利用数据库审计与日志审计系统保护企业核心数据和资产_第1页
利用数据库审计与日志审计系统保护企业核心数据和资产_第2页
利用数据库审计与日志审计系统保护企业核心数据和资产_第3页
利用数据库审计与日志审计系统保护企业核心数据和资产_第4页
利用数据库审计与日志审计系统保护企业核心数据和资产_第5页
已阅读5页,还剩8页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

三一重工利用数据库审计与日志审计系统保

护企业核心数据和资产H更新时间:09-11-1914:18来源:中国安全信息网作者:中安网【大中小】三一集团有限公司始创于1989年。二十年来,三一集团秉持“创建一流企业,造就一流人才,做出一流贡献”的企业宗旨,打造了业内知名的“三一”品牌。三一是全球工程机械制造商50强、全球最大的混凝土机械制造商、中国企业500强、工程机械行业综合效益和竞争力最强企业、福布斯“中国顶尖企业”,中国最具成长力自主品牌、中国最具竞争力品牌、中国工程机械行业标志性品牌、亚洲品牌500强。三一集团的核心企业三一重工于2003年7月3日上市,是中国股权分置改革首家成功并实现全流通的企业。在国内,三一建有上海、北京、沈阳、昆山、长沙等五大产业园。在全球,三一建有12个海外子公司,业务覆盖达150个国家,产品批量出口110多个国家和地区。目前,三一已在印度、美国相继投资建设工程机械研发制造基地。2009年元月,三一在德国投资1亿欧元建设工程机械研发制造基地项目正式签约,中德总理共同见证了这一项目的签约。伴随着三一重工公司业务的壮大,以及信息技术的发展,三一重工公司业务对IT系统的依赖程度越来越高,IT风险对业务风险的影响也越来越大,尤其企业核心的生产经营数据,成为了三一重工的重要业务资产。如果保护好这些数据资产、确保内部人员IT操作的合规性,成为了三一重工信息技术部门的重要工作。三一重工的数据库、网络设备、系统平台、应用系统部署已经十分广泛,并且几乎所有的关键业务系统每天都产生大量日志。由于这些日志能够反映企业生产经营过程中的各种IT操作和行为,包括各种潜在的违规行为,因此,保护、利用好各种数据库、网络设备和服务器等设备的日志也成为信息部门的重要任务,对各种日志的分析、审计也是整个信息系统安全建设的最重要组成部分。面对海量的日志,仅仅依靠开源的日志采集软件和人工分析

都是远远不够的,因此,三一重工计划部署一套日志集中管理系统。从2008年初开始,一直到2009年2月,在这近一年的时间内,三一重工对目前市面上主流的国内外日志审计系统进行了多方面的综合对比测试。期间,网御神州根据客户的需求和业务系统现状,并利用在制造业网络安全管理领域丰富的经验积累,为客户提出了一套完善的日志审计解决方案。该方案首先使用一套SecFox-SIM安全信息管理系统将三一重工各种设备和应用的日志进行统一的收集和审计。同时,针对三一重工的Oracle和SQLServer数据库系统没有采用传统的日志采集方式,而是部署了两台硬件型SecFox-NBA数据库审计探针,采用旁路抓包的形式直接对数据操作行为进行审计,并将审计记录以日志的形式汇总到SecFox-SIM管理系统。借助这种创新的日志审计模式,避免了因安装数据库日志采集代理而可能带来的数据库性能和稳定性影响,对用户重要的数据库系统没有造成任何影响。经过反复比较,三一重工最终在2009年2月选定了网御神州的日志审计系统,部署了两台SecFox-NBA数据库审计设备和一套SecFox-SIM安全信息管理系统。目前系统已经正式上线,运行稳定。三一重工选择网御神州的日志集中管理系统主要基于如下几个方面的考虑:1) 一套系统就能够收集企业中包括网络设备、安全设备、主机、数据库和应用系统的日志,并进行分析与审计;2) 软硬件一体化解决方案,即插即用,内置海量存储,无需再另外配备数据库和存储系统,大大节省了搭建和维护服务器的工作;3) 既能直接采集日志,也能够通过专门的硬件设备以旁路抓包的方式进行数据库审计,并将审计信息与其他日志信息进行统一分析;4) 日志审计对象支持主流网络设备、安全设备、主机设备、数据库、中间件及通用应用;5) 日志支持海量存储,日志查询支持多重组合检索条件,可以灵活查询,满足不同的查询需求;

6) 系统内置高容量硬盘,同时支持RAID5,可以最大限度的保障日志存储的安全;7) 实时日志分析和告警,用户可以灵活的定义需要展现的用户关心的实时日志及告警规则;8) 价位合理,同类产品性价比较高;9) 网御神州公司是国内专业做日志审计与安全信息管理系统的公司,该系统所属的安全管理类产品在2007和2008年度蝉联了中国安全管理产品(S0C)年度成功企业称号;10) 网御神州技术支持到位,后期开发和扩展有保障。网御神州公司将一套SecFox-SIM安全信息管理系统(SecurityInformationManagementSystem)部署在三一重工IT本部,负责采集各类日志;两台硬件SecFox-NBA(NetworkBehaviorAnalysis)网络行为审计系统(业务审计型)审计器分别部署在三一重工IT本部和研究院,用来采集Oracle和SQLServer数据库的日志,并可灵活配置是否转发到SecFox-SIM系统,进行集中管理。整套日志审计解决方案在三一重工采集的日志如下表所示:

审计内番進服务器Windows(2000-,2003)Windows系统日志Limix系统debug以■上等级的爭件Solaris系统debug£上等飯的爭件Aix系统debug以上等级的爭件网络设备交换机H3C9506E盘换机的管理日志、系统日志剜W加交擬机的管厘日志、系统日志加脚蚀交换机的管理日志.系统日志H3C9512:交换机的管理日志、系统日志H3C9508交换机的昔理日志、系统日志DMZ1交换机的昔理日志.系统日志DMZ^变换机的営理日志、系统日志跻由器咖贩NE40路討貉的管理日志、系统日志安全设备防火墙JuniperSSG520系统日志.访问日志to^WGFW-4000系统日志、访问日志■VPNH3CIPSecVPN系统日志、访问日志北电IPKcVPN系统日志.访问日志数据库Oracle【抓包方式lOracle存储过程丹志*Oracle管理员操作口志“Oracle数裾操作日志、Oracle数据阵结构变更刃志、Oracle丟统数据表操作日志、O^le用户貧录和注销日志、O^le用尸授根操作日志SQLSeiver【抓包方式】SQL沁弄^数据表娈更日志、艙碗哼管理员操作日志・碗啖r,用户登录和注销日志、•觀加饗用户授权操作汨志、或晚媲数据操作尺志、鞭LSeiv抵数据库结构变更日志.瀝嶷iv抵存體过程巳志防病幸系统/Symantec防病垂系统日志通过SecFox-SIM和SecFox-NBA的联合部署,提高了三一重工IT部对信息系统安全事件的整体管理水平。通过对各类网络设备、安全设备、主机设备、数据库、防病毒系统和数据库日志的统一收集和管理,三一重工IT部可以轻松的实时获取到各种安全整体信息,例如:访问被阻断次数最多的源地址访问被阻断最多的目的地址

网络设备事件数量排行网络设备连接数源地址排行应用服务器流量排行应用服务器事件数量排行应用服务器源地址访问次数排行主机事件数量排行登陆失败次数最多的用户排行服务器用户登陆次数排行等统计图表图1:实时整体监控三一重工IT部也可以根据收集到的各类日志,非常方便快捷的制作出譬如防火墙拒绝目的地址排行、防火墙拒绝源地址排行和主机登录失败统计的统计报表;用户还根据现有的网络流量做网络内流量排行的趋势分析;通过对上述一些图表、报表和趋势图的分析,三一重工IT部可以对整个网络的安全状况有一个非常清晰的掌控。通过过滤器的设置,可以在实时审计场景中只显示管理员关心的日志,去除了非关注日志的干扰;在主页中为各个管理员设置的默认视图,使得管理员一登陆系统就可以监视到自己所管理设备的重要事件。

@S€CfDK-SM£ft4**y0I?; [J阿艸 JW甘帚 二 『«M»IJFPW 5Wf¥M£K鼻BMltT±«**凹匚星昭勻»mr41门起崛:口" iiy轉址n17JM--SL»LK1□gjjg33.1>:3>L'昨托押<1机鼻/iL怕:曲井爾@S€CfDK-SM£ft4**y0I?; [J阿艸 JW甘帚 二 『«M»IJFPW 5Wf¥M£K鼻BMltT±«**凹匚星昭勻»mr41门起崛:口" iiy轉址n17JM--SL»LK1□gjjg33.1>:3>L'昨托押<1机鼻/iL怕:曲井爾L121◎弘诃曲齬就C=iaKHEiWLiFxML9A]□a?-ian;i>:3ijf43-5I«■SfKFFUL1"Wr-.PWmA<«W61-14你丄P越C3•S^ianhE眾丄]?±.]4.A16aL轨T中国安全信息岡列沖軒>珂JM:•尺用择氐■和址■♦逼■叶HLMfb"左品屣・1wmu.M<CJKeR,CN富斟E甲HiSflfl£ 心s?i«3i:i]:s*un3^ia>?rir;.ITItde:»w・m:■址鼻■權rrJi><r3iSflPW-5Dr4lf■焙;床业aAMi]血iW¥»d#:l-M-'-d.-erMirt

_~f+ri-il-41«tt-HZ**LJIJh<I-J.-4rfklw:■>J>■?«-*Bsani"OtjcW图2:实时审计场景SecFox-SIM安全信息管理系统的日志查询功能使得管理员能够方便的查询到需要查看的日志,并且能够将查询到的日志一次性全部导出以满足审计的需求。整个系统通过告警规则的设置,对于一般的安全事件采用邮件告警的方式,一旦有安全事件产生就能够及时通知到各个相关设备管理员,邮件告警的主题能够自定义,可以显示设备的IP地址及事件摘要,使得管理员无需查看邮件内容即可知道哪台设备发生了什么事情;SecFox-SIM系统集成了用户现有的短信平台,对于特别重要的设备,一旦产生安全事件,就可以立刻通过手机短信通知到设备管理员,在第一时间消除安全隐患,降低了安全风险。

后期,三一重工IT部将借助日志审计系统完善审计规则,从而进一步提高信息安全管理水平。关于网御神州SecFox-SIM安全信息管理系统为了不断应对来自内部和外部的安全挑战,企业和组织先后部署了大量的安全系统,但却造成了安全防御的孤岛,系统之间缺乏协同,各种安全系统产生了大量告警、日志和事件,出现信息过载的现象,造成很多误报和漏报,导致问题不能及时发现和处理。此外,企业和组织正面临不断增大的内控和信息系统审计的压力,尤其是《企业内部控制基本规范》即将开始施行,要求增强业务持续性的呼声不断提高,这些都促成了面向全网的安全信息集中管理平台的出现。SecFox-SIM(SecurityInformationManagement)能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到 SecFox-SIM服务器,实现海量信息的集中存储和可靠保存。SecFox-SIM服务器能够实时地对采集到的不同类型的信息进行归一化、关联分析、最大程度地消除误报和错报、找出漏报,通过统一的SecFox-SIM控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。对于集中存储起来的海量信息,SecFox-SIM可以让分析人员借助历史分析工具对信息进行深度挖掘、调查取证、证据保全。SecFox-SIM能够自动的或者在管理员人工干预的情况下对识别出来的安全事故进行各种响应。SecFox-SIM为客户提供了丰富的报表,使得管理人员能够从各个角度对企业和组织的

安全状况进行分析,并自动地、或者定期地产生报表。SecFox-SIM基于Web浏览器的界面和面向业务的呈现方式使得SecFox-SIM不仅适用于安全专家,也适用于业务管理人员。关于SIM安全信息管理(SIM),也叫安全信息和事件管理(SIEM),或者简称安全管理系统,是安全管理领域发展的方向。SIM是一个全面的、面向企业和组织IT计算环境的、集中的安全集中管理平台,这个平台能够收集来自企业和组织计算环境中各种设备和应用的安全日志和事件,并进行存储、监控、分析、报警、响应和报告oSIM广泛应用于企业和组织内部威胁管理、合规审计、安全审计、应急响应,等等,是信息系统安全集中管理的基石,是构架安全运行中心(SOC)的核心。关于数据库审计系统与SIM的结合运用SecFox-SIM能够通过多种方式全面采集网络中各种设备、应用和系统的日志信息,确保用户能够收集并审计所有必需的日志信息,避免出现审计漏洞。同时,SecFox-SIM尽可能地使用被审计节点自身具备的日志外发协议,尽量不在被审计节点上安装任何代理,保障被审计节点的完整性,使得对被审计节点的影响最小化。SecFox-SIM支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSECLEA、内部私有TCP/UDP等网络协议进行日志采集。如果客户网络中无法采集日志,则可以在网络中部署一个SecFox-NBA网络行为分析系统主动收集网络中的通讯信息,转化为日志,并传送给SecFox-SIM管理中心。例如,用户要针对数据库系统进行日志审计,但是出于性能的考虑,无法开启数据库自身的日志记录,同时也不能在数据库服务器上安装代理。此时,用户可以将一个SecFox-NBA

以旁路部署(共享Hub/交换机端口镜像/网络分接TAP)的方式放置在数据库系统所在的交换机旁边,侦听并分析数据库访问操作的指令,并转化为操作日志送到SecFox-SIM管理中心。通过SecFox-SIM与SecFox-NBA的混合部署,实现了对无法产生日志的被审计对象的安全审计,做到全面审计,避免出现审计死角。网御神州SecFox-NBA(NetworkBehaviorAnalysisforBusinessAudit)网络行为审计系统(业务审计型)作为一款出色的数据库审计系统采用旁路侦听的方式对通过网络连接到重要业务系统(服务器、数据库、业务中间件、数据文件等)的数据流进行采集、分析和识别,实时监视用户访问业务系统的状态,记录各种访问行为,发现并及时制止用户的误操作、违规访问或者可疑行为。SecFox-NBA(业务审计型)可审计包括各个平台(Windows、Linux、Solaris、AIX)和版本的SQLServer、Oracle、DB2、Sybase、MySQL等在内的数据库的DDL,DML,DCL和其它操作等行为

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论