網絡安全行為監控系統的探索與實踐

文｜倪竹清

引言

文匯新民聯合報業集團（以下簡稱“文新集團”）是中國最大的報業集團之一，集團共擁有18家紙質媒體，10余個新媒體產品，實現了報紙、網絡、手機和戶外多維空間傳播和互動。集團成立十年來，先后建立了網絡管理基礎平臺，包括萬兆主干、千兆、百兆到桌面的內部局域網；連接集團6幢大樓，總出口高達200多兆的互聯網；覆蓋文新大樓的無線網絡；實現遠程辦公的虛擬專用網（VPN）；用戶多達3000個集團電子郵件系統。建立了集團采、編、圖、排流程一體化的數字化生產平臺，包括新聞采編系統、飛騰組版系統等。建立了集團辦公經營數字化管理平臺，包括公文管理系統、人力資源管理系統、財務管理系統等。建立了集被動防御和主動管理于一體的立體式安全防御系統，包括Juniper、 NetScreen高性能防火墻、McAfee Network IDS/IPS設備、Symantec病毒防護中心等。

文新集團目前共擁有網絡交換機近150臺、應用服務器100多臺和各類應用系統30余套。為保障集團各類IT設備和系統的正常運行，減少來自內部用戶和外部互聯網的網絡攻擊，保證集團每天的正常出報工作，集團網絡安全管理員通過日常監控各系統的運行日志來分析整個集團信息安全的情況。然而這些核心設備和關鍵應用系統均采用各自供應商提供的安全事件監控界面，有的為C/S結構的用戶界面，有的是B/S結構的用戶界面，各系統的日志格式和語義也不盡相同。這就給安全管理員的監控工作帶來了很大的麻煩，繁瑣的操作花費了大量的時間，使真正的安全隱患無法及時被發現。為此，文新集團研發并實施了網絡安全行為監控系統。

系統介紹

系統結構

網絡安全行為監控系統主要由日志采集客戶端、安全審計控制中心、日志統計分析服務器三個部分組成。

日志采集客戶端（Collector）

日志采集客戶端是整個系統的觸角,負責收集各種操作系統、網絡安全設備、應用程序的日志信息，過濾后發送給安全審計中心處理,同時還能夠收集各類系統無法遠程收集的信息。

文新集團目前采集的主要日志有：Syslog日志、IIS W3C擴展日志、ISA WEB代理W3C擴展日志、ISA防火墻、MSSQL錯誤日志、MSSQL代理日志、Windows事件日志、NetScreen事件日志、MDaemon SMTP(in)日志、MDaemon SMTP(out)日志、Symantec Antivirus日志、Juniper IDP800日志等，涵蓋了集團所有的安全設備。

安全審計控制中心(Console)

安全審計控制中心接收日志采集客戶端和各種安全設備、系統轉發的日志信息，配置任務、設置過濾條件，配置系統參數，查看安全審計報表，查看實時日志數據等。

文新集團對關鍵系統、核心設備配置監控任務，根據安全監控的實際需求預先設定了：磁盤使用報告、FTP日志統計報表、ISA日志統計報表、Syslog消息級別統計報表、NetScreen日志統計報表、MDaemon日志統計報表、Windows事件日志統計報表、Juniper IDP800日志統計表、客戶端日志分析等報表，便于網絡安全管理員實時監控。

日志統計分析數據庫（DataBase）

圖1 網絡安全行為監控系統系統架構

表1 網絡安全行為監控系統功能表

日志統計分析數據庫海量存儲各種日志信息、系統配置信息、統計分析數據等信息。系統可根據用戶要求按年、月、日來作統計數據，形成報表。安全管理員可以實時查詢到集團員工上得最多網站、用戶流量最大的客戶端等信息。

系統特點

部署便捷

網絡安全行為監控系統中的客戶端只需要安裝初始化一次即可使用，無需額外的其他配置。客戶端的更新、升級等服務將由網絡安全管理員通過系統中的推送方式實現。

統一管理

文新集團在完成采集客戶端的部署后，網絡安全管理員通過系統中心控制臺對每一臺客戶端進行任務參數的統一配置和統一管理，而且還可以對每個客戶端進行任務的啟、停用操作以及任務的增、刪、改等。

設置預警

系統一旦發現符合預警條件的日志時，通過配置好的若干種預警方式進行提醒，包括Email預警、鈴聲預警、短信預警、GUI預警等，使管理員及時發現網絡安全隱患。

高度集成

網絡安全行為監控系統提供可擴展的日志類型接口，可以不斷豐富日志類型，發現一個，集成一個，實現網絡監控全覆蓋。

創新之處

先進的多級架構設計

圖2 網絡安全行為監控系統首頁

網絡安全行為監控系統采用業界領先的多級架構設計，支持多套系統級聯和分布式部署的方式，日志數據分庫存儲，系統可以非常方便、快捷地部署在大型復雜的網絡環境中。同時，多級審計結構也有效地解決了含有 NAT的復雜網絡中事件的收集和審計問題。

文新集團旗下媒體眾多、網絡結構復雜、IT規模較大，而對應的集團網絡安全監控工程師卻只有6位。因此，集團采用多套系統級聯和分布式部署的方式，實現集團對下級各應用部門的信息安全管理和監控。

可擴充的日志采集

網絡安全行為監控系統可以跨網絡、跨網段地對應用服務器、網絡設備在運行期間所產生的日志進行采集、分析和存儲；全面支持安全設備（如防火墻等）、網絡設備（如路由、交換機）、應用系統（如Web、Mail、FTP、Database）、操作系統（如Windows、Linux、Unix）等多種產品及系統的日志數據的采集和分析；支持對不同日志格式的分類、篩選、最大效率的保存；支持不斷擴充的日志類型，使安全審計的范圍不斷擴大。

支持海量數據存儲

網絡安全行為監控系統采用科學合理的分布式存儲單元，支持海量日志數據的存儲。這不僅滿足了公安部、信安部規定各單位上網日志需保存一年，以便于事后查詢的要求，更有利于各單位網絡安全管理人員對各安全事件的統一分析與統一管理。

根據統計，文新集團每天采集監控的各類產品的日志達到1200萬條到1400萬條，每月存儲的日志達到2TB。如此海量信息的采集監控絲毫不會影響系統的運行和查詢，也不會對集團的網絡和其他應用系統造成影響。文新集團在立項調研時，曾對幾個國外的同類產品進行實際環境的測試，大部分產品在采集海量日志數據時就已經無法正常運行。

高效的日志檢索算法

對于海量存儲的數據，網絡安全行為監控系統采用了快速、高效、準確的數據檢索算法，提供海量數據快速檢索、高效匯總和分析統計的功能。系統能夠在較短的響應時間內精確定位用戶所需的日志詳細信息，供用戶分析，使安全管理人員能在最短的時間內發現和消除網絡安全隱患。文新集團幾年來沒有發生過因網絡安全故障而影響出報的重大事故。

實施效果

文新集團在網絡安全行為監控系統部署前，網絡安全管理員主動發現安全隱患的次數并不多，往往是故障已經發生了，管理人員再去分析故障設備或者故障系統的日志，尋找故障發生的原因，找出解決故障的方法。由于故障已經發生，所以一定會對集團某些日常工作造成影響。如果出報服務器或者網絡代理服務器受到攻擊無法正常工作，還將會影響到出報環節，造成無可挽回的損失。

2008年，網絡安全行為監控系統在文新集團正式上線運行后，首先，集團信息安全管理員不再需要像以前一樣針對每一種設備、每一套系統進行單獨的日志管理，可以通過網絡安全行為監控系統這一整合平臺，統一監控授權范圍內的系統、設備的運作情況，及時發現安全隱患；其次，網絡安全行為監控系統提供了多種預警方式，第一時間告知管理人員目前可能存在哪些安全問題，系統會將相關信息以郵件、短信等方式主動推送給相關管理人員，及時解決故障隱患，減少故障的發生；再者，網絡安全行為監控系統提供了豐富的統計報表功能，可以幫助管理人員分析可能存在的安全隱患或網絡中有哪些不良操作行為，讓技術人員及時制止，保證了集團整個網絡、IT系統的安全運行。

案例一

文新集團擁有一個龐大遠程傳版系統，集團旗下的所有媒體都實現了遠程傳輸版面異地印刷。集團印務中心每天不僅異地印刷本集團的報紙，還負責國內50多家報紙的異地印刷任務。因此，集團印務中心部署了專用FTP文件服務器，負責從互聯網上遠程接收各類報紙的版面文件，任何一份報紙的任何一個版面文件如果丟失或被惡意篡改均會造成不可估量的損失。在網絡安全行為監控系統中，集團專門設有針對FTP用戶帳號及密碼安全度的審計功能，通過對FTP服務器上IIS-FTP日志的采集和分析，可以看到所有合法帳戶的一舉一動，什么時候登錄、退出、什么時候上傳了什么文件、什么時候刪除了什么文件等都能查的一清二楚。一旦服務器遭受異常的登錄請求（譬如針對某些弱口令用戶進行字典式用戶試探登錄），系統會在第一事件捕獲這一異常現象，通過預先設置的短信等方式及時告知相應管理人員，將潛在的危險提前排除。

文新集團的遠程FTP傳版服務器曾遭到非法用戶攻擊，網絡安全行為監控系統監控及時通過預設的方式向集團網絡安全管理員進行手機短信報警，并同時向網絡監控人員進行蜂鳴式報警。集團技術部門快速反應，在FTP服務器未被破壞之前，及時調整傳版線路，啟用備用服務器和備用地址，使出報數據安全、準確、及時地傳輸到印刷廠和國內27個代印點、海外30個城市。同時對非法攻擊行為進行快速處理，杜絕了一起嚴重的出報事故。

案例二

文新集團在企業內部部署了微軟的ISA代理服務器，所有員工均通過統一的代理服務器進行上網，各種上網行為均可以在其日志中得到反映，一旦發生互聯網上的安全違法亂紀行為，可以查到具體什么人什么時候在那臺機器上做了什么事情。網絡安全行為監控系統不僅采集的了相應的日志，還可以直接提供查詢功能，并且可以通過豐富的統計報表功能幫助網絡安全管理人員合理分配網絡帶寬資源。

文新集團擁有3000多臺電腦，網絡安全行為監控系統會對感染病毒的電腦及時報警。感染病毒電腦會不停地對樓層網絡交換機進行攻擊，如果不及時解決，攻擊的數據量不斷增大，將會導致樓層交換機工作異常，整個樓層的用戶無法上網，影響正常工作。網絡安全行為監控系統一旦監測到有此情況的電腦會立即通過蜂鳴、短信等方式進行報警。技術人員接到報警后可以通過系統迅速定位被病毒感染的電腦，并進行殺毒，排除網絡故障隱患。而此時，使用“病毒”電腦的用戶還根本沒有感覺到自己的電腦出現了問題，整個樓層的用戶的正常工作絲毫未受到影響，整個處理過程快速、有序。

結語

隨著信息化技術不斷發展，IT規模的不斷擴大和互聯網應用不斷增長，來自企業內部和互聯網外部的安全問題得到了越來越多的重視。網絡安全行為監控系統是文新集團根據多年的IT管理經驗，結合日常IT管理業務中發現的實際問題而研發的一套整體解決方案。系統能夠幫助企業網絡安全管理員實時監控網絡中核心設備、關鍵應用、電腦的運行狀況，及時發現設備故障、安全隱患、非法攻擊，保障網絡安全。系統部署靈活、界面清晰、操作簡單，具有很強的實用性和產業推廣性。