日志審計系統(tǒng)文檔

《日志審計系統(tǒng)文檔》由會員分享，可在線閱讀，更多相關(guān)《日志審計系統(tǒng)文檔（38頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、單擊此處編輯母版標(biāo)題樣式,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,2012/8/20,#,Headline Goes in this Space:Subtitle Goes Here,Click to edit Master text styles,Second level,Third level,#,#,Octopus Link,Confidential,Copyright 20072012 Octopus Link,Inc.All rights reserved.,Subtitle Goes Here,Click to edit Master text styles,Se

2、cond level,Third level,#,#,Octopus Link,Confidential,Copyright 20072012 Octopus Link,Inc.All rights reserved.,日志審計系統(tǒng),New Auditing and Reporting system II,NAR2,公司概況,信聯(lián)云通公司,主要方向是應(yīng)用云平臺服務(wù)和云安全服務(wù)。信聯(lián)云通提供先進集公有云和企業(yè)私有云為一體的八云服務(wù)，為客戶打造靈活多樣、高效節(jié)約的新一代信息化解決,方案。,公司理念：,技術(shù),創(chuàng)造價值 開放贏得市場,O,pen,C,onvenient,T,ech,開放的云應(yīng)用發(fā)布平臺

3、。,開放的技術(shù)接口。,開放的,運營,模式,。,開放的合作模式。,開放式資源獲取,。,最方便的應(yīng)用發(fā)布方式。,最方便的應(yīng)用使用途徑。,最方便的使用體驗。,最方便的客戶定制。,最快速的雙向應(yīng)用發(fā)布。,領(lǐng)先應(yīng)用層,解析專利技術(shù)。,高性能,IaaS,云平臺,RVM,。,電信級別的線上并發(fā)容量。,標(biāo)準(zhǔn)云計算開放應(yīng)用平臺接口。,雙向應(yīng)用發(fā)布整合。,公司業(yè)務(wù),主營業(yè)務(wù),安全服務(wù),資源虛擬化,企業(yè)私有云,公有云平臺,安全審計,安全接入,服務(wù)監(jiān)控,日志審計,內(nèi)容審計,云,服務(wù)監(jiān)管,安全接入,身份管理,目錄,什么,是日志審計,？,為什么,需要日志審計,？,NAR2,日志審計可以解決,什么問題？,NAR2,日志審計

4、,系統(tǒng)介紹,NAR2,日志審計,系統(tǒng)目標(biāo)用戶群,NAR2,日志審計,系統(tǒng)產(chǎn)品選型,日志審計是將應(yīng)用系統(tǒng)、安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、以及各種服務(wù)器等產(chǎn)生的日志通過多種的方式收集并加工的過程。,通過日志審計可以監(jiān)控異常訪問、進行流量統(tǒng)計分析、生成調(diào)研報告、記錄分析各種網(wǎng)絡(luò)可疑行為、違規(guī)操作、敏感信息，協(xié)助定位安全事件源頭和調(diào)查取證、防范,和發(fā)現(xiàn)計算機網(wǎng)絡(luò)犯罪活動，為信息系統(tǒng)安全策略制定、風(fēng)險內(nèi)控提供有力的數(shù)據(jù)支撐。,什么,是日志審計,？,目錄,什么,是日志審計,？,為什么,需要日志審計,？,NAR2,日志審計可以解決,什么問題？,NAR2,日志審計,系統(tǒng)介紹,NAR2,日志審計,系統(tǒng)目標(biāo)用戶群

5、,NAR2,日志審計,系統(tǒng)產(chǎn)品選型,為什么,需要日志審計,？,信息系統(tǒng)安全等級化保護基本要求,二級以上,ISO27001:2005 4.3.3,小節(jié)、,ISO17799:2005 10.10,小節(jié),商業(yè)銀行內(nèi)部控制指引,第一百二十六條,銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引,第四十六條,證券公司內(nèi)部控制指引,第一百一十七條,互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定,第八條,薩班斯（,SOX,）法案,第,404,款,企業(yè)內(nèi)部控制基本規(guī)范,7,國家和行業(yè)法律法規(guī)都有安全審計的要求,！,為什么,需要日志審計,？,8,項目,等級保護第三級安全審計具體要求,7.1,技術(shù)要求,7.1.2,網(wǎng)絡(luò)安全,7.1.2.3,安全審計

6、（,G3,）,a),應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；,b),審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；,c),應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；,d),應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。,7.1.2.5,入侵防范（,G3,）,b),當(dāng)檢測到攻擊行為時，記錄攻擊源,IP,、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。,7.1.3,主機安全,7.1.3.3,安全審計（,G3,）,a),審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；,b),審計內(nèi)容

7、應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；,c),審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；,d),應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；,e),應(yīng)保護審計進程，避免受到未預(yù)期的中斷；,f),應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。,7.1.4,應(yīng)用安全,7.1.4.3,安全審計（,G3,）,a),應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；,c),審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；,d),應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的

8、功能。,7.2,管理要求,7.2.5,系統(tǒng)運維管理,7.2.5.5,監(jiān)控管理和安全管理中心,（,G3,）,a),應(yīng)對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存,b),應(yīng)組織相關(guān)人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應(yīng)對措施；,c),應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關(guān)事項進行集中管理。,9,為什么,需要日志審計,？,用戶,各系統(tǒng)設(shè)備，應(yīng)用系統(tǒng)運行是否正常呢？,發(fā)生安全事件時，有足夠的證據(jù)提供分析么？能準(zhǔn)確定位安全事件責(zé)任么？,維護人員是否都按照規(guī)定進行操作？,如

9、何發(fā)現(xiàn)和告警違規(guī)操作？,維護人員權(quán)限如何細(xì)粒度準(zhǔn)確控制？,第三方維護情況普遍存在，如果監(jiān)督和控制這些人的行為？,如風(fēng)險評估的過程是否可靠？,我的信息安全體系建設(shè)是否能夠滿足相關(guān)規(guī)范要求呢？等等問題。,10,為什么,需要日志審計,？,需求,1.,怎樣,通過集中的日志定位全全問題？,2.,怎樣,通過快速的日志查詢分析安全問題？,3.,怎樣,通過全全告警功能及時監(jiān)控系統(tǒng)故障？,4.,怎樣,通過,自動化縮減,故障排查時間和業(yè)務(wù)中斷時間問題？,5.,怎樣,通過全面的,日志和報警，,保障,IT,的,業(yè)務(wù),連續(xù)性？,6.,怎樣,能快速準(zhǔn)確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)？,7.,怎樣,通過交互的操作界面和

10、全面的報表功能提升,IT,服務(wù)能力？,8.,怎樣,通過完整的,IT,日志解決方案提高企業(yè),IT,管理水平？,目錄,什么,是日志審計,？,為什么,需要日志審計,？,NAR2,日志審計可以解決,什么問題？,NAR2,日志審計,系統(tǒng)介紹,NAR2,日志審計,系統(tǒng)目標(biāo)用戶群,NAR2,日志審計,系統(tǒng)產(chǎn)品選型,NAR2,日志審計可以解決,什么問題,通過,NAR2,日志,審計系統(tǒng)的建設(shè)，為用戶的信息系統(tǒng)建立全面的風(fēng)險管理和內(nèi)控體系提供必要的支撐。,通過,NAR2,日志,審計系統(tǒng)建設(shè)，為用戶的信息系統(tǒng)快速定位全網(wǎng)發(fā)生問題。,通過,NAR2,日志審計系統(tǒng)建設(shè)，日志審計的安全告警功能及時監(jiān)控系統(tǒng)為用戶的信息系統(tǒng)

11、及時發(fā)現(xiàn)故障及異常。,通過,NAR2,日志審計系統(tǒng)建設(shè)，通過自動化的日志審計系統(tǒng)為用戶的信息系統(tǒng)縮減故障排查時間和業(yè)務(wù)中斷時間。,NAR2,日志審計可以解決,什么問題,通過,NAR2,日志審計系統(tǒng)建設(shè)，為用戶的信息系統(tǒng)能快速準(zhǔn)確地為安全調(diào)查和司法取證提供有力數(shù)據(jù),證據(jù)，規(guī)避日志信息分散存儲的風(fēng)險。,通過,NAR2,日志審計系統(tǒng)，提升用戶的信息系統(tǒng)日常安全運維的水平，實現(xiàn)信息系統(tǒng),IT,計算環(huán)境日志信息的集中管理，全面掌握,IT,計算環(huán)境運行過程中出現(xiàn)的,隱患。,目錄,什么,是日志審計,？,為什么,需要日志審計,？,NAR2,日志審計可以解決,什么問題？,NAR2,日志審計系統(tǒng)介紹,NAR2,日

12、志審計,系統(tǒng)目標(biāo)用戶群,NAR2,日志審計,系統(tǒng)產(chǎn)品選型,全面采集硬件設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)日志及自定義文本格式日志等,基于海量日志高效檢索引擎,提供實時日志統(tǒng)分析,提供實時的各類型日志列表,提供全面日志格式的標(biāo)準(zhǔn)化,提供日志的,實時分析和,報警,提供豐富的合規(guī)報表和自定義報表,NAR2,日志審計,系統(tǒng)介紹,產(chǎn)品特點,記錄檢索,設(shè)備日志審計,應(yīng)用系統(tǒng)審計,操作系統(tǒng)審計,日志流量審計,合規(guī)報警,審計報表,實時分析,實時采集,實時存儲,NAR2,日志,綜合審計系統(tǒng)介紹,產(chǎn)品功能,NAR2,NAR2,操作系統(tǒng),應(yīng)用系統(tǒng),網(wǎng)絡(luò)設(shè)備,應(yīng)用軟件,數(shù)據(jù)庫操作,NAR2,日志,綜合審計系統(tǒng)介紹,日志對象,日

13、志的采集,日志的分析與格式化,日志的,審計,和報表,日志審計簡要流程如下,NAR2,日志審計,系統(tǒng)介紹,NAR2,日志審計,系統(tǒng)介紹,物理機,物理機,物理機,物理機,虛擬機,公網(wǎng)服務(wù),NAR2,日至采集,分析與格式化,審計與報表,File,Agent,Syslog,DB,審計流程,NAR2,日志審計第一,步,：日志采集,跨,平臺采集日志（,Windows,Linux,服務(wù)器，交換機）,日志采集方式多樣,支持原始日志的保存,存儲高效優(yōu)化,多種檢索查詢功能，可組合使用,采集過程中的過濾,功能，優(yōu)化采集效率,NAR2,日志,綜合審計系統(tǒng)介紹,操作系統(tǒng),Windows,Linux,AIX,SunOS,

14、HP-UX,BSD,網(wǎng)絡(luò)設(shè)備,路由器,交換機,負(fù)載均衡,代理設(shè)備,.,安全設(shè)備,防火墻,IDS/IPS,UTM,VPN,防毒墻,郵件網(wǎng)關(guān),數(shù)據(jù)庫訪問,Oracle,MSSQL,Informix,Sybase,DB2,Mysql,上網(wǎng)行為,網(wǎng)頁瀏覽,文件傳輸,郵件收發(fā),IM,聊天,BT,下載,WEB,郵件,BBS,發(fā)帖,其他,應(yīng)用系統(tǒng),WEB Server,Mail Server,FTP Server,中間件系統(tǒng),業(yè)務(wù)系統(tǒng),.,日志文件或采集器采集,網(wǎng)絡(luò)抓包分析采集,日志協(xié)議、專用協(xié)議,采集，,如,syslog,、,snmp,協(xié)議等,NAR2,日志,綜合審計系統(tǒng),NAR2,日志,綜合審計系統(tǒng)介紹

15、,NAR2,日志審計第一,步,：日志采集方式,NAR2,日志,綜合審計系統(tǒng)介紹,NAR2,日志審計第二步：日志分析與格式化,NAR2,專有存儲格式,對字段進行字典配置，,降低對審計員的技術(shù)要求,報警,規(guī)則配置格式化，支持郵件,/,短信報警,格式化能夠優(yōu)化系統(tǒng)處理性能,格式化將日志分為標(biāo)準(zhǔn)字段，如時間,、來源、動作、結(jié)果、級別等字段,格式化數(shù)據(jù)所生成的報表一目了然,格式化數(shù)據(jù)方便檢索,AAA,格式化處理,第三方應(yīng)用,NAR2,log,時間,地址,對象,操作,結(jié)果,等級,信息,NAR2,日志,綜合審計系統(tǒng)介紹,NAR2,日志審計第二步：日志分析與格式化,NAR2,日志,綜合審計系統(tǒng)介紹,NAR2,

16、日志審計第三步：審計和報表,日志檢索,NAR2,日志,綜合審計系統(tǒng)介紹,NAR2,日志審計第三步：審計和報表,柱狀圖,NAR2,日志,綜合審計系統(tǒng)介紹,NAR2,日志審計第三步：審計和報表,餅狀圖,預(yù)定義日志類型,NAR2,日志,綜合審計系統(tǒng)介紹,自定義日志類型,NAR2,日志,綜合審計系統(tǒng)介紹,1.,除了預(yù)定義日志類型外，,NAR2,也支持自定義日志類型,2.,自定義日志類型能夠處理,90%,以上的非標(biāo)準(zhǔn)日志,日志收集方式,NAR2,日志,綜合審計系統(tǒng)介紹,日志導(dǎo)入規(guī)則,NAR2,日志,綜合審計系統(tǒng)介紹,三種報警方式,NAR2,日志,綜合審計系統(tǒng)介紹,1.Syslog,報警方式,2.,郵件報警方式,3.,手機短信報警方式,NAR2,日志,綜合審計系統(tǒng)介紹,報警規(guī)則,1.,報警規(guī)則可以添加多條,2.,不同的日志類型，報警規(guī)則內(nèi)容也不同,規(guī)則庫,過濾,分類,報警,目錄,什么,是日志審計,？,為什么,需要日志審計,？,NAR2,日志審計可以解決,什么問題？,NAR2,日志審計,系統(tǒng)介紹,NAR2,日志審計,系統(tǒng)目標(biāo)用戶群,NAR2,日志審計,系統(tǒng)產(chǎn)品選型,政府,國家,大力發(fā)展電子,政務(wù)（日