武橋重工造[組圖]三一重工利用數(shù)據(jù)庫審計與日志審計系統(tǒng)保護企業(yè)核心數(shù)據(jù)和資產(chǎn)圖文壯

    三一集團有限公司始創(chuàng)于1989年。二十年來，用鋼總量達1500噸。吊裝節(jié)段最長10.5米，三一集團秉持“創(chuàng)建一流企業(yè)，最重達68噸，造就一流人才，鋼結構生產(chǎn)制造于去年7月開始，做出一流貢獻”的企業(yè)宗旨，當年10月開始安裝，打造了業(yè)內(nèi)知名的“三一”品牌。三一是全球工程機械制造商50強、全球最大的混凝土機械制造商、企業(yè)500強、工程機械行業(yè)綜合效益和競爭力最強企業(yè)、福布斯“頂尖企業(yè)”，從制造到安裝合龍，最具成長力自主品牌、最具競爭力品牌、工程機械行業(yè)標志性品牌、亞洲品牌500強。三一集團的核心企業(yè)三一重工于2003年7月3日上市，僅用1年時間。，是股權分置成功并實現(xiàn)全流通的企業(yè)。在國內(nèi)，三一建有上海、北京、沈陽、昆山、長沙等產(chǎn)業(yè)園。在全球，三一建有12個海外子公司，業(yè)務覆蓋達150個，產(chǎn)品批量出口110多個和地區(qū)。目前，三一已在印度、美國相繼投資工程機械研發(fā)制造基地。2009年元月，三一在德國投資1億歐元工程機械研發(fā)制造基地項目正式簽約，中德共同見證了這一項目的簽約。

    伴隨著三一重工公司業(yè)務的壯大，以及信息技術的發(fā)展，三一重工公司業(yè)務對IT系統(tǒng)的依賴程度越來越高，IT風險對業(yè)務風險的影響也越來越大，尤其企業(yè)核心的生產(chǎn)經(jīng)營數(shù)據(jù)，成為了三一重工的重要業(yè)務資產(chǎn)。如果保護好這些數(shù)據(jù)資產(chǎn)、確保內(nèi)人員IT操作的合規(guī)性，成為了三一重工信息技術門的重要工作。

    三一重工的數(shù)據(jù)庫、網(wǎng)絡設備、系統(tǒng)平臺、應用系統(tǒng)署已經(jīng)十分廣泛，并且?guī)缀跛械年P鍵業(yè)務系統(tǒng)每天都產(chǎn)生大量日志。由于這些日志能夠反映企業(yè)生產(chǎn)經(jīng)營過程中的各種IT操作和行為，包括各種潛在的違規(guī)行為，因此，保護、利用好各種數(shù)據(jù)庫、網(wǎng)絡設備和服務器等設備的日志也成為信息門的重要任務，對各種日志的分析、審計也是整個信息系統(tǒng)安全的最重要組成分。面對海量的日志，僅僅依靠開源的日志采集軟件和人工分析都是遠遠不夠的，因此，三一重工計劃署一套日志集中管理系統(tǒng)。從2008年初開始，一直到2009年2月，在這近一年的時間內(nèi)，三一重工對目前市面上主流的國內(nèi)外日志審計系統(tǒng)進行了多方面的綜合對比測試。

    期間，網(wǎng)御神州根據(jù)客戶的需求和業(yè)務系統(tǒng)現(xiàn)狀，并利用在制造業(yè)網(wǎng)絡安全管理領域豐富的經(jīng)驗積累，為客戶提出了一套完善的日志審計解決方案。該方案首先使用一套SecFox-SIM安全信息管理系統(tǒng)將三一重工各種設備和應用的日志進行統(tǒng)一的收集和審計。同時，針對三一重工的Oracle和SQL Server數(shù)據(jù)庫系統(tǒng)沒有采用傳統(tǒng)的日志采集方式，而是署了兩臺硬件型SecFox-NBA數(shù)據(jù)庫審計探針，采用旁路抓包的形式直接對數(shù)據(jù)操作行為進行審計，并將審計記錄以日志的形式匯總到SecFox-SIM管理系統(tǒng)。借助這種創(chuàng)新的日志審計模式，避免了因安裝數(shù)據(jù)庫日志采集代理而可能帶來的數(shù)據(jù)庫性能和穩(wěn)定性影響，對用戶重要的數(shù)據(jù)庫系統(tǒng)沒有造成任何影響。

    經(jīng)過反復比較，三一重工最終在2009年2月選定了網(wǎng)御神州的日志審計系統(tǒng)，署了兩臺SecFox-NBA數(shù)據(jù)庫審計設備和一套SecFox-SIM安全信息管理系統(tǒng)。目前系統(tǒng)已經(jīng)正式上線，運行穩(wěn)定。

    三一重工選擇網(wǎng)御神州的日志集中管理系統(tǒng)主要基于如下幾個方面的考慮：
    1) 一套系統(tǒng)就能夠收集企業(yè)中包括網(wǎng)絡設備、安全設備、主機、數(shù)據(jù)庫和應用系統(tǒng)的日志，并進行分析與審計；
    2) 軟硬件一體化解決方案，即插即用，內(nèi)置海量存儲，無需再另外配備數(shù)據(jù)庫和存儲系統(tǒng)，大大節(jié)了搭建和維護服務器的工作；
    3) 既能直接采集日志，也能夠通過專門的硬件設備以旁路抓包的方式進行數(shù)據(jù)庫審計，并將審計信息與其志信息進行統(tǒng)一分析；
    4) 日志審計對象支持主流網(wǎng)絡設備、安全設備、主機設備、數(shù)據(jù)庫、中間件及通用應用；
    5) 日志支持海量存儲，日志查詢支持多重組合檢索條件，可以靈活查詢，滿足不同的查詢需求；
    6) 系統(tǒng)內(nèi)置高容量硬盤，同時支持RAID5，可以最大限度的保障日志存儲的安全；
    7) 實時日志分析和告警，用戶可以靈活的定義需要展現(xiàn)的用戶關心的實時日志及告警規(guī)則；
    8) 價位合理，同類產(chǎn)品性價比較高；
    9) 網(wǎng)御神州公司是國內(nèi)專業(yè)做日志審計與安全信息管理系統(tǒng)的公司，該系統(tǒng)所屬的安全管理類產(chǎn)品在2007和2008年度蟬聯(lián)了安全管理產(chǎn)品（SOC）年度成功企業(yè)稱號；
    10) 網(wǎng)御神州技術支持到位，后期和擴展有保障。

    網(wǎng)御神州公司將一套SecFox-SIM安全信息管理系統(tǒng)（Security Information Management System）署在三一重工IT本，負責采集各類日志；兩臺硬件SecFox-NBA（Network Behavior Analysis）網(wǎng)絡行為審計系統(tǒng)（業(yè)務審計型）審計器分別署在三一重工IT本和研究院，用來采集Oracle和SQL Server數(shù)據(jù)庫的日志，并可靈活配置是否轉發(fā)到SecFox-SIM系統(tǒng)，進行集中管理。整套日志審計解決方案在三一重工采集的日志如下表所示：

表1：三一重工采集的日志類型

[1] [2] 下一頁