日志審計系統(tǒng)課件

1、日志審計系統(tǒng)日志審計系統(tǒng)公司概況信聯(lián)云通公司主要方向是應用云平臺服務和云安全服務。信聯(lián)云通提供先進集公有云和企業(yè)私有云為一體的八云服務，為客戶打造靈活多樣、高效節(jié)約的新一代信息化解決方案。公司理念：技術創(chuàng)造價值 開放贏得市場OpenConvenientTech開放的云應用發(fā)布平臺。開放的技術接口。開放的運營模式。開放的合作模式。開放式資源獲取。最方便的應用發(fā)布方式。最方便的應用使用途徑。最方便的使用體驗。最方便的客戶定制。最快速的雙向應用發(fā)布。領先應用層解析專利技術。高性能IaaS云平臺RVM。電信級別的線上并發(fā)容量。標準云計算開放應用平臺接口。雙向應用發(fā)布整合。公司概況信聯(lián)云通公司主要方向是

2、應用云平臺服務和云安全服務。信公司業(yè)務主營業(yè)務安全服務資源虛擬化企業(yè)私有云公有云平臺安全審計安全接入服務監(jiān)控日志審計內(nèi)容審計云服務監(jiān)管安全接入身份管理公司業(yè)務主營業(yè)務安全服務資源虛擬化企業(yè)私有云公有云平臺安全審目錄什么是日志審計？為什么需要日志審計？NAR2日志審計可以解決什么問題？NAR2日志審計系統(tǒng)介紹NAR2日志審計系統(tǒng)目標用戶群NAR2日志審計系統(tǒng)產(chǎn)品選型目錄什么是日志審計？日志審計是將應用系統(tǒng)、安全設備、網(wǎng)絡設備、操作系統(tǒng)、以及各種服務器等產(chǎn)生的日志通過多種的方式收集并加工的過程。通過日志審計可以監(jiān)控異常訪問、進行流量統(tǒng)計分析、生成調(diào)研報告、記錄分析各種網(wǎng)絡可疑行為、違規(guī)操作、敏感信

3、息，協(xié)助定位安全事件源頭和調(diào)查取證、防范和發(fā)現(xiàn)計算機網(wǎng)絡犯罪活動，為信息系統(tǒng)安全策略制定、風險內(nèi)控提供有力的數(shù)據(jù)支撐。 什么是日志審計？日志審計是將應用系統(tǒng)、安全設備、網(wǎng)絡設備、操作系統(tǒng)、以及各目錄什么是日志審計？為什么需要日志審計？NAR2日志審計可以解決什么問題？NAR2日志審計系統(tǒng)介紹NAR2日志審計系統(tǒng)目標用戶群NAR2日志審計系統(tǒng)產(chǎn)品選型目錄什么是日志審計？為什么需要日志審計？信息系統(tǒng)安全等級化保護基本要求二級以上ISO27001:2005 4.3.3小節(jié)、 ISO17799:2005 10.10小節(jié)商業(yè)銀行內(nèi)部控制指引第一百二十六條銀行業(yè)金融機構信息系統(tǒng)風險管理指引第四十六條證券公

4、司內(nèi)部控制指引第一百一十七條互聯(lián)網(wǎng)安全保護技術措施規(guī)定第八條薩班斯（SOX）法案第404款企業(yè)內(nèi)部控制基本規(guī)范7國家和行業(yè)法律法規(guī)都有安全審計的要求！為什么需要日志審計？信息系統(tǒng)安全等級化保護基本要求二級以為什么需要日志審計？8項目等級保護第三級安全審計具體要求7.1 技術要求7.1.2 網(wǎng)絡安全 安全審計（G3）a) 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；b) 審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；d) 應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。 入侵

5、防范（G3）b) 當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應提供報警。7.1.3 主機安全 安全審計（G3）a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關事件；c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等； d) 應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；e) 應保護審計進程，避免受到未預期的中斷；f) 應保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。7.1.4 應用安全 安全審計（G3）a) 應

6、提供覆蓋到每個用戶的安全審計功能，對應用系統(tǒng)重要安全事件進行審計；c) 審計記錄的內(nèi)容至少應包括事件的日期、時間、發(fā)起者信息、類型、描述和結果等；d) 應提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。7.2 管理要求7.2.5 系統(tǒng)運維管理 監(jiān)控管理和安全管理中心（G3）a) 應對通信線路、主機、網(wǎng)絡設備和應用軟件的運行狀況、網(wǎng)絡流量、用戶行為等進行監(jiān)測和報警，形成記錄并妥善保存b) 應組織相關人員定期對監(jiān)測和報警記錄進行分析、評審，發(fā)現(xiàn)可疑行為，形成分析報告，并采取必要的應對措施；c) 應建立安全管理中心，對設備狀態(tài)、惡意代碼、補丁升級、安全審計等安全相關事項進行集中管理。為什

7、么需要日志審計？10項目等級保護第三級安全審計具體要求79為什么需要日志審計？用戶各系統(tǒng)設備，應用系統(tǒng)運行是否正常呢？發(fā)生安全事件時，有足夠的證據(jù)提供分析么？能準確定位安全事件責任么？維護人員是否都按照規(guī)定進行操作？如何發(fā)現(xiàn)和告警違規(guī)操作？維護人員權限如何細粒度準確控制？第三方維護情況普遍存在，如果監(jiān)督和控制這些人的行為？如風險評估的過程是否可靠？我的信息安全體系建設是否能夠滿足相關規(guī)范要求呢？等等問題。11為什么需要日志審計？用戶各系統(tǒng)設備，應用系統(tǒng)運行是否正常10為什么需要日志審計？需求1. 怎樣通過集中的日志定位全全問題？2. 怎樣通過快速的日志查詢分析安全問題？3. 怎樣通過全全告警功

8、能及時監(jiān)控系統(tǒng)故障？4. 怎樣通過自動化縮減故障排查時間和業(yè)務中斷時間問題？5. 怎樣通過全面的日志和報警，保障IT的業(yè)務連續(xù)性？6. 怎樣能快速準確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)？7. 怎樣通過交互的操作界面和全面的報表功能提升IT服務能力？8. 怎樣通過完整的IT日志解決方案提高企業(yè)IT管理水平？12為什么需要日志審計？需求1. 怎樣通過集中的日志定位全全目錄什么是日志審計？為什么需要日志審計？NAR2日志審計可以解決什么問題？NAR2日志審計系統(tǒng)介紹NAR2日志審計系統(tǒng)目標用戶群NAR2日志審計系統(tǒng)產(chǎn)品選型目錄什么是日志審計？NAR2日志審計可以解決什么問題通過NAR2日志審計系統(tǒng)的

9、建設，為用戶的信息系統(tǒng)建立全面的風險管理和內(nèi)控體系提供必要的支撐。通過NAR2日志審計系統(tǒng)建設，為用戶的信息系統(tǒng)快速定位全網(wǎng)發(fā)生問題。通過NAR2日志審計系統(tǒng)建設，日志審計的安全告警功能及時監(jiān)控系統(tǒng)為用戶的信息系統(tǒng)及時發(fā)現(xiàn)故障及異常。通過NAR2日志審計系統(tǒng)建設，通過自動化的日志審計系統(tǒng)為用戶的信息系統(tǒng)縮減故障排查時間和業(yè)務中斷時間。NAR2日志審計可以解決什么問題通過NAR2日志審計系統(tǒng)的建NAR2日志審計可以解決什么問題通過NAR2日志審計系統(tǒng)建設，為用戶的信息系統(tǒng)能快速準確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)證據(jù)，規(guī)避日志信息分散存儲的風險。通過NAR2日志審計系統(tǒng)，提升用戶的信息系統(tǒng)日常

10、安全運維的水平，實現(xiàn)信息系統(tǒng)IT計算環(huán)境日志信息的集中管理，全面掌握IT計算環(huán)境運行過程中出現(xiàn)的隱患。NAR2日志審計可以解決什么問題通過NAR2日志審計系統(tǒng)建設目錄什么是日志審計？為什么需要日志審計？NAR2日志審計可以解決什么問題？NAR2日志審計系統(tǒng)介紹NAR2日志審計系統(tǒng)目標用戶群NAR2日志審計系統(tǒng)產(chǎn)品選型目錄什么是日志審計？全面采集硬件設備、操作系統(tǒng)、應用系統(tǒng)日志及自定義文本格式日志等基于海量日志高效檢索引擎提供實時日志統(tǒng)分析提供實時的各類型日志列表提供全面日志格式的標準化提供日志的實時分析和報警提供豐富的合規(guī)報表和自定義報表 NAR2日志審計系統(tǒng)介紹產(chǎn)品特點全面采集硬件設備、操作

11、系統(tǒng)、應用系統(tǒng)日志及自定義文本格式日志記錄檢索設備日志審計應用系統(tǒng)審計操作系統(tǒng)審計日志流量審計合規(guī)報警審計報表實時分析實時采集實時存儲NAR2日志綜合審計系統(tǒng)介紹產(chǎn)品功能NAR2記錄檢索設備日志審計應用系統(tǒng)審計操作系統(tǒng)審計日志流量審計合規(guī)NAR2操作系統(tǒng)應用系統(tǒng)網(wǎng)絡設備應用軟件數(shù)據(jù)庫操作NAR2日志綜合審計系統(tǒng)介紹日志對象NAR2操作系統(tǒng)應用系統(tǒng)網(wǎng)絡設備應用軟件數(shù)據(jù)庫操作NAR2日日志的采集日志的分析與格式化日志的審計和報表日志審計簡要流程如下NAR2日志審計系統(tǒng)介紹日志審計簡要流程如下NAR2日志審計系統(tǒng)介紹NAR2日志審計系統(tǒng)介紹物理機物理機物理機物理機虛擬機公網(wǎng)服務NAR2日至采集分析與

12、格式化審計與報表FileAgentSyslogDB審計流程NAR2日志審計系統(tǒng)介紹物理機物理機物理機物理機虛擬機公網(wǎng)服NAR2日志審計第一步：日志采集跨平臺采集日志（Windows,Linux,服務器，交換機）日志采集方式多樣支持原始日志的保存存儲高效優(yōu)化多種檢索查詢功能，可組合使用采集過程中的過濾功能，優(yōu)化采集效率NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第一步：日志采集跨平臺采集日志（Window操作系統(tǒng)WindowsLinuxAIXSunOSHP-UXBSD網(wǎng)絡設備路由器交換機負載均衡代理設備.安全設備防火墻IDS/IPSUTMVPN防毒墻郵件網(wǎng)關數(shù)據(jù)庫訪問OracleMSSQLInf

13、ormixSybaseDB2Mysql上網(wǎng)行為網(wǎng)頁瀏覽文件傳輸郵件收發(fā)IM聊天BT下載WEB郵件BBS發(fā)帖其他應用系統(tǒng)WEB ServerMail ServerFTP Server中間件系統(tǒng)業(yè)務系統(tǒng).日志文件或采集器采集網(wǎng)絡抓包分析采集日志協(xié)議、專用協(xié)議采集，如syslog、snmp協(xié)議等NAR2日志綜合審計系統(tǒng)NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第一步：日志采集方式操作系統(tǒng)Windows網(wǎng)絡設備路由器安全設備防火墻數(shù)據(jù)庫訪問NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第二步：日志分析與格式化NAR2專有存儲格式對字段進行字典配置，降低對審計員的技術要求報警規(guī)則配置格式化，支持郵件/短

14、信報警格式化能夠優(yōu)化系統(tǒng)處理性能格式化將日志分為標準字段，如時間、來源、動作、結果、級別等字段格式化數(shù)據(jù)所生成的報表一目了然格式化數(shù)據(jù)方便檢索NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第二步：日志分析AAA格式化處理第三方應用NAR2 log時間地址對象操作結果等級信息NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第二步：日志分析與格式化AAA格式化處理第三方應用NAR2 log時間地址對象操作結NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第三步：審計和報表日志檢索NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第三步：審計和報NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第三步：審計和報表柱狀圖N

15、AR2日志綜合審計系統(tǒng)介紹NAR2日志審計第三步：審計和報NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第三步：審計和報表餅狀圖NAR2日志綜合審計系統(tǒng)介紹NAR2日志審計第三步：審計和報預定義日志類型NAR2日志綜合審計系統(tǒng)介紹預定義日志類型NAR2日志綜合審計系統(tǒng)介紹自定義日志類型NAR2日志綜合審計系統(tǒng)介紹1.除了預定義日志類型外，NAR2也支持自定義日志類型2.自定義日志類型能夠處理90%以上的非標準日志自定義日志類型NAR2日志綜合審計系統(tǒng)介紹1.除了預定義日志日志收集方式NAR2日志綜合審計系統(tǒng)介紹日志收集方式NAR2日志綜合審計系統(tǒng)介紹日志導入規(guī)則NAR2日志綜合審計系統(tǒng)介紹日志導

16、入規(guī)則NAR2日志綜合審計系統(tǒng)介紹三種報警方式NAR2日志綜合審計系統(tǒng)介紹1.Syslog報警方式2.郵件報警方式3.手機短信報警方式三種報警方式NAR2日志綜合審計系統(tǒng)介紹1.Syslog報警NAR2日志綜合審計系統(tǒng)介紹報警規(guī)則1.報警規(guī)則可以添加多條2.不同的日志類型，報警規(guī)則內(nèi)容也不同規(guī)則庫過濾分類報警NAR2日志綜合審計系統(tǒng)介紹報警規(guī)則1.報警規(guī)則可以添加多條目錄什么是日志審計？為什么需要日志審計？NAR2日志審計可以解決什么問題？NAR2日志審計系統(tǒng)介紹NAR2日志審計系統(tǒng)目標用戶群NAR2日志審計系統(tǒng)產(chǎn)品選型目錄什么是日志審計？政府國家大力發(fā)展電子政務（日志審計）電子政務的內(nèi)網(wǎng)和專

17、網(wǎng)上存儲著許多重要或敏感的數(shù)據(jù)，運行著重要的應用，電子政務網(wǎng)的特殊運行環(huán)境，要求它既要保證高強度的安全，又要通過互聯(lián)網(wǎng)與民眾方便地交換信息，信息安全審計在電子政務建設中的廣泛應用是必然的 。大型運營企業(yè)復雜業(yè)務的監(jiān)管和數(shù)據(jù)挖掘（日志審計）移動運營商，電子商務運營商，石油石化等，均需要對內(nèi)部龐大的復雜數(shù)據(jù)服務進行審計，既符合業(yè)務發(fā)展需要，又符合國家要求的業(yè)務監(jiān)管可追溯需要，更能夠提供詳細的服務報表，定位業(yè)務需求。公安、保密局等級保護 （日志，內(nèi)容審計）公安系統(tǒng)的印章系統(tǒng)、派出所身份證制作系統(tǒng)、移動警務系統(tǒng)、視頻監(jiān)控系統(tǒng)、車檢所系統(tǒng)、GPS定位系統(tǒng)、內(nèi)外數(shù)據(jù)交換機大平臺、公檢法綜合信息系統(tǒng)等。金融機構，銀行等必須存在的業(yè)務需求。NAR2日志審計系統(tǒng)目標用戶群政府國家大力發(fā)展電子政務（日志審計）NAR2日志審計系統(tǒng)目中國移動中國石油外國語大學北車集團多省市公安廳安瑞外交部科技部下屬企業(yè)。35典型用戶中國移動37典型用戶目錄什么是日志審計？為什么需要日志審計？NAR2日志審計可以解決什么問題？NAR2日志審計系統(tǒng)介紹NAR2日志審計系統(tǒng)