安全审计不可少
Safety audit is indispensable
事故定位显重要

政府行业信息系统日志审计解决方案

概述


随着政府各个委办局通信网、支撑系统、业务系统的迅速发展,各业务包含的主机、网络设备、业务系统数量不断增多,网络规模迅速扩大,访问各业务资源设备的用户数量不断增加,由于内控措施不力造成的安全问题时有发生。各通信网、支撑系统、业务系统分别维护一套用户信息数据,且孤立的以日志形式审计操作者对系统内的操作行为,这种初步的审计措施已不能满足目前和未来业务发展的要求,.随着系统对信息化的依赖程度越来越高,信息系统运行的稳定性、安全性的重要性也随之增高。基于IT设施产生的各类日志/事件的分析来保障IT运行环境是IT运维的重要手段之一,尤其是用来分析挖掘安全事件、运行事故,这些散落在各个环节的日志/事件发挥着至关重要的作用。但是,当前IT环境下日志/事件存放分散、数量多、格式不统一、本机保存周期短、易被篡改破坏等现状,导致需要分析时日志/事件不完整、无法关联分析、无法快速定位等问题无法解决,最有用的日志/事件被淹没在了日志/事件的海洋之中,最有价值的日志/事件由于无法有效的存储和分析变得毫无价值。

獬豸日志审计系统是诺立网络研发的日志与事件管理分析产品,它具备对整个信息系统中的各类日志/事件进行集中采集、集中管理、集中分析的能力。獬豸日志审计系统能够对操作系统(WindowsUnixLinuxBSD)、网络设备(路由器、交换机)、安全设备(防火墙、代理设备、防病毒系统、IDS等)、应用系统(WEB服务器、邮件服务器、FTP服务器、中间件服务等)、数据库系统等IT系统中记录的不同日志/事件进行集中采集,并集中存储到獬豸日志审计系统中,同时日志系统能够对各日志/事件中的异常如:系统故障、黑客入侵、违规访问、配置更改等事件进行分类和分析。

通过獬豸日志审计系统的部署,一方面可以集中收集、长时间存放所有的记录日志/事件,避免日志/事件遭到恶意篡改或删除而在事件发生时无据可查的状况发生,另一方面,獬豸日志审计系统强大的日志/事件分析监测功能可以为组织审计人员提供日志/事件实时监控、高效检索、分析报表等分析挖掘手段,从而使原本不可能完成的海量日志/事件分析工作可以在短时间内轻松完成,大大提升安全事件、安全故障的分析能力和响应事件。
 

用户需求

随着政府信息化安全保障和管理工作的不断深入,很多单位都需要在其信息系统中部署统一、高效、全面的日志/事件管理系统,一方面可以满足法规、标准的要求,另一方面可以切实加强组织对整个信息系统的监控能力。主要表现在以下几个方面:

  1. 全面的日志采集需求:根据政府各个委办局通信网、支撑系统、业务系统各资源主机、网络设备、应用系统的类型和网络分布,采取本地型日志采集方式和网络型日志采集方式,对全网的设备、应用以及网络操作进行全面的日志采集。
  2. 审计记录的规范化需求:由于网络中设备种类繁多,每种设备由于业务不同,日志上报的格式和内容项都有所不同。因此日志审计产品必须对采集到的各种设备日志格式进行统一,同时尽可能保留审计记录来源信息,为后续的审计分析提供依据。
  3. 基于策略的日志过滤、归并:业务网络中,各个设备运行繁忙,日志信息量非常大,日志集中管理与审计系统可根据相关策略对原始日志进行过滤和归并,以减轻日志数据在网络中的传输压力和数据中心的存储压力。
  4. 本地型日志审计与网络型日志审计相结合的审计体系。本地型日志记录本地操作,通过多种采集机制汇总到日志集中管理与审计系统;网络型日志则通过网络旁路抓包的方式获取网络操作,两者结合可构成综合的审计体系。
  5. 多维关联分析需求:对于来自各个资源的日志信息,提供多维的关联分析功能,站在用户角度,将一个用户在多个设备上的操作进行横向关联分析,形成针对用户为主题的操作行为审计;站在事件角度,对于发生在多个设备上的事件进行关联分析,形成一个完整的事件流操作过程审计;站在设备角度,对于多个用户对本设备的操作,形成本设备被访问的安全审计报告等。
  6. 日志存储需求:由于日志信息是来自生产线的第一手原始数据,因此要求对日志的存储提供加密方式的存储机制,同时,对于存储的日志不能进行修改和删除。为了提高存储的容量,能够提供压缩存储的机制。

政策法规需求

随着国家、各行业对信息安全理论研究的深入,日志/事件管理在各个相关的国家、行业标准及要求中均被多次提及,如:《信息安全等级保护》、《信息安全风险管理规范》、《符合Sox法案的内控报表需求:根据Sox法案对企业内控的要求,符合内控框架(如BS7799COBIT)的要求,以及行业的内部规范要求等。


安全技术保障体系建设需求

一个完整的信息安全技术保障体系应由保护(P)、检测(D)、响应(R)三部分构成,而日志/事件是检测安全事件的不可或缺重要手段之一。目前,大部分信息系统的所依赖的网络入侵检测系统只能检测部分来之网络的攻击事件,对运维人员的违规操作、系统运行异常、设备故障等安全事件缺乏监控能力,而这些异常事件恰恰是对内部信息系统安全威胁的最大部分。日志LOGAUDIT系统通过分析各设备、系统、应用、数据库产生的运行日志/事件,能够及时发现隐藏在各个环节的各类安全隐患,并及时给予告警,从而避免安全事件的发生

安全建设保障需求

为了不断应对新的安全挑战,先后部署了防火墙、UTMIDSIPS、漏洞扫描系统、防病毒系统、终端管理系统、WAF、数据库审计等,构建起了一道道安全防线。然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”。有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。主要表现在以下几个方面:

  • 集中的日志管理

不同设备类型、应用服务的日志需要进行统一的集中的管理。

  • 日志的归一化处理

支持多种日志类型格式的归一化处理,识别多种安全事件类型,例如:

  • 非授权的配置修改,通常情况下设备投入使用后其配置未经审批允许,不会轻易发生更改,需要防止非授权的配置变更。
  • 各种安全攻击事件,例如:漏洞利用、恶意软件、拒绝服务等。
  • 设备及系统运行异常,例如:网络异常活动、侦察/嗅探器、系统运行异常等。
  • 实时的监测告警
  • 管理员无法7*24监控,但需要及时发现安全和异常事件,并实时告警。
  • 关键的服务器、应用系统,网络设备、安全设备的运行和安全情况需要重点关注。
  • 智能的告警事件过滤
  • 在采集的基础日志数据中,还包含一部分设备上报的告警日志总是存在误报或无需处理的情况需要智能判断过滤这种无效的告警。
  • 安全事件的源、目标的定位
  • 当发现安全事件时,需要快速定位到设备或资产,才可以进一步进行事件应对处理。
  • 跨设备的安全风险发现
  • 通过日志的多种关联分析,从合规的系统访问中,发现安全隐患和风险,防患于未然。

日志审计系统的建设目的

通过实施日志集中管理和审计框架,可以达到对用户操作行为重点审计的目的:

  1. 实现日志的集中采集与存储。将各专业系统的系统日志、应用日志、操作访问日志汇聚到一起,进行分类、压缩存储。
  2. 实现日志的集中分析。通过定义规则,对日志进行横向和纵向的关联,进行自动化的分析,找出潜在的安全问题。
  3. 实现日志的集中审计。通过将操作、访问日志关联到用户,分析用户的操作行为,以便于责任认定。
  4. 实现审计结果的自动响应机制,以便更快、更早地发现问题,尽可能地将损失降低到最低限度。
  5. 提升通信网、支撑系统、业务系统的安全等级。通过集中化的日志集中管理与审计系统,实现对日志的自动采集、分析、审计和响应,提高日志审计的效率,做到问题早发现早处理,将风险控制在可以接受的程度。


日志审计系统解决方案

产品介绍

獬豸日志审计系统是诺立网络信息审计技术系统(北京)有限公司自主研发的拥有自主知识产权的专业日志与事件管理产品,系统通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和关联分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志/事件的全面管理。

獬豸日志审计系统提供对信息系统中各类主机、数据库、应用和设备的日志/事件进行实时采集、实时分析、异常报警、集中存储和事后分析功能,支持分布式、跨平台部署,具备对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的日志与事件管理能力。

通过獬豸日志审计系统,企业管理员随时了解整个IT系统的运行情况,及时发现系统异常事件;另一方面,通过事后分析和丰富的报表系统,管理员可以方便高效地对信息系统进行有针对性的深度分析。遇到特殊安全事件和系统故障,獬豸日志审计系统可以帮助管理员进行故障快速定位,并提供客观依据进行追查和恢复。

因此,獬豸日志审计系统可以帮助用户有效降低IT系统的故障而带来的损失,降低IT系统的运维成本和管理的复杂度,显著提高系统整体的安全性、可靠性和运行效率,保证IT系统7X24的正常、持续、稳定运行,降低信息系统的整体安全风险。

体系架构

獬豸日志审计系统基于嵌入式Linux系统进行开发,由日志/事件采集模块、日志/事件分析模块、系统管理等主要模块组成。獬豸日志审计系统采用B/S架构,管理员通过HTTPS方式对主机进行管理。

獬豸日志审计系统的系统架构如图3.1所示。

 

3.1 獬豸日志审计系统架构示意图

产品主要功能

日志/事件采集

獬豸日志审计系统经过多年的研发,已经具备跨平台日志采集能力。

支持广泛的采集对象:

  • 操作系统:WindowsUnixLinuxBSD
  • 网络设备:主流网络设备如:cisco、华为、H3C
  • 安全设备:主流防火墙、代理设备、负载均衡设备、防病毒设备等
  • 应用日志:WEB(IISApache)MailFTP
  • 数据库日志:ORACLEMSSQL记录文件等

采集方式:

  • 日志协议采集:支持SyslogSNMP Trap等采集协议

日志/事件范式化

  • 支持不同原始日志格式的归一化处理。
  • 支持泛化识别的主流的设备及应用类型,包括:CISCO交换机/路由器、H3C交换机/路由器、华为交换机/路由器, Juniper防火墙、FORTINET防火墙、天融信防火墙、H3C防火墙、IBM-AIX服务器、HP服务器、Windows操作系统、Unix操作系统、Linux操作型系统、Nessus漏扫系统、McAfee防病毒系统、Exchange系统、Apache服务、IIS服务、DHCP服务、DNS服务、DHCP服务、FTP服务等
  • 支持20大类240多种的事件类型,包括:漏洞利用、认证与授权、访问与控制、恶意软件、违规事件、拒绝服务、可疑活动、网络异常活动、侦察/嗅探器、系统运行事件、防病毒、应用、网络电话、针对入侵检测和入侵防御的报警、可用性、无线、资产属性、蜜罐、数据库活动监控等

实时关联分析

  • 基于资产、脆弱性、事件可信度模型的风险关联算法。
  • 支持基于时间、源/目的 IP的逻辑关联分析。
  • 支持不同事件类型的交叉关联分析。
  • 支持攻击类型和应用及系统类型的主机关联分析。
  • 内置8大类83种关联分析规则,包括:网络扫描、木马蠕虫、WEB攻击、客户端攻击、服务端攻击、暴力破解攻击以及其他类型

资产管理

  • 支持按主机、主机组、网络域的资产集中管理。
  • 支持资产的自动发现。
  • 支持资产定位的属性描述。

脆弱性管理

  • 支持CVE标准的弱点漏洞信息知识库。
  • 支持NessusOpenVAS规则的网络扫描以及资产漏洞发现。
  • 支持NessusOpenVAS扫描结果的导入。

实时监测告警

  • 支持事件风险可信度算法,通过事件可信度判定风险高中低进而发出安全告警,过滤无效的告警信息。
  • 支持关键资产的监测告警。
  • 支持多种告警方式,包括:用户界面、Syslog、邮件。
  • 支持告警的资产定位。
  • 日志查询
  • 支持对所有事件进行关键字全文检索。
  • 支持查询条件存储,便于多次使用。
  • 支持基于查询结果的相关策略的快速修改。

统计报表

  • 支持多种报表类型,包括:指定事件类型统计、告警统计、资产统计、资产脆弱性统计等;支持各种TOP排名分析;支持各种分布统计分析
  • 支持报表导出为PDFWordExcelHTMLPPT格式文件。
  • 支持手动报表和自动报表两种生成方式。
  • 支持等级保护等合规类报表。

管理员可以根据需要,随时增加需要的审计报表。
 

部署方式

 

1:产品部署示意图


獬豸日志审计系统部署方式比较灵活,只需要为其配置一个独立IP地址即可使用。

网络中得设备通常都是通过Syslog、SNMPtrap协议自动发送日志到獬豸日志审计系统中,或者通过獬豸日志审计系统提供的agent软件从操作系统中采集各类日志信息。


产品优势

标准化描述

针对各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)从安全视角进行标准的描述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。

丰富的日志/事件解析能力

解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等);日志解析性能与接入的日志设备数量无关。

先进的关联算法

獬豸日志审计系统的关联分析引擎本系统的最大亮点之一。

另外,在关联算法方面,獬豸日志审计系统有如下独到之处:

标准化之上的关联规则,适应性强

可定制性强,几乎可根据通用事件的任何字段进行关联

基于逻辑表达式,可以进行复杂关联

时序宽容,无惧乱序

高速检索能力

獬豸日志审计系统采用了诺立网络信息审计技术系统(北京)有限公司自主开发的基于海量日志索引的日志检索引擎,避免了在采用关系数据库在处理海量日志数据时的低效率问题,实现了对日志的高速检索能力。

基于资产、脆弱性、事件可信度模型的风险关联算法

獬豸日志审计系统支持CVE标准的弱点漏洞信息知识库,同时提供Nessus和OpenVAS规则的网络扫描以及资产漏洞发现功能。根据自动入库的资产结合资产的扫描报告形成客户单位业务的风险报告。

灵活的查询条件

獬豸日志审计系统在接收日志信息时,根据不同的日志种类进行不同的格式化处理,在保留所有日志原始信息的同时将日志根据字段进行分割处理。

用户通过獬豸日志审计系统检索日志时,可以根据字段内容进行精确匹配,如:日志源IP、日志生成时间等;从而实现日志的快速准确定位。


客户价值

  • 实现了日志的统一管理,通过关联分析规则实现日志的多维度关联分析,使企业领导和管理者及时掌握企业安全风险状况,为领导层进行安全建设决策提供数据依据;;
  • 满足了等级保护和行业政策法规的安全审计要求;
  • 提高工作效率,使安全管理者及时发现安全告警事件和违规行为;
  • 完善了客户单位的安全体现建设,同时也促进了客户单位的安全保障建设需求;

常见问题

你们的产品是否安全?

您好,我们产品以CentOS操作系统为平台,系统经过精简和优化,随时修补最新安全漏洞。

免费版有什么特点?

您好,为照顾小微发展型企业,降低系统安全建设成本,毕方数据库审计免费版和獬豸日志审计免费版功能无任何限制,仅在监控数量有限制,数据库审计授权监测审计数据库数量1台,日志审计审计授权监测审计设备数2台。免费版无专职技术专员一对一的进行服务,可加入QQ群:979218901获得支持。

无限制版有什么特点?

您好,该版本主要对接各种信息安全项目,产品无期限限制,授权数根据项目所提进行设定,产品享受维保、升级、现场、备机等服务。

我想与你们合作可以吗?

您好,非常欢迎与您的合作,合作方式灵活多样,有意可联系具体细谈。

你们产品有多少种版本?

您好,目前我们数据库审计和日志审计产品有免费版、服务版和无限制版三种。

服务版有什么特点?

您好,服务版是非常灵活的购买方式,用户可按授权数量和按月或按年购买,可做到资金合理利用,避免资源浪费,后期根据要求可随时扩容。服务版享有全程的技术支持服务,服务方式为电话、即时通信、远程协助。

安装包我不会安装怎么办?

您好,我们提供有详细的安装文档,如仍无法完成安装,建议采购我方硬件设备,我们负责安装生产后快递给您。