日志综合审计系统v.ppt

《日志综合审计系统v.ppt》由会员分享，可在线阅读，更多相关《日志综合审计系统v.ppt（45页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、思福迪产品介绍思福迪信息技术有限公司LogBase 日志综合审计系统第一页，编辑于星期五：九点 五十一分。公司概况 思福迪公司（SAFETYBASE INFORMATION TECHNOLOGY CO.,LTD）是国内信息安全审计与IT内控管理的领先厂商，成立于2005年2月，总部和研发中心设立在杭州，在北京、上海、武汉、福建等地设有分支机构。公司理念：安全创造价值 资质荣誉：u ISCCC信息安全服务资质二级认证u 国家计算机网络应急技术处理协调中心省级应急服务支撑单位u 全国安全防范报警系统标准化技术委员会通讯委员单位u 国家信息安全服务一级资质u 军用信息安全产品认证资质第二页，编辑于星

2、期五：九点 五十一分。公司业务安全产品 安全服务第三页，编辑于星期五：九点 五十一分。典型客户第四页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司主题 什么是信息安全审计？为什么需要信息安全审计？LogBase日志综合审计可以为用户解决什么问题？LogBase日志综合审计系统介绍LogBase日志综合审计系统目标用户群 LogBase日志综合审计系统产品选型第五页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司 信息安全审计是评判一个信息系统是否真正安全的重要标信息安全审计是评判一个信息系统是否真正安全的重要标准之一。通过安全审计收集、分析、评估安全信息、掌握安全准之一。通过安全

3、审计收集、分析、评估安全信息、掌握安全状态，制定安全策略，确保整个安全体系的完备性、合理性和状态，制定安全策略，确保整个安全体系的完备性、合理性和适用性，才能将系统调整到适用性，才能将系统调整到“最安全最安全”和和“最低风险最低风险”的状态。的状态。安全审计已成为企业内控、信息系统安全风险控制等不可或缺安全审计已成为企业内控、信息系统安全风险控制等不可或缺的关键手段，也是威慑、打击内部计算机犯罪的重要手段。的关键手段，也是威慑、打击内部计算机犯罪的重要手段。什么是信息安全审计？第六页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司 在国际通用的在国际通用的CCCC准则（即准则（即ISO/

4、IEC15408-2:1999ISO/IEC15408-2:1999信息技信息技术安全性评估准则术安全性评估准则）中对信息系统安全审计（ISSAISSA，Information System Security AuditInformation System Security Audit）给出了明确定义：信息系统）给出了明确定义：信息系统安全审计主要指对与安全有关的活动的相关信息进行识别、记安全审计主要指对与安全有关的活动的相关信息进行识别、记录、存储和分析；审计记录的结果用于检查网络上发生了哪些录、存储和分析；审计记录的结果用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责

5、；主要功与安全有关的活动，谁（哪个用户）对这个活动负责；主要功能包括：安全审计自动响应、安全审计数据生成、安全审计分能包括：安全审计自动响应、安全审计数据生成、安全审计分析、安全审计浏览、安全审计事件选择、安全审计事件存储等。析、安全审计浏览、安全审计事件选择、安全审计事件存储等。什么是信息安全审计？第七页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司 通俗来讲，信息安全审计就是信息网络中的通俗来讲，信息安全审计就是信息网络中的“监控摄像监控摄像头头”，通过运用各种技术手段，洞察网络信息系统中的活动，通过运用各种技术手段，洞察网络信息系统中的活动，全面监测信息系统中的各种会话和事件，记

6、录分析各种网络全面监测信息系统中的各种会话和事件，记录分析各种网络可疑行为、违规操作、敏感信息，帮助定位安全事件源头和可疑行为、违规操作、敏感信息，帮助定位安全事件源头和追查取证，防范和发现计算机网络犯罪活动，为信息系统安追查取证，防范和发现计算机网络犯罪活动，为信息系统安全策略制定、风险内控提供有力的数据支撑。全策略制定、风险内控提供有力的数据支撑。什么是信息安全审计？第八页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司主题 什么是信息安全审计？为什么需要信息安全审计？LogBase日志综合审计可以为用户解决什么问题？LogBase日志综合审计系统介绍 LogBase日志综合审计系统

7、目标用户群 LogBase日志综合审计系统产品选型第九页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司为什么需要信息安全审计？信息系统安全等级化保护基本要求二级以上ISO27001:2005 4.3.3小节、ISO17799:2005 10.10小节商业银行内部控制指引第一百二十六条银行业金融机构信息系统风险管理指引第四十六条证券公司内部控制指引第一百一十七条互联网安全保护技术措施规定第八条萨班斯（SOX）法案第404款国家和行业法律法规都有安全审计的要求！企业内部控制基本规范10第十页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司项目 等级保护第三级安全审计具体要求7.1技术

8、要求7.1.2网络安全7.1.2.3安全审计（G3）a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b)审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。7.1.2.5入侵防范（G3）b)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。7.1.3主机安全7.1.3.3安全审计（G3）a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b)审计内容应包括重要用

9、户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；d)应能够根据记录数据进行分析，并生成审计报表；e)应保护审计进程，避免受到未预期的中断；f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。7.1.4应用安全7.1.4.3安全审计（G3）a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等；d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。7.2管理要求7.2.5系统运维管理7.2.5

10、.5监控管理和安全管理中心（G3）a)应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存b)应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；c)应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。为什么需要信息安全审计？第十一页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司 全国人大常委会在今年 全国人大常委会在今年2 2月 月28 28日通过了刑法修正案 日通过了刑法修正案(七 七)的表决，并且从 的表决，并且从颁布之日起实施。刑法修正案 颁布

11、之日起实施。刑法修正案(七 七)第二百五十三条规定：第二百五十三条规定：国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公 违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下 民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。有期徒刑或者拘役，并处或者单处罚金。窃取、收买或者以其他方法非法获取上述信息，情节严重的，依 窃取、收买或者以其他方法非法获取上述信息，情节

12、严重的，依照前款的规定处罚。照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员 单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各相应条款的规定处罚。和其他直接责任人员，依照各相应条款的规定处罚。为什么需要信息安全审计？第十二页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司为什么需要信息安全审计？1.一旦用户单位采用的防御体系被突破怎么办？至少我们必须知道系统是怎样遭到攻击的，怎么才能恢复系统，此外我们还要知道系统存在什么漏洞，如何能使系统在受到攻击进有所察觉，如何获取攻击者留下的证据？2.用户各系统设备，应用系统运行是否正常

13、呢？3.发生安全事件时，有足够的证据提供分析么？能准确定位安全事件责任么？4.维护人员是否都按照规定进行操作？5.如何发现和告警违规操作？6.维护人员权限如何细粒度准确控制？7.第三方维护情况普遍存在，如果监督和控制这些人的行为？8.如风险评估的过程是否可靠？9.我的信息安全体系建设是否能够满足相关规范要求呢？等等问题。第十三页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司为什么需要信息安全审计？1.怎样通过集中的日志定位全全问题？2.怎样通过快速的日志查询分析安全问题？3.怎样通过全全告警功能及时监控系统故障？4.怎样通过自动化的日志系统缩减故障排查时间和业务中断时间问题？5.怎样通

14、过全面的日志收集和安全告警，保障IT系统的业务连续性问题？6.怎样能快速准确地为安全调查和司法取证提供有力数据？7.怎样通过交互的操作界面和全面的报表功能提升IT服务能力？8.怎样通过完整的IT日志解决方案提高企业IT管理水平？第十四页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司主题什么是信息安全审计？为什么需要信息安全审计？LogBase日志综合审计可以为用户解决什么问题？LogBase日志综合审计系统介绍 LogBase日志综合审计系统目标用户群LogBase日志综合审计系统产品选型第十五页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司LogBase 日志综合审计可以为用

15、户解决什么问题1.通过LogBase日志审计系统建设，用户的信息系统能够落实信息系统安全等级化保护基本要求、ISO27001:2005、企业内部控制基本规范和萨班斯（SOX）法案中有关安全审计控制点及日志和事件存储的要求，积累信息系统安全等级保护工作经验。2.通过LogBase日志审计系统的建设，为用户的信息系统建立全面的风险管理和内控体系提供必要的支撑。3.通过LogBase日志审计系统建设，为用户的信息系统快速定位全网发生问题。4.通过LogBase日志审计系统建设，为用户的信息系统快速的日志查询分析呈现网中发生安全问题。第十六页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司Log

16、Base 日志综合审计可以为用户解决什么问题5.通过LogBase日志审计系统建设，日志审计的安全告警功能及时监控系统为用户的信息系统发现设备故障。6.通过LogBase日志审计系统建设，通过自动化的日志审计系统为用户的信息系统缩减故障排查时间和业务中断时间。7.通过LogBase日志审计系统建设，通过全面的日志收集和安全告警，为用户的信息系统保障IT系统的业务连续性问题。8.通过LogBase日志审计系统建设，为用户的信息系统能快速准确地为安全调查和司法取证提供有力数据证据。第十七页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司LogBase 日志综合审计可以为用户解决什么问题9.通

17、过LogBase日志审计系统的建设，用户的信息系统能够进一步完善信息安全保障体系，改变针对事中及事后的安全防护设施建设较弱的现状，为落实各项监管机构及内部检查提供技术支撑手段，不断完善信息安全管理办法，提高信息安全管理水平。10.通过LogBase日志审计系统，提升用户的信息系统日常安全运维的水平，实现信息系统IT计算环境日志信息的集中管理，全面掌握IT计算环境运行过程中出现的隐患，通过安全事件报警和日志报表的方式，在运维人员有限的条件下，有效地把握运维工作的重点，进一步增强系统安全运维工作的主动性，更好地保障系统的正常运行。同时，有效规避日志信息分散存储存在的非法删除风险，确保安全事故处置的

18、取证工作。第十八页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司主题什么是信息安全审计？为什么需要信息安全审计？LogBase日志综合审计可以为用户解决什么问题？LogBase日志综合审计系统介绍 LogBase日志综合审计系统目标用户群LogBase日志综合审计系统产品选型第十九页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司全面采集硬件设备、操作系统、应用系统日志及自定义文本格式日志等基于海量日志高效检索引擎提供实时日志统分析提供实时的各类型日志列表提供全面日志格式的标准化提供日志的实时关联分析和告警提供丰富的合规报表和自定义报表 LogBase 日志综合审计系统介绍产品特

19、点第二十页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司记录检索设备日志审计数据库审计应用系统审计上网行审计日志流量审计合规报警审计报表实时分析实时采集实时存储LogBase 日志综合审计系统介绍产品功能第二十一页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司Logbase 操作系统应用系统网络设备上网行为数据库操作LogBase 日志综合审计系统介绍日志对象第二十二页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司 采集或捕获 日志收集和管理日志收集和管理 归一化或理解 成熟的日志解释和翻译成熟的日志解释和翻译分析或了解分析或了解 全面的审计和合规性报告全面的审计和合规

20、性报告LogBase 为用户提供专业的日志审计流程LogBase 日志综合审计系统介绍第二十三页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司问题解决第一步：采集或捕获(日志管理)功能：功能：从任何平台安全可靠地捕获日志 从任何平台安全可靠地捕获日志 全面支持原始日志收集和保存 全面支持原始日志收集和保存 将日志保存在经过压缩的高效存储库中 将日志保存在经过压缩的高效存储库中 在需要时可以访问原始数据 在需要时可以访问原始数据 提供所有原始日志中查找关键数据 提供所有原始日志中查找关键数据 通过报告证明对日志进行了全面收集 通过报告证明对日志进行了全面收集成效：集中的自动收集日志可降低

21、成本 随时应对“审计”！实施时间：即插即用LogBase 日志综合审计系统介绍第二十四页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司问题解决第一步：采集或捕获操作系统 Windows Linux AIX SunOS HP-UX BSD网络设备 路由器 交换机 负载均衡 代理设备.安全设备 防火墙 IDS/IPS UTM VPN 防毒墙 邮件网关 数据库访问 Oracle MSSQL Informix Sybase DB2 Mysql上网行为 网页浏览 文件传输 邮件收发 IM聊天 BT下载 WEB邮件 BBS发帖 其他应用系统 WEB Server Mail Server FTP S

22、erver 中间件系统 业务系统.日志文件采集网络抓包分析采集 日志协议、专用协议采集LogBase日志综合审计系统功能：从多种平台安全可靠的采集日志支持原始日志的采集和保存日志采集状态及趋势监控应用效果：保证审计记录的安全性通过状态监控发现系统异常有效降低审计管理成本LogBase 日志综合审计系统介绍第二十五页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司问题解决第二步：归一化（理解）如何理解各种不同格式的日志文件？如何从日志文件中快速寻找到目标人员的做过的动作和行为？LogBase 日志综合审计系统介绍第二十六页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司AAA归一化处

23、理第三方应用Logbaseslas log1.1.将形式各异的日志统一成 将形式各异的日志统一成Logbase Logbase专有日志格式 专有日志格式2.2.通用字段翻译转义，降低对审计员的技术要求 通用字段翻译转义，降低对审计员的技术要求3.3.归一化后更易于阅读、程序处理 归一化后更易于阅读、程序处理时间地址对象操作结果等级信息问题解决第二步：归一化（理解）LogBase 日志综合审计系统介绍第二十七页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司28问题解决第二步：归一化（理解）从翻译中寻找需要的信息LogBase 日志综合审计系统介绍第二十八页，编辑于星期五：九点 五十一分。

24、思福迪信息技术有限公司Who:(哪个用户或者应用造成了事件)What：(该事件代表了哪种动作)When：(事件何时发生的)Where：(事件是在哪个机器上发生的)What：(涉及到哪些对象，文件或者数据库)WhereFrom：(事件起源于哪个机器?)WhereTo：事件的目标是哪个机器?)7W的关系问题解决第二步：归一化（理解）LogBase 日志综合审计系统介绍第二十九页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司问题解决第三步：关联分析（了解）审计的意义在于监督及发现违规的用户行为，特别是特权用户的行为。基于日志内容的关键字过滤，安全事件规则库，自定义敏感事件告警；合规报表展现。

25、LogBase 日志综合审计系统介绍第三十页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司操作系统日志 支持对象 Windows、Linux、AIX、HP-UX、SolarisLogBase 日志综合审计系统介绍第三十一页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司应用系统日志WEB server 中间件FTP SERVER、MailServer 防病毒软件自主开发应用系统LogBase 日志综合审计系统介绍第三十二页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司网络及安全设备 路由器、交换机、防火墙、VPN、负载均衡设备、防毒墙、代理设备、IDS/IPS等LogBa

26、se 日志综合审计系统介绍第三十三页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司数据库系统日志采集对象：OralceDB2MS SQLServerMysqlInformixSybase系统日志（windows、linux、unix）采集方式旁路镜像采集网络数据包安装软件探测器数据操作类（如select、insert、delete、update等）结构操作类（如create、drop、alter等）事务操作类（如Begin Transaction、Commit Transaction、Rollback Transaction等）用户管理类以及其它辅助类（视图、索引、过程等操作）等数据库

27、访问行为LogBase 日志综合审计系统介绍第三十四页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司日志采集完整记录日志内容LogBase数据库审计系统记录内容：l日志发生时间l源、目标IP地址l数据库名l用户名l操作信息l返回信息LogBase 日志综合审计系统介绍第三十五页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司日志采集-网络行为 HTTP、Mail、MSN、FTP、BT等LogBase 日志综合审计系统介绍第三十六页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司实时监控LogBase 日志综合审计系统介绍第三十七页，编辑于星期五：九点 五十一分。思福迪信息技

28、术有限公司关键日志告警支持短信、邮件方式告警LogBase 日志综合审计系统介绍第三十八页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司安全事件规则库规则库过滤分类告警LogBase 日志综合审计系统介绍第三十九页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司日志检索功能缓存日志检索5秒；支持不限次数的组合条件查询；支持查询结果导出LogBase 日志综合审计系统介绍第四十页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司安全审计报表内置丰富报表支持自定义报表支持二次开发LogBase 日志综合审计系统介绍第四十一页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司

29、政府-抓住国家大力发展电子政务的契机，紧跟国务院发布的十二金工程及后来的金土（国土资源部）、金安（安监总局）等工程单位网络安全建设与升级 十二金工程：办公业务资源系统、金关、金税和金融监管（含金卡）、宏观经济管理、金财、金盾、金审、社会保障、金农、金水、金质 金融-重点关注银行、保险行业 人民银行系统总行、省、市、县四级网络中：内联网互联、外联网互联、网间支付、外汇结算、网间互联、数据灾备中心等网络安全建设与升级项目 商业银行总行、省、市（、县）三（四）级网络中：内网互联、外网互联、网间支付、外汇结算等网络安全建设与升级项目 保险行业总公司、省、市三级网络中数据大集中、数据省分等网络安全建设与

30、升级项目 电信-IDC机房服务器保护、支撑网安全建设与升级 企业-防止病毒从网络传入内网 能源-石油、石化、电力、煤矿等LogBase 日志综合审计系统目标用户群第四十二页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司 政府抓住国家大力发展电子政务的契机（日志，数据库审计）电子政务的内网和专网上存储着许多重要或敏感的数据，运行着重要的应用，电子政务网的特殊运行环境，要求它既要保证高强度的安全，又要通过互联网与民众方便地交换信息，信息安全审计在电子政务建设中的广泛应用是必然的。公安、保密局等级保护（二级及以上需要审计）（日志，数据库审计）公安是最大的客户印章系统、派出所身份证制作系统、移

31、动警务系统、视频监控系统、车检所系统、GPS定位系统、内外数据交换机大平台、公检法综合信息系统等。高教主要是互联网行为审计法院检察院LogBase 日志综合审计系统目标用户群第四十三页，编辑于星期五：九点 五十一分。思福迪信息技术有限公司LogBase H530技术：日志源在080点之间对象：2U，处理性能3000条/秒，存储量5亿条，RAID5，千兆*2LogBase H1300技术：日志源在80160点之间对象：2U，处理性能4500条/秒，存储量10亿条，RAID5，热插拔，千兆*2LogBase H2300技术：日志源在160以上点对象：2U，处理性能6000条/秒，存储量20亿条，RAID5，热插拔，双电源，千兆*2LogBase H3300技术：日志源在160以上点对象：2U，处理性能6000条/秒，存储量40亿条，RAID5，热插拔，双电源，支持外部存储，支持分中心，千兆*2LogBase 日志综合审计系统产品选型第四十四页，编辑于星期五：九点 五十一分。谢谢！交流与沟通第四十五页，编辑于星期五：九点 五十一分。