聚銘綜合日志分析系統(tǒng)對《網(wǎng)絡安全法》以及《信息系統(tǒng)安全等級保護基本要求》第三級基本要求中網(wǎng)絡安全、主機安全、應用安全的解決方案
一、法規(guī)及要求:
1.1 《網(wǎng)絡安全法》
1.2 《信息系統(tǒng)安全等級保護基本要求》第三級基本要求
● 網(wǎng)絡安全:
● 主機安全:
● 應用安全:
二、聚銘網(wǎng)絡綜合日志分析系統(tǒng)解決方案
2.1 聚銘綜合日志審計系統(tǒng)對《網(wǎng)絡安全法》第二十一條三小條的解決方案
(三)采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡日志不少于六個月;
系統(tǒng)通過集中采集各類系統(tǒng)中的安全事件(如網(wǎng)絡攻擊、防病毒等)、用戶訪問記錄、系統(tǒng)運行日志等各類信息,經(jīng)過標準化、過濾、歸并和告警分析等處理后,以統(tǒng)一格式的日志形式進行集中存儲和管理。僅通過簡潔的實時監(jiān)控界面,用戶即可實時獲知異常安全事件和分析違規(guī)情況,系統(tǒng)也提供了強大的安全異常問題分析追溯功能。
系統(tǒng)內(nèi)所有采集的日志留存期限6個月以上,無法刪除或者修改。
2.2 聚銘綜合日志審計系統(tǒng)對《信息系統(tǒng)安全等級保護基本要求》第三級基本要求安全審計的解決方案:
2.2.1 網(wǎng)絡安全
a) 應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄;
日志分析系統(tǒng)收集網(wǎng)絡設備的系統(tǒng)日志進行日志分析、審計,對用戶行為等進行記錄。
原始日志:
CTFJ550a: NetScreen device_id=CTFJ550a
[Root]system-notification-00018: Destination address 172.16.72.249/32 was added
to policy ID 3138 by admin admin via NSRP Peer . (2015-01-08 10:41:27)
采集并標準化后的安全事件:
b) 審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。
日志分析系統(tǒng)收集到設備日志后,對日志進行標準化,記錄日志的日期和時間、源用戶、目的用戶、事件類型、結(jié)果、源地址、源端口、目的地址、目的端口等相關(guān)信息。
c) 應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
對標準化后的日志,進行關(guān)聯(lián)、統(tǒng)計分析后,形成不同維度的審計報表,如:網(wǎng)絡設備日志分布報表、網(wǎng)絡設備訪問控制報表、網(wǎng)絡連接分布報表等等。
d) 安全審計應可以對特定事件,提供指定方式的實時報警
系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置,當匹配規(guī)則的事件發(fā)生時,實時 報警,響應方式包括:郵件、轉(zhuǎn)發(fā) 外系統(tǒng)、執(zhí)行程序等,也可以通過定制支持短信通知。
e) 應對審計記錄進行保護,避免受到未預期的刪除、修改或覆蓋等。
系統(tǒng)對日志留存指定時間,如6個月;日志分析系統(tǒng)嚴格控制,進程無法非法結(jié)束。
2.2.2 主機安全
a) 審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶;
日志分析系統(tǒng)收集各類主機終端、客戶端、服務器、防病毒軟件等設備的系統(tǒng)日志、用戶日志。
b) 審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件;
如:
1、Windows的系統(tǒng)日志、安全日志、用戶日志
2、Liunx、AIX、HP-UX的系統(tǒng)日志、安全日志、用戶日志、系統(tǒng)命令等
3、數(shù)據(jù)庫的審計日志
4、防病毒軟件的系統(tǒng)日志
c) 審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等;
d) 應能夠根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
對標準化后的日志,進行關(guān)聯(lián)、統(tǒng)計分析后,形成不同維度的審計報表,如:主機日志分布報表、主機訪問控制報表、等等。
e) 安全審計應可以對特定事件,提供指定方式的實時報警
日志分析系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置,當匹配規(guī)則的事件發(fā)生時,實時報警,響應方式包括:郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等,也可以通過定制支持短信通知。
f) 應保護審計進程,避免受到未預期的中斷
日志分析系統(tǒng)嚴格控制,進程無法非法結(jié)束。
g) 審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等
日志分析系統(tǒng)對日志留存指定時間,如6個月,日志分析系統(tǒng)嚴格控制權(quán)限,已記錄的日志無法修改、刪除。
2.2.3 應用安全
a) 安全審計應覆蓋到應用系統(tǒng)的每個用戶;
日志分析系統(tǒng)采集應用系統(tǒng)的訪問日志,根據(jù)日志內(nèi)容,記錄每個用戶的操作行為。
b) 安全審計應記錄應用系統(tǒng)重要的安全相關(guān)事件,包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等;
日志分析系統(tǒng)采集并記錄應用系統(tǒng)重要的安全事件、訪問日志里包含用戶行為日志,
系統(tǒng)資源情況需要通過網(wǎng)管系統(tǒng)進行監(jiān)控。
c) 安全相關(guān)事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結(jié)果等;
日志分析系統(tǒng)對采集的應用日志進行標準化,記錄日志的日期和時間、源用戶、目的用戶、事件類型、結(jié)果、源地址、源端口、目的地址、目的端口等相關(guān)信息。
d) 安全審計應可以根據(jù)記錄數(shù)據(jù)進行分析,并生成審計報表;
對標準化后的日志,進行關(guān)聯(lián)、統(tǒng)計分析后,形成不同維度的審計報表,如:應用類日志分布報表、應用類訪問控制報表等等。
e) 安全審計應可以對特定事件,提供指定方式的實時報警;
系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置,當匹配規(guī)則的事件發(fā)生時,實時報警,響應方式包括:郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等,也可以通過定制支持短信通知。
f) 審計進程應受到保護避免受到未預期的中斷;
日志分析系統(tǒng)嚴格控制,進程無法非法結(jié)束。
g) 審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。
系統(tǒng)對日志留存指定時間,如6個月,日志分析系統(tǒng)嚴格控制權(quán)限,已記錄的日志無法修改、刪除。
三、聚銘綜合日志分析系統(tǒng)產(chǎn)品介紹
3.1 系統(tǒng)架構(gòu)
系統(tǒng)采用elastic、solrcloud、hadoop等大數(shù)據(jù)技術(shù)設計,支持集群方式部署,存儲集群高可用,可以無限擴展存儲節(jié)點,擴展存儲空間,容災能力強、具備自動發(fā)現(xiàn)集群設備、無需停機。
3.2 解決問題
3.3 多樣的采集方式,支持各類主流設備
3.4 格式統(tǒng)一標準、清晰易懂
3.5 關(guān)聯(lián)分析
系統(tǒng)不僅支持以預定義規(guī)則的方式進行關(guān)聯(lián)分析,還支持基于模式發(fā)現(xiàn)方式的關(guān)聯(lián);系統(tǒng)不僅支持短時間內(nèi)的序列關(guān)聯(lián),還支持長時間的關(guān)聯(lián)(最長可達30天)
● 關(guān)聯(lián)場景:基于統(tǒng)計和基于關(guān)聯(lián)
基于統(tǒng)計包含:平均統(tǒng)計、方差統(tǒng)計,支持按天、按周統(tǒng)計,智能機器學習。
基于關(guān)聯(lián)包含:狀態(tài)關(guān)聯(lián)、時序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)。
● 多維度關(guān)聯(lián):
支持事件與基線關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析。
3.6 審計分析
審計能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置;并能夠自定義審計策略模板,系統(tǒng)內(nèi)置了大量審計策略模板,涵蓋了常見的、對企業(yè)非常實用的審計策略模板,如主機、防火墻、數(shù)據(jù)庫、薩班斯審計策略模板等。
3.7 實時告警
系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置,當匹配規(guī)則的事件發(fā)生時,實時報警,響應方式包括:郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等,也可以通過定制支持短信通知。
3.8 安全可視化
內(nèi)置了全球IP歸屬信息,能夠?qū)邮盏陌踩录罩局械?/span>IP地址進行實時的解讀分析,告知安全事件相關(guān)的IP屬的組織、國家及地理位置等信息。這為用戶發(fā)現(xiàn)、分析、追溯異常安全事件提供了重要的的信息依據(jù),能夠大大提升企業(yè)對異常安全事件分析、處置效率
3.9 審計與報表
系統(tǒng)支持自定義審計對象、審計策略,從而滿足不同行業(yè)用戶日志分析、審計合規(guī)的需求。系統(tǒng)內(nèi)置了各類實用的安全審計模板,如等級保護、薩班斯(SOX)、資產(chǎn)常見分類模板等,方便了用戶直接使用或參考定制。系統(tǒng)能夠自動定期將各類安全事件及審計情況的報告以報表發(fā)送的方式告知相關(guān)人員。
聯(lián)系我們:
主頁:www.lduoba.com
全國服務熱線:400-1158-400
產(chǎn)品支持:support@juminfo.com