网御神州为某大型军工企业搭建统一安全管理平台

立体管控、全面审计

　　1 项目背景

　　中航工业集团公司下属某单位是国家重点大型军工企业，有着先进的企业信息化系统。该单位承担了多项军队重点技术的攻关任务，同时为军队生产多种军用装备，单位内部有大量技术、装备信息，均为军工行业涉密信息。该单位十分重视企业信息系统的安全，为了能够更好的保护军用技术和军用装备信息的安全，为了更好的强化军工涉密系统的保护，该单位计划建立全面立体的安全管理与审计系统，实现统一的IT管理与审计。

　　2 需求分析

　　1） 全面立体的设备监控

　　需要建立涵盖物理层、网络层、系统层、应用层的立体设备监控体系，对包括机房安全设备、网络设备、加密传输设备、安全设备、操作系统、数据库、业务系统在内的各类IT资源的全面立体监控；要能够及时发现设备性能、状态问题，能够及时告警和详细分析。

　　2） 全面立体的安全审计

　　需要对涵盖网络层、系统层、应用层的网络设备、加密传输设备、安全设备、操作系统、数据库、业务系统进行全面行为审计，要求能够收集各类运行及安全事件和日志，识别安全告警，能够将违规行为及时通知管理员并提供详细的行为描述。

　　3） 流程化工单管理

　　针对设备监控和安全审计的告警信息，需要进行日常化、规范化管理，要求所有告警支持工单流程，能够按流程审批和归档。

　　3 网御神州解决方案

　　网御神州为用户提供了业内知名的SecFox统一安全管理解决方案，实现对IT资源的全面运行监控和综合安全审计。

　　网御神州统一安全管理解决方案的最大特点就在于融合了传统的网络管理与安全管理的技术架构、功能模块与运维方式，使得用户通过一个统一的WEB管理控制台就能够对网络中的各类IT资源进行网络运行监控和安全事件管理，避免了传统模式下网管管理平台和安全管理平台各自为政、各管一块的割据局面，有效地将网络管理与安全管理的日常运维工作进行了整合。

　　同时，借助网管、安管整合的技术支撑架构，极大地简化了用户管理体系的技术复杂性，降低了由于网管安管各自重复的信息采集而带来的额外网络负载，减轻了管理平台自身对业务系统持续运行的影响，提升了管理的效率。

　　网御神州的统一安全管理解决方案不仅包括管理平台，还包含了基于该平台的实施与管理咨询服务。在该项目中，网御神州实施人员协助用户系统化地分析了该单位的实际情况，将该单位最核心的OA系统和某涉密业务系统做了全面的设备调查和分析，制定了一套按从业务角度对相关IT资源进行监控和日志审计的方案，并落实到SecFox统一安全管理平台之中。

　　网御神州的统一安全管理解决方案及其所以托的SecFox统一安全管理平台提供了便于该单位管理的诸多功能：

　　1、 提供了符合实际情况的网络拓扑；

　　2、 提供了符合实际情况的机架视图；

　　3、 提供了对OA业务系统的监控，涵盖了该业务的全部主机、中间件、数据库、应用、网络设备、安全设备、UPS；

　　4、 提供了对某涉密业务系统的监控，涵盖了该业务的全部主机、中间件、数据库、应用、网络设备、安全设备、UPS、SAN；

　　5、 设定了状态性能告警阈值，出现异常自动告警并通知相关管理人员，并可以触发工单系统；

　　6、 采集了各类网络与安全设备的日志；

　　7、 采集了重要系统及其主机的操作日志；

　　8、 设定了日志分析策略，借助事件关联分析引擎，对违规行为实施告警，并通知相关管理人员；

　　9、 为管理平台添加了不同的角色和用户，分业务、分岗位管理；

　　10、 梳理了管理流程，将岗位和工单结合，实现了基本的闭合管理，做到人尽其责；

　　同时，网御神州的项目实施团队与该单位深入交流了安全管理思路并分享了业界的相关经验，例如：1）设备如何实现日常的动态分析，各种设备监控指标的含义和指标分析的目标；2）安全事件的类别划分，安全事件分析方法，如何通过SecFox管理系统实现细致审计；3）设备管理员与安全管理员如何通过工单互动；4）如何通过SecFox安全管理系统实现安全状况的趋势分析。

　　网御神州SecFox统一安全管理平台为用户监控和审计的IT资源类型如下表所示：

　　4 应用效果

　　通过实施网御神州SecFox统一安全管理系统，该单位建立了一套立体管控、全面审计的安全管理平台，实现了对IT资源的全面统一运行管理与安全分析，能够实时获取设备状态、性能信息，发现设备状态性能异常后实时通知相关人员；全面采集了设备系统、操作日志，能够实时分析系统日志和行为操作，发现设备异常日志、违规操作后及时通知管理员；建立了闭环工单系统，对问题的处理实现了全流程管理，提高了解决问题的效率。

　　通过此次项目，网御神州为该单位提供了针对业务系统安全管理和审计的最佳实践，将业界的安全管理经验传递给该单位，结合该单位的实际情况，制定了适合的安全管理方式和流程，形成一个有效的、完整的PDCA闭环运作过程。

　　5 关于网御神州SecFox统一安全管理平台

　　信息时代的企业和组织生产经营活动越来越依赖于IT设施、IT部门和IT服务。伴随着信息技术、尤其是网络技术的不断深入应用，信息安全、尤其是网络安全问题日益突出。网络中既有网管系统，又有安管系统，之间相互独立，而实际上运维过程中遇到的问题既与网络有关，也与安全相关。

　　未来的网络发展趋势必然是网络与安全密不可分，很多网络故障都是安全问题引发的，而大部分安全问题都是透过网络传播的。因此，只有将网络管理与安全管理有机结合，才能满足中国用户的实际需要。而传统的安全管理平台、SOC（Security Operations Center）系统却对基本的网络和系统运行缺乏必要的监控。

　　在这种情况下，网御神州率先提出了下一代安全管理平台SOC2.0的概念，强调以业务为核心的、网管安管一体化的统一管理理念，并推出了SOC2.0时代的代表性产品——SecFox统一管理系统。

　　SecFox统一管理系统对IT环境中的所有网络设备、安全设备、主机和服务器、服务、应用和业务系统，以及机房物理环境提供一个全方位的管理平台，从业务的角度，进行统一的运行监控、统一的安全事件管理与审计、统一的风险与运维管理，实现业务服务管理、安全管理和运维管理的一体化。

　　SecFox统一管理系统从业务的角度对IT资源进行统一监控。借助SecFox的业务建模过程，客户首先将业务系统分解为各类IT资源，并建立一套针对这些IT资源的监控指标体系。然后，管理系统通过对所有指标的实时监测来表征业务系统的健康状况。客户通过业务监控界面就能全面掌握业务的运行情况，例如业务系统一旦出现故障，就能够快速定位到是构成业务的那个部分出现问题。

　　SecFox统一管理系统能够通过多种方式全面采集网络中各种设备、应用和系统的日志信息，确保用户能够采集到所有必需的日志信息，避免出现漏洞。SecFox支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA、内部私有TCP/ UDP等网络协议，以直接、或者借助软件日志采集器和硬件网络探针的方式收集日志信息。

　　对于收集到的所有安全日志和告警信息，SecFox统一管理系统通过归一化和智能日志关联分析引擎，协助用户准确、快速地识别安全事故，从而及时做出响应。SecFox在进行事件归一化的同时，还保留了原始日志记录，便于将来进行具有司法证据效力的调查取证分析。SecFox统一管理系统具有国内绝对领先的事件关联分析核心技术，申请了2项专利技术，拥有完全自主知识产权。

　　SecFox统一管理系统在识别出安全事故后，能够自动或者用户手工的对威胁进行响应，采取安全对策，从而形成安全审计的闭环。系统可以通过电子邮件、SNMP Trap、派发工单、电话响铃、短信告警等方式对外发出通告；能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序，可通过与网络设备或安全设备共同协作来关闭威胁通信，以阻止正在进行的攻击。

　　SecFox统一管理系统具有强大的报表分析功能。系统的报表分析引擎能从多种角度多种维度对数据进行分析；能提供实时分析、历史分析等分析手段；能对比统计的结果，分析数据的发展趋势；能将结果以图形方式（柱图、饼图、曲线图等）显示、打印；报告可用PDF、HTML、Excel、CSV或RTF等格式存档。

　　SecFox统一管理系统允许用户对报表生成进行日程规划，定期自动生成审计报表，提供打印、导出以及邮件送达等服务，并根据计划归档报告，归档之后发送邮件通知。

　　6 关于网御神州安全管理

　　网御神州安全管理团队根据长期以来在安全管理领域的深入研究，结合来自客户的需求与市场的现状，提出了具有完全自主知识产权的网神SecFox安全管理产品理念，尤其强调网络管理、安全管理与运维管理的一体化，为政府、军队、公安、税务、电力、保险、电信、金融、交通、制造、教育、广电等各个领域的客户提供全面的安全运营保障平台。网御神州建立了专门的安全管理研发和实施队伍——SOC事业部，在国内市场突飞猛进，取得了令人瞩目的市场成就。在CCID2008年和2009年《中国信息安全产品市场研究年度报告》中网御神州连续两年位居安全管理（SOC）市场第一名，成为了中国安全管理市场的领导厂商之一。