BIT84網(wǎng)絡(luò)信息系統(tǒng)安全體系-綜合審計(jì)系統(tǒng).ppt

1、綜合IT系統(tǒng)運(yùn)維審計(jì)解決方案,企業(yè)審計(jì)要求審計(jì)要求,企業(yè)審計(jì)要求AMS對(duì)主機(jī)系統(tǒng)審計(jì)要求及滿足,用戶登錄退出報(bào)告(302條款 (a)-(4)-(C) (D) 用戶登錄失敗報(bào)告(302條款 (a)-(4)-(C) (D) 特定文件、目錄訪問報(bào)告 系統(tǒng)開機(jī)/關(guān)機(jī)報(bào)告 系統(tǒng)時(shí)間修改報(bào)告 系統(tǒng)日志修改報(bào)告 系統(tǒng)遠(yuǎn)程登錄報(bào)告 系統(tǒng)帳號(hào)管理操作跟蹤 (302條款 (a)-(6) 審計(jì)策略變更跟蹤(302條款 (a)-(5) 用戶認(rèn)證成功/失敗報(bào)告 應(yīng)用訪問報(bào)告(302條款 (a)-(5),產(chǎn)品體系結(jié)構(gòu),產(chǎn)品結(jié)構(gòu)說明,數(shù)據(jù)接口層 數(shù)據(jù)接口層實(shí)現(xiàn)審計(jì)數(shù)據(jù)的采集及標(biāo)準(zhǔn)化，同時(shí)還可以完成與其它日志系統(tǒng)的日志傳輸及

2、結(jié)核。 核心業(yè)務(wù)層 實(shí)現(xiàn)數(shù)據(jù)的綜合分析和關(guān)聯(lián)分析，生成各種審計(jì)報(bào)表。還提供日志的維護(hù)管理，和用戶的維護(hù)管理。 展示層 展示層以多種報(bào)告報(bào)表的方式讓用戶能夠從多個(gè)角度清楚的洞察系統(tǒng)的運(yùn)行情況，實(shí)現(xiàn)對(duì)審計(jì)系統(tǒng)的配置管理，實(shí)現(xiàn)綜合審計(jì)和報(bào)表展示。,綜合審計(jì)體系結(jié)構(gòu),數(shù)據(jù)庫(kù)嗅探硬件,URTRAMS日志管理與審計(jì)系統(tǒng),ULTRAMS,DB,堡壘主機(jī)硬件,訪問控制,流量審計(jì),標(biāo)準(zhǔn)日志采集,日志審計(jì),網(wǎng)絡(luò)嗅探硬件,流量審計(jì),集中身份管理系統(tǒng),UltrAMS,Syslog/snmp,Api/jdbc,Api/jdbc,syslog/ Jdbc/api,jdbc,審計(jì) 產(chǎn)品,第三方審計(jì)產(chǎn)品,api/syslog

3、/snmp,產(chǎn)品功能,產(chǎn)品功能系統(tǒng)功能,日志采集 日志來源 數(shù)據(jù)標(biāo)準(zhǔn)化過濾歸并壓制 日志審計(jì) 行為審計(jì) 關(guān)聯(lián)分析審計(jì) 基于用戶實(shí)體的行為審計(jì) 實(shí)時(shí)監(jiān)控 事件響應(yīng) 操作阻斷 審計(jì)報(bào)表 系統(tǒng)管理 用戶管理 用戶角色權(quán)限管理 對(duì)象管理 采集調(diào)度管理 數(shù)據(jù)備份管理 系統(tǒng)日志管理 系統(tǒng)分級(jí)管理,日志采集審計(jì)日志來源,應(yīng)用系統(tǒng)日志 業(yè)務(wù)系統(tǒng) 應(yīng)用服務(wù) 標(biāo)準(zhǔn)日志 系統(tǒng)日志文件 安全設(shè)備 網(wǎng)絡(luò)設(shè)備 網(wǎng)絡(luò)流量的日志 網(wǎng)絡(luò)嗅探 外部系統(tǒng)日志（4A） 集中用戶管理日志 集中認(rèn)證日志 集中授權(quán)日志 訪問控制日志 單點(diǎn)登錄系統(tǒng) 堡壘主機(jī)日志,日志采集全面的獲取技術(shù),1）面向文件型收集器，F(xiàn)ilestream Colle

4、ctor，提供通用系統(tǒng)格式模板庫(kù)，支持自定義，配合通用文件采集Agent,部署分客戶端安裝和外置模式 2）面向協(xié)議型收集器，Event Collector，提供常見協(xié)議的支持，如Syslog、Snmp Trap、Opsec Lea等，少量可AMS主機(jī)內(nèi)置 3）網(wǎng)絡(luò)嗅探器，Network Sensor，通過旁路監(jiān)聽方式，網(wǎng)絡(luò)協(xié)議還原獲取 4）數(shù)據(jù)庫(kù)嗅探器，DB Sensor，通過旁路監(jiān)聽方式，數(shù)據(jù)庫(kù)訪問協(xié)議還原獲取 5）特殊探測(cè)器，Agent，為特殊目的一般安裝在主機(jī)上的探測(cè)軟件，如針對(duì)UNIX主機(jī)操作、Windows系統(tǒng)Eventlog及其它操作運(yùn)行信息,主機(jī)系統(tǒng)審計(jì),主機(jī)系統(tǒng)審計(jì),主機(jī)系統(tǒng)審

5、計(jì)安全設(shè)備,網(wǎng)絡(luò)事件審計(jì)網(wǎng)絡(luò)行為,網(wǎng)絡(luò)事件審計(jì)數(shù)據(jù)庫(kù),設(shè)備支持列表,行為審計(jì)是審計(jì)內(nèi)容的重點(diǎn),通過各種技術(shù)手段獲得使用者對(duì)信息系統(tǒng)各部分的操作活動(dòng)記錄。,主機(jī)行為 操作系統(tǒng)層對(duì)用戶的操作行為跟蹤 網(wǎng)絡(luò)行為 網(wǎng)絡(luò)訪問行為，http、ftp、smtp/pop、telnet、msn、bt 數(shù)據(jù)庫(kù)行為 主流關(guān)系型數(shù)據(jù)庫(kù)（Oracle/DB2/Mssql/Sybase/Informix等）的SQL操作行為 應(yīng)用行為 WEB和中間件服務(wù)器的訪問，應(yīng)用軟件系統(tǒng)自身的操作記錄,關(guān)聯(lián)分析審計(jì),操作行為關(guān)聯(lián)審計(jì) 能夠?qū)⑾到y(tǒng)層的日志、數(shù)據(jù)庫(kù)日志、應(yīng)用層的日志及網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相互關(guān)聯(lián)，再現(xiàn)用戶的操作過程，能夠再現(xiàn)所有關(guān)

6、鍵系統(tǒng)數(shù)據(jù)的訪問、修改和刪除等。 能夠?qū)Σ灰?guī)則或頻繁出現(xiàn)的事件能進(jìn)行統(tǒng)計(jì)分析、過濾和事件聚合等。 能夠支持自定義的安全事件，能檢測(cè)自定義的安全事件。 能夠提供自定義匹配模式便于查詢。 事件關(guān)聯(lián)審計(jì) 能夠?qū)⑾到y(tǒng)層的日志、數(shù)據(jù)庫(kù)日志、中間層、應(yīng)用層的日志、網(wǎng)絡(luò)數(shù)據(jù)和用戶關(guān)聯(lián)起來，并能夠區(qū)分不同用戶行為，并且將所有事件聚合為對(duì)同一用戶的事件關(guān)聯(lián)審計(jì)。 基于網(wǎng)絡(luò)實(shí)名的審計(jì) 系統(tǒng)通過與身份管理系統(tǒng)的結(jié)合，將某個(gè)賬號(hào)的操作行為與自然人關(guān)聯(lián)，實(shí)現(xiàn)基于網(wǎng)絡(luò)實(shí)名的行為審計(jì)； 能夠?qū)χ鳈C(jī)，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫(kù)的所有用戶指令操作的記錄；,高危行為審計(jì),能夠?qū)σ韵聰?shù)據(jù)庫(kù)高危操作進(jìn)行審計(jì)包括：數(shù)據(jù)庫(kù)表的刪除、關(guān)鍵數(shù)據(jù)項(xiàng)的修

7、改及刪除等。 能夠?qū)σ韵聭?yīng)用層高危操作進(jìn)行審計(jì)包括：用戶數(shù)據(jù)的修改、關(guān)鍵業(yè)務(wù)系統(tǒng)配置的修改。 能夠?qū)σ韵赂呶２僮鬟M(jìn)行審計(jì)包括：用戶越權(quán)訪問、用戶權(quán)限升級(jí)、更改口令、新建用戶、非正常時(shí)間登陸、多次錯(cuò)誤登陸、審計(jì)策略更改和其他異常事件。 能夠?qū)σ韵孪到y(tǒng)層高危操作進(jìn)行審計(jì)包括：系統(tǒng)文件刪除、系統(tǒng)文件的修改、系統(tǒng)文件屬性修改、格式化磁盤、操作服務(wù)端口開啟、啟動(dòng)后臺(tái)進(jìn)程和運(yùn)行可執(zhí)行文件等。,實(shí)時(shí)規(guī)則庫(kù)結(jié)合 自定義實(shí)時(shí)規(guī)則 支持多種告警方式 郵件 短信 聲音 發(fā)送SYSLOG等 支持工單接口 發(fā)送工單 狀態(tài)跟蹤 行為阻斷 防火墻聯(lián)動(dòng) 堡壘主機(jī) 應(yīng)用代理,日志分析和響應(yīng),磚取方式的報(bào)表展示,展示：用戶選擇好

8、縱維和橫維后，展示區(qū)中顯示的內(nèi)容，即為基本的展示單元或報(bào)表單元（參考詳細(xì)分類報(bào)表），用戶可點(diǎn)擊縱維或橫維來展某一分類進(jìn)行鉆取查看。用戶也可以直接點(diǎn)擊數(shù)據(jù)字段查看某組事件。 縱軸：按照從整體通過地域或業(yè)務(wù)系統(tǒng)兩種途徑精確到IP（人員）。用戶可以點(diǎn)擊總體一直進(jìn)入某個(gè)具體的IP地址； 橫軸：按照多種事件分類方法（事件源特點(diǎn)、級(jí)別特點(diǎn)、事件分類）；用戶通過任一途徑逐級(jí)定位到具體事件細(xì)節(jié)；,審計(jì)報(bào)表報(bào)表前轉(zhuǎn),報(bào)表前轉(zhuǎn)主要包括兩個(gè)方面：前轉(zhuǎn)到工單和自動(dòng)郵件發(fā)送。 前轉(zhuǎn)到工單：能將報(bào)表通過已有的電子工單系統(tǒng)進(jìn)行發(fā)送和處理 自動(dòng)郵件發(fā)送：報(bào)表生成后，系統(tǒng)能自動(dòng)將生成的報(bào)表發(fā)送到指定的郵箱,產(chǎn)品功能報(bào)表分類（1

9、）,總體狀態(tài)報(bào)表 此類報(bào)告主要面向管理層，便于管理層把握全局業(yè)務(wù)狀態(tài)，方便安全運(yùn)維決策，要求能直觀的進(jìn)行各種操作，并能對(duì)報(bào)表進(jìn)行多種層面的預(yù)定義。報(bào)表支持導(dǎo)航功能，支持個(gè)性化報(bào)表和個(gè)性化報(bào)表菜單，能將本期總體狀態(tài)分析數(shù)據(jù)和上期（或其他）數(shù)據(jù)進(jìn)行對(duì)比分析，并且能將分析結(jié)果通過詳細(xì)狀況分析統(tǒng)計(jì)進(jìn)行定位。 審計(jì)分析平臺(tái)能直觀的查看各業(yè)務(wù)系統(tǒng)、服務(wù)器、終端、人員、安全和網(wǎng)絡(luò)狀態(tài)，并且能通過總體狀態(tài)報(bào)告，以鉆取的方式定位到各種詳細(xì)以及趨勢(shì)報(bào)告，并能將出現(xiàn)的威脅、風(fēng)險(xiǎn)或者操作與終端或者人員相對(duì)應(yīng)。 統(tǒng)計(jì)趨勢(shì)報(bào)表 統(tǒng)計(jì)趨勢(shì)分析統(tǒng)計(jì)，此類報(bào)告主要面向管理層，把握全局業(yè)務(wù)狀態(tài)。要求能將與業(yè)務(wù)相關(guān)的各種風(fēng)險(xiǎn)以及事

10、件的趨勢(shì)進(jìn)行統(tǒng)計(jì)，能通過各個(gè)部門或地域來進(jìn)行統(tǒng)計(jì)分析。 詳細(xì)分類報(bào)表 詳細(xì)狀況分析統(tǒng)計(jì)，此類報(bào)告主要面向技術(shù)層。要求能將各種與業(yè)務(wù)相關(guān)聯(lián)的數(shù)據(jù)進(jìn)行分析統(tǒng)計(jì)，定位系統(tǒng)故障。此類報(bào)表必須能支持?jǐn)?shù)據(jù)的鉆取和切片。要求支持對(duì)多種不同類別數(shù)據(jù)源的數(shù)據(jù)進(jìn)行關(guān)聯(lián)和綜合分析、統(tǒng)計(jì)。,產(chǎn)品功能報(bào)表分類（2）,總體狀態(tài)報(bào)表 主機(jī)設(shè)備（Windows、UNIX） 網(wǎng)絡(luò)設(shè)備（交換機(jī)、路由器） 安全設(shè)備（防火墻、入侵檢測(cè)、防病毒） 應(yīng)用系統(tǒng)（郵件、web/http、msn） 統(tǒng)計(jì)趨勢(shì)報(bào)表 趨勢(shì)統(tǒng)計(jì)時(shí)間單位可以是：小時(shí)、天、星期、月、季、年； 按照總體、業(yè)務(wù)、部門、地域生成趨勢(shì)統(tǒng)計(jì)統(tǒng)計(jì)； 按照事件源、事件特征生成趨勢(shì)統(tǒng)計(jì)分析表； 詳細(xì)分類報(bào)表 按照事件源、事件特征產(chǎn)生報(bào)表； 靈活的查詢報(bào)表 會(huì)話（帳號(hào)實(shí)體）報(bào)表 應(yīng)用報(bào)表,查詢報(bào)表TELNET會(huì)話查詢報(bào)表,審計(jì)報(bào)表數(shù)據(jù)庫(kù)會(huì)話審計(jì)報(bào)表,日志的存儲(chǔ)管理,高可靠的數(shù)據(jù)管理 采用RAID 5磁盤陣列，支持高效壓縮的日志存儲(chǔ)（壓縮比20:1） 支持手工原始數(shù)據(jù)批量導(dǎo)入 支持定期和自定義的自動(dòng)歸檔，歸檔文件可下載 支持歸檔數(shù)據(jù)恢復(fù) 支持外部存儲(chǔ)設(shè)備，如磁盤陣列柜、NAS 高效數(shù)據(jù)檢索引擎,存儲(chǔ)和檢索,系統(tǒng)自身安全保障,內(nèi)部通訊檢查機(jī)制 內(nèi)置安全防火墻 128位加密傳輸 緩沖區(qū)設(shè)計(jì) 管理界面與其他功能模塊分離 合理的權(quán)限管理 所需即所見,系統(tǒng)自身