(yuǎn)程傳版系統(tǒng)，集團(tuán)旗下的所有媒體都實(shí)現(xiàn)了遠(yuǎn)程傳輸版面異地印刷。集團(tuán)印務(wù)中心每天不僅異地印刷本集團(tuán)的報(bào)紙，還負(fù)責(zé)國(guó)內(nèi)50多家報(bào)紙的異地印刷任務(wù)。因此，集團(tuán)印務(wù)中心部署了專(zhuān)用FTP文件服務(wù)器，負(fù)責(zé)從互聯(lián)網(wǎng)上遠(yuǎn)程接收各類(lèi)報(bào)紙的版面文件，任何一份報(bào)紙的任何一個(gè)版面文件如果丟失或被惡意篡改均會(huì)造成不可估量的損失。在網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)中，集團(tuán)專(zhuān)門(mén)設(shè)有針對(duì)FTP用戶帳號(hào)及密碼安全度的審計(jì)功能，通過(guò)對(duì)FTP服務(wù)器上IIS-FTP日志的采集和分析，可以看到所有合法帳戶的一舉一動(dòng)，什么時(shí)候登錄、退出、什么時(shí)候上傳了什么文件、什么時(shí)候刪除了什么文件等都能查的一清二楚。一旦服務(wù)器遭受異常的登錄請(qǐng)求（譬如針對(duì)某些弱口令用戶進(jìn)行字典式用戶試探登錄），系統(tǒng)會(huì)在第一事件捕獲這一異?，F(xiàn)象，通過(guò)預(yù)先設(shè)置的短信等方式及時(shí)告知相應(yīng)管理人員，將潛在的危險(xiǎn)提前排除。

文新集團(tuán)的遠(yuǎn)程FTP傳版服務(wù)器曾遭到非法用戶攻擊，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)監(jiān)控及時(shí)通過(guò)預(yù)設(shè)的方式向集團(tuán)網(wǎng)絡(luò)安全管理員進(jìn)行手機(jī)短信報(bào)警，并同時(shí)向網(wǎng)絡(luò)監(jiān)控人員進(jìn)行蜂鳴式報(bào)警。集團(tuán)技術(shù)部門(mén)快速反應(yīng)，在FTP服務(wù)器未被破壞之前，及時(shí)調(diào)整傳版線路，啟用備用服務(wù)器和備用地址，使出報(bào)數(shù)據(jù)安全、準(zhǔn)確、及時(shí)地傳輸?shù)接∷S和國(guó)內(nèi)27個(gè)代印點(diǎn)、海外30個(gè)城市。同時(shí)對(duì)非法攻擊行為進(jìn)行快速處理，杜絕了一起嚴(yán)重的出報(bào)事故。

案例二

文新集團(tuán)在企業(yè)內(nèi)部部署了微軟的ISA代理服務(wù)器，所有員工均通過(guò)統(tǒng)一的代理服務(wù)器進(jìn)行上網(wǎng)，各種上網(wǎng)行為均可以在其日志中得到反映，一旦發(fā)生互聯(lián)網(wǎng)上的安全違法亂紀(jì)行為，可以查到具體什么人什么時(shí)候在那臺(tái)機(jī)器上做了什么事情。網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)不僅采集的了相應(yīng)的日志，還可以直接提供查詢功能，并且可以通過(guò)豐富的統(tǒng)計(jì)報(bào)表功能幫助網(wǎng)絡(luò)安全管理人員合理分配網(wǎng)絡(luò)帶寬資源。

文新集團(tuán)擁有3000多臺(tái)電腦，網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)會(huì)對(duì)感染病毒的電腦及時(shí)報(bào)警。感染病毒電腦會(huì)不停地對(duì)樓層網(wǎng)絡(luò)交換機(jī)進(jìn)行攻擊，如果不及時(shí)解決，攻擊的數(shù)據(jù)量不斷增大，將會(huì)導(dǎo)致樓層交換機(jī)工作異常，整個(gè)樓層的用戶無(wú)法上網(wǎng)，影響正常工作。網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)一旦監(jiān)測(cè)到有此情況的電腦會(huì)立即通過(guò)蜂鳴、短信等方式進(jìn)行報(bào)警。技術(shù)人員接到報(bào)警后可以通過(guò)系統(tǒng)迅速定位被病毒感染的電腦，并進(jìn)行殺毒，排除網(wǎng)絡(luò)故障隱患。而此時(shí)，使用“病毒”電腦的用戶還根本沒(méi)有感覺(jué)到自己的電腦出現(xiàn)了問(wèn)題，整個(gè)樓層的用戶的正常工作絲毫未受到影響，整個(gè)處理過(guò)程快速、有序。

結(jié)語(yǔ)

隨著信息化技術(shù)不斷發(fā)展，IT規(guī)模的不斷擴(kuò)大和互聯(lián)網(wǎng)應(yīng)用不斷增長(zhǎng)，來(lái)自企業(yè)內(nèi)部和互聯(lián)網(wǎng)外部的安全問(wèn)題得到了越來(lái)越多的重視。網(wǎng)絡(luò)安全行為監(jiān)控系統(tǒng)是文新集團(tuán)根據(jù)多年的IT管理經(jīng)驗(yàn)，結(jié)合日常IT管理業(yè)務(wù)中發(fā)現(xiàn)的實(shí)際問(wèn)題而研發(fā)的一套整體解決方案。系統(tǒng)能夠幫助企業(yè)網(wǎng)絡(luò)安全管理員實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中核心設(shè)備、關(guān)鍵應(yīng)用、電腦的運(yùn)行狀況，及時(shí)發(fā)現(xiàn)設(shè)備故障、安全隱患、非法攻擊，保障網(wǎng)絡(luò)安全。系統(tǒng)部署靈活、界面清晰、操作簡(jiǎn)單，具有很強(qiáng)的實(shí)用性和產(chǎn)業(yè)推廣性。