——安全日志管理解決方案

　　當電信運營網(wǎng)絡擴展到包含了許多主機、應用系統(tǒng)和各種網(wǎng)絡設備時，管理與安全相關的事件變成越來越復雜的任務。在這些運營設施中，操作系統(tǒng)本身能夠提供一些日志管理工具，但是由于其孤立于其他組網(wǎng)設施，對于運營管理并不能提供所需的綜合信息，此外操作系統(tǒng)本身的日志管理工具也無法提供對于業(yè)務應用提供審計，而更多的其他組網(wǎng)設備，例如路由器、交換機、防火墻等，根本就無法提供日志管理工具。 

　　對于目前越來越復雜的運營網(wǎng)絡，日志管理的問題越來越嚴重：（圖13） 

• 日志凌亂的散落在網(wǎng)絡中各個設備上，發(fā)生在網(wǎng)絡不同部分的安全事件無法關聯(lián)起來； 
• 隨著網(wǎng)絡攻擊技術的成熟，系統(tǒng)本地的日志非常容易被篡改用來消弭各種非法入侵行為； 
• 日志數(shù)據(jù)在本地被記錄和丟棄，無法通過日志數(shù)據(jù)的挖掘形成用戶行為基線 
• 發(fā)生在網(wǎng)絡防御設備、諸如IDS、防火墻等在遭遇攻擊時會產(chǎn)生海量日志數(shù)據(jù)，以至于無法發(fā)現(xiàn)重要的事件。
• 不能統(tǒng)一分析異構網(wǎng)絡中不同設備產(chǎn)生的日志數(shù)據(jù) 
• 管理數(shù)據(jù)； 
• 隨著時間和容量的變化，日志數(shù)據(jù)常常會被自動刪除；人員無法使用同一的工具分析和審計網(wǎng)絡的日志數(shù)據(jù)。

圖13 運營商面臨的安全日志管理問題

　　因此，運營商需要一個能夠將異構的運營網(wǎng)絡中不同的組網(wǎng)設備以及業(yè)務應用系統(tǒng)的安全日志統(tǒng)一收集處理的系統(tǒng)，他能夠使網(wǎng)絡管理員比較方便、容易地將運營系統(tǒng)各個環(huán)節(jié)的相關日志數(shù)據(jù)和安全性相關起來，快速發(fā)現(xiàn)運營網(wǎng)絡的異常行為，為管理員提供一種快速評價網(wǎng)絡安全運營的工具，隨著運營網(wǎng)絡環(huán)境日趨復雜。快速發(fā)現(xiàn)訪問行為和訪問模式的異常行為成為保障運營網(wǎng)絡安全的一個基本需求。


1. 安全日志管理系統(tǒng)

　　SIMS日志采集模塊可以有效地收集和分析來自異構服務器、不同供應商提供的網(wǎng)絡設備、不同的業(yè)務系統(tǒng)等的安全日志數(shù)據(jù)，使網(wǎng)絡管理員能夠有效識別電信運營環(huán)境中潛在的異常行為。

　　SIMS日志采集模塊能夠支持收集電信網(wǎng)絡中各種設備以及業(yè)務應用系統(tǒng)的安全和系統(tǒng)日志信息，同時為管理員提供了良好的人機界面和簡約方便的操作。SIMS日志管理模塊是一個真正的與供應商/設備無關的跨平臺安全事件管理解決方案。SIMS日志管理模塊提供了日志數(shù)據(jù)采集、格式規(guī)一、基本審計和分析功能，可以幫助網(wǎng)絡管理高效地從海量的安全數(shù)據(jù)中提取和挖掘關鍵安全事件，明顯地提高對惡意侵襲的監(jiān)控和防范能力。

　　SIMS管理模塊可以自動規(guī)劃來自于電信網(wǎng)絡各個組成設備的日志數(shù)據(jù)，無論是Windows、Unix還是IDS、防火墻、路由器等，并將其存儲在區(qū)域數(shù)據(jù)庫中或者中心數(shù)據(jù)庫中，網(wǎng)絡管理員通過控制臺能夠設置條件，有效監(jiān)視、報警和輸出其希望的安全事件信息，根據(jù)這些信息，網(wǎng)絡管理員將可以在非法攻擊時及時做出反應。


2. 系統(tǒng)組成

　　SIMS的系統(tǒng)組成如圖14所示，包括控制臺、核心服務器、日志采集服務器（其中根據(jù)系統(tǒng)所需部署規(guī)模，核心服務器與日志采集服務器可以合并為一臺服務器）以及代理設備。

圖14 華為SIMS安全日志管理系統(tǒng)組成

3. 系統(tǒng)功能 

• 支持成熟的業(yè)界標準協(xié)議：CORBA、SNMP、SSL等，保證了SIMS產(chǎn)品的規(guī)范性和穩(wěn)定性。
  
   
• 擁有自主知識產(chǎn)權的相關性分析引擎：與中科院合作開發(fā)的相關性分析引擎，基于規(guī)則匹配與統(tǒng)計模型的相關性分析，結合神經(jīng)網(wǎng)絡系統(tǒng)和數(shù)據(jù)挖掘系統(tǒng)，能夠有效提高相關性分析的準確性。并具有布式特點，有效降低網(wǎng)絡流量。 
  
   
• 與SIG、SIS聯(lián)動：作為華為公司i3SAFE 安全綜合解決方案的一部分，SIMS能夠與SIG、SIS相互配合，形成從接入控制，到主機防護，到全網(wǎng)絡安全集中管理的綜合安全管理系統(tǒng)。
  
   
• 跨平臺支持能力：SIMS系統(tǒng)可以運行在PC服務器和UNIX服務器上，支持MS SQL SERVER、Sybase、Oracle等數(shù)據(jù)庫，服務器端采用C++、客戶端采用JAVA開發(fā)，具備良好的跨平臺能力和效率。
   
• 自身安全防護：SIMS具有自身完整性保護，系統(tǒng)將日志服務器、處理服務器也作為安全對象納入到SIMS系統(tǒng)中進行管理，操作系統(tǒng)、數(shù)據(jù)庫經(jīng)過安全定制。 
  
   
• 安全可靠性保障：SIMS采用雙機備份，可以實現(xiàn)熱切換。SIMS各子系統(tǒng)之間數(shù)據(jù)通訊采用256位SSL加密，保證重要數(shù)據(jù)的傳輸安全。SIMS 的安全代理實現(xiàn)對服務器的完整性保護、通過建立核心文件列表，文件檢驗算法，控制未知的系統(tǒng)調用，拒絕對核心進程文件的篡改企圖，保護其上的應用穩(wěn)定安全運行。

　　通過安全域劃分，終端安全管理，業(yè)務主機安全免疫，日志安全集中管理，能夠解決支撐網(wǎng)絡中的安全問題，保護整體支撐網(wǎng)絡的安全，有效的支撐運營商網(wǎng)絡的正常運行。