泰合TSOCSA日志審計系統(tǒng)架構(gòu)介紹課件

1、泰合TSOC-SA日志審計系統(tǒng)介紹An Executive Overview to TSOC-SA目錄日志審計需求分析產(chǎn)品特點與價值功能詳述2泰合TSOC-SA日志審計系統(tǒng)介紹服務(wù)優(yōu)勢從日志到日志審計日志是對信息系統(tǒng)產(chǎn)生的事件的記錄，包括了構(gòu)成信息系統(tǒng)的主機、網(wǎng)絡(luò)、安全設(shè)備或系統(tǒng)、應(yīng)用等通過日志可以了解信息系統(tǒng)的運行狀況通過分析信息系統(tǒng)的安全日志可以檢驗信息系統(tǒng)安全機制的有效性日志審計3日志審計的作用最樸素的需求：“一旦出了問題要能夠提取相關(guān)的日志，為事后調(diào)查提供依據(jù)”安全審計通過收集存儲網(wǎng)絡(luò)上所有軟硬件設(shè)備產(chǎn)生的日志、審計信息，根據(jù)策略進行存儲，為事后取證提供依據(jù)對所收集的信息進行匯總、分析

2、、報警，對安全問題進行挖掘，提供各種報表，幫助管理員更好的掌握網(wǎng)絡(luò)情況4日志審計的必要性Verizon：2011年數(shù)據(jù)破壞調(diào)查報告Verizon聯(lián)合美國特勤局和荷蘭國家高技術(shù)犯罪小組進行的一項全球調(diào)查5日志審計的必要性Verizon認為：要緩解信息破壞和信息泄露，必須進行日志審計Verizon：2011年數(shù)據(jù)破壞調(diào)查報告669%的攻擊行為實際上都有日志留存日志審計的必要性7Verizon：2012年數(shù)據(jù)破壞調(diào)查報告Verizon聯(lián)合美國特勤局和荷蘭國家高技術(shù)犯罪小組、澳洲聯(lián)邦警局、以及愛爾蘭、英格蘭的機構(gòu)進行的一項全球調(diào)查分析了超過855起安全事件，涉及1.74億筆泄漏的信息日志審計的必要性8

3、Verizon：2012年數(shù)據(jù)破壞調(diào)查報告Verizon認為：要緩解信息破壞和信息泄露，必須進行日志審計84%的攻擊行為實際上都有日志留存日志審計的必要性9Verizon：2013年數(shù)據(jù)破壞調(diào)查報告Verizon聯(lián)合世界18家信息安全機構(gòu)進行的一項全球調(diào)查從47000件安全事件中提取并詳細分析了621起數(shù)據(jù)破壞事件，涉及4480萬筆泄漏的信息日志審計的必要性10Verizon：2013年數(shù)據(jù)破壞調(diào)查報告Verizon認為：要緩解信息破壞和信息泄露，必須進行日志審計20項關(guān)鍵安全控制措施日志審計的必要性11Verizon：2014年數(shù)據(jù)破壞調(diào)查報告Verizon牽頭世界50家信息安全機構(gòu)和企業(yè)進

4、行的一項全球調(diào)查從63000多件安全事件中提取并詳細分析了1367起數(shù)據(jù)破壞事件涉及95個國家和地區(qū)日志審計的必要性12Verizon：2014年數(shù)據(jù)破壞調(diào)查報告Verizon認為：要緩解信息破壞和信息泄露，必須進行日志審計日志審計的必要性RSA ：當(dāng)APT成為主流RSA的業(yè)務(wù)安全創(chuàng)新委員會的權(quán)威調(diào)查分析報告，囊括了業(yè)界領(lǐng)袖的重要觀點摩根大通CISOT-MobileCISONokiaCISOEMCCSO諾斯羅普格魯曼CISOEBayCIOSAPCSOBP CISO可口可樂CISO聯(lián)邦快遞CISO13日志審計的必要性RSA ：當(dāng)APT成為主流報告指出：要防范APT等這類新型威脅和攻擊，必須進行主

5、動地智能監(jiān)測，其核心就是要收集來自IT架構(gòu)不同層面的日志/數(shù)據(jù)，進行安全日志/數(shù)據(jù)分析，獲得對網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)的可見性The concept is appealing: Use an analytical engine to sift through massive amounts of real-time and historical data at high speeds to develop trending on user and system activity and reveal anomalies that indicate compromise.14日志審計的必要性SANS：20

6、11年度日志管理調(diào)查報告采訪了747個涵蓋大中小規(guī)模的組織，超過89%的受訪者都表示收集了日志，并進行了日志管理15日志審計的必要性收集日志的原因排行3）滿足合規(guī)的需要1）監(jiān)測/跟蹤可疑行為2）取證與關(guān)聯(lián)分析16日志審計的必要性17SANS：2012年度日志管理調(diào)查報告采訪了600多位涵蓋大中小企業(yè)的專業(yè)人士，他們都認為必須進行日志審計日志審計的必要性18SANS：2012年度日志管理調(diào)查報告收集日志的原因排行檢測/追蹤來自內(nèi)部/外部的可疑行為取證與關(guān)聯(lián)分析阻止突發(fā)安全事件日志審計的必要性19SANS：2013年度日志管理調(diào)查報告采訪了647位涵蓋大中小企業(yè)的專業(yè)人士，他們都認為必須進行日志審

7、計.探討了如何做好日志審計日志審計的必要性20SANS：2013年度日志管理調(diào)查報告用什么來收集和分析日志？日志管理平臺SIEM日志審計的必要性：合規(guī)性要求在國標(biāo)GB 17859-1999計算機信息系統(tǒng)安全保護等級劃分準則中有對審計的規(guī)定，其中第二級就定義為“系統(tǒng)審計保護級”信息系統(tǒng)安全等級化保護基本要求二級以上包括各行業(yè)依照基本要求制定的行業(yè)等?；疽笏_班斯（SOX）法案第404款互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定第八條企業(yè)內(nèi)部控制基本規(guī)范及其配套企業(yè)內(nèi)部控制應(yīng)用指引第六條銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引第四十六條商業(yè)銀行內(nèi)部控制指引第一百二十六條銀行業(yè)信息科技風(fēng)險管理指引第二十五、二十六、二十

8、七條證券公司內(nèi)部控制指引第一百一十七條證券期貨業(yè)信息系統(tǒng)安全等級保護基本要求（試行）保險公司信息系統(tǒng)安全管理指引（試行） 第三十一、四十三、四十四條ISO27001:2005 4.3.3小節(jié)、 ISO27002:2005 10.10小節(jié)21日志審計的必要性：合規(guī)性要求法律法規(guī)相關(guān)條款與日志審計相關(guān)的主要內(nèi)容信息系統(tǒng)安全等級化保護基本要求對于網(wǎng)絡(luò)安全、主機安全和應(yīng)用安全部分從二級開始，到四級都明確要求進行日志審計。ISO27001:2005 4.3.3記錄控制記錄應(yīng)建立并加以保持，以提供符合ISMS要求和有效運行的證據(jù)。企業(yè)內(nèi)部控制基本規(guī)范第四十一條企業(yè)應(yīng)當(dāng)加強對信息系統(tǒng)的開發(fā)與維護、訪問與變更

9、、數(shù)據(jù)輸入與輸出、文件存儲與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。（注：間接要求安全審計）企業(yè)內(nèi)部控制應(yīng)用指引第六條對于必需的后臺操作，應(yīng)當(dāng)加強管理，建立規(guī)范的流程制度，對操作情況進行監(jiān)控或者審計。企業(yè)應(yīng)當(dāng)在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計性商業(yè)銀行內(nèi)部控制指引第一百二十六條商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計的需要。銀行業(yè)信息科技風(fēng)險管理指引第二十五條對于所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全，在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的

10、任何異常事件，定期匯報監(jiān)控情況。第二十六條對于所有信息系統(tǒng)的安全，以書面或者電子格式保存審計痕跡；要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。第二十七條銀行業(yè)應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。證券公司內(nèi)部控制指引第一百一十七條證券公司應(yīng)保證信息系統(tǒng)日志的完備性，確保所有重大修改被完整地記錄，確保開啟審計留痕功能。證券公司信息系統(tǒng)日志應(yīng)至少保存15年。保險公司信息系統(tǒng)安全管理指引（試行） 第三十一條（要求）形成網(wǎng)絡(luò)接入日志并定期審計第四十三條根據(jù)內(nèi)部控制與審計的要求，保存信息系統(tǒng)相關(guān)日志，并采取適當(dāng)措施確保日志內(nèi)容不被刪除、修改或覆

11、蓋。第四十四條對主機系統(tǒng)進行審計，妥善管理并及時分析處理審計記錄。對重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進行重點審計?；ヂ?lián)網(wǎng)安全保護技術(shù)措施規(guī)定（公安部82號令）第八條記錄、跟蹤網(wǎng)絡(luò)運行狀態(tài)，監(jiān)測、記錄用戶各種信息、網(wǎng)絡(luò)安全事件等安全審計功能。22項目等級保護第三級安全審計具體要求7.1 技術(shù)要求7.1.2 網(wǎng)絡(luò)安全 安全審計（G3）a) 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；b) 審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；d) 應(yīng)對審計記錄進行保護，避免受到未預(yù)

12、期的刪除、修改或覆蓋等。 入侵防范（G3）b) 當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。7.1.3 主機安全 安全審計（G3）a) 審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b) 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c) 審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等； d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；e) 應(yīng)保護審計進程，避免受到未預(yù)期的中斷；f) 應(yīng)保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。7.1.4 應(yīng)用

13、安全 安全審計（G3）a) 應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；c) 審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；d) 應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。7.2 管理要求7.2.5 系統(tǒng)運維管理 監(jiān)控管理和安全管理中心（G3）a) 應(yīng)對通信線路、主機、網(wǎng)絡(luò)設(shè)備和應(yīng)用軟件的運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存b) 應(yīng)組織相關(guān)人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應(yīng)對措施；c) 應(yīng)建立安全管理中心，對設(shè)備狀態(tài)、惡意代碼、補丁升級、安全審計等

14、安全相關(guān)事項進行集中管理。日志審計的必要性：等級保護要求23日志審計的本質(zhì)和內(nèi)涵 Who 誰 When 在什么時間 Which訪問了哪些資源 What 對訪問的資源做了什么 How 如何處理響應(yīng)處理24當(dāng)前日志審計系統(tǒng)面臨的挑戰(zhàn)審計層面防火墻日志IDS日志主機日志數(shù)據(jù)庫日志W(wǎng)EB日志路由器日志交換機日志網(wǎng)絡(luò)審計系統(tǒng)日志終端管理系統(tǒng)日志防病毒日志25日志分散日志格式不統(tǒng)一日志量大我們需要一個怎樣的日志審計系統(tǒng)？ 海量日志數(shù)據(jù)的集中管理 日志格式標(biāo)準化 事前預(yù)警、事中監(jiān)控和事后分析 綜合安全審計和展示 對日志進行生命周期管理 符合政策、法規(guī)的規(guī)范性要求26目錄日志審計需求分析產(chǎn)品特點與價值功能詳述

15、27泰合TSOC-SA日志審計系統(tǒng)介紹服務(wù)優(yōu)勢綜合日志審計應(yīng)用系統(tǒng)日志審計主機、數(shù)據(jù)庫日志審計安全設(shè)備和系統(tǒng)日志審計網(wǎng)絡(luò)系統(tǒng)日志審計TSOC-SA日志審計系統(tǒng)：綜合審計28領(lǐng)導(dǎo)安全主管審計人員掌握整體安全態(tài)勢審核等保與內(nèi)控評估安全有效性建立全局安全策略出具日志審計報告分析安全問題制定審計規(guī)則采集和存儲日志執(zhí)行日志審計SyslogTrapOPSECFileWMIFTPODBCXML系統(tǒng)總攬29異構(gòu)海量日志采集日志范式化與分類日志過濾歸并關(guān)聯(lián)分析告警存儲加密壓縮備份恢復(fù)監(jiān)視統(tǒng)計查詢追溯報表系統(tǒng)結(jié)構(gòu)審計數(shù)據(jù)源業(yè)務(wù)層應(yīng)用層關(guān)聯(lián)分析引擎查詢引擎高性能海量存儲代理存儲節(jié)點存儲節(jié)點存儲節(jié)點綜合展示資產(chǎn)管理日

16、志審計規(guī)則管理告警管理報表管理權(quán)限管理系統(tǒng)配置知識配置采集器管理日志維護應(yīng)用層接口實時分析歷史分析信息可視化日志采集層日志范式化多協(xié)議采集網(wǎng)絡(luò)設(shè)備安全設(shè)備主機數(shù)據(jù)庫中間件應(yīng)用/服務(wù)存儲日志過濾日志歸并日志存儲轉(zhuǎn)發(fā)日志聚合引擎實時事件流Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等日志存儲用戶界面日志分析日志分類日志采集30系統(tǒng)組成審計中心指TSOC-SA的管理中心審計中心內(nèi)置事件采集模塊，具備全部事件采集功能日志采集器日志采集器可以獨立安裝運行，功能同審計中心中的采集模塊，用以輔助審計中心解決特定

17、日志采集、分布式日志采集和負載均衡等問題日志代理對于Windows日志，系統(tǒng)還提供一個單獨的Windows日志代理軟件，可以安裝在Windows系統(tǒng)的主機上，采集Windows系統(tǒng)的日志31功能規(guī)格TSOC-SA資產(chǎn)管理日志審計規(guī)則管理告警管理報表管理系統(tǒng)管理綜合展示32部署方式33單級部署單機部署采集分布式部署事件存儲分布式部署混合分布式部署多級部署Internet業(yè)務(wù)系統(tǒng)服務(wù)區(qū)網(wǎng)絡(luò)核心區(qū)內(nèi)部用戶區(qū)高安全等級服務(wù)區(qū)分支機構(gòu)遠程個人管理區(qū)DMZ區(qū)Internet單級部署：單機部署34管理中心圖示TSOC-管理中心TSOC-分布式采集器匯聚線路采集線路Internet業(yè)務(wù)系統(tǒng)服務(wù)區(qū)網(wǎng)絡(luò)核心區(qū)內(nèi)部

18、用戶區(qū)高安全等級服務(wù)區(qū)分支機構(gòu)遠程個人管理區(qū)DMZ區(qū)Internet單級部署：采集分布式部署35采集器采集器采集器采集器采集器圖示TSOC-管理中心TSOC-分布式采集器匯聚線路采集線路管理中心單級部署：事件存儲分布式部署通過部署分布式事件存儲器，將海量安全事件分散存儲在不同的存儲器上，通過數(shù)據(jù)分布式處理技術(shù)實現(xiàn)天量數(shù)據(jù)的高性能處理能力36單級部署：混合分布式部署37分布式事件存儲器Internet業(yè)務(wù)系統(tǒng)服務(wù)區(qū)網(wǎng)絡(luò)核心區(qū)內(nèi)部用戶區(qū)高安全等級服務(wù)區(qū)分支機構(gòu)遠程個人管理區(qū)DMZ區(qū)Internet管理中心多級部署38下級審計中心下級審計中心上級審計中心WAN下級審計中心審計中心雙機熱備（限于硬件型

19、號）39支持HA雙機熱備部署，以避免單點故障隱患，最大程度滿足運維的可靠性和連續(xù)性。HA雙機熱備部署由兩個節(jié)點組成，分為主機節(jié)點和備機節(jié)點，主備之間通過心跳線進行主備狀態(tài)監(jiān)測和數(shù)據(jù)實時同步，主機節(jié)點一旦斷開，備機節(jié)點會立刻啟動，無需人工干預(yù)，從而實現(xiàn)業(yè)務(wù)的不間斷運行產(chǎn)品型號40平臺支持的操作系統(tǒng)系統(tǒng)需求WindowsWindows Server 2008 R2 Enterprise Windows Server 2003 Enterprise Edition SP2Windows 7 Enterprise64位操作系統(tǒng)最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU至少4G

20、B內(nèi)存，推薦16GB以上內(nèi)存1TB以上磁盤空間LinuxRedhat Enterprise Linux6.3CentOS 6.364位操作系統(tǒng)最低Intel酷睿雙核CPU，推薦使用Intel 至強4核以上CPU至少4GB內(nèi)存，推薦16GB以上內(nèi)存1TB以上磁盤空間TSOC-SA軟件型所需運行環(huán)境如下：TSOC-SA軟件型產(chǎn)品型號41型號規(guī)格指標(biāo)TSOC-SA21002U標(biāo)準機架式，專用硬件平臺和安全操作系統(tǒng)單臺日志處理性能可達3000EPS*（約合每天130GB*）6個千兆電口，支持多端口采集；1個Console口 有效存儲容量2TBTSOC-SA51002U標(biāo)準機架式，帶冗余電源，專用千兆硬

21、件平臺和安全操作系統(tǒng)單臺日志處理性能可達6000EPS*（約合每天260GB*）4個千兆電口，支持多端口采集，可再擴展16個千兆采集口（電口/光口），1個Console口標(biāo)配采用Raid5，有效存儲容量3TBTSOC-SA硬件型審計中心TSOC-SA硬件型審計中心有兩種型號可供選擇：*該數(shù)值是指每日平均的EPS數(shù)。此時沒有部署分布式日志采集器。*該數(shù)值假設(shè)每條日志占用的綜合存儲空間為500Byte。綜合存儲空間是指日志范式化后占用的存儲空間字節(jié)數(shù)，原始日志占用存儲空間字節(jié)數(shù)，為日志建立索引所需的存儲空間字節(jié)數(shù)，以及日志統(tǒng)計表存儲空間字節(jié)數(shù)的總和。產(chǎn)品型號42型號規(guī)格指標(biāo)TSOC-CL16001

22、U標(biāo)準機架式，專用硬件平臺和安全操作系統(tǒng)單臺日志處理性能可達4000EPS*（約合每天170GB*）6個千兆電口，支持多端口采集；1個Console口 有效存儲容量1TBTSOC-SA硬件型日志采集器TSOC-SA硬件型日志采集器有一種型號可供選擇：*該數(shù)值是指每日平均的EPS數(shù)。*該數(shù)值假設(shè)每條日志占用的綜合存儲空間為500Byte。綜合存儲空間是指日志范式化后占用的存儲空間字節(jié)數(shù)，原始日志占用存儲空間字節(jié)數(shù)，為日志建立索引所需的存儲空間字節(jié)數(shù)，以及日志統(tǒng)計表存儲空間字節(jié)數(shù)的總和。高性能High Performance 高速日志采集 高速日志存儲 高速海量日志查詢 高速海量日志統(tǒng)計報表 并行

23、計算 分布式數(shù)據(jù)存儲高適應(yīng)性High Adaptability 多種日志源與日志類型采集 多種協(xié)議方式采集 主被動結(jié)合日志采集 無代理方式日志采集 多端口日志采集 日志加密壓縮、存儲轉(zhuǎn)發(fā) 分布式日志采集高擴展性High Extensibility 日志源快速擴展 靈活豐富的報表報告 無縫向綜合審計平臺擴展 無縫向安管平臺（SOC）擴展高可視性High Visibility WEB2.0用戶交互界面 豐富的審計儀表板 基于拓撲的審計對象視圖 基于地圖的事件定位 事件行為圖 可視化規(guī)則編輯器產(chǎn)品優(yōu)勢43TSOC-SA日志審計目錄日志審計需求分析產(chǎn)品特點與價值功能詳述44泰合TSOC-SA日志審計系

24、統(tǒng)介紹服務(wù)優(yōu)勢產(chǎn)品特點高性能的日志管理技術(shù)架構(gòu)高適應(yīng)性日志采集詳盡的日志范式化與日志分類基于策略的安全事件分析集中化的日志綜合審計可視化日志審計豐富靈活的報表報告用戶網(wǎng)絡(luò)和業(yè)務(wù)影響性最小化完善的系統(tǒng)自身安全性保證與啟明星辰安全管理平臺無縫融合45高性能的日志管理技術(shù)架構(gòu)海量異構(gòu)日志采集日志范式化與分類過濾歸并實時事件流關(guān)聯(lián)分析實時安全監(jiān)視備份/恢復(fù)N壓縮/加密存儲，壓縮比可達20：1日志查詢數(shù)據(jù)聚合聚合事件庫統(tǒng)計報表入庫均值為15000EPS2報表源數(shù)據(jù)來自于統(tǒng)計事件庫，極大提高生成速度分布式查詢技術(shù)提升查詢效率；2000萬條日志中查詢響應(yīng)時間不超過10秒4分布式數(shù)據(jù)庫存儲146TB級數(shù)據(jù)在線

25、存儲3高適應(yīng)性日志采集TSOC-SA日志采集支持多種審計數(shù)據(jù)源和日志類型支持多種采集協(xié)議支持分布式日志采集47支持多種審計數(shù)據(jù)源48設(shè)備類型廠商或產(chǎn)品交換機Cisco、Extreme、Juniper、博科、華為、H3C、神州數(shù)碼、銳捷路由器Cisco、Extreme、Juniper、華為、H3C、神州數(shù)碼、銳捷防火墻/UTM/USG啟明星辰、網(wǎng)御星云、Cisco、Juniper Netscreen、飛塔、Checkpoint、Nokia、Bluecoat、天融信、東軟、方正科技、網(wǎng)御神州、億陽信通、中科網(wǎng)威、中網(wǎng)、阿姆瑞特、衛(wèi)士通、H3C、迪普、山石VPN網(wǎng)御星云、天融信、Array、Juni

26、per網(wǎng)閘網(wǎng)御星云、國保金泰、鴻瑞、南瑞IDS/IPS/IDP啟明星辰、網(wǎng)御星云、Cisco、McAfee、IBM、Snort、Tipping Point、綠盟、東軟、H3C、天融信、安氏、三零盛安、網(wǎng)御神州、理工先河防病毒Symantec、TrendMicro、McAfee、瑞星、金山、江民、冠群金辰Anti-DDoS網(wǎng)御星云、綠盟WAF啟明星辰、Imperva、綠盟、中創(chuàng)InfoGuard負載均衡設(shè)備F5、信安世紀安全審計系統(tǒng)啟明星辰、復(fù)旦光華、漢邦、格爾、中軟、三零盛安操作系統(tǒng)IBM AIX 、HP-UX 、Microsoft Windows、Solaris BSM、Linux及其變種數(shù)

27、據(jù)庫Oracle、SQL Server、DB2、MySQL、Informix、Sybase、國產(chǎn)數(shù)據(jù)庫中間件Weblogic、WebShpere、JBoss、Apache、Tomcat、Domino業(yè)務(wù)系統(tǒng)各種客戶自有的業(yè)務(wù)系統(tǒng)（需要定制）其它Syslog日志源、SNMP Trap日志源對審計數(shù)據(jù)源的擴展機制日志解析文件編寫日志解析文件提取日志格式獲得日志樣本/格式導(dǎo)入TSOC-SA獲悉通訊協(xié)議方式配置日志源未知設(shè)備類型進行日志采集無需編程，僅需通過寫XML解析文件即可采集新設(shè)備類型的日志149SyslogSNMP TrapFTP Server主被動結(jié)合的多協(xié)議日志采集防火墻/UTM防病毒系統(tǒng)

28、IDSWindows主機數(shù)據(jù)庫中間件/應(yīng)用*nix主機網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)審計系統(tǒng)/4A終端安全文件共享WMIODBCOPSEC LEA私有協(xié)議被動采集為主主動采集為輔嵌入采集（如有必要）日志代理50日志采集器日志采集器分布式日志采集：日志采集器TSOC-SATSOC-SA51在雙Intel XEON 4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，采用分布式日志采集器部署模式時，事件處理性能可達平均15000EPS在雙Intel XEON 4核CPU，8GB內(nèi)存，64位操作系統(tǒng)下，采用單一部署模式時，事件處理性能可達平均6000EPSTSOC-SA日志審計系統(tǒng)可以進行級聯(lián)轉(zhuǎn)發(fā)在單Intel XEON 4核

29、CPU，8GB內(nèi)存，64位操作系統(tǒng)下，事件解析性能可達平均6000EPS詳盡的日志范式化與日志分類范式化字段可以自定義擴展啟明 IDS日志Dec 07 2011 22:18:55 30 : %PIX-4-106023: Deny tcp src outside: 211.137.43 .182 /3158 dst inside: 21.7 .255.217 / 445evt_send: evtip:1;evtname:UDP_MS-SQL_SLAMMER_蠕蟲病毒;eid:152345450;counts:1;se:30;rspmode:81925;secutype:6;proto:UDP;s

30、r:2;dest:3;sport:1176;dport:1434;smac:00-23-89-35-54-f0;dmac:00-23-89-35-54-f0;param:;設(shè)備名稱設(shè)備地址事件名稱源IP目的IP源端口目的端口啟明 IDSPIX FWPIX 防火墻日志3023 143444521.7 .255.217211.137.43 .182DenyUDP_MS-SQL_SLAMMER_蠕蟲病毒11763158日志分類入侵攻擊1范式化后事件通過日志范式化統(tǒng)一日志描述，提高日志分析效率52訪問控制基于策略的安全日志分析53基于策略的日志分析就像地圖的圖層，只展現(xiàn)出用戶關(guān)心的信息用戶可以通過豐富

31、的日志分析策略對全網(wǎng)的安全日志進行全方位、多視角、大跨度、細粒度的實時監(jiān)測、統(tǒng)計分析、查詢、調(diào)查、追溯、地圖定位、可視化分析展示，等等策略D策略C策略B策略A基于策略的安全日志分析54用戶可以自定義日志分析策略，系統(tǒng)具備超過3300條策略庫不同的日志分析策略可以任意組合成為儀表板視圖實時監(jiān)視策略可以從設(shè)備、廠商、事件類型等多個維度進行實時的事件分析可以對事件進行地圖定位、行為分析、調(diào)查、追溯實時統(tǒng)計策略可以從設(shè)備、廠商、事件類型等多個維度進行實時事件的統(tǒng)計分析歷史統(tǒng)計策略可以從設(shè)備、廠商、事件類型等多個維度進行歷史事件的統(tǒng)計分析歷史查詢策略可以從設(shè)備、廠商、事件類型等多個維度進行歷史事件查詢分

32、析用戶的日志分析體驗過程由過去的“條件編輯”轉(zhuǎn)變?yōu)椤安呗赃x取”日志綜合審計：分角色用戶視圖全網(wǎng)IT資源TSOC-SA日志審計平臺不同角色的審計人員和領(lǐng)導(dǎo)具有自己的用戶視圖55領(lǐng)導(dǎo)安全主管審計人員全網(wǎng)的安全日志審計掌握整體安全態(tài)勢審核等保與內(nèi)控評估安全有效性建立全局安全策略出具日志審計報告分析安全問題制定審計規(guī)則采集和存儲日志執(zhí)行日志審計可自定義的綜合展示儀表板設(shè)定儀表板顯示樣式設(shè)定每塊面板顯示內(nèi)容顯示內(nèi)容本身也可以自定義56可視化日志審計57首頁日志分類統(tǒng)計儀表板實時事件分時圖可視化日志審計58IP地圖在線、離線定位事件拓撲圖事件多維分析圖視網(wǎng)膜分析圖豐富的報表報告59靈活的內(nèi)置報表編輯器用戶

33、可以自定義報表，包括報表樣式、統(tǒng)計內(nèi)容、圖表形式60對用戶網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)影響性最小化審計對象影響性分析無需安裝代理以被動日志采集為主，不會對審計對象發(fā)起主動連接，不影響審計對象的現(xiàn)有安全機制網(wǎng)絡(luò)影響性分析旁路部署，無需修改網(wǎng)絡(luò)結(jié)構(gòu)，對網(wǎng)絡(luò)可靠性無影響TSOC-SA硬件產(chǎn)品支持多端口日志采集，減少日志流量的匯聚支持分布式日志采集器部署，日志采集器在上傳日志的時候支持數(shù)據(jù)壓縮加密、定時上傳，降低對網(wǎng)絡(luò)帶寬的占用，避開網(wǎng)絡(luò)流量繁忙期61系統(tǒng)自身安全性保證日志采集日志采集器與審計中心之間采用TCP加密通訊（完整性、私密性）日志采集器支持存儲轉(zhuǎn)發(fā)（可用性）日志存儲存儲原始日志（完整性）日志加密混淆存儲，

34、防止非法訪問和篡改（私密性）日志不能修改、刪除（完整性）日志定期備份（可用性）系統(tǒng)訪問支持HTTPS協(xié)議（私密性、完整性）采用基于角色的訪問控制機制 用戶身份三權(quán)分立，內(nèi)置系統(tǒng)管理員、安全審計員、用戶管理員支持雙因素認證*支持Radius、LDAP集成*62* 需要定制開發(fā)與TSOC安管平臺基于相同的技術(shù)框架63日志審計系統(tǒng)主要功能是收集異構(gòu)的安全日志和事件，進行分析和預(yù)警，作為長期發(fā)展規(guī)劃，實現(xiàn)安全管理平臺是最終目標(biāo)。安全管理平臺（TSOC-USM）不僅包括安全日志（事件）管理，還包括資產(chǎn)/業(yè)務(wù)管理、IT運行監(jiān)控、配置安全核查、脆弱性管理、安全風(fēng)險管理、安全運維管理（工單、知識庫）和安全態(tài)勢

35、感知等。TSOC-SA可以作為SIEM（安全事件管理），向上接入TSOC-USM63安全事件管理安全事件管理資產(chǎn)/業(yè)務(wù)管理應(yīng)用性能管理安全風(fēng)險管理安全運維管理安全態(tài)勢感知泰合安全管理平臺（TSOC-USM）TSOC-SA基于相同的技術(shù)框架（Cupid）無縫向綜合安全審計平臺擴展64TSOC-SA綜合日志審計平臺日志采集器天珣終端安全系統(tǒng)天玥堡壘機天玥數(shù)據(jù)庫審計產(chǎn)品價值全生命周期日志管理日常安全運維工作的有力工具遵照等級化保護的審計要求契合內(nèi)控與合規(guī)的審計要求65TSOC-SA日志審計系統(tǒng)全生命周期日志管理日志產(chǎn)生日志源選取日志源配置日志采集支持多種設(shè)備支持多種采集協(xié)議支持海量日志支持分散的日志

36、源日志范式化、分類日志過濾、歸并日志存儲轉(zhuǎn)發(fā)日志分析內(nèi)存實時分析歷史分析關(guān)聯(lián)分析全網(wǎng)審計外部入侵和攻擊審計內(nèi)部違規(guī)和誤用審計可視化分析日志存儲海量日志存儲長時間存儲保證CIA日志壓縮66日常安全運維工作的有力工具67重要信息應(yīng)用主機網(wǎng)絡(luò)TSOC-SA日志審計系統(tǒng)安全監(jiān)視應(yīng)急處置報表報告審計追蹤調(diào)查取證人員非法訪問控制非法或不當(dāng)操作惡意代碼攻擊入侵違規(guī)與信息泄露性能故障TSOC-SA日志審計系統(tǒng)遵照等級化保護的審計要求68項目等級保護第三級安全審計具體要求7.1 技術(shù)要求7.1.2 網(wǎng)絡(luò)安全 安全審計（G3）a) 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)流量、用戶行為等進行日志記錄；b) 審計記錄

37、應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息；c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；d) 應(yīng)對審計記錄進行保護，避免受到未預(yù)期的刪除、修改或覆蓋等。7.1.3 主機安全 安全審計（G3）a) 審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b) 審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；c) 審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等； d) 應(yīng)能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；e) 應(yīng)保護審計進程，避免受到未預(yù)期的中斷；f) 應(yīng)保護審計記錄，避免受到

38、未預(yù)期的刪除、修改或覆蓋等。7.1.4 應(yīng)用安全 安全審計（G3）a) 應(yīng)提供覆蓋到每個用戶的安全審計功能，對應(yīng)用系統(tǒng)重要安全事件進行審計；c) 審計記錄的內(nèi)容至少應(yīng)包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等；d) 應(yīng)提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。網(wǎng)絡(luò)設(shè)備網(wǎng)安設(shè)備主機數(shù)據(jù)庫應(yīng)用日志采集日志范式化和分類日志分析日志存儲日志查詢?nèi)罩緦徲媹蟊碜陨戆踩珯C制契合內(nèi)控與合規(guī)的審計要求69法律法規(guī)相關(guān)條款與日志審計相關(guān)的主要內(nèi)容企業(yè)內(nèi)部控制基本規(guī)范第四十一條企業(yè)應(yīng)當(dāng)加強對信息系統(tǒng)的開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件存儲與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系

39、統(tǒng)安全穩(wěn)定運行。（注：間接要求安全審計）企業(yè)內(nèi)部控制應(yīng)用指引第六條對于必需的后臺操作，應(yīng)當(dāng)加強管理，建立規(guī)范的流程制度，對操作情況進行監(jiān)控或者審計。企業(yè)應(yīng)當(dāng)在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計性商業(yè)銀行內(nèi)部控制指引第一百二十六條商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計的需要。銀行業(yè)信息科技風(fēng)險管理指引第二十五條對于所有計算機操作系統(tǒng)和系統(tǒng)軟件的安全，在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪問、對用戶賬戶的修改等有關(guān)重要事項，手動或自動監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報監(jiān)控情況。第二十六條對于所有信息系統(tǒng)的安全，

40、以書面或者電子格式保存審計痕跡；要求用戶管理員監(jiān)控和審查未成功的登錄和用戶賬戶的修改。第二十七條銀行業(yè)應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。證券公司內(nèi)部控制指引第一百一十七條證券公司應(yīng)保證信息系統(tǒng)日志的完備性，確保所有重大修改被完整地記錄，確保開啟審計留痕功能。證券公司信息系統(tǒng)日志應(yīng)至少保存15年。保險公司信息系統(tǒng)安全管理指引（試行） 第三十一條（要求）形成網(wǎng)絡(luò)接入日志并定期審計第四十三條根據(jù)內(nèi)部控制與審計的要求，保存信息系統(tǒng)相關(guān)日志，并采取適當(dāng)措施確保日志內(nèi)容不被刪除、修改或覆蓋。第四十四條對主機系統(tǒng)進行審計，妥善管理并及時分析處理審計記錄。

41、對重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進行重點審計。央企銀行證券保險目錄日志審計需求分析產(chǎn)品特點與價值功能詳述70泰合TSOC-SA日志審計系統(tǒng)介紹服務(wù)優(yōu)勢綜合展示用戶登錄即可進入綜合展示界面能夠快速的導(dǎo)航到各個功能，能夠通過儀表板從不同的方面對日志進行審計用戶可以自定義儀表板，包括儀表板顯示的內(nèi)容和布局方式用戶可以對展示界面進行換膚71資產(chǎn)管理將審計對象作為資產(chǎn)進行統(tǒng)一管理，并能自動識別和添加資審計對象以可視化的拓撲方式直觀展示資產(chǎn)的基本信息、日志信息和告警信息符合國家等級保護的要求，對資產(chǎn)分類描述，并對資產(chǎn)的重要性進行細粒度的賦值可以對網(wǎng)絡(luò)中的審計數(shù)據(jù)源資產(chǎn)進行管理。除基本資產(chǎn)信

42、息外，系統(tǒng)提供靈活的資產(chǎn)分類功能，實現(xiàn)對資產(chǎn)的分類管理。系統(tǒng)提供基于拓撲的資產(chǎn)視圖，可以按圖形化拓撲模式顯示資產(chǎn)，并可編輯資產(chǎn)之間的網(wǎng)絡(luò)連接關(guān)系；通過資產(chǎn)視圖可直接查看該資產(chǎn)的日志及告警信息。系統(tǒng)能夠根據(jù)收到的日志的設(shè)備地址自動發(fā)現(xiàn)新的資產(chǎn)。72日志采集僅部署審計中心即可對各類日志進行采集亦可在必要時部署日志采集器防火墻/UTM入侵檢測系統(tǒng)防病毒系統(tǒng)網(wǎng)絡(luò)審計系統(tǒng)漏洞掃描系統(tǒng)網(wǎng)絡(luò)交換機路由器主機/服務(wù)器數(shù)據(jù)庫/應(yīng)用系統(tǒng)第三方軟件支持通過SYSLOG、SNMP、OPSEC LEA、JDBC/ODBC、TELNET、SSH/SSH2、HTTP/HTTPS、WMI、Windows RPC、NETBIO

43、S、FTP、VIP等協(xié)議采集支持對各類IT資產(chǎn)的日志進行采集73日志范式化與日志分類對采集到的所有日志進行范式化處理，系統(tǒng)提供的范式化字段包括：接收時間 、產(chǎn)生時間、持續(xù)時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、名稱、摘要 、等級、原始等級、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等對采集到的所有日志進行分類，統(tǒng)一對不同的日志類型進行標(biāo)識，涵蓋了11大類，并可以自定義擴展，例如：認證授權(quán)訪問日志、操作記錄日志、安全預(yù)警日志、信息刺探與惡意代碼日志、攻擊入侵日志，等等74日志過濾與歸并75日志在采集后可以按照預(yù)設(shè)的條件進行過濾

44、，篩選出重要信息支持對一段時間內(nèi)的相同含義的日志進行歸并，并記錄重復(fù)次數(shù)，以降低日志數(shù)量日志轉(zhuǎn)發(fā)本級審計中心及日志采集器都可以配置日志轉(zhuǎn)發(fā)參數(shù)，以將日志轉(zhuǎn)發(fā)給上級審計中心，或者任何指定的外部第三方應(yīng)用系統(tǒng)日志轉(zhuǎn)發(fā)支持全部轉(zhuǎn)發(fā)，根據(jù)過濾規(guī)則轉(zhuǎn)發(fā)支持TCP和UDP兩種轉(zhuǎn)發(fā)協(xié)議支持轉(zhuǎn)發(fā)時壓縮加密支持定時轉(zhuǎn)發(fā)76日志采集器管理審計中心可以連接多個日志采集器，實現(xiàn)分布式日志采集審計中心內(nèi)置日志采集器管理員可以在審計中心對日志采集器進行集中配置77日志源管理78系統(tǒng)可以統(tǒng)計不同采集器和不同安全域下的設(shè)備個數(shù)并以餅圖展示，統(tǒng)計采集器或安全域中事件量Top10以柱圖展示，配以統(tǒng)計列表可以根據(jù)日志源斷點時間進行

45、配置，并生成告警點擊單個日志源設(shè)備查看該設(shè)備最近7天的事件趨勢日志代理如果無法通過遠程方式主動或者被動地采集日志，那么可以在被審計設(shè)備/系統(tǒng)上安裝日志代理，采集到日志后，發(fā)送給日志審計系統(tǒng)【嵌入式日志采集】支持Windows系列操作系統(tǒng)79托盤程序日志存儲、備份與恢復(fù)日志在線存儲備份/恢復(fù)日志離線存儲N數(shù)據(jù)聚合聚合事件庫統(tǒng)計報表日志查詢系統(tǒng)將收集來的數(shù)據(jù)統(tǒng)一存儲和歸檔，支持海量數(shù)據(jù)存儲，支持數(shù)據(jù)的自動或手動歸檔，支持加密存儲，歸檔數(shù)據(jù)可手工恢復(fù)，用作日志回查80日志存儲、備份與恢復(fù)81支持自動備份和手工備份實時監(jiān)視與統(tǒng)計詳細安全事件實時監(jiān)控最近30分鐘告警狀態(tài)24小時內(nèi)最近告警最近一小時事件趨

46、勢最近5分鐘事件一覽最近24小時資產(chǎn)告警事件地址、端口、數(shù)量可建立實時監(jiān)視策略對符合條件的日志進行實時監(jiān)視，可以查看實時的日志明細，對符合某條件的日志進行調(diào)查，并可對實時日志進行統(tǒng)計分析、行為分析，以圖形化的方式展示事件之間的相互關(guān)系82日志查詢用戶可自定義查詢場景，實現(xiàn)基于事件時間、名稱、地址、端口、類型等各種條件的組合查詢支持關(guān)鍵字查詢、模糊查詢對于大時間跨度的查詢，系統(tǒng)會自動進行任務(wù)調(diào)度，用戶可以在查出部分結(jié)果后再看83海量日志導(dǎo)出84設(shè)置需要導(dǎo)出事件的條件大數(shù)據(jù)量的基于任務(wù)模式的日志導(dǎo)出支持基于任務(wù)模式的，海量日志查詢結(jié)果導(dǎo)出，以便用戶進行第三方分析基于規(guī)則的日志關(guān)聯(lián)分析85可視化關(guān)聯(lián)規(guī)則編輯器基于邏輯表達式，所有日志字段都可參與關(guān)聯(lián)基于統(tǒng)計計數(shù)，根據(jù)日志字段的相同于不同計數(shù)歷史關(guān)聯(lián)86設(shè)置需要分析的歷史時間段基于任務(wù)模式的歷史關(guān)聯(lián)能夠?qū)v史事件進行關(guān)聯(lián)規(guī)則匹配，發(fā)現(xiàn)歷史事件中存在的入侵與違規(guī)資產(chǎn)關(guān)聯(lián)87基于資產(chǎn)屬性的情境關(guān)聯(lián)基于資產(chǎn)類型的情境關(guān)聯(lián)可以將日志中的IP地址與資產(chǎn)名稱、資產(chǎn)價值、資產(chǎn)類型、自定義資產(chǎn)標(biāo)簽進行關(guān)聯(lián)實時告警和設(shè)備聯(lián)動88系統(tǒng)支持的告警響應(yīng)方式響應(yīng)方式說明事件屬性