——安全日志管理解决方案
当电信运营网络扩展到包含了许多主机、应用系统和各种网络设备时,管理与安全相关的事件变成越来越复杂的任务。在这些运营设施中,操作系统本身能够提供一些日志管理工具,但是由于其孤立于其他组网设施,对于运营管理并不能提供所需的综合信息,此外操作系统本身的日志管理工具也无法提供对于业务应用提供审计,而更多的其他组网设备,例如路由器、交换机、防火墙等,根本就无法提供日志管理工具。
对于目前越来越复杂的运营网络,日志管理的问题越来越严重:(图13)
- 日志凌乱的散落在网络中各个设备上,发生在网络不同部分的安全事件无法关联起来;
- 随着网络攻击技术的成熟,系统本地的日志非常容易被篡改用来消弭各种非法入侵行为;
- 日志数据在本地被记录和丢弃,无法通过日志数据的挖掘形成用户行为基线
- 发生在网络防御设备、诸如IDS、防火墙等在遭遇攻击时会产生海量日志数据,以至于无法发现重要的事件。
- 不能统一分析异构网络中不同设备产生的日志数据
- 管理数据;
- 随着时间和容量的变化,日志数据常常会被自动删除;人员无法使用同一的工具分析和审计网络的日志数据。
图13 运营商面临的安全日志管理问题
因此,运营商需要一个能够将异构的运营网络中不同的组网设备以及业务应用系统的安全日志统一收集处理的系统,他能够使网络管理员比较方便、容易地将运营系统各个环节的相关日志数据和安全性相关起来,快速发现运营网络的异常行为,为管理员提供一种快速评价网络安全运营的工具,随着运营网络环境日趋复杂。快速发现访问行为和访问模式的异常行为成为保障运营网络安全的一个基本需求。
1. 安全日志管理系统
SIMS日志采集模块可以有效地收集和分析来自异构服务器、不同供应商提供的网络设备、不同的业务系统等的安全日志数据,使网络管理员能够有效识别电信运营环境中潜在的异常行为。
SIMS日志采集模块能够支持收集电信网络中各种设备以及业务应用系统的安全和系统日志信息,同时为管理员提供了良好的人机界面和简约方便的操作。SIMS日志管理模块是一个真正的与供应商/设备无关的跨平台安全事件管理解决方案。SIMS日志管理模块提供了日志数据采集、格式规一、基本审计和分析功能,可以帮助网络管理高效地从海量的安全数据中提取和挖掘关键安全事件,明显地提高对恶意侵袭的监控和防范能力。
SIMS管理模块可以自动规划来自于电信网络各个组成设备的日志数据,无论是Windows、Unix还是IDS、防火墙、路由器等,并将其存储在区域数据库中或者中心数据库中,网络管理员通过控制台能够设置条件,有效监视、报警和输出其希望的安全事件信息,根据这些信息,网络管理员将可以在非法攻击时及时做出反应。
2. 系统组成
SIMS的系统组成如图14所示,包括控制台、核心服务器、日志采集服务器(其中根据系统所需部署规模,核心服务器与日志采集服务器可以合并为一台服务器)以及代理设备。
图14 华为SIMS安全日志管理系统组成
3. 系统功能
- 支持成熟的业界标准协议:CORBA、SNMP、SSL等,保证了SIMS产品的规范性和稳定性。
- 拥有自主知识产权的相关性分析引擎:与中科院合作开发的相关性分析引擎,基于规则匹配与统计模型的相关性分析,结合神经网络系统和数据挖掘系统,能够有效提高相关性分析的准确性。并具有布式特点,有效降低网络流量。
- 与SIG、SIS联动:作为华为公司i3SAFE 安全综合解决方案的一部分,SIMS能够与SIG、SIS相互配合,形成从接入控制,到主机防护,到全网络安全集中管理的综合安全管理系统。
- 跨平台支持能力:SIMS系统可以运行在PC服务器和UNIX服务器上,支持MS SQL SERVER、Sybase、Oracle等数据库,服务器端采用C++、客户端采用JAVA开发,具备良好的跨平台能力和效率。
- 自身安全防护:SIMS具有自身完整性保护,系统将日志服务器、处理服务器也作为安全对象纳入到SIMS系统中进行管理,操作系统、数据库经过安全定制。
- 安全可靠性保障:SIMS采用双机备份,可以实现热切换。SIMS各子系统之间数据通讯采用256位SSL加密,保证重要数据的传输安全。SIMS 的安全代理实现对服务器的完整性保护、通过建立核心文件列表,文件检验算法,控制未知的系统调用,拒绝对核心进程文件的篡改企图,保护其上的应用稳定安全运行。
通过安全域划分,终端安全管理,业务主机安全免疫,日志安全集中管理,能够解决支撑网络中的安全问题,保护整体支撑网络的安全,有效的支撑运营商网络的正常运行。
