《中云腾天综合安全审计解决方案.pdf》由会员分享,可在线阅读,更多相关《中云腾天综合安全审计解决方案.pdf(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 安全审计解决方案 1 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 安全安全审计解决审计解决方案方案 北京中云腾天科技有限责任公司 2012.2 安全审计解决方案 2 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 目录目录 一、背景和需求:.3 二、解决方案:.4 三、方案优势:.6 3.1、LAS 日志审计系统:.6 3.2、WAS WEB 内容审计优势:.7 3.3、USM 运维操作审计优势:.8 3.4、全方位审计优势:.9 安全审计解决方案 3 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 一、一、背景和背景和需求需求:随着 IT 建设的发展,应用
2、环境日益复杂,信息安全审计越来越重要,它是评判一个信息系统是否真正安全的重要标准之一。通过收集、分析、评估安全信息、掌握安全状态,制定安全策略,确保整个安全体系的完备性、合理性和适用性,将系统调整到“最安全”和“最低风险”的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段,也是威慑、打击内部计算机犯罪的重要手段。信息系统安全审计正逐渐成为国内信息系统安全建设热点之一,借助它,用户可以很好的实现:防御体系被突破后,知道系统是怎样遭到攻击的,怎么才能恢复系统,如何获取攻击者留下的证据 可以知道各系统设备,应用系统是否正常运行 发生安全事件后可以准确定位安全事件责任 可以监督和
3、控制设备维护人员的行为,使其按规范进行 可以及时发现各类安全隐患且告警提示 为信息系统安全策略制定、风险内控提供有力的数据支撑 信息安全审计可以大幅度提高信息系统的安全性。我国政府及相关行业已相继推出了数十部法律法规。如国家企业内控基本规范、国家计算机信息系统安全等级保护划分准则 同时银行、证券、通信行业均提出了相关标准及要求,确立了面向内控的信息安全审计的必要性。上市公司的萨班斯(SOX)法案的第302 条款和第 404 条款中,明确强调通过内部控制加强公司治理和安全审计。在一般的应用场景中,审计系统主要针对用户的接入、访问日志,用户的访问内容,用户的访问行为和轨迹,被访问的应用或业务系统的
4、情况进行审计。具体需求为:1.收集大量网络设备日志的问题,包括标准类型的网络日志,非标准类型的网络日志,本地日志及文件日志等;2.通过网络日志检索应用及用户信息的需求,并提供丰富的报表;3.通过检索类型的自定义,实现实时、定时、特定范围为用户提供报表的 安全审计解决方案 4 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 功能;4.通过高级模式查询定位日至信息与用户行为的需求;5.通过精准匹配网络数据内容,定位用户及应用访问轨迹的需求;6.精准回放用户浏览信息的需求。一套完善日志信息审计能够综合处理用户的各种数据,完成复杂的数据收集、存储、检索及定位、重现需求,才能够对实际业务应用的
5、信息安全,业务挖掘产生巨大价值。二、二、解决方案解决方案:中云腾天的综合日志审计系统 LAS、WEB 内容审计系统 WAS 以及运维内容审计系统 USM 能够全方位的满足用户多层次日志审计的需要。LAS 系统能够存储和审计网络设备和业务系统的所有日志,如安全网关、负载均衡设备、WEB 服务器、主机等,能够对一切业务系统进行日志审计。WAS 系统和 USM 系统的审计模块增强了在某一领域或者应用的内容审计,不仅仅限于事件审计。WAS系统主要针对用户访问Web应用系统时进行数据实时采集、识别和解译,重现用户 WEB 行为,并可以检索;USM 系统的审计功能模块可以实现运维管理人员对主机、服务器、网
6、络设备、安全设备等的维护过程中进行安全、有效、直观的操作审计(包括:Telnet、SSH、FTP、SFTP、RDP、VNC、Xwindows、数据库等),对访问行为等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放。日志审计 LAS,一般通过网络方式收集分布式网关及应用系统的网络日志,无论部署在总部或分公司的网关及业务系统,均通过网络将系统及用户访问日志发送至 LAS 日志审计系统;对于日志发送功能的业务系统,LAS 系统提供专业的日志收集客户端 Agent,负责日志的收集和预处理。管理员可通过统一的查询接口对所有日志信息进行检索和查询,同时,可以配置日志系统定时定量产生数据报表,或
7、设定预警阀值,自动获取日志报表。安全审计解决方案 5 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 日志审计系统 LAS 一般以旁路的方式(单口或者多口)接入网络中,配置IP 和接收数据的端口。WEB 内容审计与回放系统 WAS,收集 WEB 应用层网络数据外,同时能够通过主交换机镜像端口,收集所有 WEB 业务系统的访问情况(双向都可以),记录所有的实际请求,存储成为用户访问应用的轨迹流,管理员能够通过检索,获取响应的用户或应用信息,获取访问轨迹和某一时刻点的访问情况回放。WAS 系统可以旁路部署在核心交换机上,通过交换机镜像端口获取到经过核心交换机的所有数据,并通过系统自带的过
8、滤器过滤和整理,将所需信息存入系统数据库备用。USM 系统同样可以采用旁路模式灵活部署,通过对前端的防火墙设定 ACL 策略,仅允许运维人员的访问 USM 系统,拒绝用户对后台设备管理的直接访问。当然,也可以采用串联部署的方式。USM 和 WAS 除了自身能产生日志以及报表外,也能够与 LAS 日志审计系统建立逻辑联系,为管理员提供一次性更加详细的查询报表信息。将用户在某一时间段,对某一资源的访问情况汇总并提供报表。安全审计解决方案 6 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 三、方案三、方案优势优势:3.13.1、LASLAS 日志审计系统:日志审计系统:功能优势:功能优势
9、:1.多种类日志类型的支持:对于标准日志,LAS 能够支持超过 90%的标准日志类型,如 syslog,message,应用系统日志(apache,weblogic 等)。对于非标准日志,LAS 系统能够提供用户自定义接口,允许用户自己定义需要处理的日志类型,此接口涵盖了一般日至系统无法支持的范围。2.多种日志获取手段:首先,LAS 能够通过网络接收被获准的设备或服务发送来的日志信息,大部分网络设备都具有向外发送标准日志的功能;其次,LAS 能够通过自带的 Agent,部署于需要收集日志的服务器设备上,通过监控文件或信息变化,自动向 LAS 系统发送日至信息;另外,LAS 能够通过本地导入的方
10、式对用户已经获取的日志文件或信息进行导入、整理和存储。3.高性能设计:LAS 系统对数据获取环节、解析环节、缓冲环节、存储环节均做了极大优化,使得 LAS 系统在日志收集过程中,能够以超越其他同类产品数倍的能力支撑用户的信息平台。对于高性能 LAS 设备,IPS 日志收集效率能够达到 10000 条/秒以上(对于标准 syslog 日志的测试)。高性能使得LAS 能够支撑超大规模的综合信息系统,如金融、B2B 网站、IDC、电信运营商等。4.部署方便:LAS 系统能够通过 IP 或域名部署的方式,对各种平台的日志信息进行采集,只要能够通过网络访问到 LAS 系统的拓扑结构均可。另外,对于内部的
11、日志审计,LAS 系统甚至可以做到镜像端口部署的方式,对相应的内部日志信息进行数据采集。安全审计解决方案 7 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 3.23.2、WAS WEBWAS WEB 内容审计内容审计优势:优势:功能优势:功能优势:1.无丢失审计用户 URL 请求:WAS 系统的性能非常高效,对于用户的 URL 请求,能够做到基本容错与 99%的无丢包审计。2.海量审计用户 HTTP 内容:通常的网络审计设备,无法解决对 HTTP 请求中,返回的页面内容进行解析和关系对应分析。WAS 审计系统使用自身强大的解析核心技术,在全面分析支持 HTTP 内容的同时,还能够做
12、到高速高效,使得审计 HTTP内容成为可能。3.精准直观的用户行为分析:所谓用户行为分析,大部分能够提供行为分析的审计产品,将用户的请求或一般 TCP 应用的动作顺序记录下来,对特定端口通讯进行跟踪,即称为行为分析。WAS 不仅能够做到精确记录访问顺序,还能够将复杂的海量数据重组为主次页面,并以完整回放的形式展现用户访问轨迹,并且,对海量用户访问信息能够做精确内容检索。目前国内市场上还没有同类产品能够做到这一点。4.镜像端口透明接入:安全审计解决方案 8 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 通过镜像端口接入的方式,完全不影响用户的网络结构,拓扑非常容易,并且对终端用户透明
13、,不会对实施过程造成消极影响。在技术上讲,这一点比其他使用客户端审计的产品来说,具有很大优势,不会让终端用户的部署成本增加,减少了支持和维护的过程,并且不会让终端用户产生反感。3.33.3、USM USM 运维操作运维操作审计优势:审计优势:1.完备的运维操作审计:USM 为安全运维管理提供了一个统一的、完备的审计方案,很好地解决了“谁、何时、何手段、对谁、做何操作”的问题,同时能保证运维信息 100%不丢失信息,符合基于内容的审计的要求;真正意义上了落实实名制审计,对用户的操作进行实时监控、真实记录、还原、快速查询;安全审计解决方案 9 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址
14、: 2.集成化的安全管理平台:除了操作审计的功能外,USM 集成了账号管理、身份认证、授权管理和单点登录等多个功能,有效地保证了只有合法用户在拥有合适的权限下才能访问被保护资源,提高了系统的整体安全;3.账号管理,真正实现了管理统一:USM 支持集中账号管理,实现资源账号与自然人的关联,包括:对主机服务器(如 Windows、Unix、Linux)、网络设备(如思科、华为、华为3COM)帐号的自动收集、双向同步。真正意义上的集中帐号管理可以完成对帐号整个生命周期的监控和管理,降低了帐号管理的难度和工作量,制定统一的、标准的用户帐号安全策略。4.流程化管理,技术为制度服务:USM 支持多种流程化
15、管理,符合企业现代化发展:自然人入职申请流程、支持自然人职位变更申请流程、自然人离职申请流程、资源接入申请流程、资源授权申请流程、源账号的双人共管的登录流程。并且,支持资源账号的主副岗管理和双人共管管理。3.3.4 4、全方位全方位审计优势:审计优势:USM 运维审计、WAS WEB 内容审计和 LAS 日志审计针对用户不同层面的审计要求,提供了整体解决方案,更好满足多种应用环境的使用。USM 系统和 WAS 系统可以与 LAS 系统进行联动配合,在分布式部署环境下,三者实现了有机的结合。譬如,总部与异地分支分别部署 USM 设备,各自 USM 的 安全审计解决方案 10 地址:北京市上地十街辉煌国际 5 号楼 71 室 网址: 日志报表均独立产生,对于总部的 IT 管理部门,无法全面、清晰的了解每个区域的设备使用和访问情况,包括分析和比对。在总部部署一套 LAS 日志审计系统,便可以解决该问题。LAS 可以接受所有 USM 设备的日志信息,从而生成用户所关心的报表,集中化的展示和查询。