資源描述:
《網(wǎng)御星云日志審計系統(tǒng)產(chǎn)品白皮書-V1.0》由會員上傳分享,免費在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫��。
1���、密級:公開產(chǎn)品白皮書網(wǎng)御安全管理系統(tǒng)-日志審計系統(tǒng)目錄1日志審計的需求與挑戰(zhàn)11.1日志審計需求分析11.2日志審計面臨的挑戰(zhàn)21.3如何應(yīng)對挑戰(zhàn)22產(chǎn)品綜述32.1產(chǎn)品簡介32.2系統(tǒng)組成32.3系統(tǒng)結(jié)構(gòu)42.4產(chǎn)品功能規(guī)格52.5支持審計數(shù)據(jù)源72.6產(chǎn)品型號規(guī)格82.6.1軟件型規(guī)格82.6.2硬件型規(guī)格93典型部署113.1單級部署113.2級聯(lián)部署114產(chǎn)品特點124.1高性能的日志管理技術(shù)架構(gòu)124.2詳盡的日志范式化與日志分類134.3集中化的日志綜合審計144.4可視化日志審計154.5豐富靈活的報表報告164.6對用戶網(wǎng)絡(luò)和
2�、業(yè)務(wù)影響最小164.7友好的用戶交互體驗164.8完善的系統(tǒng)自身安全性保證174.9無縫向安全管理平臺擴展175產(chǎn)品功能195.1綜合展示195.2資產(chǎn)管理195.3日志采集195.4日志范式化與分類195.5日志過濾與歸并205.6日志轉(zhuǎn)發(fā)205.7日志采集器管理205.8日志代理205.9日志存儲205.10日志實時監(jiān)視215.11日志統(tǒng)計分析215.12日志查詢215.13規(guī)則告警215.14報表管理225.15參考知識管理225.16用戶管理225.17系統(tǒng)管理l226產(chǎn)品價值236.1全生命周期日志管理236.2日常安全運維工作的有
3�����、力工具236.3遵照等級保護的審計要求236.4契合合規(guī)與內(nèi)控的審計要求2511日志審計的需求與挑戰(zhàn)1.1日志審計需求分析日志�����,是對IT系統(tǒng)在運行過程中產(chǎn)生的事件的記錄���。通過日志���,IT管理人員可以了解系統(tǒng)的運行狀況。而通過對安全相關(guān)的日志的分析���,IT管理者可以檢驗信息系統(tǒng)安全機制的有效性���,這就是安全日志審計���,簡稱日志審計。而日志的產(chǎn)生��、收集��、審計分析和存儲的全過程稱作日志管理���。日志審計需求主要源自于兩個方面的驅(qū)動力。一方面���,從企業(yè)和組織自身安全的需要出發(fā)����,日志審計能夠幫助用戶獲悉信息系統(tǒng)的安全運行狀態(tài)���,識別針對信息系統(tǒng)的攻擊和入侵���,以及來自內(nèi)
4���、部的違規(guī)和信息泄露,能夠為事后的問題分析和調(diào)查取證提供必要的信息����。有研究指出,69%的攻擊行為實際上都有日志留存�,而根據(jù)國際著名的安全研究與教育組織SANS發(fā)布的《2011年度日志管理調(diào)查報告》顯示,在受訪的747個大中小規(guī)模的組織中�����,超過89%的組織都進行了日志管理�。而他們進行日志管理的首要原因是監(jiān)測與跟蹤可疑的行為,例如非授權(quán)訪問���、內(nèi)部信息泄露�����,等等�。另一方面�����,從國家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和規(guī)范的角度出發(fā)�����,日志審計已經(jīng)成為了滿足合規(guī)與內(nèi)控需求的必備功能�,例如:lGB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》對于二級以
5、上信息系統(tǒng)�,在網(wǎng)絡(luò)安全、主機安全和應(yīng)用安全等基本要求中明確要求進行安全審計���。而日志審計是符合這些要求的基本手段����。l《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》(公安部82號令)第八條要求具備“記錄��、跟蹤網(wǎng)絡(luò)運行狀態(tài)�,監(jiān)測���、記錄用戶各種信息�����、網(wǎng)絡(luò)安全事件等安全審計功能”��。l《商業(yè)銀行內(nèi)部控制指引》第一百二十六條指出“商業(yè)銀行的網(wǎng)絡(luò)設(shè)備��、操作系統(tǒng)���、數(shù)據(jù)庫系統(tǒng)�、應(yīng)用程序等均當(dāng)設(shè)置必要的日志����。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計的需要”。l《銀行業(yè)信息科技風(fēng)險管理指引》第第二十七條要求銀行業(yè)應(yīng)制定相關(guān)策略和流程��,管理所有生產(chǎn)系統(tǒng)的日志�����,以支持有效的審核�����、安全取證分析
6�、和預(yù)防欺詐。l《保險公司信息系統(tǒng)安全管理指引(試行)》第四十四條要求“對主機系統(tǒng)進行審計��,妥善管理并及時分析處理審計記錄����。對重要用戶行為����、異常操作和重要系統(tǒng)命令的使用等應(yīng)進行重點審計”�。1.1日志審計面臨的挑戰(zhàn)當(dāng)前客戶在進行日志審計的過程中幾乎都面臨著相似的挑戰(zhàn)。這其中最主要的三個挑戰(zhàn)是:日志分散��、日志格式不統(tǒng)一�、日志量巨大。日志分散客戶網(wǎng)絡(luò)中信息系統(tǒng)相關(guān)的各種軟硬件設(shè)備���、安全防護設(shè)施都會產(chǎn)生日志����。并且這些設(shè)備都分散在網(wǎng)絡(luò)的不同位置����。他們各自產(chǎn)生日志���,并有各自的控制臺進行日志查看�,這對審計人員而言簡直就是噩夢��,根本沒有精力去查看這么多控制臺,
7����、更不要說分析其中的日志信息了。日志格式不統(tǒng)一每種設(shè)備類型的日志格式都不相同�,各有各的表達,即時是表達同一件事情��,也都有各自的表達方式�。例如同樣的登錄失敗信息,防火墻中的描述和主機操作系統(tǒng)中的描述格式就可能根本不相同��。這迫使審計人員去了解每種設(shè)備類型的格式����。日志量巨大很多設(shè)備,尤其是網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志量十分巨大�,單個防火墻每秒就可能產(chǎn)生上千條的日志信息,而全網(wǎng)的設(shè)備每天產(chǎn)生的日志量就更加可觀�,可能數(shù)以百GB計。審計員去查看這么多的日志根本不可能���,即便是將它們存起來都是個問題�。1.2如何應(yīng)對挑戰(zhàn)客戶需要日志審計,更需要應(yīng)對所面臨的挑戰(zhàn)���??蛻粜?/p>
8��、要從組織策略����、處理流程和技術(shù)體系等多方面進行統(tǒng)籌考量,客戶應(yīng)該借助一個日志審計平臺來為其審計工作提供技術(shù)支撐����。這個日志審計平臺應(yīng)該能夠?qū)崿F(xiàn)對客戶分散的海量日志進行收
