北京歌華有線電視網(wǎng)絡(luò)股份有限公司(SHA：600037)是唯一負(fù)責(zé)北京地區(qū)有線廣播電視網(wǎng)絡(luò)的建設(shè)開發(fā)、經(jīng)營(yíng)、管理和維護(hù)，從事廣播電視節(jié)目收轉(zhuǎn)傳送和廣播電視網(wǎng)絡(luò)信息服務(wù)的企業(yè)。公司2001年在上海證券交易所掛牌上市。經(jīng)過多年的建設(shè)，歌華有線已形成覆蓋全北京市18個(gè)區(qū)縣、敷設(shè)光纜線路1萬余公里、電纜線路10萬余公里、接入397萬戶的超大型有線電視光纜網(wǎng)絡(luò)。

歌華有線總部的網(wǎng)絡(luò)承擔(dān)了北京地區(qū)有線電視網(wǎng)絡(luò)業(yè)務(wù)的運(yùn)營(yíng)維護(hù)任務(wù)。這個(gè)網(wǎng)絡(luò)的安全可靠運(yùn)營(yíng)直接影響著歌華有線的業(yè)務(wù)服務(wù)質(zhì)量。

為了加強(qiáng)總部網(wǎng)絡(luò)的安全防護(hù)水平，歌華有線進(jìn)行了大規(guī)模的網(wǎng)絡(luò)安全改造。其中，為了對(duì)總部安全設(shè)備，尤其是防火墻設(shè)備的日志進(jìn)行集中采集和分析，部署了網(wǎng)御神州SecFox-LAS日志審計(jì)系統(tǒng)。通過對(duì)銳捷防火墻日志的統(tǒng)一收集和分析，有效地采集并存儲(chǔ)下了海量的防火墻日志，包括NAT日志、包過濾日志等重要日志，并提供了多種可視化的實(shí)時(shí)日志分析展示工具，提升了歌華有線追蹤網(wǎng)絡(luò)安全事件、發(fā)現(xiàn)外部入侵的效率。

網(wǎng)御神州SecFox-LAS日志審計(jì)系統(tǒng)介紹

當(dāng)今的企業(yè)和組織在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面。這既有來自于企業(yè)和組織外部的層出不窮的入侵和攻擊，也有來自于企業(yè)和組織內(nèi)部的違規(guī)和泄漏。

為了不斷應(yīng)對(duì)新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防病毒系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、UTM，等等。這些安全系統(tǒng)都僅僅防堵來自某個(gè)方面的安全威脅，形成了一個(gè)個(gè)安全防御孤島，無法產(chǎn)生協(xié)同效應(yīng)。更為嚴(yán)重地，這些復(fù)雜的IT資源及其安全防御設(shè)施在運(yùn)行過程中不斷產(chǎn)生大量的安全日志和事件，安全管理人員面對(duì)這些數(shù)量巨大、彼此割裂的安全信息，操作著各種產(chǎn)品自身的控制臺(tái)界面和告警窗口，顯得束手無策，工作效率極低，難以發(fā)現(xiàn)真正的安全隱患。

另一方面，企業(yè)和組織日益迫切的信息系統(tǒng)審計(jì)和內(nèi)控、以及不斷增強(qiáng)的業(yè)務(wù)持續(xù)性需求，也對(duì)當(dāng)前日志審計(jì)提出了嚴(yán)峻的挑戰(zhàn)。

尤其是國(guó)家信息系統(tǒng)等級(jí)保護(hù)制度的出臺(tái)，明確要求二級(jí)以上的信息系統(tǒng)必須對(duì)網(wǎng)絡(luò)、主機(jī)和應(yīng)用進(jìn)行安全審計(jì)。

綜上所述，企業(yè)和組織迫切需要一個(gè)全面的、面向企業(yè)和組織IT資源(信息系統(tǒng)保護(hù)環(huán)境)的、集中的安全審計(jì)平臺(tái)及其系統(tǒng)，這個(gè)系統(tǒng)能夠收集來自企業(yè)和組織IT資源中各種設(shè)備和應(yīng)用的安全日志，并進(jìn)行存儲(chǔ)、監(jiān)控、審計(jì)、分析、報(bào)警、響應(yīng)和報(bào)告。

網(wǎng)御神州借助在安全領(lǐng)域的長(zhǎng)期積累，結(jié)合中國(guó)信息安全領(lǐng)域的特殊性，自主研制出了面向中國(guó)客戶的安全日志審計(jì)平臺(tái)——SecFox-LAS(Log Audit System)，真正滿足了客戶的安全審計(jì)需求。

SecFox-LAS日志安全審計(jì)系統(tǒng)作為一個(gè)統(tǒng)一日志監(jiān)控與審計(jì)平臺(tái)，能夠?qū)崟r(shí)不間斷地將企業(yè)和組織中來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)全網(wǎng)綜合安全審計(jì)。如果客戶網(wǎng)絡(luò)中重要網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)無法產(chǎn)生日志，SecFox-LAS也能夠通過部署硬件探測(cè)器的方式主動(dòng)偵測(cè)網(wǎng)絡(luò)中的協(xié)議通訊，并轉(zhuǎn)化為日志，匯集到審計(jì)中心。

SecFox-LAS能夠?qū)崟r(shí)地對(duì)采集到的不同類型的信息進(jìn)行歸一化和實(shí)時(shí)關(guān)聯(lián)分析，通過統(tǒng)一的控制臺(tái)界面進(jìn)行實(shí)時(shí)、可視化的呈現(xiàn)，協(xié)助安全管理人員迅速準(zhǔn)確地識(shí)別安全事故，消除了管理員在多個(gè)控制臺(tái)之間來回切換的煩惱，同時(shí)提高工作效率。

SecFox-LAS能夠?qū)崟r(shí)采集NetFlow數(shù)據(jù)流，對(duì)一段時(shí)間內(nèi)的網(wǎng)絡(luò)流量或者網(wǎng)絡(luò)連接數(shù)進(jìn)行統(tǒng)計(jì)，并描繪趨勢(shì)曲線。通過對(duì)某個(gè)IP地址的流量趨勢(shì)分析獲悉該IP地址的訪問流量模型，進(jìn)而對(duì)異常流量和行為進(jìn)行審計(jì)。

對(duì)于集中存儲(chǔ)起來的海量信息，SecFox-LAS可以讓審計(jì)人員借助歷史分析工具對(duì)日志進(jìn)行深度挖掘、調(diào)查取證、證據(jù)保全。

SecFox-LAS能夠自動(dòng)地或者在管理員人工干預(yù)的情況下對(duì)審計(jì)告警進(jìn)行各種響應(yīng)，并與包括各種類型的交換機(jī)、路由器、防火墻、IDS、主機(jī)系統(tǒng)等在內(nèi)的眾多第三方設(shè)備和系統(tǒng)進(jìn)行預(yù)定義的策略聯(lián)動(dòng)，實(shí)現(xiàn)安全審計(jì)的管理閉環(huán)。

SecFox-LAS為客戶提供了豐富的報(bào)表模板，使得用戶能夠從各個(gè)角度對(duì)企業(yè)和組織的安全狀況進(jìn)行審計(jì)，并自動(dòng)、定期地產(chǎn)生報(bào)表。用戶也能夠自定義報(bào)表。

SecFox-LAS日志審計(jì)系統(tǒng)與傳統(tǒng)日志審計(jì)系統(tǒng)的本質(zhì)區(qū)別

需要特別指出的是，SecFox-LAS日志審計(jì)系統(tǒng)與傳統(tǒng)安全日志審計(jì)系統(tǒng)具有本質(zhì)的區(qū)別：

首先，SecFox-LAS日志審計(jì)系統(tǒng)的日志歸一化功能能夠?qū)悩?gòu)的日志變成系統(tǒng)可識(shí)別的統(tǒng)一的日志，屏蔽了不同廠商以及不同類型的產(chǎn)品之間的日志差異，使得日志關(guān)聯(lián)分析成為可能;而傳統(tǒng)的日志審計(jì)系統(tǒng)僅針對(duì)原始日志的時(shí)間、源/目的IP地址等信息進(jìn)行簡(jiǎn)單分解，其他主要內(nèi)容則原封不動(dòng)，全部存儲(chǔ)在數(shù)據(jù)庫(kù)中，僅僅提供普通的日志查詢功能。更加地，SecFox-LAS日志審計(jì)系統(tǒng)在進(jìn)行日志歸一化的同時(shí)，還保留了原始日志記錄，便于將來進(jìn)行具有司法證據(jù)效力的調(diào)查取證分析。

其次，SecFox-LAS日志審計(jì)系統(tǒng)具有多事件(日志)關(guān)聯(lián)分析能力，是該系統(tǒng)區(qū)別于傳統(tǒng)安全日志審計(jì)系統(tǒng)的最關(guān)鍵特征。正是通過關(guān)聯(lián)分析，將來自不同信息源的日志融合到一起，發(fā)掘出日志之間的關(guān)系，找到真正的外部入侵和內(nèi)部違規(guī)。SecFox-LAS日志審計(jì)系統(tǒng)的核心是SecFox獨(dú)有的基于安全監(jiān)測(cè)、告警和響應(yīng)技術(shù)(Security Monitor, Alert and Response Technology，簡(jiǎn)稱SMART)的事件關(guān)聯(lián)分析引擎。在關(guān)聯(lián)規(guī)則的驅(qū)動(dòng)下，SMART事件關(guān)聯(lián)分析引擎能夠進(jìn)行多種方式的事件關(guān)聯(lián)，包括統(tǒng)計(jì)關(guān)聯(lián)、時(shí)序關(guān)聯(lián)、單事件關(guān)聯(lián)、多事件關(guān)聯(lián)、遞歸關(guān)聯(lián)，等等。SMART關(guān)聯(lián)分析引擎完全自主研發(fā)，擁有多項(xiàng)專利，并且是在內(nèi)存中進(jìn)行的，因而具備極強(qiáng)的實(shí)時(shí)性和穩(wěn)定的性能。系統(tǒng)在采集和歸一化日志后，一方面將日志存入數(shù)據(jù)庫(kù)，另一方面同步地在內(nèi)存中(In-Memory)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析。實(shí)時(shí)性確保了日志被及時(shí)審計(jì)，同時(shí)能夠快速發(fā)現(xiàn)安全隱患。