1、日志日志审计系系统NewAuditingandReportingsystemIINAR2第1页22Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.企企业概况概况信联云通企业主要方向是应用云平台服务和云安全服务。信联云通提供先进集公有云和企业私有云为一体八云服务,为客户打造灵活多样、高效节约新一代信息化处理方案。企业理念:技术创造价值 开放赢得市场OpenConvenientTech开放云应用公布平台。开放技术接口。开放运行模式。开放合作模式。开放式资源获取。最方便应用公布方式。最方
2、便应用使用路径。最方便使用体验。最方便客户定制。最快速双向应用公布。领先应用层解析专利技术。高性能IaaS云平台RVM。电信级别线上并发容量。标准云计算开放应用平台接口。双向应用公布整合。第2页33Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.企企业业务主营业务主营业务安全服务安全服务资源虚源虚拟化化企企业私私有云有云公有云公有云平台平台安全安全审计安全接安全接入入服服务监控控日志日志审计内容内容审计云服云服务监管管安全接入安全接入身份管理身份管理第3页44Octopus Lin
3、k ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.目目录什么是日志审计?为何需要日志审计?NAR2日志审计能够处理什么问题?NAR2日志审计系统介绍NAR2日志审计系统目标用户群NAR2日志审计系统产品选型第4页55Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.日志审计是将应用系统、安全设备、网络设备、操作日志审计是将应用系统、安全设备、网络设备、操作系统、以及各种服务器等产生日志经过各种方
4、式搜集并加工系统、以及各种服务器等产生日志经过各种方式搜集并加工过程。过程。经过日志审计能够监控异常访问、进行流量统计分析、经过日志审计能够监控异常访问、进行流量统计分析、生成调研汇报、统计分析各种网络可疑行为、违规操作、敏生成调研汇报、统计分析各种网络可疑行为、违规操作、敏感信息,帮助定位安全事件源头和调查取证、防范和发觉计感信息,帮助定位安全事件源头和调查取证、防范和发觉计算机网络犯罪活动,为信息系统安全策略制订、风险内控提算机网络犯罪活动,为信息系统安全策略制订、风险内控提供有力数据支撑。供有力数据支撑。什么是日志审计?什么是日志审计?第5页66Octopus Link Confiden
5、tialCopyright 20072012 Octopus Link,Inc.All rights reserved.目目录什么是日志审计?为何需要日志审计?NAR2日志审计能够处理什么问题?NAR2日志审计系统介绍NAR2日志审计系统目标用户群NAR2日志审计系统产品选型第6页77Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.为何需要日志审计?为何需要日志审计?信息系统安全等级化保护基本要求信息系统安全等级化保护基本要求二级以上二级以上ISO27001:ISO27001:4.
6、3.34.3.3小节、小节、ISO17799:ISO17799:10.1010.10小节小节商业银行内部控制指导商业银行内部控制指导第一百二十六条第一百二十六条银行业金融机构信息系统风险管理指导银行业金融机构信息系统风险管理指导第四十六条第四十六条证券企业内部控制指导证券企业内部控制指导第一百一十七条第一百一十七条互联网安全保护技术办法要求互联网安全保护技术办法要求第八条第八条萨班斯(萨班斯(SOXSOX)法案)法案第第404404款款企业内部控制基本规范企业内部控制基本规范7国家和行业法律法规都有安全审计要求国家和行业法律法规都有安全审计要求!第7页88Octopus Link Confid
7、entialCopyright 20072012 Octopus Link,Inc.All rights reserved.为何需要日志审计?为何需要日志审计?8项目等级保护第三级安全审计详细要求7.1 技术要求7.1.2 网络安全7.1.2.3 安全审计(G3)a)应对网络系统中网络设备运行情况、网络流量、用户行为等进行日志统计;b)审计统计应包含:事件日期和时间、用户、事件类型、事件是否成功及其它与审计相关信息;c)应能够依据统计数据进行分析,并生成审计报表;d)应对审计统计进行保护,防止受到未预期删除、修改或覆盖等。7.1.2.5 入侵防范(G3)b)当检测到攻击行为时,统计攻击源IP、
8、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。7.1.3 主机安全7.1.3.3 安全审计(G3)a)审计范围应覆盖到服务器和主要客户端上每个操作系统用户和数据库用户;b)审计内容应包含主要用户行为、系统资源异常使用和主要系统命令使用等系统内主要安全相关事件;c)审计统计应包含事件日期、时间、类型、主体标识、客体标识和结果等;d)应能够依据统计数据进行分析,并生成审计报表;e)应保护审计进程,防止受到未预期中止;f)应保护审计统计,防止受到未预期删除、修改或覆盖等。7.1.4 应用安全7.1.4.3 安全审计(G3)a)应提供覆盖到每个用户安全审计功效,对应用系统主要安全事件进
9、行审计;c)审计统计内容最少应包含事件日期、时间、发起者信息、类型、描述和结果等;d)应提供对审计统计数据进行统计、查询、分析及生成审计报表功效。7.2 管理要求7.2.5 系统运维管理7.2.5.5 监控管理和安全管理中心(G3)a)应对通信线路、主机、网络设备和应用软件运行情况、网络流量、用户行为等进行监测和报警,形成统计并妥善保留b)应组织相关人员定时对监测和报警统计进行分析、评审,发觉可疑行为,形成份析汇报,并采取必要应对方法;c)应建立安全管理中心,对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。第8页99Octopus Link ConfidentialCopy
10、right 20072012 Octopus Link,Inc.All rights reserved.9为何需要日志审计?为何需要日志审计?1.用户各系统设备,应用系统运行是否正常呢?2.发生安全事件时,有足够证据提供分析么?能准确定位安全事件责任么?3.维护人员是否都按照要求进行操作?4.怎样发觉和告警违规操作?5.维护人员权限怎样细粒度准确控制?6.第三方维护情况普遍存在,假如监督和控制这些人行为?7.如风险评定过程是否可靠?8.我信息安全体系建设是否能够满足相关规范要求呢?等等问题。第9页1010Octopus Link ConfidentialCopyright 20072012 O
11、ctopus Link,Inc.All rights reserved.10为何需要日志审计?为何需要日志审计?1.怎样经过集中日志定位全全问题?2.怎样经过快速日志查询分析安全问题?3.怎样经过全全告警功效及时监控系统故障?4.怎样经过自动化缩减故障排查时间和业务中止时间问题?5.怎样经过全方面日志和报警,保障IT业务连续性?6.怎样能快速准确地为安全调查和司法取证提供有力数据?7.怎样经过交互操作界面和全方面报表功效提升IT服务能力?8.怎样经过完整IT日志处理方案提升企业IT管理水平?第10页1111Octopus Link ConfidentialCopyright 20072012
12、Octopus Link,Inc.All rights reserved.目目录什么是日志审计?为何需要日志审计?NAR2日志审计能够处理什么问题?NAR2日志审计系统介绍NAR2日志审计系统目标用户群NAR2日志审计系统产品选型第11页1212Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志审计能够处理什么问题日志审计能够处理什么问题1.经过NAR2日志审计系统建设,为用户信息系统建立全方面风险管理和内控体系提供必要支撑。2.经过NAR2日志审计系统建设,为用户信息系
13、统快速定位全网发生问题。3.经过NAR2日志审计系统建设,日志审计安全告警功效及时监控系统为用户信息系统及时发觉故障及异常。4.经过NAR2日志审计系统建设,经过自动化日志审计系统为用户信息系统缩减故障排查时间和业务中止时间。第12页1313Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志审计能够处理什么问题日志审计能够处理什么问题5.经过NAR2日志审计系统建设,为用户信息系统能快速准确地为安全调查和司法取证提供有力数据证据,躲避日志信息分散存放风险。6.经过NAR2
14、日志审计系统,提升用户信息系统日常安全运维水平,实现信息系统IT计算环境日志信息集中管理,全方面掌握IT计算环境运行过程中出现隐患。第13页1414Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.目目录什么是日志审计?为何需要日志审计?NAR2日志审计能够处理什么问题?NAR2日志审计系统介绍NAR2日志审计系统目标用户群NAR2日志审计系统产品选型第14页1515Octopus Link ConfidentialCopyright 20072012 Octopus Link,In
15、c.All rights reserved.全方面采集硬件设备、操作系统、应用系统日志及自定义文本格式日志等基于海量日志高效检索引擎提供实时日志统分析提供实时各类型日志列表提供全方面日志格式标准化提供日志实时分析和报警提供丰富合规报表和自定义报表 NAR2日志审计系统介绍日志审计系统介绍产品特点品特点第15页1616Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.统计检索设备日志审计应用系统审计操作系统审计日志流量审计合规报警审计报表实时分析实时采集实时存放NAR2日志综合审计系统
16、介绍日志综合审计系统介绍产品功效品功效NAR2第16页1717Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志综合审计系统介绍日志综合审计系统介绍日志日志对象象第17页1818Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.日志采集日志采集日志分析与格式化日志分析与格式化日志审计和报表日志审计和报表日志审计简明流程以下日志审计简明流程以下NAR2日志审计系统
17、介绍日志审计系统介绍第18页1919Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志审计系统介绍日志审计系统介绍物理机物理机物理机物理机虚拟机公网服务NAR2日至采集分析与格式化审计与报表FileAgentSyslogDB审计流程流程第19页2020Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志审计第一步:日志采集跨平台采集日志(Windows
18、,Linux,服务器,交换机)日志采集方式多样支持原始日志保留存放高效优化各种检索查询功效,可组合使用采集过程中过滤功效,优化采集效率NAR2日志综合审计系统介绍日志综合审计系统介绍第20页2121Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.操作系操作系统WindowsLinuxAIXSunOSHP-UXBSD网网络设备路由器交换机负载均衡代理设备.安全安全设备防火墙IDS/IPSUTMVPN防毒墙邮件网关数据数据库访问OracleMSSQLInformixSybaseDB2M
19、ysql上网行上网行为网页浏览文件传输邮件收发IM聊天BT下载WEB邮件BBS发帖其它应用系用系统WEB ServerMail ServerFTP Server中间件系统业务系统.日志文件或采日志文件或采集器采集集器采集网网络抓包分析采集抓包分析采集日志日志协议、专用用协议采集,采集,如如syslog、snmp协议等等NAR2日志日志综合合审计系系统NAR2日志综合审计系统介绍日志综合审计系统介绍NAR2日志审计第一步:日志采集方式第21页2222Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights re
20、served.NAR2日志综合审计系统介绍日志综合审计系统介绍NAR2日志审计第二步:日志分析与格式化NAR2专有存放格式对字段进行字典配置,降低对审计员技术要求报警规则配置格式化,支持邮件/短信报警格式化能够优化系统处理性能格式化将日志分为标准字段,如时间、起源、动作、结果、级别等字段格式化数据所生成报表一目了然格式化数据方便检索第22页2323Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.AAA格式化处理第三方应用第三方应用NAR2 log时间时间地址地址对象对象操作操作结果
21、结果等级等级信息信息NAR2日志综合审计系统介绍日志综合审计系统介绍NAR2日志审计第二步:日志分析与格式化第23页2424Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志综合审计系统介绍日志综合审计系统介绍NAR2日志审计第三步:审计和报表日志日志检索索第24页2525Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志综合审计系统介绍日志综合审计
22、系统介绍NAR2日志审计第三步:审计和报表柱状柱状图第25页2626Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志综合审计系统介绍日志综合审计系统介绍NAR2日志审计第三步:审计和报表饼状状图第26页2727Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.预定定义日志日志类型型NAR2日志综合审计系统介绍日志综合审计系统介绍第27页2828Octopus
23、Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.自定自定义日志日志类型型NAR2日志综合审计系统介绍日志综合审计系统介绍1.除了预定义日志类型外,NAR2也支持自定义日志类型2.自定义日志类型能够处理90%以上非标准日志第28页2929Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.日志搜集方式日志搜集方式NAR2日志综合审计系统介绍日志综合审计系统介绍第29页3030Octopus
24、Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.日志日志导入入规则NAR2日志综合审计系统介绍日志综合审计系统介绍第30页3131Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.三种三种报警方式警方式NAR2日志综合审计系统介绍日志综合审计系统介绍1.Syslog报警方式2.邮件报警方式3.手机短信报警方式第31页3232Octopus Link ConfidentialCopyrig
25、ht 20072012 Octopus Link,Inc.All rights reserved.NAR2日志综合审计系统介绍日志综合审计系统介绍报警警规则1.报警规则能够添加多条2.不一样日志类型,报警规则内容也不一样第32页3333Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.目目录什么是日志审计?为何需要日志审计?NAR2日志审计能够处理什么问题?NAR2日志审计系统介绍NAR2日志审计系统目标用户群NAR2日志审计系统产品选型第33页3434Octopus Link Co
26、nfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.政府国家大力发展电子政务(日志审计)电子政务内网和专网上存放着许多主要或敏感数据,运行着主要应用,电子政务网特殊运行环境,要求它既要确保高强度安全,又要经过互联网与民众方便地交换信息,信息安全审计在电子政务建设中广泛应用是必定。大型运行企业复杂业务监管和数据挖掘(日志审计)移动运行商,电子商务运行商,石油石化等,均需要对内部庞大复杂数据服务进行审计,既符合业务发展需要,又符合国家要求业务监管可追溯需要,更能够提供详细服务报表,定位业务需求。公安、保密局等级保护(日
27、志,内容审计)公安系统印章系统、派出所身份证制作系统、移动警务系统、视频监控系统、车检所系统、GPS定位系统、内外数据交换机大平台、公检法综合信息系统等。金融机构,银行等必须存在业务需求。NAR2日志审计系统目标用户群日志审计系统目标用户群第34页3535Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.中国移动中国石油外国语大学北车集团多省市公安厅安瑞外交部科技部下属企业。经典用典用户第35页3636Octopus Link ConfidentialCopyright 200720
28、12 Octopus Link,Inc.All rights reserved.目目录什么是日志审计?为何需要日志审计?NAR2日志审计能够处理什么问题?NAR2日志审计系统介绍NAR2日志审计系统目标用户群NAR2日志审计系统产品型号第36页3737Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.NAR2日志综合审计系统产品选型日志综合审计系统产品选型参数NAR-1000NAR-NAR-3000NAR-5000每秒处理日志数(EPS)5001000-4000-700010000日志容量1000万条1亿条10亿条20亿条节点数1060120160第37页3838Octopus Link ConfidentialCopyright 20072012 Octopus Link,Inc.All rights reserved.Thanks!北京信北京信联云通科技云通科技责任有限企任有限企业联络人:人:张志志锋 手机:手机:13488821949QQ:304658558交流与沟通第38页
