——安全日志管理解決方案

　　當(dāng)電信運(yùn)營網(wǎng)絡(luò)擴(kuò)展到包含了許多主機(jī)、應(yīng)用系統(tǒng)和各種網(wǎng)絡(luò)設(shè)備時(shí)，管理與安全相關(guān)的事件變成越來越復(fù)雜的任務(wù)。在這些運(yùn)營設(shè)施中，操作系統(tǒng)本身能夠提供一些日志管理工具，但是由于其孤立于其他組網(wǎng)設(shè)施，對于運(yùn)營管理并不能提供所需的綜合信息，此外操作系統(tǒng)本身的日志管理工具也無法提供對于業(yè)務(wù)應(yīng)用提供審計(jì)，而更多的其他組網(wǎng)設(shè)備，例如路由器、交換機(jī)、防火墻等，根本就無法提供日志管理工具。 

　　對于目前越來越復(fù)雜的運(yùn)營網(wǎng)絡(luò)，日志管理的問題越來越嚴(yán)重：（圖13） 

• 日志凌亂的散落在網(wǎng)絡(luò)中各個(gè)設(shè)備上，發(fā)生在網(wǎng)絡(luò)不同部分的安全事件無法關(guān)聯(lián)起來； 
• 隨著網(wǎng)絡(luò)攻擊技術(shù)的成熟，系統(tǒng)本地的日志非常容易被篡改用來消弭各種非法入侵行為； 
• 日志數(shù)據(jù)在本地被記錄和丟棄，無法通過日志數(shù)據(jù)的挖掘形成用戶行為基線 
• 發(fā)生在網(wǎng)絡(luò)防御設(shè)備、諸如IDS、防火墻等在遭遇攻擊時(shí)會產(chǎn)生海量日志數(shù)據(jù)，以至于無法發(fā)現(xiàn)重要的事件。
• 不能統(tǒng)一分析異構(gòu)網(wǎng)絡(luò)中不同設(shè)備產(chǎn)生的日志數(shù)據(jù) 
• 管理數(shù)據(jù)； 
• 隨著時(shí)間和容量的變化，日志數(shù)據(jù)常常會被自動(dòng)刪除；人員無法使用同一的工具分析和審計(jì)網(wǎng)絡(luò)的日志數(shù)據(jù)。

圖13 運(yùn)營商面臨的安全日志管理問題

　　因此，運(yùn)營商需要一個(gè)能夠?qū)悩?gòu)的運(yùn)營網(wǎng)絡(luò)中不同的組網(wǎng)設(shè)備以及業(yè)務(wù)應(yīng)用系統(tǒng)的安全日志統(tǒng)一收集處理的系統(tǒng)，他能夠使網(wǎng)絡(luò)管理員比較方便、容易地將運(yùn)營系統(tǒng)各個(gè)環(huán)節(jié)的相關(guān)日志數(shù)據(jù)和安全性相關(guān)起來，快速發(fā)現(xiàn)運(yùn)營網(wǎng)絡(luò)的異常行為，為管理員提供一種快速評價(jià)網(wǎng)絡(luò)安全運(yùn)營的工具，隨著運(yùn)營網(wǎng)絡(luò)環(huán)境日趨復(fù)雜?？焖侔l(fā)現(xiàn)訪問行為和訪問模式的異常行為成為保障運(yùn)營網(wǎng)絡(luò)安全的一個(gè)基本需求。


1. 安全日志管理系統(tǒng)

　　SIMS日志采集模塊可以有效地收集和分析來自異構(gòu)服務(wù)器、不同供應(yīng)商提供的網(wǎng)絡(luò)設(shè)備、不同的業(yè)務(wù)系統(tǒng)等的安全日志數(shù)據(jù)，使網(wǎng)絡(luò)管理員能夠有效識別電信運(yùn)營環(huán)境中潛在的異常行為。

　　SIMS日志采集模塊能夠支持收集電信網(wǎng)絡(luò)中各種設(shè)備以及業(yè)務(wù)應(yīng)用系統(tǒng)的安全和系統(tǒng)日志信息，同時(shí)為管理員提供了良好的人機(jī)界面和簡約方便的操作。SIMS日志管理模塊是一個(gè)真正的與供應(yīng)商/設(shè)備無關(guān)的跨平臺安全事件管理解決方案。SIMS日志管理模塊提供了日志數(shù)據(jù)采集、格式規(guī)一、基本審計(jì)和分析功能，可以幫助網(wǎng)絡(luò)管理高效地從海量的安全數(shù)據(jù)中提取和挖掘關(guān)鍵安全事件，明顯地提高對惡意侵襲的監(jiān)控和防范能力。

　　SIMS管理模塊可以自動(dòng)規(guī)劃來自于電信網(wǎng)絡(luò)各個(gè)組成設(shè)備的日志數(shù)據(jù)，無論是Windows、Unix還是IDS、防火墻、路由器等，并將其存儲在區(qū)域數(shù)據(jù)庫中或者中心數(shù)據(jù)庫中，網(wǎng)絡(luò)管理員通過控制臺能夠設(shè)置條件，有效監(jiān)視、報(bào)警和輸出其希望的安全事件信息，根據(jù)這些信息，網(wǎng)絡(luò)管理員將可以在非法攻擊時(shí)及時(shí)做出反應(yīng)。


2. 系統(tǒng)組成

　　SIMS的系統(tǒng)組成如圖14所示，包括控制臺、核心服務(wù)器、日志采集服務(wù)器（其中根據(jù)系統(tǒng)所需部署規(guī)模，核心服務(wù)器與日志采集服務(wù)器可以合并為一臺服務(wù)器）以及代理設(shè)備。

圖14 華為SIMS安全日志管理系統(tǒng)組成

3. 系統(tǒng)功能 

• 支持成熟的業(yè)界標(biāo)準(zhǔn)協(xié)議：CORBA、SNMP、SSL等，保證了SIMS產(chǎn)品的規(guī)范性和穩(wěn)定性。
  
   
• 擁有自主知識產(chǎn)權(quán)的相關(guān)性分析引擎：與中科院合作開發(fā)的相關(guān)性分析引擎，基于規(guī)則匹配與統(tǒng)計(jì)模型的相關(guān)性分析，結(jié)合神經(jīng)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)挖掘系統(tǒng)，能夠有效提高相關(guān)性分析的準(zhǔn)確性。并具有布式特點(diǎn)，有效降低網(wǎng)絡(luò)流量。 
  
   
• 與SIG、SIS聯(lián)動(dòng)：作為華為公司i3SAFE 安全綜合解決方案的一部分，SIMS能夠與SIG、SIS相互配合，形成從接入控制，到主機(jī)防護(hù)，到全網(wǎng)絡(luò)安全集中管理的綜合安全管理系統(tǒng)。
  
   
• 跨平臺支持能力：SIMS系統(tǒng)可以運(yùn)行在PC服務(wù)器和UNIX服務(wù)器上，支持MS SQL SERVER、Sybase、Oracle等數(shù)據(jù)庫，服務(wù)器端采用C++、客戶端采用JAVA開發(fā)，具備良好的跨平臺能力和效率。
   
• 自身安全防護(hù)：SIMS具有自身完整性保護(hù)，系統(tǒng)將日志服務(wù)器、處理服務(wù)器也作為安全對象納入到SIMS系統(tǒng)中進(jìn)行管理，操作系統(tǒng)、數(shù)據(jù)庫經(jīng)過安全定制。 
  
   
• 安全可靠性保障：SIMS采用雙機(jī)備份，可以實(shí)現(xiàn)熱切換。SIMS各子系統(tǒng)之間數(shù)據(jù)通訊采用256位SSL加密，保證重要數(shù)據(jù)的傳輸安全。SIMS 的安全代理實(shí)現(xiàn)對服務(wù)器的完整性保護(hù)、通過建立核心文件列表，文件檢驗(yàn)算法，控制未知的系統(tǒng)調(diào)用，拒絕對核心進(jìn)程文件的篡改企圖，保護(hù)其上的應(yīng)用穩(wěn)定安全運(yùn)行。

　　通過安全域劃分，終端安全管理，業(yè)務(wù)主機(jī)安全免疫，日志安全集中管理，能夠解決支撐網(wǎng)絡(luò)中的安全問題，保護(hù)整體支撐網(wǎng)絡(luò)的安全，有效的支撐運(yùn)營商網(wǎng)絡(luò)的正常運(yùn)行。