【关键词】日志审计 内控 博时基金 SecFox LAS 网御神州 安全审计
博时基金管理有限公司成立于 1998年7月13日,是中国内地首批成立的五家基金管理公司之一。 公司注册资本1亿元人民币,总部设在深圳,在北京、上海设有分公司。博时基金公司的股东为招商证券股份有限公司、中国长城资产管理公司、广厦建设集团有限责任公司。 博时基金公司的经营范围包括发起设立、管理基金,是一家为客户提供专业投资服务的资产管理机构。
随着公司的不断发展,公司对信息技术的依赖也越来越高,从而IT风险对业务风险的影响也越来越大。鉴于以下几个方面的原因,博时基金计划部署一套日志集中管理系统:
证监会要求各证券单位应建立对关键网络、安全设备和服务器日志定期检查和分析的制度。制度内容应包括检查和分析责任人,关键网络设备、安全设备和服务器的日志范围、日志文件名称、分析手段、分析结果等;
各单位应定期人工或采取软件分析方式对关键网络设备、安全设备和服务器日志进行检查和详尽的分析,如对网站服务器的FTP日志、WWW(WEB)日志进行分析,检查和分析PUT、GET项目,消除SQL注入漏洞隐患等;
通过定期对日志进行分析和总结,及时了解网络状况、设备运行状况,发现薄弱环节,及时整改,形成记录;
对受条件约束,难以定期进行日志分析的单位,可外聘专业安全服务机构,对关键网络、安全设备和服务器的日志进行检查和分析;
公安厅/公安局关于《计算机信息系统安全保护条例》中明确要求公司需要对系统运行日志及用户使用记录保存60天以上。
为此,博时基金对目前市面上主流的日志管理系统(包括软件和硬件)进行了多方面的综合对比测试,最终博时基金选定了网御神州的SecFox-LAS日志管理系统,并于2009年初完成了整套系统的部署实施,实施范围包括博时基金深圳总部和博时基金北京分公司,目前整套系统工作正常。
网御神州的SecFox-LAS日志审计系统所采集的日志包括了博时基金公司的Windows服务器、Linux服务器、AIX服务器、应用系统、网络设备和安全设备。
Windows服务器系统日志:包括文件服务器、权限服务器、生产机、聚源数据服务器、OA服务器、主域控服务器、邮件服务器、网站数据库服务器、深圳交易网服务器、FTP服务器、CRM服务器、估值服务器、Call服务器、CRM数据库、传真服务器;
Linux服务器系统日志:包括网站服务器、NFSNoDE1;
AIX服务器系统日志:包括交易网小型机、交易网TA和直销服务器;
应用系统:包括Apache、WebSphere和Oracle10g;
网络设备:包括交换机Cisco 4506、交换机Cisco 3750、路由器Cisco 3845;
安全设备:包括防火墙Cisco ASA 5540。
通过对各类网络设备、安全设备、主机设备、数据库、中间件和数据库日志的统一收集和管理,博时基金可以实时的审计安全设备、网络设备、应用服务器等的流量排行、源目的端口/地址排行,主机事件数量排行,登陆主机失败次数最多的用户排行、服务器用户登陆次数排行等合规性信息,通过统计图表可视化展示出来,并能够进行下钻,查看明细。
借助网神SecFox-LAS日志管理系统的部署,博时基金一方面满足了监管部门的合规要求,另一方面也着实提升了信息部对信息系统安全事件的整体管理水平。
网御神州SecFox-LAS日志审计系统
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。一方面,网络中的各种网络设备、安全设备、主机、应用和业务系统在工作中都产生了大量的安全事件和日志,却没有统一的进行管理,使得各个系统之间缺乏协同,整体安全无法得到保障。另一方面,企业和组织日益迫切的信息系统审计和内控、以及持续增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。
企业和组织迫切需要一个全面的、面向企业和组织IT计算环境的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织计算环境中各种设备和应用的安全日志,并进行存储、监控、分析、报警、响应和报告。
网御神州借助在安全领域的长期积累,结合中国信息安全领域的特殊性,自主研制出了面向中国客户的安全日志审计平台——SecFox-LAS(Log Audit System),真正满足了客户的安全审计需求。
SecFox-LAS日志安全审计系统作为一个统一日志监控与审计平台,能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。
SecFox-LAS的部署方式十分灵活,对网络环境的适应性极强,既能够支持单一的中小型网络,也支持跨区域、分级分层、物理/逻辑隔离的大规模网络。产品分为软件形态和硬件形态两种,用户可以根据自身需要选择。系统采用旁路部署,对现有网络结构不做任何改动,支持多端口日志采集,支持通过硬件探针采集日志,支持级联部署。
SecFox-LAS尽可能地使用被审计节点自身具备的日志外发协议,尽量不在被审计节点上安装任何代理,保障被审计节点的完整性,使得对被审计节点的影响最小化。SecFox-LAS支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA、内部私有TCP/ UDP等网络协议,以直接、或者借助软件日志采集器和硬件网络探针的方式收集日志信息。
SecFox-LAS能够实时地对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。
日志归一化和实时关联分析是SecFox-LAS的核心,也是该系统区别于传统安全日志审计系统的最关键特征。SecFox-LAS具有国内绝对领先的事件关联分析核心技术,申请了2项专利技术,拥有完全自主知识产权。
SecFox-LAS为用户内置了大量的实时分析场景,从设备类型、操作系统类型、应用类型、日志等级、性能、协议等不同角度为用户提供了全面监视IT网络安全的工具。
对于集中存储起来的海量信息,SecFox-LAS可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。
SecFox-LAS能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。
SecFox-LAS为客户提供了丰富的报表模板,使得用户能够从各个角度对企业和组织的安全状况进行审计,并自动、定期地产生报表。用户也能够自定义报表。
网友评论