《网御星云日志审计系统产品白皮书-V1.0》由会员分享,可在线阅读,更多相关《网御星云日志审计系统产品白皮书-V1.0(25页珍藏版)》请在金锄头文库上搜索。
1、word密级:公开产品白皮书网御安全管理系统-日志审计系统目 录1日志审计的需求与挑战1日志审计需求分析1日志审计面临的挑战2如何应对挑战22产品综述3产品简介3系统组成3系统结构4产品功能规格5支持审计数据源7产品型号规格8软件型规格8硬件型规格93典型部署11单级部署11级联部署114产品特点12高性能的日志管理技术架构12详尽的日志式化与日志分类13集中化的日志综合审计14可视化日志审计15丰富灵活的报表报告16对用户网络和业务影响最小16友好的用户交互体验16完善的系统自身安全性保证17无缝向安全管理平台扩展175产品功能19综合展示19资产管理19日志采集19日志式化与分类19日志过
2、滤与归并20日志转发20日志采集器管理20日志代理20日志存储20日志实时监视21日志统计分析21日志查询21规如此告警21报表管理22参考知识管理22用户管理22系统管理l226产品价值23全生命周期日志管理23日常安全运维工作的有力工具23遵照等级保护的审计要求23契合合规与控的审计要求25 / 11.1 日志审计需求分析日志,是对IT系统在运行过程中产生的事件的记录。通过日志,IT管理人员可以了解系统的运行状况。而通过对安全相关的日志的分析,IT管理者可以检验信息系统安全机制的有效性,这就是安全日志审计,简称日志审计。而日志的产生、收集、审计分析和存储的全过程称作日志管理。日志审计需求主
3、要源自于两个方面的驱动力。一方面,从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以与来自部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。有研究指出,69%的攻击行为实际上都有日志留存,而根据国际著名的安全研究与教育组织SANS发布的2011年度日志管理调查报告显示,在受访的747个大中小规模的组织中,超过89%的组织都进展了日志管理。而他们进展日志管理的首要原因是监测与跟踪可疑的行为,例如非授权访问、部信息泄露,等等。另一方面,从国家法律法规、行业标准和规的角度出发,日志审计已经成为了满足合规与控需求的必备功能,
4、例如:l GB/T 22239-2008信息安全技术 信息系统安全等级保护根本要求对于二级以上信息系统,在网络安全、主机安全和应用安全等根本要求中明确要求进展安全审计。而日志审计是符合这些要求的根本手段。l 互联网安全保护技术措施规定公安部82号令第八条要求具备“记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件等安全审计功能。l 商业银行部控制指引第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类部和外部审计的需要。l 银行业信息科技风险管理指引 第第二十七条要求银行业应制定相关策略和流程,管理所有生产系统的日志,以支持
5、有效的审核、安全取证分析和预防欺诈。 l 保险公司信息系统安全管理指引试行第四十四条要求“对主机系统进展审计,妥善管理并与时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进展重点审计。 1.2 日志审计面临的挑战当前客户在进展日志审计的过程中几乎都面临着相似的挑战。这其中最主要的三个挑战是:日志分散、日志格式不统一、日志量巨大。日志分散客户网络息系统相关的各种软硬件设备、安全防护设施都会产生日志。并且这些设备都分散在网络的不同位置。他们各自产生日志,并有各自的控制台进展日志查看,这对审计人员而言简直就是噩梦,根本没有精力去查看这么多控制台,更不要说分析其中的日志信息了。 日
6、志格式不统一每种设备类型的日志格式都不一样,各有各的表达,即时是表达同一件事情,也都有各自的表达方式。例如同样的登录失败信息,防火墙中的描述和主机操作系统中的描述格式就可能根本不一样。这迫使审计人员去了解每种设备类型的格式。 日志量巨大很多设备,尤其是网络安全设备产生的日志量十分巨大,单个防火墙每秒就可能产生上千条的日志信息,而全网的设备每天产生的日志量就更加可观,可能数以百GB计。审计员去查看这么多的日志根本不可能,即便是将它们存起来都是个问题。1.3 如何应对挑战客户需要日志审计,更需要应对所面临的挑战。客户需要从组织策略、处理流程和技术体系等多方面进展统筹考量,客户应该借助一个日志审计平
7、台来为其审计工作提供技术支撑。这个日志审计平台应该能够实现对客户分散的海量日志进展收集,对这些日志格式进展规化统一描述,实现对日志的集中化存储、分析、审计和展示,并符合相关法规标准的符合性要求。22.1 产品简介网御星云推出的以下简称LEADSEC-RS是立足于公司十年信息安全积累的根底之上,基于客户需求的日志审计平台与日志管理解决方案。日志审计系统能够通过主被动结合的手段,实时不连续地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以与各种应用系统产生的海量日志信息,并将这些信息聚集到审计中心,进展集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体
8、安全运行态势,实现全生命周期的日志管理。LEADSEC-RS融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户进展基于日志的综合审计和日志全生命周期管理,从而最大化的保障网络、主机和应用系统安全机制的有效性。LEADSEC-RS具有广泛的应用围和客户群,在政府、电信、金融、电力、军工等行业均有成功的应用。2.2 系统组成LEADSEC-RS包括审计中心、日志采集器和日志代理三个部件。日志采集器和日志代理实现对审计数据源主机/服务器类、网络类和安全类等的日志信息统一收集,然后上传给审计中心进展集中化存储、分析和审计。同时,审计中心自身也可以直接收集审计数据源的日
9、志信息。l 审计中心 审计中心,即LEADSEC-RS的管理中心,是LEADSEC-RS的核心部件,实现了对日志的集中化存储、备份、查询、审计、告警、响应,以与出具报表报告。用户的审计员通过浏览器即可登陆审计中心,进展各种审计操作。审计中心置日志采集功能,可以直接收集审计数据源的日志信息。审计中心也可以会聚来自日志采集器和日志代理的日志信息。l 日志采集器 日志采集器可以安装并独立运行在一台服务器上,实现对异构审计数据源的日志采集,功能同审计中心的日志采集模块,用以辅助审计中心解决特定日志采集的问题,并可以实现分布式日志采集能力。日志采集器收集的日志可以转发给审计中心。l 日志代理日志代理用于
10、安装并运行在审计对象上,实现对审计对象的数据源采集和转发。目前,日志代理支持Windows操作系统,主要用于采集Windows 操作系统与其服务与应用的日志。日志代理收集的日志可以转发给日志采集器,或者直接转发给审计中心。2.3 系统结构LEADSEC-RS采用组件式平台架构,实现了分层的逻辑架构,包括:审计数据源层、日志采集层、业务层和应用层。如如下图所示:l 审计数据源层审计对象层是指审计数据源对象,包括各类型的网络设备、安全设备、数据库、应用系统、主机等能产生相关日志的设备和信息系统。l 日志采集层该层利用SYSLOG、SNMP、ODBC、OPSEC、文件等多种协议方式,从审计对象获取日
11、志,并对原始日志信息进展式化、分类、过滤、归并,统一推送到业务层进展分析、存储。l 业务层利用关联分析引擎对采集的日志进展分析,触发规如此,生成告警记录;通过高性能海量数据存储代理将日志进展快速存储;通过分布式查询引擎实现日志查询;通过日志聚合引擎实现日志抽取。l 应用层面向系统的使用者,提供一个图形化的显示界面,展现安全审计系统的各功能模块,提供综合展示、资产管理、日志审计、规如此管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。2.4 产品功能规格日志采集系统支持对包括网络设备、安全设备与系统、主机、中间件、数据库、存储、应用和服务在的多种审计数据源的日志采集。系统支持以Sys
12、log、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI/Win RPC、Shell脚本、VIP、Web Service等协议进展日志采集。日志式化系统自动对所有采集到的日志进展式化处理,对不同日志格式进展统一描述,并进展日志分类,增加日志类型。日志过滤系统可以对采集到的日志进展基于规如此的过滤处理,去掉无意义的日志,消除日志噪声。日志归并系统可以对采集到的日志进展基于规如此的归并处理,将一样的日志容进展合并,并记录事件条数,提升日志质量。日志采集器系统提供可另外部署的日志采集器,每个采集器都能对日志进展采集、式化、过滤和归并,实现分布式日志采集。日志采集器统一
13、接入审计中心,实现集中化日志审计。日志代理系统提供可另外部署的日志代理,安装并运行在审计对象上,实现对审计对象的日志采集和转发。日志代理统一接入审计中心或者日志采集器。审计数据源管理系统能够对审计数据源以资产的形式进展统一的维护,能够以列表或者拓扑的方式查看资产清单和详细信息,可以查看每个审计数据源的日志和告警信息。日志实时监视系统提供了实时审计视图,审计员可以根据置或者自定义的实时监视策略,从日志的任意维度实时观测安全事件的走向,并可以进展事件调查、钻取,并进展事件行为分析和来源定位。日志统计分析系统提供了统计视图,审计员可以根据置或者自定义的统计谋略,从日志的多个维度实时进展安全事件统计分
14、析,并以柱图、饼图、堆积图等形式进展可视化的展示。日志查询用户可自定义查询策略,基于日志时间、名称、地址、端口、类型等各种条件进展组合查询,并可导出查询结果。日志关联分析系统具备日志关联分析功能。系统提供了可视化的规如此编辑器,用户可以定义基于逻辑表达式的关联规如此,所有日志字段都可参与关联。规如此支持统计计数功能,可以对达到一定统计数量的日志进展告警。日志存储系统将收集来的日志统一安全存储和备份。系统支持数据的自动或手动备份,备份数据可手工恢复,用作日志回查。综合展示系统的综合展示功能为不用层级的用户提供了多视角、多层次的审计仪表板。用户可以自定义仪表板。告警管理系统支持事件属性重定义、弹出
15、提示框、发送、发送SNMP Trap、发送短信、执行命令脚本、设备联动、发送飞鸽传书、发送MSN、发送Syslog等告警方式。告警信息可查询,可导入导出。报表管理系统置了丰富的报表报告模板,包括统计报表、明细报表、综合审计报告,审计人员可以根据需要生成不同的报表。报表可以调度生成。系统置报表编辑器,用户可以自定义报表。用户管理系统采用基于角色的权限管理机制,提供三权分立设计,置系统管理员、用户管理员和审计管理员。系统管理系统具有丰富的自身配置管理功能,包括自身安全配置、系统运行参数配置、审计资源配置等。系统具有系统自身运行监控与告警、系统日志记录等功能。2.5 支持审计数据源目前,LEADSEC-RS支持的局部厂商设备类型如下表所示:交换机Cisco、Extreme、Juniper、博科、华为、H3C、神州数码、锐捷 路由器Cisco、Extreme、Juniper、华为、H3C、神州数码、锐捷 防火墙 /UTM/USG 网御星云、Cisco、Juniper Netscreen、飞塔、Che
