文｜倪竹清

引言

文汇新民联合报业集团（以下简称“文新集团”）是中国最大的报业集团之一，集团共拥有18家纸质媒体，10余个新媒体产品，实现了报纸、网络、手机和户外多维空间传播和互动。集团成立十年来，先后建立了网络管理基础平台，包括万兆主干、千兆、百兆到桌面的内部局域网；连接集团6幢大楼，总出口高达200多兆的互联网；覆盖文新大楼的无线网络；实现远程办公的虚拟专用网（VPN）；用户多达3000个集团电子邮件系统。建立了集团采、编、图、排流程一体化的数字化生产平台，包括新闻采编系统、飞腾组版系统等。建立了集团办公经营数字化管理平台，包括公文管理系统、人力资源管理系统、财务管理系统等。建立了集被动防御和主动管理于一体的立体式安全防御系统，包括Juniper、 NetScreen高性能防火墙、McAfee Network IDS/IPS设备、Symantec病毒防护中心等。

文新集团目前共拥有网络交换机近150台、应用服务器100多台和各类应用系统30余套。为保障集团各类IT设备和系统的正常运行，减少来自内部用户和外部互联网的网络攻击，保证集团每天的正常出报工作，集团网络安全管理员通过日常监控各系统的运行日志来分析整个集团信息安全的情况。然而这些核心设备和关键应用系统均采用各自供应商提供的安全事件监控界面，有的为C/S结构的用户界面，有的是B/S结构的用户界面，各系统的日志格式和语义也不尽相同。这就给安全管理员的监控工作带来了很大的麻烦，繁琐的操作花费了大量的时间，使真正的安全隐患无法及时被发现。为此，文新集团研发并实施了网络安全行为监控系统。

系统介绍

系统结构

网络安全行为监控系统主要由日志采集客户端、安全审计控制中心、日志统计分析服务器三个部分组成。

日志采集客户端（Collector）

日志采集客户端是整个系统的触角,负责收集各种操作系统、网络安全设备、应用程序的日志信息，过滤后发送给安全审计中心处理,同时还能够收集各类系统无法远程收集的信息。

文新集团目前采集的主要日志有：Syslog日志、IIS W3C扩展日志、ISA WEB代理W3C扩展日志、ISA防火墙、MSSQL错误日志、MSSQL代理日志、Windows事件日志、NetScreen事件日志、MDaemon SMTP(in)日志、MDaemon SMTP(out)日志、Symantec Antivirus日志、Juniper IDP800日志等，涵盖了集团所有的安全设备。

安全审计控制中心(Console)

安全审计控制中心接收日志采集客户端和各种安全设备、系统转发的日志信息，配置任务、设置过滤条件，配置系统参数，查看安全审计报表，查看实时日志数据等。

文新集团对关键系统、核心设备配置监控任务，根据安全监控的实际需求预先设定了：磁盘使用报告、FTP日志统计报表、ISA日志统计报表、Syslog消息级别统计报表、NetScreen日志统计报表、MDaemon日志统计报表、Windows事件日志统计报表、Juniper IDP800日志统计表、客户端日志分析等报表，便于网络安全管理员实时监控。

日志统计分析数据库（DataBase）

图1 网络安全行为监控系统系统架构

表1 网络安全行为监控系统功能表

日志统计分析数据库海量存储各种日志信息、系统配置信息、统计分析数据等信息。系统可根据用户要求按年、月、日来作统计数据，形成报表。安全管理员可以实时查询到集团员工上得最多网站、用户流量最大的客户端等信息。

系统特点

部署便捷

网络安全行为监控系统中的客户端只需要安装初始化一次即可使用，无需额外的其他配置。客户端的更新、升级等服务将由网络安全管理员通过系统中的推送方式实现。

统一管理

文新集团在完成采集客户端的部署后，网络安全管理员通过系统中心控制台对每一台客户端进行任务参数的统一配置和统一管理，而且还可以对每个客户端进行任务的启、停用操作以及任务的增、删、改等。

设置预警

系统一旦发现符合预警条件的日志时，通过配置好的若干种预警方式进行提醒，包括Email预警、铃声预警、短信预警、GUI预警等，使管理员及时发现网络安全隐患。

高度集成

网络安全行为监控系统提供可扩展的日志类型接口，可以不断丰富日志类型，发现一个，集成一个，实现网络监控全覆盖。

创新之处

先进的多级架构设计

图2 网络安全行为监控系统首页

网络安全行为监控系统采用业界领先的多级架构设计，支持多套系统级联和分布式部署的方式，日志数据分库存储，系统可以非常方便、快捷地部署在大型复杂的网络环境中。同时，多级审计结构也有效地解决了含有 NAT的复杂网络中事件的收集和审计问题。

文新集团旗下媒体众多、网络结构复杂、IT规模较大，而对应的集团网络安全监控工程师却只有6位。因此，集团采用多套系统级联和分布式部署的方式，实现集团对下级各应用部门的信息安全管理和监控。

可扩充的日志采集

网络安全行为监控系统可以跨网络、跨网段地对应用服务器、网络设备在运行期间所产生的日志进行采集、分析和存储；全面支持安全设备（如防火墙等）、网络设备（如路由、交换机）、应用系统（如Web、Mail、FTP、Database）、操作系统（如Windows、Linux、Unix）等多种产品及系统的日志数据的采集和分析；支持对不同日志格式的分类、筛选、最大效率的保存；支持不断扩充的日志类型，使安全审计的范围不断扩大。

支持海量数据存储

网络安全行为监控系统采用科学合理的分布式存储单元，支持海量日志数据的存储。这不仅满足了公安部、信安部规定各单位上网日志需保存一年，以便于事后查询的要求，更有利于各单位网络安全管理人员对各安全事件的统一分析与统一管理。

根据统计，文新集团每天采集监控的各类产品的日志达到1200万条到1400万条，每月存储的日志达到2TB。如此海量信息的采集监控丝毫不会影响系统的运行和查询，也不会对集团的网络和其他应用系统造成影响。文新集团在立项调研时，曾对几个国外的同类产品进行实际环境的测试，大部分产品在采集海量日志数据时就已经无法正常运行。

高效的日志检索算法

对于海量存储的数据，网络安全行为监控系统采用了快速、高效、准确的数据检索算法，提供海量数据快速检索、高效汇总和分析统计的功能。系统能够在较短的响应时间内精确定位用户所需的日志详细信息，供用户分析，使安全管理人员能在最短的时间内发现和消除网络安全隐患。文新集团几年来没有发生过因网络安全故障而影响出报的重大事故。

实施效果

文新集团在网络安全行为监控系统部署前，网络安全管理员主动发现安全隐患的次数并不多，往往是故障已经发生了，管理人员再去分析故障设备或者故障系统的日志，寻找故障发生的原因，找出解决故障的方法。由于故障已经发生，所以一定会对集团某些日常工作造成影响。如果出报服务器或者网络代理服务器受到攻击无法正常工作，还将会影响到出报环节，造成无可挽回的损失。

2008年，网络安全行为监控系统在文新集团正式上线运行后，首先，集团信息安全管理员不再需要像以前一样针对每一种设备、每一套系统进行单独的日志管理，可以通过网络安全行为监控系统这一整合平台，统一监控授权范围内的系统、设备的运作情况，及时发现安全隐患；其次，网络安全行为监控系统提供了多种预警方式，第一时间告知管理人员目前可能存在哪些安全问题，系统会将相关信息以邮件、短信等方式主动推送给相关管理人员，及时解决故障隐患，减少故障的发生；再者，网络安全行为监控系统提供了丰富的统计报表功能，可以帮助管理人员分析可能存在的安全隐患或网络中有哪些不良操作行为，让技术人员及时制止，保证了集团整个网络、IT系统的安全运行。

案例一

文新集团拥有一个庞大远程传版系统，集团旗下的所有媒体都实现了远程传输版面异地印刷。集团印务中心每天不仅异地印刷本集团的报纸，还负责国内50多家报纸的异地印刷任务。因此，集团印务中心部署了专用FTP文件服务器，负责从互联网上远程接收各类报纸的版面文件，任何一份报纸的任何一个版面文件如果丢失或被恶意篡改均会造成不可估量的损失。在网络安全行为监控系统中，集团专门设有针对FTP用户帐号及密码安全度的审计功能，通过对FTP服务器上IIS-FTP日志的采集和分析，可以看到所有合法帐户的一举一动，什么时候登录、退出、什么时候上传了什么文件、什么时候删除了什么文件等都能查的一清二楚。一旦服务器遭受异常的登录请求（譬如针对某些弱口令用户进行字典式用户试探登录），系统会在第一事件捕获这一异常现象，通过预先设置的短信等方式及时告知相应管理人员，将潜在的危险提前排除。

文新集团的远程FTP传版服务器曾遭到非法用户攻击，网络安全行为监控系统监控及时通过预设的方式向集团网络安全管理员进行手机短信报警，并同时向网络监控人员进行蜂鸣式报警。集团技术部门快速反应，在FTP服务器未被破坏之前，及时调整传版线路，启用备用服务器和备用地址，使出报数据安全、准确、及时地传输到印刷厂和国内27个代印点、海外30个城市。同时对非法攻击行为进行快速处理，杜绝了一起严重的出报事故。

案例二

文新集团在企业内部部署了微软的ISA代理服务器，所有员工均通过统一的代理服务器进行上网，各种上网行为均可以在其日志中得到反映，一旦发生互联网上的安全违法乱纪行为，可以查到具体什么人什么时候在那台机器上做了什么事情。网络安全行为监控系统不仅采集的了相应的日志，还可以直接提供查询功能，并且可以通过丰富的统计报表功能帮助网络安全管理人员合理分配网络带宽资源。

文新集团拥有3000多台电脑，网络安全行为监控系统会对感染病毒的电脑及时报警。感染病毒电脑会不停地对楼层网络交换机进行攻击，如果不及时解决，攻击的数据量不断增大，将会导致楼层交换机工作异常，整个楼层的用户无法上网，影响正常工作。网络安全行为监控系统一旦监测到有此情况的电脑会立即通过蜂鸣、短信等方式进行报警。技术人员接到报警后可以通过系统迅速定位被病毒感染的电脑，并进行杀毒，排除网络故障隐患。而此时，使用“病毒”电脑的用户还根本没有感觉到自己的电脑出现了问题，整个楼层的用户的正常工作丝毫未受到影响，整个处理过程快速、有序。

结语

随着信息化技术不断发展，IT规模的不断扩大和互联网应用不断增长，来自企业内部和互联网外部的安全问题得到了越来越多的重视。网络安全行为监控系统是文新集团根据多年的IT管理经验，结合日常IT管理业务中发现的实际问题而研发的一套整体解决方案。系统能够帮助企业网络安全管理员实时监控网络中核心设备、关键应用、电脑的运行状况，及时发现设备故障、安全隐患、非法攻击，保障网络安全。系统部署灵活、界面清晰、操作简单，具有很强的实用性和产业推广性。