北京歌華有線電視網絡股份有限公司(SHA：600037)是唯一負責北京地區(qū)有線廣播電視網絡的建設開發(fā)、經營、管理和維護，從事廣播電視節(jié)目收轉傳送和廣播電視網絡信息服務的企業(yè)。公司2001年在上海證券交易所掛牌上市。經過多年的建設，歌華有線已形成覆蓋全北京市18個區(qū)縣、敷設光纜線路1萬余公里、電纜線路10萬余公里、接入397萬戶的超大型有線電視光纜網絡。

歌華有線總部的網絡承擔了北京地區(qū)有線電視網絡業(yè)務的運營維護任務。這個網絡的安全可靠運營直接影響著歌華有線的業(yè)務服務質量。

為了加強總部網絡的安全防護水平，歌華有線進行了大規(guī)模的網絡安全改造。其中，為了對總部安全設備，尤其是防火墻設備的日志進行集中采集和分析，部署了網御神州SecFox-LAS日志審計系統(tǒng)。通過對銳捷防火墻日志的統(tǒng)一收集和分析，有效地采集并存儲下了海量的防火墻日志，包括NAT日志、包過濾日志等重要日志，并提供了多種可視化的實時日志分析展示工具，提升了歌華有線追蹤網絡安全事件、發(fā)現(xiàn)外部入侵的效率。

網御神州SecFox-LAS日志審計系統(tǒng)介紹

當今的企業(yè)和組織在IT信息安全領域面臨比以往更為復雜的局面。這既有來自于企業(yè)和組織外部的層出不窮的入侵和攻擊，也有來自于企業(yè)和組織內部的違規(guī)和泄漏。

為了不斷應對新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防病毒系統(tǒng)、防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、UTM，等等。這些安全系統(tǒng)都僅僅防堵來自某個方面的安全威脅，形成了一個個安全防御孤島，無法產生協(xié)同效應。更為嚴重地，這些復雜的IT資源及其安全防御設施在運行過程中不斷產生大量的安全日志和事件，安全管理人員面對這些數量巨大、彼此割裂的安全信息，操作著各種產品自身的控制臺界面和告警窗口，顯得束手無策，工作效率極低，難以發(fā)現(xiàn)真正的安全隱患。

另一方面，企業(yè)和組織日益迫切的信息系統(tǒng)審計和內控、以及不斷增強的業(yè)務持續(xù)性需求，也對當前日志審計提出了嚴峻的挑戰(zhàn)。

尤其是國家信息系統(tǒng)等級保護制度的出臺，明確要求二級以上的信息系統(tǒng)必須對網絡、主機和應用進行安全審計。

綜上所述，企業(yè)和組織迫切需要一個全面的、面向企業(yè)和組織IT資源(信息系統(tǒng)保護環(huán)境)的、集中的安全審計平臺及其系統(tǒng)，這個系統(tǒng)能夠收集來自企業(yè)和組織IT資源中各種設備和應用的安全日志，并進行存儲、監(jiān)控、審計、分析、報警、響應和報告。

網御神州借助在安全領域的長期積累，結合中國信息安全領域的特殊性，自主研制出了面向中國客戶的安全日志審計平臺——SecFox-LAS(Log Audit System)，真正滿足了客戶的安全審計需求。

SecFox-LAS日志安全審計系統(tǒng)作為一個統(tǒng)一日志監(jiān)控與審計平臺，能夠實時不間斷地將企業(yè)和組織中來自不同廠商的安全設備、網絡設備、主機、操作系統(tǒng)、數據庫系統(tǒng)、用戶業(yè)務系統(tǒng)的日志、警報等信息匯集到審計中心，實現(xiàn)全網綜合安全審計。如果客戶網絡中重要網絡和業(yè)務系統(tǒng)無法產生日志，SecFox-LAS也能夠通過部署硬件探測器的方式主動偵測網絡中的協(xié)議通訊，并轉化為日志，匯集到審計中心。

SecFox-LAS能夠實時地對采集到的不同類型的信息進行歸一化和實時關聯(lián)分析，通過統(tǒng)一的控制臺界面進行實時、可視化的呈現(xiàn)，協(xié)助安全管理人員迅速準確地識別安全事故，消除了管理員在多個控制臺之間來回切換的煩惱，同時提高工作效率。

SecFox-LAS能夠實時采集NetFlow數據流，對一段時間內的網絡流量或者網絡連接數進行統(tǒng)計，并描繪趨勢曲線。通過對某個IP地址的流量趨勢分析獲悉該IP地址的訪問流量模型，進而對異常流量和行為進行審計。

對于集中存儲起來的海量信息，SecFox-LAS可以讓審計人員借助歷史分析工具對日志進行深度挖掘、調查取證、證據保全。

SecFox-LAS能夠自動地或者在管理員人工干預的情況下對審計告警進行各種響應，并與包括各種類型的交換機、路由器、防火墻、IDS、主機系統(tǒng)等在內的眾多第三方設備和系統(tǒng)進行預定義的策略聯(lián)動，實現(xiàn)安全審計的管理閉環(huán)。

SecFox-LAS為客戶提供了豐富的報表模板，使得用戶能夠從各個角度對企業(yè)和組織的安全狀況進行審計，并自動、定期地產生報表。用戶也能夠自定義報表。

SecFox-LAS日志審計系統(tǒng)與傳統(tǒng)日志審計系統(tǒng)的本質區(qū)別

需要特別指出的是，SecFox-LAS日志審計系統(tǒng)與傳統(tǒng)安全日志審計系統(tǒng)具有本質的區(qū)別：

首先，SecFox-LAS日志審計系統(tǒng)的日志歸一化功能能夠將異構的日志變成系統(tǒng)可識別的統(tǒng)一的日志，屏蔽了不同廠商以及不同類型的產品之間的日志差異，使得日志關聯(lián)分析成為可能;而傳統(tǒng)的日志審計系統(tǒng)僅針對原始日志的時間、源/目的IP地址等信息進行簡單分解，其他主要內容則原封不動，全部存儲在數據庫中，僅僅提供普通的日志查詢功能。更加地，SecFox-LAS日志審計系統(tǒng)在進行日志歸一化的同時，還保留了原始日志記錄，便于將來進行具有司法證據效力的調查取證分析。

其次，SecFox-LAS日志審計系統(tǒng)具有多事件(日志)關聯(lián)分析能力，是該系統(tǒng)區(qū)別于傳統(tǒng)安全日志審計系統(tǒng)的最關鍵特征。正是通過關聯(lián)分析，將來自不同信息源的日志融合到一起，發(fā)掘出日志之間的關系，找到真正的外部入侵和內部違規(guī)。SecFox-LAS日志審計系統(tǒng)的核心是SecFox獨有的基于安全監(jiān)測、告警和響應技術(Security Monitor, Alert and Response Technology，簡稱SMART)的事件關聯(lián)分析引擎。在關聯(lián)規(guī)則的驅動下，SMART事件關聯(lián)分析引擎能夠進行多種方式的事件關聯(lián)，包括統(tǒng)計關聯(lián)、時序關聯(lián)、單事件關聯(lián)、多事件關聯(lián)、遞歸關聯(lián)，等等。SMART關聯(lián)分析引擎完全自主研發(fā)，擁有多項專利，并且是在內存中進行的，因而具備極強的實時性和穩(wěn)定的性能。系統(tǒng)在采集和歸一化日志后，一方面將日志存入數據庫，另一方面同步地在內存中(In-Memory)進行實時關聯(lián)分析。實時性確保了日志被及時審計，同時能夠快速發(fā)現(xiàn)安全隱患。