《XX大学日志审计解决方案.docx》由会员分享,可在线阅读,更多相关《XX大学日志审计解决方案.docx(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、XX大学日志审计解决方案1 XX 高校 平安审计现状 XX 高校是一所以海洋和水产学科为特色,包括理学、工学、农学、医(药)学、经济学、管理学、文学、法学、教化学、历史学、艺术学 等学科门类较为齐全的教化部直属重点综合性高校,是国家985 工程和211 工程重点建设高校之一,是国务院学位委员会首批批准的具有博士、硕士、学士学位授予权的单位。校训是海纳百川,取则行远。XX 高校网络信息中心依托完善的网络资源、强大的技术实力和多年为学校进行网络服务所积累的丰富运营阅历,胜利地为 XX 高校供应了信息化解决方案。随着网络中心业务量的不断发展、壮大, 为应对:1. 不断增长的基础设施信息量 2. 不断
2、增长的业务数量 3. 不断提高的事务处理时限需求 4. 网络事务事后查询需求 5. 网络事务统计分析需求 网络中心安排利用日志审计系统整合内部分散的基础设施信息资源,提升基础设施日志的收集、关联实力。2 网神 SecFox-LAS 日志审计解决方案 针对 XX 高校对日志审计的需求,网神结合自己在平安审计与管理领域深厚的技术积累和丰富的行业领域学问积累,设计了一套综合日志平安审计解决方案。2.1 实现目标1、海量日志数据的集中审计管理。采集信息系统 IT 基础设施日志信息,规范日志信息格式,实现海量日志数据的标准化集中存储,同时保存日志信息的原始数据,规避日志信息被非法删除而带来的平安事故处置
3、工作无法追查取证的风险;加强海量日志数据集中管理,特殊历史日志数据的管理。2、系统运行风险刚好报警与报表管理 基于标准化的日志数据进行关联分析,刚好发觉信息系统 IT 基础设施运行过程中存在的平安隐患,并依据策略进行刚好报警,为运维人员主动保障系统平安运行工作供应有效的技术支撑;实现平安隐患的报表管理,更好地支持系统运行平安管理工作。3、为落实有关法律法规供应技术支撑 利用平安审计结果可以评估国家法规和行业监管中有关平安管理和审计规定的落实状况,发觉存在的问题,为完善网络信息平安管理和审计供应依据,持续改进,进一步提高平安管理和审计水平。4、落实业务数据审计 通过审计系统能刚好发觉业务数据访问
4、中的违规行为,并能进行有效的监控,对违规行为进行追查。2.2 平台选型依据对日志审计需求和实现目标的分析,建议选用网神的网神 SecFox-LAS日志审计系统, SecFox-LAS 日志审计系统具有成熟和完整的体系架构,在日志收集、日志分析、数据挖掘和符合性管理等关键技术领域处于业界领先的位置。SecFox-LAS 日志审计系统供应了对大多数主流设备、操作系统和应用系统日志格式的支持,不支持的设备可通过系统供应的功能定制开发。2.3 系统自身平安性设计作为平安审计类产品,日志审计系统自身具备完善的平安性保证,包括:l 系统内部的各个组件之间通信都支持加密传输,例如阅读器访问管理中心支持 HT
5、TPS、通用日志采集器(GLC)与管理中心之间采纳加密压缩协议进行传输、多级管理中心之间采纳加密协议进行传输,等等,保证网络通讯的机密性。l 系统对采集到的日志都进行了加密存储,保证数据的完整性和机密性。l 系统具备自身运行健康状态监视功能,存储的数据支持自动备份和复原,保证系统的可用性。l 硬件型产品,底层的操作系统是平安操作系统。2.4 性能和存储空间本项目中日志审计系统按全部设备产生的总事务量平均按 500 条/秒,每条日志 0.8KB 为标准计算,全部设备每天的总日志条数为 4320 万条,总日志量约为 35G。系统设计支持在线存储和离线存储两种方式对数据进行存储。在线存储按一个月计算
6、,须要大约 1T 的空间,加上索引和系统自身的空间,大约需 1.5T 的存储空间。离线存储是压缩存储,压缩比为 10:1,依据审计要求,原始信息及审计结果需保留 6 个月-1 年,按最长 1 年计算大约也须要 1.5T 的空间。所以日志审计系统的有效存储容量最少在线存储空间加上离线存储空间,是3T。事务存储解决方案,事务在做存储时运用的解决方案是将每天全部的事务原始消息和事务解析后的结果存放在一个事务表中,这个表每天会自动产生一个,也是时间备份归档的对象,该表可供一般查询和高级查询运用;另外同时会将事务的原始消息保存在一个 nosql 的文件中,以便查询任务运用,查询任务会从nosql 中进行
7、查询,同时在返回结果时会重新加载解析文件以便用户得到解析后的结果。2.5 部署方案SecFox-LAS 产品采纳 B/S 架构,管理员无需安装任何客户端软件,通过 IE阅读器登录管理中心即可进行各种操作。一般来说,可将 SecFox-LAS 管理中心服务器放置在网管中心或者平安中心区域,然后对被审计对象进行必要的配置,使得他们的日志信息能够发送到管理中心。管理员通过阅读器可以从任何位置登录管理中心服务器,进行各项操作,如下图所示:批注 L1: 新增标准部署模式 对于 Windows 操作系统、Symantec 防病毒系统以及中间件系统,由于它们自身没有通过网络接口发送日志的实力,因此要安装日志
8、传感器,将日志主动地采集并发送到管理中心。各设备日志采集方式如下表所示:设备类型 日志采集方式 备注 Array 负载均衡Syslogjuniper 防火墙Syslog 核心交换机Syslog 汇聚交换机Syslog 华三的交换机Syslog Windows 服务器 日志采集器可以运用一个日志采集器集中采集其他 windows服务器的事务,这些服务器上免安装代理插件。Linux 服务器 Syslog 2.6 产品型号规格依据 XX 高校日志审计系统的设计方案和部署方案,本项目涉及的网神日志审计产品的型号和规格建议采纳网神 SecFox-LAS-R7000-X241M 硬件型设备,或者用户自己购
9、置高性能服务器,购买网神的网神 SecFox-LAS 软件版本。注:日志采集器免费,按需部署即可。2.7 功能设计2.7.1 智能监控频道 智能监控频道(SecMonitor Channel)为用户供应了一个从总体上把握企业和组织整体平安状况的界面。通过智能监控频道,用户可以快速导航到SecFox-LAS 的各个功能界面,可以看到当前企业和组织的整体平安等级。通过智能监控频道,用户可以以电视墙的形式,在每个独立的窗口中看到网络不同方面的实时平安信息,例如资产信息概要统计,最近 5 分钟的平安事务走势,最近1 天的平安日志走势,最近最严峻的平安事故,等等。通过这种方式,企业和组织的管理者可以便利
10、地进行全网的平安态势监控。用户可以依据角色的不同来定义监控频道,也可以依据所关注的业务系统来定义监控频道,每个监控频道中的窗口布局都能够自己确定:可以是两列布局,也可以是三列或者四列布局,每个窗口中显示的摘要信息也能够自行选择。监控频道中的每个窗口都能够移动、放大、缩小,窗口中显示的统计和摘要信息都能够点击、下钻(Drill Down)、查看明细。监控频道能够最大化显示,作为运维中心的主控界面,在大屏幕或者投影银幕上呈现出来。2.7.2 资产管理 ISO17799-2005 中对资产的定义是:任何对组织和企业有价值的事务。设备资产是企业和组织的 IT 环境的核心,承载了当今绝大部分企业和组织的
11、业务。重要的资产的平安确定了企业和组织的核心竞争力和命脉。企业平安管理的一个很重要的工作就是确保资产平安,评估和分析在遭遇平安威逼的状况下资产的受影响程度,从而进行企业和组织的平安风险管理。SecFox-LAS 为用户供应了一个管理各类设备资产的资产库。全部资产(爱护对象)都以树形结构(管理域、平安域)进行组织和展示,并能够以此作为权限安排的依据,实现设定某人监控某些资产的需求。SecFox-LAS 根据平安域的方式组织设备资产,供应便捷的资产添加、修改、删除、查询与统计功能,便于平安管理和系统管理人员便利地查找所需设备资产的信息。同时,对于每个资产,用户可以对其关键度进行赋值。用户可以在资产
12、管理界面中查看当前平安域的资产统计摘要,可以实时的了解当前设备资产的不同等级的平安事务发生状况,并随时查看事务明细。特殊地,借助 SecFox 平安管理系统的资产动态属性(Asset Dynamic Attribute)技术,SecFox-LAS 打破了传统的资产存储关系型数据库表模式导致的属性固定的弊端,用户可以对资产属性进行无限扩展。例如,用户可以依据自身的须要为资产增加业务重要性属性、增加资产爱护等级属性、增加资产品牌、代号等任何信息。同时,全部这些附加资产属性随时都可以作为查询条件进行检索,也可以作为事务关联分析时的规则的一部分。2.7.3 实时监视 实时监视是 SecFox-LAS
13、的核心,用户可以通过实时监视界面对来自网络中各种 IT 资源的日志进行集中统一的监视。借助 SecFox-LAS 基于场景的行为分析(Scenario-based Behavior Analysis)技术,用户可以定义不同的实时监视场景,从不同的视察侧面对海量的日志进行准实时分析,对平安事务进行下钻、关联、统计、时序分析。全部的实时监视条件都以场景的方式列举出来,用户可以便利的在各种分析场景之间快速切换,就像切换电视频道一样,大大提高分析工作的效率。如上图所示,显示了 Windows 操作系统的审计场景树。SecFox-LAS 内置了大量的分析场景,用户无需学习,部署好系统后即可开展审计操作。
14、SecFox-LAS 也允许用户自定义场景,并对场景进行树型结构的分类和归档。SecFox-LAS 供应了一套强大的日志实时分析与审计工具,使得用户可以便捷、高效地进行各项操作,将主要的精力从发觉和查找问题转到解决问题上来。以下分别说明。2.7.4 事务追溯 SecFox-LAS 作为一个审计系统,不仅能够将采集到的日志归一化成标准事务,同时也保存了日志的原始信息。同时,多条事务通过关联分析引擎变成一条关联事务后,原始事务依旧保存在数据库中。这样,用户能够对任何原生事务、衍生事务,甚至原始日志报文进行查询,无一遗漏,确保审计链的完整性。在实时监视中,对于关联事务,用户可以进行追溯,查看导致该关
15、联事务的全部原始事务。2.7.5 事务定位 SecFox-LAS 独有的 iGPS 事务全球定位系统(incident Global Position System)能够在世界地图上实时定位事务源/目的 IP 地址的地理位置。通过这种事务可视化技术,用户可以直观地定位到事务的来源和目标。SecFox-LAS 可以通过内置的世界地图进行定位,也可以通过 Google Earth进行定位。2.7.6 事务趋势分析 在实时监视过程中,用户可以对关切的事务 IP 地址进行趋势分析,对一段时间内的网络流量或者网络连接数进行时间切片统计,并描绘趋势曲线。2.7.7 事务可视化 用户在实时监视的事务列表中选
16、中若干条事务后,点击可视化按钮,就可以进行事务可视化操作。通过 SecFox-LAS 独有的 AID 主动事务图(Active Incident Diagram),系统能够将数千条事务记录及其这些事务之间的关联关系变成一幅事务图,形象地呈现出当前网络平安状态,一目了然。2.7.8 事务调查 在实时监视中,SecFox-LAS 为用户供应了一套进行深化的日志审计与追踪的工具事务调查工具。借助网御神州独有的启发式事务搜寻技术(Heuristic Event Searching Technology),管理员通过事务调查工具可以对某条感爱好的日志中的源 IP 地址、目的 IP 地址、或者目的端口进行
17、相关性日志检索。例如,管理员通过审计某条日志记录发觉某用户违规访问一个敏感的外部 IP 地址,那么管理员可以通过事务调查工具查找最近 5 分钟内访问同一个敏感外部 IP 的其它用户的日志记录,从而追踪违规行为;管理员也可以查找某个日志记录中目的端口的含义,是 MSN 端口?还是 BT 端口?抑或是蠕虫端口?等等,从而快速了解当前用户的行为特征。2.7.9 事务安排 用户在实时监视的过程中假如发觉某条事务的相关属性须要持续予以关注,可以将该事务安排到黑白名单中。黑白名单建立了该属性的一个集合,可以被反复用于过滤器和关联分析规则的制定。2.7.10 事务查询 事务查询为用户供应了历史日志和事务查询
18、的手段。用户可以设定困难的查询条件,从海量的历史事务数据库中快速检索到须要的日志/事务信息,从而帮助管理员进行计算机取证分析,收集外部入侵或者内部违规的证据。系统供应四种查询方式:一般查询、高级查询、快速查询和查询任务。一般查询是指通过指定基本的查询条件及其组合进行查询的方式。用户可以指定的查询条件包括:日志类型、日志接收时间、日志等级、源/目的地址、源/目的端口、日志源设备地址、日志源设备类型、日志操作类型、日志结果类型,等等。图一:检索包含错误关键字的事务图二:查询结果 批注 L2: 新增了各个查询方案的截图 高级查询是指基于场景的行为分析技术(SBA)的查询方式。在高级查询方式下,用户可
19、以自定义困难的查询场景,从而随时可以调用、随时查询。系统也内置了大量的预定义查询场景。在建立查询场景的时候,系统允许用户运用随意的查询条件组合。图三:服务器登录失败事务快速查询是指在系统配置时依据用户运用查询的习惯和所查询日志量大小的实际状况,将用户所关注的事务较高和事务量较小的事务通过设置过滤条件进行单独存储,用户在查询这类事务时避开了从海量事务中查询很小日志量的状况,大幅提升查询速度。图四:从包含关键字 login 的事务表中查询 图五:快速查询结果查询任务是指将用户所关注的事务而且可能比较耗时的查询,做成一个查询的调度任务,让系统在后台定时的执行查询任务,用户可以在查询任务执行完成后,干脆下载查询结果,避开了用户查询等待的时间。图六.