日志审计系统文档.pptx

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Headline Goes in this Space:Subtitle Goes Here,Click to edit Master text styles,Second level,Third level,*,*,Octopus Link,Confidential,Copyright 20072012 Octopus Link,Inc.All rights reserved.,Subtitle Goes Here,Click to edit Master text styles,Second level,Third level,*,*,Octopus Link,Confidential,Copyright 20072012 Octopus Link,Inc.All rights reserved.,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,Headline Goes in this Space:Subtitle Goes Here,Click to edit Master text styles,Second level,Third level,*,*,Octopus Link,Confidential,Copyright 20072012 Octopus Link,Inc.All rights reserved.,Subtitle Goes Here,Click to edit Master text styles,Second level,Third level,*,*,Octopus Link,Confidential,Copyright 20072012 Octopus Link,Inc.All rights reserved.,日志审计系统,New Auditing and Reporting system II,NAR2,第1页,企业概况,信联云通企业主要方向是应用云平台服务和云安全服务。信联云通提供先进集公有云和企业私有云为一体八云服务，为客户打造灵活多样、高效节约新一代信息化处理方案。,企业理念：,技术创造价值 开放赢得市场,O,pen,C,onvenient,T,ech,开放云应用公布平台。,开放技术接口。,开放运行模式。,开放合作模式。,开放式资源获取。,最方便应用公布方式。,最方便应用使用路径。,最方便使用体验。,最方便客户定制。,最快速双向应用公布。,领先应用层解析专利技术。,高性能,IaaS,云平台,RVM,。,电信级别线上并发容量。,标准云计算开放应用平台接口。,双向应用公布整合。,第2页,企业业务,主营业务,安全服务,资源虚拟化,企业私有云,公有云平台,安全审计,安全接入,服务监控,日志审计,内容审计,云服务监管,安全接入,身份管理,第3页,目录,什么是日志审计？,为何需要日志审计？,NAR2,日志审计能够处理什么问题？,NAR2,日志审计系统介绍,NAR2,日志审计系统目标用户群,NAR2,日志审计系统产品选型,第4页,日志审计是将应用系统、安全设备、网络设备、操作系统、以及各种服务器等产生日志经过各种方式搜集并加工过程。,经过日志审计能够监控异常访问、进行流量统计分析、生成调研汇报、统计分析各种网络可疑行为、违规操作、敏感信息，帮助定位安全事件源头和调查取证、防范和发觉计算机网络犯罪活动，为信息系统安全策略制订、风险内控提供有力数据支撑。,什么是日志审计？,第5页,目录,什么是日志审计？,为何需要日志审计？,NAR2,日志审计能够处理什么问题？,NAR2,日志审计系统介绍,NAR2,日志审计系统目标用户群,NAR2,日志审计系统产品选型,第6页,为何需要日志审计？,信息系统安全等级化保护基本要求,二级以上,ISO27001:4.3.3,小节、,ISO17799:10.10,小节,商业银行内部控制指导,第一百二十六条,银行业金融机构信息系统风险管理指导,第四十六条,证券企业内部控制指导,第一百一十七条,互联网安全保护技术办法要求,第八条,萨班斯（,SOX,）法案,第,404,款,企业内部控制基本规范,7,国家和行业法律法规都有安全审计要求,！,第7页,为何需要日志审计？,8,项目,等级保护第三级安全审计详细要求,7.1,技术要求,7.1.2,网络安全,7.1.2.3,安全审计（,G3,）,a)应对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计；,b)审计统计应包含：事件日期和时间、用户、事件类型、事件是否成功及其它与审计相关信息；,c)应能够依据统计数据进行分析，并生成审计报表；,d)应对审计统计进行保护，防止受到未预期删除、修改或覆盖等。,7.1.2.5,入侵防范（,G3,）,b)当检测到攻击行为时，统计攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事件时应提供报警。,7.1.3,主机安全,7.1.3.3,安全审计（,G3,）,a)审计范围应覆盖到服务器和主要客户端上每个操作系统用户和数据库用户；,b)审计内容应包含主要用户行为、系统资源异常使用和主要系统命令使用等系统内主要安全相关事件；,c)审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等；,d)应能够依据统计数据进行分析，并生成审计报表；,e)应保护审计进程，防止受到未预期中止；,f)应保护审计统计，防止受到未预期删除、修改或覆盖等。,7.1.4,应用安全,7.1.4.3,安全审计（,G3,）,a)应提供覆盖到每个用户安全审计功效，对应用系统主要安全事件进行审计；,c)审计统计内容最少应包含事件日期、时间、发起者信息、类型、描述和结果等；,d)应提供对审计统计数据进行统计、查询、分析及生成审计报表功效。,7.2,管理要求,7.2.5,系统运维管理,7.2.5.5,监控管理和安全管理中心,（,G3,）,a)应对通信线路、主机、网络设备和应用软件运行情况、网络流量、用户行为等进行监测和报警，形成统计并妥善保留,b)应组织相关人员定时对监测和报警统计进行分析、评审，发觉可疑行为，形成份析汇报，并采取必要应对方法；,c),应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。,第8页,9,为何需要日志审计？,用户各系统设备，应用系统运行是否正常呢？,发生安全事件时，有足够证据提供分析么？能准确定位安全事件责任么？,维护人员是否都按照要求进行操作？,怎样发觉和告警违规操作？,维护人员权限怎样细粒度准确控制？,第三方维护情况普遍存在，假如监督和控制这些人行为？,如风险评定过程是否可靠？,我信息安全体系建设是否能够满足相关规范要求呢？等等问题。,第9页,10,为何需要日志审计？,1.,怎样经过集中日志定位全全问题？,2.,怎样经过快速日志查询分析安全问题？,3.,怎样经过全全告警功效及时监控系统故障？,4.,怎样经过自动化缩减故障排查时间和业务中止时间问题？,5.,怎样经过全方面日志和报警，保障,IT,业务连续性？,6.,怎样能快速准确地为安全调查和司法取证提供有力数据？,7.,怎样经过交互操作界面和全方面报表功效提升,IT,服务能力？,8.,怎样经过完整,IT,日志处理方案提升企业,IT,管理水平？,第10页,目录,什么是日志审计？,为何需要日志审计？,NAR2,日志审计能够处理什么问题？,NAR2,日志审计系统介绍,NAR2,日志审计系统目标用户群,NAR2,日志审计系统产品选型,第11页,NAR2,日志审计能够处理什么问题,经过,NAR2,日志审计系统建设，为用户信息系统建立全方面风险管理和内控体系提供必要支撑。,经过,NAR2,日志审计系统建设，为用户信息系统快速定位全网发生问题。,经过,NAR2,日志审计系统建设，日志审计安全告警功效及时监控系统为用户信息系统及时发觉故障及异常。,经过,NAR2,日志审计系统建设，经过自动化日志审计系统为用户信息系统缩减故障排查时间和业务中止时间。,第12页,NAR2,日志审计能够处理什么问题,经过,NAR2,日志审计系统建设，为用户信息系统能快速准确地为安全调查和司法取证提供有力数据证据，躲避日志信息分散存放风险。,经过,NAR2,日志审计系统，提升用户信息系统日常安全运维水平，实现信息系统,IT,计算环境日志信息集中管理，全方面掌握,IT,计算环境运行过程中出现隐患。,第13页,目录,什么是日志审计？,为何需要日志审计？,NAR2,日志审计能够处理什么问题？,NAR2,日志审计系统介绍,NAR2,日志审计系统目标用户群,NAR2,日志审计系统产品选型,第14页,全方面采集硬件设备、操作系统、应用系统日志及自定义文本格式日志等,基于海量日志高效检索引擎,提供实时日志统分析,提供实时各类型日志列表,提供全方面日志格式标准化,提供日志实时分析和报警,提供丰富合规报表和自定义报表,NAR2,日志审计系统介绍,产品特点,第15页,统计检索,设备日志审计,应用系统审计,操作系统审计,日志流量审计,合规报警,审计报表,实时分析,实时采集,实时存放,NAR2,日志综合审计系统介绍,产品功效,NAR2,第16页,NAR2,日志综合审计系统介绍,日志对象,第17页,日志采集,日志分析与格式化,日志审计和报表,日志审计简明流程以下,NAR2,日志审计系统介绍,第18页,NAR2,日志审计系统介绍,物理机,物理机,物理机,物理机,虚拟机,公网服务,NAR2,日至采集,分析与格式化,审计与报表,File,Agent,Syslog,DB,审计流程,第19页,NAR2,日志审计第一步：日志采集,跨平台采集日志（,Windows,Linux,服务器，交换机）,日志采集方式多样,支持原始日志保留,存放高效优化,各种检索查询功效，可组合使用,采集过程中过滤功效，优化采集效率,NAR2,日志综合审计系统介绍,第20页,操作系统,Windows,Linux,AIX,SunOS,HP-UX,BSD,网络设备,路由器,交换机,负载均衡,代理设备,.,安全设备,防火墙,IDS/IPS,UTM,VPN,防毒墙,邮件网关,数据库访问,Oracle,MSSQL,Informix,Sybase,DB2,Mysql,上网行为,网页浏览,文件传输,邮件收发,IM,聊天,BT,下载,WEB,邮件,BBS,发帖,其它,应用系统,WEB Server,Mail Server,FTP Server,中间件系统,业务系统,.,日志文件或采集器采集,网络抓包分析采集,日志协议、专用协议采集，,如,syslog,、,snmp,协议等,NAR2,日志综合审计系统,NAR2,日志综合审计系统介绍,NAR2,日志审计第一步：日志采集方式,第21页,NAR2,日志综合审计系统介绍,NAR2,日志审计第二步：日志分析与格式化,NAR2,专有存放格式,对字段进行字典配置，降低对审计员技术要求,报警规则配置格式化，支持邮件,/,短信报警,格式化能够优化系统处理性能,格式化将日志分为标准字段，如时间、起源、动作、结果、级别等字段,格式化数据所生成报表一目了然,格式化数据方便检索,第22页,AAA,格式化处理,第三方应用,NAR2,log,时间,地址,对象,操作,结果,等级,信息,NAR2,日志综合审计系统介绍,NAR2,日志审计第二步：日志分析与格式化,第23页,NAR2,日志综合审计系统介绍,NAR2,日志审计第三步：审计和报表,日志检索,第24页,NAR2,日志综合审计系统介绍,NAR2,日志审计第三步：审计和报表,柱状图,第25页,NAR2,日志综合审计系统介绍,NAR2,日志审计第三步：审计和报表,饼状图,第26页,预定义日志类型,NAR2,日志综合审计系统介绍,第27页,自定义日志类型,NAR2,日志综合审计系统介绍,1.,除了预定义日志类型外，,NAR2,也支持自定义日志类型,2.,自定义日志类型能够处理,90%,以上非标准日志,第28页,日志搜集方式,NAR2,日志综合审计系统介绍,第29页,日志导入规则,NAR2,日志综合审计系统介绍,第30页,三种报警方式,NAR2,日志综合审计系统介绍,1.Syslog,报警方式,2.,邮件报警方式,3.,手机短信报警方式,第31页,NAR2,日志综合审计系统介绍,报警规则,1.,报警规则能够添加多条,2.,不一样日志类型，报警规则内容也不一样,第32页,目录,什么是日志审计？,为何需要日志审计？,NAR2,日志审计能够处理什么问题？,NAR2,日志审计系统介绍,NAR2,日志审计系统目标用户群,NAR2,日志审计系统产品选型,第33页,政府,国家大力发展电子政务（日志审计）,电子政务内网和专网上存放着许多主要或敏感数据，运行着主要应用，电子政务网特殊运行环境，要求它既要确保高强度安全，又要经过互联网与民众方便地交换信息，信息安全审计在电子政务建设中广泛应用是必定。,大型运行企业,复杂业务监管和数据挖掘（日志审计）,移动运行商，电子商务运行商，石油石化等，均需要对内部庞大复杂数据服务进行审计，既符合业务发展需要，又符合国家要求业务监管可追溯需要，更能够提供详细服务报表，定位业务需求。,公安、保密局,等级保护（日志，内容审计）,公安系统印章系统、派出所身份证制作系统、移动警务系统、视频监控系统、车检所系统、,GPS,定位系统、内外数据交换机大平台、公检法综合信息系统等。,金融机构，银行等,必须存在业务需求。,NAR2,日志审计系统目标用户群,第34页,中国移动,中国石油,外国语大学,北车集团,多省市公安厅,安瑞,外交部,科技部下属企业,。,经典用户,第35页,目录,什么是日志审计？,为何需要日志审计？,NAR2,日志审计能够处理什么问题？,NAR2,日志审计系统介绍,NAR2,日志审计系统目标用户群,NAR2,日志审计系统产品型号,第36页,NAR2,日志综合审计系统产品选型,参数,NAR-1000,NAR-,NAR-3000,NAR-5000,每秒处理日志数,（,EPS,）,500,1000-,4000-7000,10000,日志容量,1000,万条,1,亿条,10,亿条,20,亿条,节点数,10,60,120,160,第37页,Thanks,！,北京信联云通科技责任有限企业,联络人：张志锋 手机：,13488821949QQ,：,304658558,交流与沟通,第38页,