国投瑞银基金管理有限公司前身为中融基金管理有限公司,成立于2002年6月。2005年,公司与瑞银集团合资,成为中国第一家外方持股比例达到最高上限(49%)的合资基金管理公司(公司前身为成立于2002年6月的中融基金管理有限公司)。自合资公司成立以来,国投瑞银展现出快速发展的蓬勃朝气和勇于创新的开拓精神,成为基金行业新锐。
自2008年初,鉴于以下4个方面的原因,国投瑞银计划部署一套日志集中管理系统:
(1)证监会/证监局关于证券行业《信息系统等级保护》中明确要求公司需要对关键网络设备、安全设备及服务器进行备份,并定期进行检查分析,同时形成记录;
(2)公安厅/公安局关于《计算机信息系统安全保护条例》中明确要求公司需要对系统运行日志及用户使用记录保存60天以上;
(3)外方股东及公司监察稽核部出于内审及内控方面的管理需要,要求信息技术部对相关核心设备及信息系统的用户登陆及系统使用进行安全审计;
(4)信息技术部希望能够将分散的设备日志、系统日志整和起来,统一保存和归档,同时对一些重要事件,能实现自定义告警。
为此,从2008年3月开始,一直到2008年8月底,在半年的时间内,国投瑞银对目前国内外市场上主流的日志管理系统(包括软件产品和硬件产品)进行了多方面的综合对比测试。最终,在2008年9月,国投瑞银选定了网御神州的SecFox-LAS(Log Audit System)日志管理系统。在网御神州的协助下,国投瑞银已经在2008年底完成了整套系统的部署实施,并正式上线。目前,整套系统工作正常。
国投瑞银选择网御神州的日志审计系统主要基于如下几个方面的考虑:
(1)软、硬件一体化解决方案,即插即用,大大节省了搭建和维护服务器的工作;
(2)产品内置多网口,支持多网段监控,无需配置过多的跨网访问策略,简化管理;
(3)产品内置数据库,自带数据归档备份功能,无需另外安装部署大型数据库系统,维护简单;
(4)产品内置高容量硬盘,同时支持RAID5,可以最大限度的保障日志存储的安全;
(5)监控对象支持主流网络设备、安全设备、主机设备、数据库、中间件及通用应用;
(6)日志收集和查询过程灵活方便,清晰明了;
(7)实时日志分析和告警功能强大,支持自定义日志展现及关联规则告警;
(8)价位合理,在同类产品中性价比较高;
(9)技术支持到位,后期开发和扩展有保障;
网御神州SecFox-LAS日志审计系统通过硬件设备上的四个网口,分别采集交易网、办公网、DMZ区和TA区的审计日志,解决了四大区域日志集中管理的难题。所采集的日志包括了交易网、办公网、管理网和TA网的主干交换机日志,到各地的路由器日志,Cisco PIX防火墙日志、Juniper防火墙日志、Nokia/CheckPoint防火墙日志、Array VPN日志,F5负载均衡日志,以及各类Winodws/Solaris服务器日志、Apache日志、WebLogic日志、Oracle数据库和SQL Server数据库日志,等等。通过SecFox-LAS,真正实现了全网重要日志的统一管理与审计。
通过对各类网络设备、安全设备、主机设备、数据库、中间件和数据库日志的统一收集和管理,国投瑞银信息部可以实时的审计安全设备、网络设备、应用服务器等的流量排行、源目的端口/地址排行,主机事件数量排行,登陆主机失败次数最多的用户排行、服务器用户登陆次数排行等合规性信息,通过统计图表可视化展示出来,并能够进行下钻,查看明细。
国投瑞银信息部也可以根据收集到的各类日志,非常方便快捷的制作出譬如登陆帐号锁定,关键设备管理员帐号错误登陆,重要应用程序报错等自定义告警通知,从而第一时间发现和处理信息系统相关安全问题。
通过对上述一些图表、报表和趋势图的分析以及关键事件的实时告警,国投瑞银信息部可以对整个网络的安全状况有一个非常清晰的掌控。
借助网神SecFox-LAS日志管理系统的部署,国投瑞银一方面满足了监管部门的合规要求,另一方面也着实提升了信息部对信息系统安全事件的整体管理水平。下一步,国投瑞银还计划借助日志管理系统定制安全统计报表,从而进一步提高信息安全管理水平。
网御神州SecFox-LAS日志审计系统
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。
为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。
尤其是国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。
综上所述,企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、监控、审计、分析、报警、响应和报告。
网御神州借助在安全领域的长期积累,结合中国信息安全领域的特殊性,自主研制出了面向中国客户的安全日志审计平台——SecFox-LAS(Log Audit System),真正满足了客户的安全审计需求。
SecFox-LAS日志安全审计系统作为一个统一日志监控与审计平台,能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。如果客户网络中重要网络和业务系统无法产生日志,SecFox-LAS也能够通过部署硬件探测器的方式主动侦测网络中的协议通讯,并转化为日志,汇集到审计中心。
SecFox-LAS能够实时地对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的控制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。
SecFox-LAS能够实时采集NetFlow数据流,对一段时间内的网络流量或者网络连接数进行统计,并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,进而对异常流量和行为进行审计。
对于集中存储起来的海量信息,SecFox-LAS可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。
SecFox-LAS能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。
SecFox-LAS为客户提供了丰富的报表模板,使得用户能够从各个角度对企业和组织的安全状况进行审计,并自动、定期地产生报表。用户也能够自定义报表。
