收藏
下载资源

SecFox-LAS日志审计系统介绍

上传人:luobi****88888 文档编号:91915266 上传时间:2019-07-03 格式:PPT 页数:52 大小:7.97MB
返回 下载 相关 举报
SecFox-LAS日志审计系统介绍_第1页
第1页 / 共52页
SecFox-LAS日志审计系统介绍_第2页
第2页 / 共52页
SecFox-LAS日志审计系统介绍_第3页
第3页 / 共52页
SecFox-LAS日志审计系统介绍_第4页
第4页 / 共52页
SecFox-LAS日志审计系统介绍_第5页
第5页 / 共52页
点击查看更多>>
资源描述

《SecFox-LAS日志审计系统介绍》由会员分享,可在线阅读,更多相关《SecFox-LAS日志审计系统介绍(52页珍藏版)》请在金锄头文库上搜索。

1、SecFox-LAS日志审计系统介绍,Revision 2 SOC事业部,Executive Overview of SecFox-LAS Log Analysis and Audit System,2,目录,当前面临的挑战 安全审计的发展现状与趋势 我们的解决方案 帮助企业解决什么问题 案例分析 系统部署和实施方案 产品价值和优势,3,当前面临的挑战,监控和审计界面过多、手忙脚乱!,4,当前面临的挑战,无法迅速定位问题点,当前面临的挑战,5,信息系统安全等级化保护基本要求二级以上,ISO27001:2005 4.3.3小节,商业银行内部控制指引第一百二十六条,银行业金融机构信息系统风险管理指

2、引第四十六条,证券公司内部控制指引第一百一十七条,互联网安全保护技术措施规定第八条,萨班斯(SOX)法案第404款,国家和行业法律法规都有安全审计的要求!,6,当前面临的挑战,网络基础设施和安全基础设施建设基本完成 复杂的计算环境 计算环境管理的孤岛,各自为政 审计成本居高不下,审计效率难以提升 国家法规(等保)、行业规定(内控)的要求,SecFox-LAS!,7,我们真正需要的是?,全网资源的统一监控与审计 提供容易使用且单一管理控制台能够对全网的安全状况进行审计 提供集中化监控、审计、告警、分析及报表管理功能 异常和违规行为追踪 降低事件误报率 提供可视化的审计手段 仅需投入少量资源可以得

3、到最大效益 符合国家和行业的审计要求,8,目录,当前面临的挑战 安全审计的发展现状与趋势 我们的解决方案 帮助企业解决什么问题 案例分析 系统部署和实施方案 产品价值和优势,9,安全审计的发展现状与趋势,技术实现方式,网络审计,主机审计,终端审计,数据库审计,日志,抓包,Agent,每种技术手段各有优劣势,适应性最广,是等保的基本要求,多用于网络审计 和用户上网行为审计,也用于 数据库审计,主要用于终端审计,应用审计,审计/保护对象,10,安全审计的发展现状与趋势,关于日志审计 日志审计是基础 日志审计的扩展性好、适用性强 安全审计与等级化保护的结合 二级以上都要有日志审计 三级或者重点安全域

4、要有针对性的部署专门的审计系统 四级要部署安全管理中心 综合安全审计是未来发展趋势,日志审计的技术发展趋势,传统的日志审计 注重的是日志的存储、基于数据库技术的日志查询和统计 问题:缺少对不同设备产生的日志的关联分析,因而难以发现隐藏的威胁和违规行为 新型的日志审计 更加注重日志实时关联分析 在内存中进行 事件归并 事件追踪:一查到底、及时发现违规和入侵 更加强调审计的闭环:发现问题后要能够处理问题 告警 联动,11,公安部新的产品评测标准中,增加了日志关联分析评测指标项,12,关于数据库审计,可以通过日志审计或者抓包审计的方式去做 具体要根据客户需求来定 日志审计: 审计内容和粒度可以很细

5、需要数据库打开日志配置项,对性能有一定影响 数据库日志与OS日志、应用系统日志综合分析,进行行为追踪 抓包审计: 旁路部署,不影响被审计的数据库 无法审计加密信息 无法审计真正的用户行为,缺少行为追踪 审计的效果不一定明显 无法审计触发器和存储过程的内容,SecFox-NBA网络行为审计系统(业务审计型),SecFox-LAS日志分析与审计系统,13,目录,当前面临的挑战 安全审计的发展现状与趋势 我们的解决方案 帮助企业解决什么问题 案例分析 系统部署和实施方案 产品价值和优势,三个层面,三个维度,安全医生,安全管家,安全顾问,全面可管理的信息安全体系,源于联想 网御神州,15,SecFox

6、安全管理解决方案,16,SecFox安全审计解决方案,SecFox-NBA(上网审计型),SecFox-EPS终端审计,信息可视化、关联分析,SecFox-NBA(业务审计型),SecFox-LAS日志审计,17,目录,当前面临的挑战 安全审计的发展现状与趋势 我们的解决方案 帮助企业解决什么问题 案例分析 系统部署和实施方案 产品价值和优势,18,帮助用户解决什么问题?,统一日志监控与安全审计平台 实时安全日志分析 网络流量异常审计 海量日志集中存储 实时告警、应急响应 整体安全审计报表报告 符合等级保护要求的安全审计,19,统一安全审计平台:态势感知,审计监控频道,可以自由切换。面向业务链

7、的审计,统一安全审计平台:频道定制,20,监控频道的布局可以定制,频道显示的内容也可以定制,21,统一安全审计平台:实时统计,22,统一安全审计平台:综合审计,统一安全审计示例:windows审计,23,统一安全审计示例:应用安全审计,24,25,实时安全日志分析,审计场景自由切换,自由定义,在内存中进行日志分析,实时日志分析:事件追踪,26,27,网络流量异常审计,基于NetFlow技术对网络流量进行审计和比较分析,28,实时告警、应急响应、设备联动,可以与各种第三方的网络设备、安全设备进行策略联动,形成管理的闭环,丰富的响应方式,29,30,整体审计报表,自动生成周报、月报、季报,并自动投

8、递报表给管理员,31,符合等级保护要求的安全审计,在信息系统等级保护基本技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点 在等保的管理要求中,“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储 在等保的管理要求中,从第三级开始提出了“监控管理与安全管理中心”的控制点要求,符合等级保护要求的安全审计,32,符合等保要求的实时审计场景和审计报表模板,33,目录,当前面临的挑战 安全审计的发展现状与趋势 我们的解决方案 帮助企业解决什么问题 案例分析 系统部署和实施方案 产品价值和优势,源于联想 网御神州,34,典型案例1:某电信运营商日志审计项目,作为

9、运营商,其网络核心的交换机、路由器以及防火墙等产生的日志量相当巨大。SecFox-LAS凭借其8000EPS的事件分析性能很好的对巨量日志进行审计,SecFox-LAS利用其特有的数据存储机制使得日存储日志量达到30GB。 系统有效实现了电信运营商日志审计的要求 现在处于运维阶段,不断添入了新的防火墙、漏扫等日志的审计。,“网御神州的日志审计系统在分析性能和日志存储方面表现优异,系统运行稳定,达到了我们运营商对日志审计的要求。” 运营商安全审计项目经理,源于联想 网御神州,35,典型案例2:某市政务网日志审计项目,该政务网是网监认定的等级保护三级单位。 通过部署SecFox-LAS日志审计系统

10、,实现了等级保护三级要求对日志审计的规定,包括: 网络安全审计:设备运行状况、网络流量 主机安全审计:资源异常使用、重要操作记录、文件删改 应用安全审计:应用访问日志,“通过网神日志审计系统的使用,使得我单位能够较好的满足等级保护三级要求中对日志审计的规定,并且搭建了一个安全管理平台,实现了对安全审计的集中管理。” 信息中心主任,36,目录,当前面临的挑战 安全审计的发展现状与趋势 我们的解决方案 帮助企业解决什么问题 案例分析 系统部署和实施方案 产品价值和优势,37,部署和运行,源于联想 网御神州,38,产品性能,优化配置下每秒采集事件性能超过30000条 优化配置下达到15000EPS(

11、事件每秒)的事件分析性能; 事件存储量仅取决于系统所用存储空间大小; 控制台登录管理中心的用户最大并发连接数:50个 事件采集器对于所在主机和服务器的CPU利用率占用:2%,源于联想 网御神州,39,系统简介:系统自身健康监控,产品组成与系统功能,40,安全日志审计系统 SecFox-LAS企业版v3.0,基本包,软件型,等级保护包,节点许可,SecFox-LAS-1R,硬件型,SecFox-LAS-2R,基础管理平台,审计总控台,设备管理,日志查询,流量分析,告警管理,报表管理,等级保护包,41,系统简介:运行环境(软件型),SecFox管理中心,事件传感器(可选) 事件传感器运行在安装了W

12、indows系列操作系统的主机和服务器上。 Web控制台,1 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。 2 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。,系统简介:运行环境(硬件型),42,硬件型产品不按照日志采集节点数发放许可,不限审计节点数,支持的节点数仅受限于硬件平台的性能! 大大降低用户的总拥有成本,43,目录,当前面临的挑战 安全审计的发展现状与趋势 我们的解决方案 帮助企业解决什么问题 案例分析 系统部署和实施方案 产品价值和优势,44,价值和优势,完全自主开发,针对中国客户需求和管理习惯 强调全网以业务为主线的整体安全审计 统一安全审计平台,扩展性

13、强,适应未来发展的需求,45,价值和优势,区别于普通日志审计的5大特点 强调实时分析与审计 普通日志审计的都是基于数据库的查询审计,SecFox-LAS是内存中审计,速度快、效率高、更准确、更实时 SecFox-LAS具有丰富的审计场景,并且可以自由定制 强调整体审计 具有异常流量审计功能 对NetFlow数据流的分析和审计 超强的事件采集能力 最高达到30000+ EPS(事件每秒) 全面符合等级保护的要求,协助用户进行等级保护,源于联想 网御神州,46,产品荣誉,863科研成果,完全自主研发,申请三项专利 拥有齐全的产品资质 产品推出至今发展到3.0版本,稳定可靠,拥有大量的用户群 CCI

14、D统计SecFox 2007年销量排名第一,47,产品获奖,SecFox安全管理平台荣获“2006年电子信息技术创新应用奖” http:/ 孤岛防御 大量的误报,单点防御机制面临挑战!,50,事件可视化是指SecFox-SIM将归一化和关联分析后的事件、威胁等以图形的形式形象的展示出来的过程。 事件可视化是实时的,将安全管理和运维人员真繁重的事件查看工作中解脱出来,及时直观地进行事件调查,发现安全威胁。,从LAS到SIM:安全事件可视化,可视化变用户认知为感知!,源于联想 网御神州,51,从LAS到SIM: 更加强大的安全事件关联分析引擎,基于规则的关联分析引擎 统计关联 时序关联 递归关联 描述工具路径和过程发现复合攻击 变单点被动防御为整体主动防御,专利1:内存快速符号表检索,专利2:大规模事件处理的规则群组系统及方法 ,52,谢 谢!,集中、管理、安全,监控、审计、分析,,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 经济/贸易/财会 > 稽查与征管/审计

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号