聚銘綜合日志分析系統(tǒng)對《網(wǎng)絡安全法》以及《信息系統(tǒng)安全等級保護基本要求》第三級基本要求中網(wǎng)絡安全、主機安全、應用安全的解決方案

一、法規(guī)及要求：

1.1 《網(wǎng)絡安全法》

1.2 《信息系統(tǒng)安全等級保護基本要求》第三級基本要求

● 網(wǎng)絡安全：

● 主機安全：

● 應用安全：

二、聚銘網(wǎng)絡綜合日志分析系統(tǒng)解決方案

2.1  聚銘綜合日志審計系統(tǒng)對《網(wǎng)絡安全法》第二十一條三小條的解決方案

（三）采取監(jiān)測、記錄網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡日志不少于六個月；

       系統(tǒng)通過集中采集各類系統(tǒng)中的安全事件（如網(wǎng)絡攻擊、防病毒等）、用戶訪問記錄、系統(tǒng)運行日志等各類信息，經(jīng)過標準化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進行集中存儲和管理。僅通過簡潔的實時監(jiān)控界面，用戶即可實時獲知異常安全事件和分析違規(guī)情況,系統(tǒng)也提供了強大的安全異常問題分析追溯功能。

       系統(tǒng)內(nèi)所有采集的日志留存期限6個月以上，無法刪除或者修改。

2.2  聚銘綜合日志審計系統(tǒng)對《信息系統(tǒng)安全等級保護基本要求》第三級基本要求安全審計的解決方案：

2.2.1  網(wǎng)絡安全

a)     應對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；

日志分析系統(tǒng)收集網(wǎng)絡設備的系統(tǒng)日志進行日志分析、審計，對用戶行為等進行記錄。

原始日志：

CTFJ550a: NetScreen device_id=CTFJ550a [Root]system-notification-00018: Destination address 172.16.72.249/32 was added to policy ID 3138 by admin admin via NSRP Peer . (2015-01-08 10:41:27)

采集并標準化后的安全事件：

b)    審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。

日志分析系統(tǒng)收集到設備日志后，對日志進行標準化，記錄日志的日期和時間、源用戶、目的用戶、事件類型、結(jié)果、源地址、源端口、目的地址、目的端口等相關(guān)信息。

c)     應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

對標準化后的日志，進行關(guān)聯(lián)、統(tǒng)計分析后，形成不同維度的審計報表，如：網(wǎng)絡設備日志分布報表、網(wǎng)絡設備訪問控制報表、網(wǎng)絡連接分布報表等等。

d)    安全審計應可以對特定事件，提供指定方式的實時報警

       系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當匹配規(guī)則的事件發(fā)生時，實時 報警，響應方式包括：郵件、轉(zhuǎn)發(fā)        外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

e)     應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

系統(tǒng)對日志留存指定時間，如6個月；日志分析系統(tǒng)嚴格控制，進程無法非法結(jié)束。

2.2.2  主機安全

a)     審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

       日志分析系統(tǒng)收集各類主機終端、客戶端、服務器、防病毒軟件等設備的系統(tǒng)日志、用戶日志。

b)    審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

如：

1、Windows的系統(tǒng)日志、安全日志、用戶日志

2、Liunx、AIX、HP-UX的系統(tǒng)日志、安全日志、用戶日志、系統(tǒng)命令等

3、數(shù)據(jù)庫的審計日志

4、防病毒軟件的系統(tǒng)日志

c)     審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結(jié)果等；

d)    應能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

對標準化后的日志，進行關(guān)聯(lián)、統(tǒng)計分析后，形成不同維度的審計報表，如：主機日志分布報表、主機訪問控制報表、等等。

e)     安全審計應可以對特定事件，提供指定方式的實時報警

日志分析系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當匹配規(guī)則的事件發(fā)生時，實時報警，響應方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

f)      應保護審計進程，避免受到未預期的中斷

日志分析系統(tǒng)嚴格控制，進程無法非法結(jié)束。

g)    審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等

日志分析系統(tǒng)對日志留存指定時間，如6個月，日志分析系統(tǒng)嚴格控制權(quán)限，已記錄的日志無法修改、刪除。

2.2.3  應用安全

a)      安全審計應覆蓋到應用系統(tǒng)的每個用戶；

日志分析系統(tǒng)采集應用系統(tǒng)的訪問日志，根據(jù)日志內(nèi)容，記錄每個用戶的操作行為。

b)      安全審計應記錄應用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；

日志分析系統(tǒng)采集并記錄應用系統(tǒng)重要的安全事件、訪問日志里包含用戶行為日志，

系統(tǒng)資源情況需要通過網(wǎng)管系統(tǒng)進行監(jiān)控。

c)      安全相關(guān)事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結(jié)果等；

日志分析系統(tǒng)對采集的應用日志進行標準化，記錄日志的日期和時間、源用戶、目的用戶、事件類型、結(jié)果、源地址、源端口、目的地址、目的端口等相關(guān)信息。

d)      安全審計應可以根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；

對標準化后的日志，進行關(guān)聯(lián)、統(tǒng)計分析后，形成不同維度的審計報表，如：應用類日志分布報表、應用類訪問控制報表等等。

e)      安全審計應可以對特定事件，提供指定方式的實時報警；

系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當匹配規(guī)則的事件發(fā)生時，實時報警，響應方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

f)       審計進程應受到保護避免受到未預期的中斷；

日志分析系統(tǒng)嚴格控制，進程無法非法結(jié)束。

g)      審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。

       系統(tǒng)對日志留存指定時間，如6個月，日志分析系統(tǒng)嚴格控制權(quán)限，已記錄的日志無法修改、刪除。

三、聚銘綜合日志分析系統(tǒng)產(chǎn)品介紹

3.1  系統(tǒng)架構(gòu)

系統(tǒng)采用elastic、solrcloud、hadoop等大數(shù)據(jù)技術(shù)設計，支持集群方式部署，存儲集群高可用，可以無限擴展存儲節(jié)點，擴展存儲空間，容災能力強、具備自動發(fā)現(xiàn)集群設備、無需停機。

3.2  解決問題

3.3  多樣的采集方式，支持各類主流設備

3.4  格式統(tǒng)一標準、清晰易懂

3.5  關(guān)聯(lián)分析

系統(tǒng)不僅支持以預定義規(guī)則的方式進行關(guān)聯(lián)分析，還支持基于模式發(fā)現(xiàn)方式的關(guān)聯(lián)；系統(tǒng)不僅支持短時間內(nèi)的序列關(guān)聯(lián)，還支持長時間的關(guān)聯(lián)（最長可達30天）

● 關(guān)聯(lián)場景：基于統(tǒng)計和基于關(guān)聯(lián)

基于統(tǒng)計包含：平均統(tǒng)計、方差統(tǒng)計，支持按天、按周統(tǒng)計，智能機器學習。

基于關(guān)聯(lián)包含：狀態(tài)關(guān)聯(lián)、時序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)。

● 多維度關(guān)聯(lián)：

支持事件與基線關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析。

3.6  審計分析

審計能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置；并能夠自定義審計策略模板，系統(tǒng)內(nèi)置了大量審計策略模板，涵蓋了常見的、對企業(yè)非常實用的審計策略模板，如主機、防火墻、數(shù)據(jù)庫、薩班斯審計策略模板等。

3.7  實時告警

系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當匹配規(guī)則的事件發(fā)生時，實時報警，響應方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

3.8  安全可視化

內(nèi)置了全球IP歸屬信息，能夠?qū)邮盏陌踩录罩局械?/span>IP地址進行實時的解讀分析，告知安全事件相關(guān)的IP屬的組織、國家及地理位置等信息。這為用戶發(fā)現(xiàn)、分析、追溯異常安全事件提供了重要的的信息依據(jù)，能夠大大提升企業(yè)對異常安全事件分析、處置效率

3.9  審計與報表

系統(tǒng)支持自定義審計對象、審計策略，從而滿足不同行業(yè)用戶日志分析、審計合規(guī)的需求。系統(tǒng)內(nèi)置了各類實用的安全審計模板，如等級保護、薩班斯（SOX）、資產(chǎn)常見分類模板等，方便了用戶直接使用或參考定制。系統(tǒng)能夠自動定期將各類安全事件及審計情況的報告以報表發(fā)送的方式告知相關(guān)人員。

---

聯(lián)系我們：

主頁：lduoba.com

全國服務熱線：400-1158-400

產(chǎn)品支持：support@juminfo.com