——安全日志管理解決方案

　　當電信運營網絡擴展到包含了許多主機、應用系統和各種網絡設備時，管理與安全相關的事件變成越來越復雜的任務。在這些運營設施中，操作系統本身能夠提供一些日志管理工具，但是由于其孤立于其他組網設施，對于運營管理并不能提供所需的綜合信息，此外操作系統本身的日志管理工具也無法提供對于業務應用提供審計，而更多的其他組網設備，例如路由器、交換機、防火墻等，根本就無法提供日志管理工具。 

　　對于目前越來越復雜的運營網絡，日志管理的問題越來越嚴重：（圖13） 

• 日志凌亂的散落在網絡中各個設備上，發生在網絡不同部分的安全事件無法關聯起來； 
• 隨著網絡攻擊技術的成熟，系統本地的日志非常容易被篡改用來消弭各種非法入侵行為； 
• 日志數據在本地被記錄和丟棄，無法通過日志數據的挖掘形成用戶行為基線 
• 發生在網絡防御設備、諸如IDS、防火墻等在遭遇攻擊時會產生海量日志數據，以至于無法發現重要的事件。
• 不能統一分析異構網絡中不同設備產生的日志數據 
• 管理數據； 
• 隨著時間和容量的變化，日志數據常常會被自動刪除；人員無法使用同一的工具分析和審計網絡的日志數據。

圖13 運營商面臨的安全日志管理問題

　　因此，運營商需要一個能夠將異構的運營網絡中不同的組網設備以及業務應用系統的安全日志統一收集處理的系統，他能夠使網絡管理員比較方便、容易地將運營系統各個環節的相關日志數據和安全性相關起來，快速發現運營網絡的異常行為，為管理員提供一種快速評價網絡安全運營的工具，隨著運營網絡環境日趨復雜。快速發現訪問行為和訪問模式的異常行為成為保障運營網絡安全的一個基本需求。


1. 安全日志管理系統

　　SIMS日志采集模塊可以有效地收集和分析來自異構服務器、不同供應商提供的網絡設備、不同的業務系統等的安全日志數據，使網絡管理員能夠有效識別電信運營環境中潛在的異常行為。

　　SIMS日志采集模塊能夠支持收集電信網絡中各種設備以及業務應用系統的安全和系統日志信息，同時為管理員提供了良好的人機界面和簡約方便的操作。SIMS日志管理模塊是一個真正的與供應商/設備無關的跨平臺安全事件管理解決方案。SIMS日志管理模塊提供了日志數據采集、格式規一、基本審計和分析功能，可以幫助網絡管理高效地從海量的安全數據中提取和挖掘關鍵安全事件，明顯地提高對惡意侵襲的監控和防范能力。

　　SIMS管理模塊可以自動規劃來自于電信網絡各個組成設備的日志數據，無論是Windows、Unix還是IDS、防火墻、路由器等，并將其存儲在區域數據庫中或者中心數據庫中，網絡管理員通過控制臺能夠設置條件，有效監視、報警和輸出其希望的安全事件信息，根據這些信息，網絡管理員將可以在非法攻擊時及時做出反應。


2. 系統組成

　　SIMS的系統組成如圖14所示，包括控制臺、核心服務器、日志采集服務器（其中根據系統所需部署規模，核心服務器與日志采集服務器可以合并為一臺服務器）以及代理設備。

圖14 華為SIMS安全日志管理系統組成

3. 系統功能 

• 支持成熟的業界標準協議：CORBA、SNMP、SSL等，保證了SIMS產品的規范性和穩定性。
  
   
• 擁有自主知識產權的相關性分析引擎：與中科院合作開發的相關性分析引擎，基于規則匹配與統計模型的相關性分析，結合神經網絡系統和數據挖掘系統，能夠有效提高相關性分析的準確性。并具有布式特點，有效降低網絡流量。 
  
   
• 與SIG、SIS聯動：作為華為公司i3SAFE 安全綜合解決方案的一部分，SIMS能夠與SIG、SIS相互配合，形成從接入控制，到主機防護，到全網絡安全集中管理的綜合安全管理系統。
  
   
• 跨平臺支持能力：SIMS系統可以運行在PC服務器和UNIX服務器上，支持MS SQL SERVER、Sybase、Oracle等數據庫，服務器端采用C++、客戶端采用JAVA開發，具備良好的跨平臺能力和效率。
   
• 自身安全防護：SIMS具有自身完整性保護，系統將日志服務器、處理服務器也作為安全對象納入到SIMS系統中進行管理，操作系統、數據庫經過安全定制。 
  
   
• 安全可靠性保障：SIMS采用雙機備份，可以實現熱切換。SIMS各子系統之間數據通訊采用256位SSL加密，保證重要數據的傳輸安全。SIMS 的安全代理實現對服務器的完整性保護、通過建立核心文件列表，文件檢驗算法，控制未知的系統調用，拒絕對核心進程文件的篡改企圖，保護其上的應用穩定安全運行。

　　通過安全域劃分，終端安全管理，業務主機安全免疫，日志安全集中管理，能夠解決支撐網絡中的安全問題，保護整體支撐網絡的安全，有效的支撐運營商網絡的正常運行。