《日志综合审计系统.pptx》由会员分享,可在线阅读,更多相关《日志综合审计系统.pptx(45页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、思福迪信息技术有限公司公司概况思福迪公司(SAFETYBASE INFORMATION TECHNOLOGY CO.,LTD)是国内信息安全审计与IT内控管理的领先厂商,成立于2005年2月,总部和研发中心设立在杭州,在北京、上海、武汉、福建等地设有分支机构。公司理念:安全创造价值资质荣誉:uISCCC信息安全服务资质二级认证u国家计算机网络应急技术处理协调中心省级应急服务支撑单位u全国安全防范报警系统标准化技术委员会通讯委员单位u国家信息安全服务一级资质u 军用信息安全产品认证资质公司业务安全产品安全产品安全服务安全服务典型客户思福迪信息技术有限公司主题思福迪信息技术有限公司 思福迪信息技术
2、有限公司 思福迪信息技术有限公司思福迪信息技术有限公司主题思福迪信息技术有限公司信息系统安全等级化保护基本要求信息系统安全等级化保护基本要求二级以上二级以上ISO27001:2005 ISO27001:2005 4.3.34.3.3小节、小节、 ISO17799:2005 ISO17799:2005 10.1010.10小节小节商业银行内部控制指引商业银行内部控制指引第一百二十六条第一百二十六条银行业金融机构信息系统风险管理指引银行业金融机构信息系统风险管理指引第四十六条第四十六条证券公司内部控制指引证券公司内部控制指引第一百一十七条第一百一十七条互联网安全保护技术措施规定互联网安全保护技术措
3、施规定第八条第八条萨班斯(萨班斯(SOXSOX)法案)法案第第404404款款国家和行业法律法规都有安全审计的要求!国家和行业法律法规都有安全审计的要求!企业内部控制基本规范企业内部控制基本规范10思福迪信息技术有限公司项目等级保护第三级安全审计具体要求7.1 技术要求7.1.2 网络安全7.1.2.3 安全审计(G3)a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c) 应能够根据记录数据进行分析,并生成审计报表;d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等
4、。7.1.2.5 入侵防范(G3)b) 当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时应提供报警。7.1.3 主机安全7.1.3.3 安全审计(G3)a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; d) 应能够根据记录数据进行分析,并生成审计报表;e) 应保护审计进程,避免受到未预期的中断;f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。7.1.4
5、 应用安全7.1.4.3 安全审计(G3)a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。7.2 管理要求7.2.5 系统运维管理7.2.5.5 监控管理和安全管理中心(G3)a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警,形成记录并妥善保存b) 应组织相关人员定期对监测和报警记录进行分析、评审,发现可疑行为,形成分析报告,并采取必要的应对措施;c) 应建立安全管理中心,对设备状
6、态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。思福迪信息技术有限公司思福迪信息技术有限公司1. 一旦用户单位采用的防御体系被突破怎么办?至少我们必须知道系统是怎样遭到攻击的,怎么才能恢复系统,此外我们还要知道系统存在什么漏洞,如何能使系统在受到攻击进有所察觉,如何获取攻击者留下的证据?2. 用户各系统设备,应用系统运行是否正常呢?3. 发生安全事件时,有足够的证据提供分析么?能准确定位安全事件责任么?4. 维护人员是否都按照规定进行操作?5. 如何发现和告警违规操作?6. 维护人员权限如何细粒度准确控制?7. 第三方维护情况普遍存在,如果监督和控制这些人的行为?8. 如风险评估的
7、过程是否可靠?9. 我的信息安全体系建设是否能够满足相关规范要求呢?等等问题。思福迪信息技术有限公司1. 怎样通过集中的日志定位全全问题?2. 怎样通过快速的日志查询分析安全问题?3. 怎样通过全全告警功能及时监控系统故障?4. 怎样通过自动化的日志系统缩减故障排查时间和业务中断时间问题?5. 怎样通过全面的日志收集和安全告警,保障IT系统的业务连续性问题?6. 怎样能快速准确地为安全调查和司法取证提供有力数据?7. 怎样通过交互的操作界面和全面的报表功能提升IT服务能力?8. 怎样通过完整的IT日志解决方案提高企业IT管理水平?思福迪信息技术有限公司主题思福迪信息技术有限公司1. 通过Log
8、Base日志审计系统建设,用户的信息系统能够落实信息系统安全等级化保护基本要求、ISO27001:2005、企业内部控制基本规范和萨班斯(SOX)法案中有关安全审计控制点及日志和事件存储的要求,积累信息系统安全等级保护工作经验。2. 通过LogBase日志审计系统的建设,为用户的信息系统建立全面的风险管理和内控体系提供必要的支撑。3. 通过LogBase日志审计系统建设,为用户的信息系统快速定位全网发生问题。4. 通过LogBase日志审计系统建设,为用户的信息系统快速的日志查询分析呈现网中发生安全问题。思福迪信息技术有限公司5. 通过LogBase日志审计系统建设,日志审计的安全告警功能及时
9、监控系统为用户的信息系统发现设备故障。6. 通过LogBase日志审计系统建设,通过自动化的日志审计系统为用户的信息系统缩减故障排查时间和业务中断时间。7. 通过LogBase日志审计系统建设,通过全面的日志收集和安全告警,为用户的信息系统保障IT系统的业务连续性问题。8. 通过LogBase日志审计系统建设,为用户的信息系统能快速准确地为安全调查和司法取证提供有力数据证据。思福迪信息技术有限公司9. 通过LogBase日志审计系统的建设,用户的信息系统能够进一步完善信息安全保障体系,改变针对事中及事后的安全防护设施建设较弱的现状,为落实各项监管机构及内部检查提供技术支撑手段,不断完善信息安全
10、管理办法,提高信息安全管理水平。10. 通过LogBase日志审计系统,提升用户的信息系统日常安全运维的水平,实现信息系统IT计算环境日志信息的集中管理,全面掌握IT计算环境运行过程中出现的隐患,通过安全事件报警和日志报表的方式,在运维人员有限的条件下,有效地把握运维工作的重点,进一步增强系统安全运维工作的主动性,更好地保障系统的正常运行。同时,有效规避日志信息分散存储存在的非法删除风险,确保安全事故处置的取证工作。思福迪信息技术有限公司主题思福迪信息技术有限公司全面采集硬件设备、操作系统、应用系统日志及自定义文本格式日志等基于海量日志高效检索引擎提供实时日志统分析提供实时的各类型日志列表提供
11、全面日志格式的标准化提供日志的实时关联分析和告警提供丰富的合规报表和自定义报表 产品特点产品特点思福迪信息技术有限公司记录检索设备日志审计数据库审计应用系统审计上网行审计日志流量审计合规报警审计报表实时分析实时采集实时存储产品功能产品功能思福迪信息技术有限公司Logbase操作系统应用系统网络设备上网行为数据库操作日志对象日志对象思福迪信息技术有限公司思福迪信息技术有限公司问题解决第一步:采集或捕获(日志管理)成效:成效: 集中的自动收集日志可降低成本集中的自动收集日志可降低成本 随时应对随时应对 “审计审计”!实施时间:即插即用实施时间:即插即用思福迪信息技术有限公司问题解决第一步:采集或捕
12、获操作系统WindowsLinuxAIXSunOSHP-UXBSD网络设备路由器交换机负载均衡代理设备.安全设备防火墙IDS/IPSUTMVPN防毒墙邮件网关数据库访问OracleMSSQLInformixSybaseDB2Mysql上网行为网页浏览文件传输邮件收发IM聊天BT下载WEB邮件BBS发帖其他应用系统WEB ServerMail ServerFTP Server中间件系统业务系统.日志文件采集网络抓包分析采集日志协议、专用协议采集LogBase日志综合审计系统功能:从多种平台安全可靠的采集日志支持原始日志的采集和保存日志采集状态及趋势监控应用效果:保证审计记录的安全性通过状态监控发
13、现系统异常有效降低审计管理成本思福迪信息技术有限公司问题解决第二步:归一化(理解)如何理解各种不同格式的日志文件?如何理解各种不同格式的日志文件?如何从日志文件中快速寻找到目标人如何从日志文件中快速寻找到目标人员的做过的动作和行为?员的做过的动作和行为?思福迪信息技术有限公司AAA归一化处理第三方应用第三方应用Logbaseslas log时间时间地址地址对象对象操作操作结果结果等级等级信息信息问题解决第二步:归一化(理解)思福迪信息技术有限公司28问题解决第二步:归一化(理解)从翻译中寻找需要的信息思福迪信息技术有限公司Who: (哪个用户或者应用造成了事件哪个用户或者应用造成了事件)Wha
14、t: (该事件代表了哪种动作该事件代表了哪种动作)When: (事件何时发生的事件何时发生的)Where: (事件是在哪个机器上发生的事件是在哪个机器上发生的)What: (涉及到哪些对象,文件或者数据库涉及到哪些对象,文件或者数据库)WhereFrom: (事件起源于哪个机器事件起源于哪个机器?)WhereTo:事件的目标是哪个机器:事件的目标是哪个机器?)7W的关系问题解决第二步:归一化(理解)思福迪信息技术有限公司问题解决第三步:关联分析(了解)审计的意义在于监督及发现违规的用户行为,特别是特权审计的意义在于监督及发现违规的用户行为,特别是特权用户的行为。基于日志内容的关键字过滤,安全事
15、件规则用户的行为。基于日志内容的关键字过滤,安全事件规则库,自定义敏感事件告警;合规报表展现。库,自定义敏感事件告警;合规报表展现。思福迪信息技术有限公司操作系统日志支持对象Windows、Linux、AIX、HP-UX、Solaris思福迪信息技术有限公司应用系统日志WEB server中间件FTP SERVER、MailServer防病毒软件自主开发应用系统思福迪信息技术有限公司网络及安全设备路由器、交换机、防火墙、VPN、负载均衡设备、防毒墙、代理设备、IDS/IPS等思福迪信息技术有限公司数据库系统日志n采集对象:nOralcenDB2nMS SQLServernMysqlnInfor
16、mixnSybasen系统日志(windows、linux、unix)n采集方式n旁路镜像采集网络数据包n安装软件探测器n数据操作类(如select、insert、delete、update等)n结构操作类(如create、drop、alter等)n事务操作类(如Begin Transaction、Commit Transaction、Rollback Transaction等)n用户管理类以及其它辅助类(视图、索引、过程等操作) 等数据库访问行为思福迪信息技术有限公司日志采集完整记录日志内容LogBase数据库审计系统记录内容:l日志发生时间l源、目标IP地址l数据库名l用户名l操作信息l返
17、回信息思福迪信息技术有限公司日志采集-网络行为HTTP、Mail、MSN、FTP、BT等思福迪信息技术有限公司实时监控思福迪信息技术有限公司关键日志告警支持短信、邮件方式告警思福迪信息技术有限公司安全事件规则库规则库过滤分类告警思福迪信息技术有限公司日志检索功能缓存日志检索5秒;支持不限次数的组合条件查询;支持查询结果导出思福迪信息技术有限公司安全审计报表内置丰富报表支持自定义报表支持二次开发思福迪信息技术有限公司政府-抓住国家大力发展电子政务的契机,紧跟国务院发布的十二金工程及后来的金土(国土资源部)、金安(安监总局)等工程单位网络安全建设与升级 十二金工程:办公业务资源系统、金关、金税和金
18、融监管(含金卡)、宏观经济管理、金财、金盾、金审、社会保障、金农、金水、金质金融-重点关注银行、保险行业 人民银行系统总行、省、市、县四级网络中:内联网互联、外联网互联、网间支付、外汇结算、网间互联、数据灾备中心等网络安全建设与升级项目 商业银行总行、省、市(、县)三(四)级网络中:内网互联、外网互联、网间支付、外汇结算等网络安全建设与升级项目 保险行业总公司、省、市三级网络中数据大集中、数据省分等网络安全建设与升级项目电信-IDC机房服务器保护、支撑网安全建设与升级企业-防止病毒从网络传入内网能源-石油、石化、电力、煤矿等思福迪信息技术有限公司政府抓住国家大力发展电子政务的契机(日志,数据库
19、审计) 电子政务的内网和专网上存储着许多重要或敏感的数据,运行着重要的应用,电子政务网的特殊运行环境,要求它既要保证高强度的安全,又要通过互联网与民众方便地交换信息,信息安全审计在电子政务建设中的广泛应用是必然的 。公安、保密局等级保护(二级及以上需要审计) (日志,数据库审计)公安是最大的客户印章系统、派出所身份证制作系统、移动警务系统、视频监控系统、车检所系统、GPS定位系统、内外数据交换机大平台、公检法综合信息系统等。高教主要是互联网行为审计法院检察院思福迪信息技术有限公司LogBase H530技术:日志源在080点之间对象:2U,处理性能3000条/秒,存储量5亿条,RAID5,千兆*2LogBase H1300技术:日志源在80160点之间对象:2U,处理性能4500条/秒,存储量10亿条,RAID5,热插拔,千兆*2LogBase H2300技术:日志源在160以上点对象:2U,处理性能6000条/秒,存储量20亿条,RAID5,热插拔,双电源,千兆*2LogBase H3300技术:日志源在160以上点对象:2U,处理性能6000条/秒,存储量40亿条,RAID5,热插拔,双电源,支持外部存储,支持分中心,千兆*2