BIT8-5網(wǎng)絡(luò)信息系統(tǒng)安全體系-綜合審計系統(tǒng)

1、綜合IT系統(tǒng)運維審計解決方案居利思義身勞心安人強我強共同發(fā)展企業(yè)審計要求審計要求居利思義身勞心安人強我強共同發(fā)展企業(yè)審計要求AMS對主機系統(tǒng)審計要求及滿足用戶登錄退出報告(302條款 (a)-(4)-(C) (D) 用戶登錄失敗報告(302條款 (a)-(4)-(C) (D) 特定文件、目錄訪問報告系統(tǒng)開機/關(guān)機報告系統(tǒng)時間修改報告系統(tǒng)日志修改報告系統(tǒng)遠(yuǎn)程登錄報告系統(tǒng)帳號管理操作跟蹤 (302條款 (a)-(6) 審計策略變更跟蹤(302條款 (a)-(5) 用戶認(rèn)證成功/失敗報告應(yīng)用訪問報告(302條款 (a)-(5) 居利思義身勞心安人強我強共同發(fā)展產(chǎn)品體系結(jié)構(gòu)居利思義身勞心安人強我強共同

2、發(fā)展產(chǎn)品結(jié)構(gòu)說明產(chǎn)品結(jié)構(gòu)說明數(shù)據(jù)接口層 數(shù)據(jù)接口層實現(xiàn)審計數(shù)據(jù)的采集及標(biāo)準(zhǔn)化，同時還可以完成與其它日志系統(tǒng)的日志傳輸及結(jié)核。核心業(yè)務(wù)層 實現(xiàn)數(shù)據(jù)的綜合分析和關(guān)聯(lián)分析，生成各種審計報表。還提供日志的維護(hù)管理，和用戶的維護(hù)管理。展示層 展示層以多種報告報表的方式讓用戶能夠從多個角度清楚的洞察系統(tǒng)的運行情況，實現(xiàn)對審計系統(tǒng)的配置管理，實現(xiàn)綜合審計和報表展示。居利思義身勞心安人強我強共同發(fā)展綜合審計體系結(jié)構(gòu) DB訪問控制流量審計日志審計流量審計UltrAMSSyslog/snmpApi/jdbcApi/jdbcsyslog/Jdbc/apijdbc第三方審計產(chǎn)品api/syslog/snmp居利思義身

3、勞心安人強我強共同發(fā)展產(chǎn)品功能居利思義身勞心安人強我強共同發(fā)展產(chǎn)品功能產(chǎn)品功能系統(tǒng)功能系統(tǒng)功能日志采集 日志來源 數(shù)據(jù)標(biāo)準(zhǔn)化過濾歸并壓制日志審計 行為審計 關(guān)聯(lián)分析審計 基于用戶實體的行為審計實時監(jiān)控 事件響應(yīng) 操作阻斷審計報表系統(tǒng)管理 用戶管理 用戶角色權(quán)限管理 對象管理 采集調(diào)度管理 數(shù)據(jù)備份管理 系統(tǒng)日志管理 系統(tǒng)分級管理居利思義身勞心安人強我強共同發(fā)展日志采集審計日志來源日志采集審計日志來源應(yīng)用系統(tǒng)日志 業(yè)務(wù)系統(tǒng) 應(yīng)用服務(wù)標(biāo)準(zhǔn)日志 系統(tǒng)日志文件 安全設(shè)備 網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)流量的日志 網(wǎng)絡(luò)嗅探外部系統(tǒng)日志（4A） 集中用戶管理日志 集中認(rèn)證日志 集中授權(quán)日志 訪問控制日志 單點登錄系統(tǒng) 堡壘

4、主機日志居利思義身勞心安人強我強共同發(fā)展日志采集全面的獲取技術(shù)日志采集全面的獲取技術(shù)1）面向文件型收集器，F(xiàn)ilestream Collector，提供通用系統(tǒng)格式模板庫，支持自定義，配合通用文件采集Agent,部署分客戶端安裝和外置模式2）面向協(xié)議型收集器，Event Collector，提供常見協(xié)議的支持，如Syslog、Snmp Trap、Opsec Lea等，少量可AMS主機內(nèi)置3）網(wǎng)絡(luò)嗅探器，Network Sensor，通過旁路監(jiān)聽方式，網(wǎng)絡(luò)協(xié)議還原獲取4）數(shù)據(jù)庫嗅探器，DB Sensor，通過旁路監(jiān)聽方式，數(shù)據(jù)庫訪問協(xié)議還原獲取5）特殊探測器，Agent，為特殊目的一般安裝在主機

5、上的探測軟件，如針對UNIX主機操作、Windows系統(tǒng)Eventlog及其它操作運行信息居利思義身勞心安人強我強共同發(fā)展主機系統(tǒng)審計居利思義身勞心安人強我強共同發(fā)展主機系統(tǒng)審計居利思義身勞心安人強我強共同發(fā)展主機系統(tǒng)審計安全設(shè)備居利思義身勞心安人強我強共同發(fā)展網(wǎng)絡(luò)事件審計網(wǎng)絡(luò)行為居利思義身勞心安人強我強共同發(fā)展網(wǎng)絡(luò)事件審計數(shù)據(jù)庫居利思義身勞心安人強我強共同發(fā)展設(shè)備支持列表分類子類日志內(nèi)容日志采集方式主機系統(tǒng)Solaris系統(tǒng)日志標(biāo)準(zhǔn)日志采集（syslog） AIX系統(tǒng)日志標(biāo)準(zhǔn)日志采集（syslog）Windows Eventlog日志采集客戶端Linux 系統(tǒng)日志標(biāo)準(zhǔn)日志采集（syslog）

6、HP Unix 系統(tǒng)日志標(biāo)準(zhǔn)日志采集（syslog）防火墻Check Point管理日志/告警日志標(biāo)準(zhǔn)日志采集接口（OPSEC LEA）Cisco PIX管理日志/告警日志標(biāo)準(zhǔn)日志采集（syslog）Netscreen管理日志/告警日志標(biāo)準(zhǔn)日志采集（syslog）華為管理日志/告警日志標(biāo)準(zhǔn)日志采集（syslog）入侵檢測CA(NIDS)告警日志標(biāo)準(zhǔn)日志采集（syslog）ISS(HIDS)告警日志標(biāo)準(zhǔn)日志采集（syslog）網(wǎng)絡(luò)設(shè)備華為管理日志標(biāo)準(zhǔn)日志采集（syslog）CISCO管理日志標(biāo)準(zhǔn)日志采集（syslog）Juniper管理日志標(biāo)準(zhǔn)日志采集（syslog）服務(wù)器WebLogic系統(tǒng)使

7、用日志/管理日志獲取日志文件WebSphere系統(tǒng)使用日志/管理日志獲取日志文件Apache系統(tǒng)使用日志/管理日志獲取日志文件Microsoft IIS系統(tǒng)使用日志/管理日志獲取日志文件Domino系統(tǒng)使用日志/管理日志日志API接口 Sendmail系統(tǒng)使用日志/管理日志標(biāo)準(zhǔn)日志采集（syslog）Exchange系統(tǒng)使用日志/管理日志獲取日志文件居利思義身勞心安人強我強共同發(fā)展辦公Lotus Domino系統(tǒng)使用日志/管理日志日志API接口流量審計telnet會話內(nèi)容網(wǎng)絡(luò)嗅探/堡壘主機email收發(fā)件地址及郵件內(nèi)容網(wǎng)絡(luò)嗅探標(biāo)準(zhǔn)日志采集ftp會話內(nèi)容網(wǎng)絡(luò)嗅探/堡壘主機http網(wǎng)頁內(nèi)容恢復(fù)、圖

8、片恢復(fù)網(wǎng)絡(luò)嗅探/堡壘主機ssh會話過程堡壘主機httpsWeb頁面堡壘主機數(shù)據(jù)庫Oracle會話過程網(wǎng)絡(luò)嗅探DB2會話過程網(wǎng)絡(luò)嗅探SQL Server會話過程網(wǎng)絡(luò)嗅探Sybase會話過程網(wǎng)絡(luò)嗅探Informix會話過程網(wǎng)絡(luò)嗅探數(shù)據(jù)庫Oracle數(shù)據(jù)庫自身審計日志日志API接口DB2數(shù)據(jù)庫自身審計日志獲取日志文件SQL Server數(shù)據(jù)庫自身審計日志日志API接口Sybase數(shù)據(jù)庫自身審計日志獲取日志文件Informix數(shù)據(jù)庫自身審計日志獲取日志文件居利思義身勞心安人強我強共同發(fā)展行為審計是審計內(nèi)容的重點通過各種技術(shù)手段獲得使用者對信息系統(tǒng)各部分的操作活動記錄。主機行為操作系統(tǒng)層對用戶的操作行為

9、跟蹤網(wǎng)絡(luò)行為網(wǎng)絡(luò)訪問行為，http、ftp、smtp/pop、telnet、msn、bt數(shù)據(jù)庫行為主流關(guān)系型數(shù)據(jù)庫（Oracle/DB2/Mssql/Sybase/Informix等）的SQL操作行為應(yīng)用行為WEB和中間件服務(wù)器的訪問，應(yīng)用軟件系統(tǒng)自身的操作記錄居利思義身勞心安人強我強共同發(fā)展關(guān)聯(lián)分析審計操作行為關(guān)聯(lián)審計 能夠?qū)⑾到y(tǒng)層的日志、數(shù)據(jù)庫日志、應(yīng)用層的日志及網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行相互關(guān)聯(lián)，再現(xiàn)用戶的操作過程，能夠再現(xiàn)所有關(guān)鍵系統(tǒng)數(shù)據(jù)的訪問、修改和刪除等。能夠?qū)Σ灰?guī)則或頻繁出現(xiàn)的事件能進(jìn)行統(tǒng)計分析、過濾和事件聚合等。能夠支持自定義的安全事件，能檢測自定義的安全事件。能夠提供自定義匹配模式便于查詢

10、。 事件關(guān)聯(lián)審計 能夠?qū)⑾到y(tǒng)層的日志、數(shù)據(jù)庫日志、中間層、應(yīng)用層的日志、網(wǎng)絡(luò)數(shù)據(jù)和用戶關(guān)聯(lián)起來，并能夠區(qū)分不同用戶行為，并且將所有事件聚合為對同一用戶的事件關(guān)聯(lián)審計。 基于網(wǎng)絡(luò)實名的審計系統(tǒng)通過與身份管理系統(tǒng)的結(jié)合，將某個賬號的操作行為與自然人關(guān)聯(lián)，實現(xiàn)基于網(wǎng)絡(luò)實名的行為審計；能夠?qū)χ鳈C，網(wǎng)絡(luò)設(shè)備，數(shù)據(jù)庫的所有用戶指令操作的記錄；居利思義身勞心安人強我強共同發(fā)展高危行為審計能夠?qū)σ韵聰?shù)據(jù)庫高危操作進(jìn)行審計包括：數(shù)據(jù)庫表的刪除、關(guān)鍵數(shù)據(jù)項的修改及刪除等。能夠?qū)σ韵聭?yīng)用層高危操作進(jìn)行審計包括：用戶數(shù)據(jù)的修改、關(guān)鍵業(yè)務(wù)系統(tǒng)配置的修改。能夠?qū)σ韵赂呶２僮鬟M(jìn)行審計包括：用戶越權(quán)訪問、用戶權(quán)限升級、更改口

11、令、新建用戶、非正常時間登陸、多次錯誤登陸、審計策略更改和其他異常事件。能夠?qū)σ韵孪到y(tǒng)層高危操作進(jìn)行審計包括：系統(tǒng)文件刪除、系統(tǒng)文件的修改、系統(tǒng)文件屬性修改、格式化磁盤、操作服務(wù)端口開啟、啟動后臺進(jìn)程和運行可執(zhí)行文件等。 居利思義身勞心安人強我強共同發(fā)展n實時規(guī)則庫結(jié)合實時規(guī)則庫結(jié)合n自定義實時規(guī)則自定義實時規(guī)則n支持多種告警方式支持多種告警方式n郵件郵件n短信短信n聲音聲音n發(fā)送發(fā)送SYSLOGSYSLOG等等n支持工單接口支持工單接口n發(fā)送工單發(fā)送工單n狀態(tài)跟蹤狀態(tài)跟蹤n行為阻斷行為阻斷n防火墻聯(lián)動防火墻聯(lián)動n堡壘主機堡壘主機n應(yīng)用代理應(yīng)用代理日志分析和響應(yīng)居利思義身勞心安人強我強共同發(fā)展

12、磚取方式的報表展示磚取方式的報表展示展示：用戶選擇好縱維和橫維后，展示區(qū)中顯示的內(nèi)容，即為基本的展示單元或報表單元（參考詳細(xì)分類報表），用戶可點擊縱維或橫維來展某一分類進(jìn)行鉆取查看。用戶也可以直接點擊數(shù)據(jù)字段查看某組事件。 縱軸：按照從整體通過地域或業(yè)務(wù)系統(tǒng)兩種途徑精確到IP（人員）。用戶可以點擊總體一直進(jìn)入某個具體的IP地址； 橫軸：按照多種事件分類方法（事件源特點、級別特點、事件分類）；用戶通過任一途徑逐級定位到具體事件細(xì)節(jié)；居利思義身勞心安人強我強共同發(fā)展審計報表審計報表報表前轉(zhuǎn)報表前轉(zhuǎn)報表前轉(zhuǎn)主要包括兩個方面：前轉(zhuǎn)到工單和自動郵件發(fā)送。 前轉(zhuǎn)到工單：能將報表通過已有的電子工單系統(tǒng)進(jìn)行發(fā)

13、送和處理 自動郵件發(fā)送：報表生成后，系統(tǒng)能自動將生成的報表發(fā)送到指定的郵箱居利思義身勞心安人強我強共同發(fā)展產(chǎn)品功能產(chǎn)品功能報表分類（報表分類（1 1）總體狀態(tài)報表 此類報告主要面向管理層，便于管理層把握全局業(yè)務(wù)狀態(tài)，方便安全運維決策，要求能直觀的進(jìn)行各種操作，并能對報表進(jìn)行多種層面的預(yù)定義。報表支持導(dǎo)航功能，支持個性化報表和個性化報表菜單，能將本期總體狀態(tài)分析數(shù)據(jù)和上期（或其他）數(shù)據(jù)進(jìn)行對比分析，并且能將分析結(jié)果通過詳細(xì)狀況分析統(tǒng)計進(jìn)行定位。 審計分析平臺能直觀的查看各業(yè)務(wù)系統(tǒng)、服務(wù)器、終端、人員、安全和網(wǎng)絡(luò)狀態(tài)，并且能通過總體狀態(tài)報告，以鉆取的方式定位到各種詳細(xì)以及趨勢報告，并能將出現(xiàn)的威脅

14、、風(fēng)險或者操作與終端或者人員相對應(yīng)。 統(tǒng)計趨勢報表 統(tǒng)計趨勢分析統(tǒng)計，此類報告主要面向管理層，把握全局業(yè)務(wù)狀態(tài)。要求能將與業(yè)務(wù)相關(guān)的各種風(fēng)險以及事件的趨勢進(jìn)行統(tǒng)計，能通過各個部門或地域來進(jìn)行統(tǒng)計分析。詳細(xì)分類報表 詳細(xì)狀況分析統(tǒng)計，此類報告主要面向技術(shù)層。要求能將各種與業(yè)務(wù)相關(guān)聯(lián)的數(shù)據(jù)進(jìn)行分析統(tǒng)計，定位系統(tǒng)故障。此類報表必須能支持?jǐn)?shù)據(jù)的鉆取和切片。要求支持對多種不同類別數(shù)據(jù)源的數(shù)據(jù)進(jìn)行關(guān)聯(lián)和綜合分析、統(tǒng)計。 居利思義身勞心安人強我強共同發(fā)展產(chǎn)品功能產(chǎn)品功能報表分類（報表分類（2 2）總體狀態(tài)報表 主機設(shè)備（Windows、UNIX） 網(wǎng)絡(luò)設(shè)備（交換機、路由器） 安全設(shè)備（防火墻、入侵檢測、防病

15、毒） 應(yīng)用系統(tǒng)（郵件、web/http、msn）統(tǒng)計趨勢報表 趨勢統(tǒng)計時間單位可以是：小時、天、星期、月、季、年； 按照總體、業(yè)務(wù)、部門、地域生成趨勢統(tǒng)計統(tǒng)計； 按照事件源、事件特征生成趨勢統(tǒng)計分析表； 詳細(xì)分類報表 按照事件源、事件特征產(chǎn)生報表；靈活的查詢報表 會話（帳號實體）報表 應(yīng)用報表居利思義身勞心安人強我強共同發(fā)展查詢報表TELNET會話查詢報表居利思義身勞心安人強我強共同發(fā)展審計報表數(shù)據(jù)庫會話審計報表居利思義身勞心安人強我強共同發(fā)展日志的存儲管理居利思義身勞心安人強我強共同發(fā)展高可靠的數(shù)據(jù)管理高可靠的數(shù)據(jù)管理n 采用采用RAID 5RAID 5磁盤陣列，支持高效壓縮的日志存儲（壓縮

16、比磁盤陣列，支持高效壓縮的日志存儲（壓縮比 2 20:10:1）n 支持手工原始數(shù)據(jù)批量導(dǎo)入支持手工原始數(shù)據(jù)批量導(dǎo)入n 支持定期和自定義的自動歸檔，歸檔文件可下載支持定期和自定義的自動歸檔，歸檔文件可下載n 支持歸檔數(shù)據(jù)恢復(fù)支持歸檔數(shù)據(jù)恢復(fù)n 支持外部存儲設(shè)備，如磁盤陣列柜、支持外部存儲設(shè)備，如磁盤陣列柜、NASNASn高效數(shù)據(jù)檢索引擎高效數(shù)據(jù)檢索引擎存儲和檢索日志量日志量（萬條（萬條）查詢條件復(fù)雜查詢條件復(fù)雜度度第一遍第一遍第二遍第二遍第三遍第三遍第四遍第四遍500單條件檢索2213雙條件檢索2322三條件檢索3322四條件檢索33431000單條件檢索2222雙條件檢索2223三條件檢索3

17、323四條件檢索3554居利思義身勞心安人強我強共同發(fā)展系統(tǒng)自身安全保障居利思義身勞心安人強我強共同發(fā)展n內(nèi)部通訊檢查機制內(nèi)部通訊檢查機制n內(nèi)置安全防火墻內(nèi)置安全防火墻n128128位加密傳輸位加密傳輸n緩沖區(qū)設(shè)計緩沖區(qū)設(shè)計n管理界面與其他功能模管理界面與其他功能模塊分離塊分離n合理的權(quán)限管理合理的權(quán)限管理n 所需即所見所需即所見系統(tǒng)自身安全居利思義身勞心安人強我強共同發(fā)展自身安全性保障在所有組件之間進(jìn)行可選的加密方式確保安全的通信引擎可利用數(shù)字證書對所有用戶類代理進(jìn)行身份驗證增強的用戶和管理界面可采用基于SSL的身份驗證可在所有組件之間實現(xiàn)統(tǒng)一的配置居利思義身勞心安人強我強共同發(fā)展產(chǎn)品部署居利思義身勞心安人強我強共同發(fā)展日志及流量審計產(chǎn)品部署居利思義身勞心安人強我強共同發(fā)展具備訪問控制的日志及流量審計產(chǎn)品部署居利思義身勞心安人強我強共同發(fā)展分布式部署集團地方1地方2居利思義身勞心安人強我強共同發(fā)展產(chǎn)品型號及性能指標(biāo)居利思義身勞心安人強我強共同發(fā)展名稱名稱AMS-500AMS-500AMS-1000AMS-1000AMS-2000 AMS-2000