三一集團有限公司始創于1989年。二十年來，三一集團秉持“創建一流企業，造就一流人才，做出一流貢獻”的企業宗旨，打造了業內知名的“三一”品牌。三一是全球工程機械制造商50強、全球最大的混凝土機械制造商、中國企業500強、工程機械行業綜合效益和競爭力最強企業、福布斯“中國頂尖企業”，中國最具成長力自主品牌、中國最具競爭力品牌、中國工程機械行業標志性品牌、亞洲品牌500強。三一集團的核心企業三一重工于2003年7月3日上市，是中國股權分置改革首家成功并實現全流通的企業。在國內，三一建有上海、北京、沈陽、昆山、長沙等五大產業園。在全球，三一建有12個海外子公司，業務覆蓋達150個國家，產品批量出口110多個國家和地區。目前，三一已在印度、美國相繼投資建設工程機械研發制造基地。2009年元月，三一在德國投資1億歐元建設工程機械研發制造基地項目正式簽約，中德總理共同見證了這一項目的簽約。

    伴隨著三一重工公司業務的壯大，以及信息技術的發展，三一重工公司業務對IT系統的依賴程度越來越高，IT風險對業務風險的影響也越來越大，尤其企業核心的生產經營數據，成為了三一重工的重要業務資產。如果保護好這些數據資產、確保內部人員IT操作的合規性，成為了三一重工信息技術部門的重要工作。

    三一重工的數據庫、網絡設備、系統平臺、應用系統部署已經十分廣泛，并且幾乎所有的關鍵業務系統每天都產生大量日志。由于這些日志能夠反映企業生產經營過程中的各種IT操作和行為，包括各種潛在的違規行為，因此，保護、利用好各種數據庫、網絡設備和服務器等設備的日志也成為信息部門的重要任務，對各種日志的分析、審計也是整個信息系統安全建設的最重要組成部分。面對海量的日志，僅僅依靠開源的日志采集軟件和人工分析都是遠遠不夠的，因此，三一重工計劃部署一套日志集中管理系統。從2008年初開始，一直到2009年2月，在這近一年的時間內，三一重工對目前市面上主流的國內外日志審計系統進行了多方面的綜合對比測試。

    期間，網御神州根據客戶的需求和業務系統現狀，并利用在制造業網絡安全管理領域豐富的經驗積累，為客戶提出了一套完善的日志審計解決方案。該方案首先使用一套SecFox-SIM安全信息管理系統將三一重工各種設備和應用的日志進行統一的收集和審計。同時，針對三一重工的Oracle和SQL Server數據庫系統沒有采用傳統的日志采集方式，而是部署了兩臺硬件型SecFox-NBA數據庫審計探針，采用旁路抓包的形式直接對數據操作行為進行審計，并將審計記錄以日志的形式匯總到SecFox-SIM管理系統。借助這種創新的日志審計模式，避免了因安裝數據庫日志采集代理而可能帶來的數據庫性能和穩定性影響，對用戶重要的數據庫系統沒有造成任何影響。

    經過反復比較，三一重工最終在2009年2月選定了網御神州的日志審計系統，部署了兩臺SecFox-NBA數據庫審計設備和一套SecFox-SIM安全信息管理系統。目前系統已經正式上線，運行穩定。

    三一重工選擇網御神州的日志集中管理系統主要基于如下幾個方面的考慮：
    1) 一套系統就能夠收集企業中包括網絡設備、安全設備、主機、數據庫和應用系統的日志，并進行分析與審計；
    2) 軟硬件一體化解決方案，即插即用，內置海量存儲，無需再另外配備數據庫和存儲系統，大大節省了搭建和維護服務器的工作；
    3) 既能直接采集日志，也能夠通過專門的硬件設備以旁路抓包的方式進行數據庫審計，并將審計信息與其他日志信息進行統一分析；
    4) 日志審計對象支持主流網絡設備、安全設備、主機設備、數據庫、中間件及通用應用；
    5) 日志支持海量存儲，日志查詢支持多重組合檢索條件，可以靈活查詢，滿足不同的查詢需求；
    6) 系統內置高容量硬盤，同時支持RAID5，可以最大限度的保障日志存儲的安全；
    7) 實時日志分析和告警，用戶可以靈活的定義需要展現的用戶關心的實時日志及告警規則；
    8) 價位合理，同類產品性價比較高；
    9) 網御神州公司是國內專業做日志審計與安全信息管理系統的公司，該系統所屬的安全管理類產品在2007和2008年度蟬聯了中國安全管理產品（SOC）年度成功企業稱號；
    10) 網御神州技術支持到位，后期開發和擴展有保障。

    網御神州公司將一套SecFox-SIM安全信息管理系統（Security Information Management System）部署在三一重工IT本部，負責采集各類日志；兩臺硬件SecFox-NBA（Network Behavior Analysis）網絡行為審計系統（業務審計型）審計器分別部署在三一重工IT本部和研究院，用來采集Oracle和SQL Server數據庫的日志，并可靈活配置是否轉發到SecFox-SIM系統，進行集中管理。整套日志審計解決方案在三一重工采集的日志如下表所示：

表1：三一重工采集的日志類型

[page]

    在采集上述設備的各類日志后，針對各類日志設置了關聯告警規則，相關事件產生告警后，將會郵件自動通知相關管理員進行處理。

    通過SecFox-SIM 和 SecFox-NBA的聯合部署，提高了三一重工IT部對信息系統安全事件的整體管理水平。通過對各類網絡設備、安全設備、主機設備、數據庫、防病毒系統和數據庫日志的統一收集和管理，三一重工IT部可以輕松的實時獲取到各種安全整體信息，例如：
    ●訪問被阻斷次數最多的源地址
  ●訪問被阻斷最多的目的地址
  ●網絡設備事件數量排行
  ●網絡設備連接數源地址排行
  ●應用服務器流量排行
  ●應用服務器事件數量排行
  ●應用服務器源地址訪問次數排行
  ●主機事件數量排行
  ●  登陸失敗次數最多的用戶排行
  ●服務器用戶登陸次數排行等統計圖表

圖1：實時整體監控

三一重工IT部也可以根據收集到的各類日志，非常方便快捷的制作出譬如防火墻拒絕目的地址排行、防火墻拒絕源地址排行和主機登錄失敗統計的統計報表；用戶還根據現有的網絡流量做網絡內流量排行的趨勢分析；通過對上述一些圖表、報表和趨勢圖的分析，三一重工IT部可以對整個網絡的安全狀況有一個非常清晰的掌控。
通過過濾器的設置，可以在實時審計場景中只顯示管理員關心的日志，去除了非關注日志的干擾；在主頁中為各個管理員設置的默認視圖，使得管理員一登陸系統就可以監視到自己所管理設備的重要事件。

圖2：實時審計場景

    SecFox-SIM安全信息管理系統的日志查詢功能使得管理員能夠方便的查詢到需要查看的日志，并且能夠將查詢到的日志一次性全部導出以滿足審計的需求。

    整個系統通過告警規則的設置，對于一般的安全事件采用郵件告警的方式，一旦有安全事件產生就能夠及時通知到各個相關設備管理員，郵件告警的主題能夠自定義，可以顯示設備的IP地址及事件摘要，使得管理員無需查看郵件內容即可知道哪臺設備發生了什么事情；SecFox-SIM系統集成了用戶現有的短信平臺，對于特別重要的設備，一旦產生安全事件，就可以立刻通過手機短信通知到設備管理員，在第一時間消除安全隱患，降低了安全風險。

    后期，三一重工IT部將借助日志審計系統完善審計規則，從而進一步提高信息安全管理水平。

關于網御神州SecFox-SIM安全信息管理系統

    為了不斷應對來自內部和外部的安全挑戰，企業和組織先后部署了大量的安全系統，但卻造成了安全防御的孤島，系統之間缺乏協同，各種安全系統產生了大量告警、日志和事件，出現信息過載的現象，造成很多誤報和漏報，導致問題不能及時發現和處理。此外，企業和組織正面臨不斷增大的內控和信息系統審計的壓力，尤其是《企業內部控制基本規范》即將開始施行，要求增強業務持續性的呼聲不斷提高，這些都促成了面向全網的安全信息集中管理平臺的出現。

    SecFox-SIM（Security Information Management）能夠實時不間斷地將企業和組織中來自不同廠商的安全設備、網絡設備、主機、操作系統、用戶業務系統的日志、警報等信息匯集到SecFox-SIM服務器，實現海量信息的集中存儲和可靠保存。
SecFox-SIM服務器能夠實時地對采集到的不同類型的信息進行歸一化、關聯分析、最大程度地消除誤報和錯報、找出漏報，通過統一的SecFox-SIM控制臺界面進行實時、可視化的呈現，協助安全管理人員迅速準確地識別安全事故，消除了管理員在多個控制臺之間來回切換的煩惱，同時提高工作效率。

    對于集中存儲起來的海量信息，SecFox-SIM可以讓分析人員借助歷史分析工具對信息進行深度挖掘、調查取證、證據保全。

    SecFox-SIM能夠自動的或者在管理員人工干預的情況下對識別出來的安全事故進行各種響應。

    SecFox-SIM為客戶提供了豐富的報表，使得管理人員能夠從各個角度對企業和組織的安全狀況進行分析，并自動地、或者定期地產生報表。

    SecFox-SIM基于Web瀏覽器的界面和面向業務的呈現方式使得SecFox-SIM不僅適用于安全專家，也適用于業務管理人員。

關于SIM

    安全信息管理（SIM），也叫安全信息和事件管理（SIEM），或者簡稱安全管理系統，是安全管理領域發展的方向。SIM是一個全面的、面向企業和組織IT計算環境的、集中的安全集中管理平臺，這個平臺能夠收集來自企業和組織計算環境中各種設備和應用的安全日志和事件，并進行存儲、監控、分析、報警、響應和報告。SIM廣泛應用于企業和組織內部威脅管理、合規審計、安全審計、應急響應，等等，是信息系統安全集中管理的基石，是構架安全運行中心（SOC）的核心。

關于數據庫審計系統與SIM的結合運用

    SecFox-SIM能夠通過多種方式全面采集網絡中各種設備、應用和系統的日志信息，確保用戶能夠收集并審計所有必需的日志信息，避免出現審計漏洞。同時，SecFox-SIM盡可能地使用被審計節點自身具備的日志外發協議，盡量不在被審計節點上安裝任何代理，保障被審計節點的完整性，使得對被審計節點的影響最小化。
SecFox-SIM支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA、內部私有TCP/ UDP等網絡協議進行日志采集。

    如果客戶網絡中無法采集日志，則可以在網絡中部署一個SecFox-NBA網絡行為分析系統主動收集網絡中的通訊信息，轉化為日志，并傳送給SecFox-SIM管理中心。

    例如，用戶要針對數據庫系統進行日志審計，但是出于性能的考慮，無法開啟數據庫自身的日志記錄，同時也不能在數據庫服務器上安裝代理。此時，用戶可以將一個SecFox-NBA以旁路部署（共享Hub/交換機端口鏡像/網絡分接TAP）的方式放置在數據庫系統所在的交換機旁邊，偵聽并分析數據庫訪問操作的指令，并轉化為操作日志送到SecFox-SIM管理中心。

    通過SecFox-SIM與SecFox-NBA的混合部署，實現了對無法產生日志的被審計對象的安全審計，做到全面審計，避免出現審計死角。

    網御神州SecFox-NBA（Network Behavior Analysis for Business Audit）網絡行為審計系統（業務審計型）作為一款出色的數據庫審計系統采用旁路偵聽的方式對通過網絡連接到重要業務系統（服務器、數據庫、業務中間件、數據文件等）的數據流進行采集、分析和識別，實時監視用戶訪問業務系統的狀態，記錄各種訪問行為，發現并及時制止用戶的誤操作、違規訪問或者可疑行為。

    SecFox-NBA（業務審計型）可審計包括各個平臺（Windows、Linux、Solaris、AIX）和版本的SQL Server、Oracle、DB2、Sybase、MySQL等在內的數據庫的DDL，DML，DCL和其它操作等行為。

表2：SecFox-NBA數據庫審計系統審計的數據庫操作

    借助網御神州獨有的基于會話的行為分析（Session-based Behavior Analysis）技術，真正實現了對“誰、什么時間段內、對什么（數據）、進行了哪些操作、結果如何”的全程審計。

關于網御神州安全管理

    網御神州安全管理團隊根據長期以來在安全管理領域的深入研究，結合來自客戶的需求與市場的現狀，提出了具有完全自主知識產權的網神SecFox安全管理產品理念，尤其強調網絡管理、安全管理與運維管理的一體化，為政府、軍隊、公安、稅務、電力、保險、電信、金融、交通、制造、教育、廣電等各個領域的客戶提供全面的安全運營保障平臺。網御神州建立了專門的安全管理研發和實施隊伍——SOC事業部，在國內市場突飛猛進，取得了令人矚目的市場成就。在CCID2008年和2009年《中國信息安全產品市場研究年度報告》中網御神州連續兩年位居安全管理（SOC）市場第一名，成為了中國安全管理市場的領導廠商之一。