日志綜合審計系統(tǒng)v.ppt

1、思福迪產(chǎn)品介紹,思福迪信息技術(shù)有限公司,LogBase日志綜合審計系統(tǒng),1,公司概況,思福迪公司（SAFETYBASE INFORMATION TECHNOLOGY CO.,LTD）是國內(nèi)信息安全審計與IT內(nèi)控管理的領(lǐng)先廠商，成立于2005年2月，總部和研發(fā)中心設(shè)立在杭州，在北京、上海、武漢、福建等地設(shè)有分支機構(gòu)。 公司理念： 安全創(chuàng)造價值 資質(zhì)榮譽： ISCCC信息安全服務(wù)資質(zhì)二級認證 國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心省級應(yīng)急服務(wù)支撐單位 全國安全防范報警系統(tǒng)標準化技術(shù)委員會通訊委員單位 國家信息安全服務(wù)一級資質(zhì) 軍用信息安全產(chǎn)品認證資質(zhì),2,公司業(yè)務(wù),安全產(chǎn)品,安全服務(wù),3,典型客戶,4

2、,主題,什么是信息安全審計？ 為什么需要信息安全審計？ LogBase日志綜合審計可以為用戶解決什么問題？ LogBase日志綜合審計系統(tǒng)介紹 LogBase日志綜合審計系統(tǒng)目標用戶群 LogBase日志綜合審計系統(tǒng)產(chǎn)品選型,信息安全審計是評判一個信息系統(tǒng)是否真正安全的重要標準之一。通過安全審計收集、分析、評估安全信息、掌握安全狀態(tài)，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統(tǒng)調(diào)整到“最安全”和“最低風(fēng)險”的狀態(tài)。安全審計已成為企業(yè)內(nèi)控、信息系統(tǒng)安全風(fēng)險控制等不可或缺的關(guān)鍵手段，也是威懾、打擊內(nèi)部計算機犯罪的重要手段。,什么是信息安全審計？,在國際通用的CC準則（即ISO

3、/IEC15408-2:1999信息技術(shù)安全性評估準則）中對信息系統(tǒng)安全審計（ISSA，Information System Security Audit）給出了明確定義：信息系統(tǒng)安全審計主要指對與安全有關(guān)的活動的相關(guān)信息進行識別、記錄、存儲和分析；審計記錄的結(jié)果用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動，誰（哪個用戶）對這個活動負責(zé)；主要功能包括：安全審計自動響應(yīng)、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等。,什么是信息安全審計？,通俗來講，信息安全審計就是信息網(wǎng)絡(luò)中的“監(jiān)控攝像頭”，通過運用各種技術(shù)手段，洞察網(wǎng)絡(luò)信息系統(tǒng)中的活動，全面監(jiān)測信息系統(tǒng)中的各

4、種會話和事件，記錄分析各種網(wǎng)絡(luò)可疑行為、違規(guī)操作、敏感信息，幫助定位安全事件源頭和追查取證，防范和發(fā)現(xiàn)計算機網(wǎng)絡(luò)犯罪活動，為信息系統(tǒng)安全策略制定、風(fēng)險內(nèi)控提供有力的數(shù)據(jù)支撐。,什么是信息安全審計？,主題,什么是信息安全審計？ 為什么需要信息安全審計？ LogBase日志綜合審計可以為用戶解決什么問題？ LogBase日志綜合審計系統(tǒng)介紹 LogBase日志綜合審計系統(tǒng)目標用戶群 LogBase日志綜合審計系統(tǒng)產(chǎn)品選型,為什么需要信息安全審計？,信息系統(tǒng)安全等級化保護基本要求二級以上,ISO27001:2005 4.3.3小節(jié)、 ISO17799:2005 10.10小節(jié),商業(yè)銀行內(nèi)部控制指引第

5、一百二十六條,銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引第四十六條,證券公司內(nèi)部控制指引第一百一十七條,互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定第八條,薩班斯（SOX）法案第404款,國家和行業(yè)法律法規(guī)都有安全審計的要求！,企業(yè)內(nèi)部控制基本規(guī)范,10,為什么需要信息安全審計？,全國人大常委會在今年2月28日通過了刑法修正案(七)的表決，并且從頒布之日起實施。刑法修正案(七)第二百五十三條規(guī)定： 國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。 竊取、收買或

6、者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。 單位犯前兩款罪的，對單位判處罰金，并對其直接負責(zé)的主管人員和其他直接責(zé)任人員，依照各相應(yīng)條款的規(guī)定處罰。,為什么需要信息安全審計？,為什么需要信息安全審計？,一旦用戶單位采用的防御體系被突破怎么辦？至少我們必須知道系統(tǒng)是怎樣遭到攻擊的，怎么才能恢復(fù)系統(tǒng)，此外我們還要知道系統(tǒng)存在什么漏洞，如何能使系統(tǒng)在受到攻擊進有所察覺，如何獲取攻擊者留下的證據(jù)？ 用戶各系統(tǒng)設(shè)備，應(yīng)用系統(tǒng)運行是否正常呢？ 發(fā)生安全事件時，有足夠的證據(jù)提供分析么？能準確定位安全事件責(zé)任么？ 維護人員是否都按照規(guī)定進行操作？ 如何發(fā)現(xiàn)和告警違規(guī)操作？ 維護人員權(quán)限如何

7、細粒度準確控制？ 第三方維護情況普遍存在，如果監(jiān)督和控制這些人的行為？ 如風(fēng)險評估的過程是否可靠？ 我的信息安全體系建設(shè)是否能夠滿足相關(guān)規(guī)范要求呢？等等問題。,為什么需要信息安全審計？,怎樣通過集中的日志定位全全問題？ 怎樣通過快速的日志查詢分析安全問題？ 怎樣通過全全告警功能及時監(jiān)控系統(tǒng)故障？ 怎樣通過自動化的日志系統(tǒng)縮減故障排查時間和業(yè)務(wù)中斷時間問題？ 怎樣通過全面的日志收集和安全告警，保障IT系統(tǒng)的業(yè)務(wù)連續(xù)性問題？ 怎樣能快速準確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)？ 怎樣通過交互的操作界面和全面的報表功能提升IT服務(wù)能力？ 怎樣通過完整的IT日志解決方案提高企業(yè)IT管理水平？,主題,什么

8、是信息安全審計？ 為什么需要信息安全審計？ LogBase日志綜合審計可以為用戶解決什么問題？ LogBase日志綜合審計系統(tǒng)介紹 LogBase日志綜合審計系統(tǒng)目標用戶群 LogBase日志綜合審計系統(tǒng)產(chǎn)品選型,LogBase日志綜合審計可以為用戶解決什么問題,通過LogBase日志審計系統(tǒng)建設(shè)，用戶的信息系統(tǒng)能夠落實信息系統(tǒng)安全等級化保護基本要求、ISO27001:2005、企業(yè)內(nèi)部控制基本規(guī)范和薩班斯（SOX）法案中有關(guān)安全審計控制點及日志和事件存儲的要求，積累信息系統(tǒng)安全等級保護工作經(jīng)驗。 通過LogBase日志審計系統(tǒng)的建設(shè)，為用戶的信息系統(tǒng)建立全面的風(fēng)險管理和內(nèi)控體系提供必要的支撐

9、。 通過LogBase日志審計系統(tǒng)建設(shè)，為用戶的信息系統(tǒng)快速定位全網(wǎng)發(fā)生問題。 通過LogBase日志審計系統(tǒng)建設(shè)，為用戶的信息系統(tǒng)快速的日志查詢分析呈現(xiàn)網(wǎng)中發(fā)生安全問題。,LogBase日志綜合審計可以為用戶解決什么問題,通過LogBase日志審計系統(tǒng)建設(shè)，日志審計的安全告警功能及時監(jiān)控系統(tǒng)為用戶的信息系統(tǒng)發(fā)現(xiàn)設(shè)備故障。 通過LogBase日志審計系統(tǒng)建設(shè)，通過自動化的日志審計系統(tǒng)為用戶的信息系統(tǒng)縮減故障排查時間和業(yè)務(wù)中斷時間。 通過LogBase日志審計系統(tǒng)建設(shè)，通過全面的日志收集和安全告警，為用戶的信息系統(tǒng)保障IT系統(tǒng)的業(yè)務(wù)連續(xù)性問題。 通過LogBase日志審計系統(tǒng)建設(shè)，為用戶的信息系

10、統(tǒng)能快速準確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)證據(jù)。,LogBase日志綜合審計可以為用戶解決什么問題,通過LogBase日志審計系統(tǒng)的建設(shè)，用戶的信息系統(tǒng)能夠進一步完善信息安全保障體系，改變針對事中及事后的安全防護設(shè)施建設(shè)較弱的現(xiàn)狀，為落實各項監(jiān)管機構(gòu)及內(nèi)部檢查提供技術(shù)支撐手段，不斷完善信息安全管理辦法，提高信息安全管理水平。 通過LogBase日志審計系統(tǒng)，提升用戶的信息系統(tǒng)日常安全運維的水平，實現(xiàn)信息系統(tǒng)IT計算環(huán)境日志信息的集中管理，全面掌握IT計算環(huán)境運行過程中出現(xiàn)的隱患，通過安全事件報警和日志報表的方式，在運維人員有限的條件下，有效地把握運維工作的重點，進一步增強系統(tǒng)安全運維工作的

11、主動性，更好地保障系統(tǒng)的正常運行。同時，有效規(guī)避日志信息分散存儲存在的非法刪除風(fēng)險，確保安全事故處置的取證工作。,主題,什么是信息安全審計？ 為什么需要信息安全審計？ LogBase日志綜合審計可以為用戶解決什么問題？ LogBase日志綜合審計系統(tǒng)介紹 LogBase日志綜合審計系統(tǒng)目標用戶群 LogBase日志綜合審計系統(tǒng)產(chǎn)品選型,全面采集硬件設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)日志及自定義文本格式日志等 基于海量日志高效檢索引擎 提供實時日志統(tǒng)分析 提供實時的各類型日志列表 提供全面日志格式的標準化 提供日志的實時關(guān)聯(lián)分析和告警 提供豐富的合規(guī)報表和自定義報表,LogBase日志綜合審計系統(tǒng)介紹,產(chǎn)

12、品特點,記錄檢索,設(shè)備日志審計,數(shù)據(jù)庫審計,應(yīng)用系統(tǒng)審計,上網(wǎng)行審計,日志流量審計,合規(guī)報警,審計報表,實時分析,實時采集,實時存儲,LogBase日志綜合審計系統(tǒng)介紹,產(chǎn)品功能,LogBase日志綜合審計系統(tǒng)介紹,日志對象,采集或捕獲 日志收集和管理 歸一化或理解 成熟的日志解釋和翻譯 分析或了解 全面的審計和合規(guī)性報告,LogBase為用戶提供專業(yè)的日志審計流程,LogBase日志綜合審計系統(tǒng)介紹,2020/10/17,24,問題解決第一步：采集或捕獲(日志管理),功能： 從任何平臺安全可靠地捕獲日志 全面支持原始日志收集和保存 將日志保存在經(jīng)過壓縮的高效存儲庫中 在需要時可以訪問原始數(shù)據(jù)

13、 提供所有原始日志中查找關(guān)鍵數(shù)據(jù) 通過報告證明對日志進行了全面收集,成效： 集中的自動收集日志可降低成本 隨時應(yīng)對 “審計”！,實施時間：即插即用,LogBase日志綜合審計系統(tǒng)介紹,問題解決第一步：采集或捕獲,操作系統(tǒng),Windows Linux AIX SunOS HP-UX BSD,網(wǎng)絡(luò)設(shè)備,路由器 交換機 負載均衡 代理設(shè)備 .,安全設(shè)備,防火墻 IDS/IPS UTM VPN 防毒墻 郵件網(wǎng)關(guān) ,數(shù)據(jù)庫訪問,Oracle MSSQL Informix Sybase DB2 Mysql,上網(wǎng)行為,網(wǎng)頁瀏覽 文件傳輸 郵件收發(fā) IM聊天 BT下載 WEB郵件 BBS發(fā)帖 其他,應(yīng)用系統(tǒng),

14、WEB Server Mail Server FTP Server 中間件系統(tǒng) 業(yè)務(wù)系統(tǒng) .,日志文件采集,網(wǎng)絡(luò)抓包分析采集,日志協(xié)議、專用協(xié)議采集,LogBase日志綜合審計系統(tǒng),功能： 從多種平臺安全可靠的采集日志 支持原始日志的采集和保存 日志采集狀態(tài)及趨勢監(jiān)控,應(yīng)用效果： 保證審計記錄的安全性 通過狀態(tài)監(jiān)控發(fā)現(xiàn)系統(tǒng)異常 有效降低審計管理成本,LogBase日志綜合審計系統(tǒng)介紹,問題解決第二步：歸一化（理解）,如何理解各種不同格式的日志文件？ 如何從日志文件中快速尋找到目標人員的做過的動作和行為？,LogBase日志綜合審計系統(tǒng)介紹,AAA,歸一化處理,第三方應(yīng)用,Logbase sla

15、s log,將形式各異的日志統(tǒng)一成Logbase專有日志格式 通用字段翻譯轉(zhuǎn)義，降低對審計員的技術(shù)要求 歸一化后更易于閱讀、程序處理,時間,地址,對象,操作,結(jié)果,等級,信息,問題解決第二步：歸一化（理解）,LogBase日志綜合審計系統(tǒng)介紹,29,問題解決第二步：歸一化（理解）,從翻譯中尋找需要的信息,LogBase日志綜合審計系統(tǒng)介紹,Who: (哪個用戶或者應(yīng)用造成了事件) What： (該事件代表了哪種動作) When： (事件何時發(fā)生的) Where： (事件是在哪個機器上發(fā)生的) What： (涉及到哪些對象，文件或者數(shù)據(jù)庫) WhereFrom： (事件起源于哪個機器?) Whe

16、reTo：事件的目標是哪個機器?),7W的關(guān)系,問題解決第二步：歸一化（理解）,LogBase日志綜合審計系統(tǒng)介紹,問題解決第三步：關(guān)聯(lián)分析（了解）,審計的意義在于監(jiān)督及發(fā)現(xiàn)違規(guī)的用戶行為，特別是特權(quán)用戶的行為。基于日志內(nèi)容的關(guān)鍵字過濾，安全事件規(guī)則庫，自定義敏感事件告警；合規(guī)報表展現(xiàn)。,LogBase日志綜合審計系統(tǒng)介紹,操作系統(tǒng)日志,支持對象 Windows、Linux、AIX、HP-UX、Solaris,LogBase日志綜合審計系統(tǒng)介紹,應(yīng)用系統(tǒng)日志,WEB server 中間件 FTP SERVER、MailServer 防病毒軟件 自主開發(fā)應(yīng)用系統(tǒng),LogBase日志綜合審計系統(tǒng)介

17、紹,網(wǎng)絡(luò)及安全設(shè)備,路由器、交換機、 防火墻、VPN、負載均衡設(shè)備、防毒墻、代理設(shè)備、IDS/IPS等,LogBase日志綜合審計系統(tǒng)介紹,數(shù)據(jù)庫系統(tǒng)日志,采集對象： Oralce DB2 MS SQLServer Mysql Informix Sybase 系統(tǒng)日志（windows、linux、unix）,采集方式 旁路鏡像采集網(wǎng)絡(luò)數(shù)據(jù)包 安裝軟件探測器,數(shù)據(jù)操作類（如select、insert、delete、update等） 結(jié)構(gòu)操作類（如create、drop、alter等） 事務(wù)操作類（如Begin Transaction、Commit Transaction、Rollback Tra

18、nsaction等） 用戶管理類以及其它輔助類（視圖、索引、過程等操作） 等數(shù)據(jù)庫訪問行為,LogBase日志綜合審計系統(tǒng)介紹,日志采集完整記錄日志內(nèi)容,LogBase數(shù)據(jù)庫審計系統(tǒng)記錄內(nèi)容： 日志發(fā)生時間 源、目標IP地址 數(shù)據(jù)庫名 用戶名 操作信息 返回信息,LogBase日志綜合審計系統(tǒng)介紹,日志采集-網(wǎng)絡(luò)行為,HTTP、Mail、MSN、FTP、BT等,LogBase日志綜合審計系統(tǒng)介紹,實時監(jiān)控,LogBase日志綜合審計系統(tǒng)介紹,關(guān)鍵日志告警,支持短信、郵件方式告警,LogBase日志綜合審計系統(tǒng)介紹,安全事件規(guī)則庫,LogBase日志綜合審計系統(tǒng)介紹,日志檢索功能,緩存日志檢索5秒； 支持不限次數(shù)的組合條件查詢； 支持查詢結(jié)果導(dǎo)出,LogBase日志綜合審計系統(tǒng)介紹,安全審計報表,內(nèi)置豐富報表 支持自定義報表 支持二次開發(fā),LogBase日志綜合審計系統(tǒng)介紹,政府-抓住國家大力發(fā)展電子政務(wù)的契機，緊跟國務(wù)院發(fā)布的十二金工程及后來的金土（國土資源部）、金安（安監(jiān)總局）等工程單位網(wǎng)絡(luò)安全建設(shè)與升級 十二金工程：辦公業(yè)務(wù)資源系統(tǒng)、金關(guān)、金稅和金