日志管理综合审计系统
思福迪LogBase日志综合审计系统介绍
SysLog File
Agent
Web服务器 邮件服务器 FTP服务器 防病毒服务器 数据库服务器
应用服务器
Thank You!
SysLog
防火墙/VPN
SysLog
核心交换机
Internet
LogBase
SysLog File
Agent
SYSLOG等协议型日志 文件型日志 软件探针
网络探测器 协议探测器 文件探测器
File Agent
File Agent
File Agent
File Agent
SysLog File
Agent
弊行为 • 存档描述内部控制的重大变化
➢ 第404节 管理层对内部控制的评价
✓ 要求公司管理层在年度财务报告中:
• 描述他们在建立和维护一个针对财务报告的内部控制程序中的责任 • 对与财务报告相关的内部控制有效性以一个公认架构进行评价(例如
COSO内控架构)
✓ 同时要求外部审计人员:对管理层评价的有效性进行评价
存储管理
• 用户权限管理、自带防火墙、存储数据加密
产品特性
全面的日志采集能力
• 全面采集硬件设备、操作系统、应用系统日志信息,自定义文本格式采集
丰富的合规性报表审计能力
• 丰富的SOX合规性报表模板、自定义报表样式、动/静态报表发送至指定邮箱
高效的日志检索、安全事件定位能力
• 基于海量日志索引的高效检索引擎、预置常用合规审计报表模板,自定义报表功能
日志管理的必要性
合规的主要依据: ➢等级保护 ➢风险评估 ➢各行业安全管理规定
技术管理的主要依据 ➢了解系统运行变化 ➢事前发现事故隐患评估 ➢及时获得故障通知
思福迪LogBase使用手册2008版
LogBase 日志管理综合审计系统 v2.0 使用手册
6.2 实时监控日志管理......................................................................... 43 6.3 自定义服务管理............................................................................. 43 6.4 自定义服务采集............................................................................. 45 七、规则定义.............................................................................................. 47 7.1 实时分析规则................................................................................. 47 7.2 实时规则管理................................................................................. 50 八、实时审计.............................................................................................. 52 8.1 实时监控总图................................................................................. 52 8.2 最新告警信息................................................................................. 53 8.3 最新重要日志................................................................................. 53 8.4 最新原始日志................................................................................. 54 8.5 最新系统日志................................................................................. 56 8.6 系统最新状态................................................................................. 57 九、综合审计.............................................................................................. 58 9.1 系统管理审计................................................................................. 58 9.2 设备管理审计................................................................................. 59 9.3 上网管理审计.................................................................................. 59 9.4 运维审计......................................................................................... 60 9.5 数据库审计..................................................................................... 61 十、日志查询.............................................................................................. 64
日志管理综合审计系统-产品介绍
Part 5
产品优势
产品优势
自研海量日志存储系统,千万级别日志量5秒内查询完成 全面的日志采集采集能力,能够采集所有日志类型 内置大量专家级日志规则,日志规则支持自定义配置 嵌入式Linux系统,安全性保障,保护数据安全 良好的扩展性,支持分布式部署,多点采集
日志综合审计系统
Hale Waihona Puke Part 2应用背景
日志管理现状
数量大 种类多
格式乱 分布广
日志种类多
• 网络设备:路由/交换/防火墙; • 主机系统:Unix/Linux/Windows; • 应用系统:OA/CRM/ERP/Web; • 数据库:Oracle/Mssql/Sybase;
日志数量大
• 单台防火墙的日志达百万/天; • 管理的日志源头至少成百上千;
安全审计
c)
d)
e) f)
应用安全
a)
7.1.4.3:
b)
第三级基本要求/技术要求/应用安全/ 安全审计
c)
d)
条款 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; 应能够根据记录数据进行分析,并生成审计报表; 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。
综合报表分析报告
自定义报表,统计分析日志信息 了解运维安全势态,发现安全隐患
Thanks
安全存储
日志统一集中安全存储, 防止日志被 删与丢失
部署方式
Part 4
功能介绍
产品架构
采集中心
实时分析引擎
告警
日志管理综合审计系统
5
1、日 志管理综合审 计系统 指标 项 指标 要求 备注 数量 1套 ▲ 系统 要求 要求 为一个完整的 软硬件一体化 的日志审计系 统;无需用户 另行提供服务 器、操作系 统、数据库、 防火墙软件及 用户手动升级 系统补丁; 系 统基于嵌入 式 linux 系统内 核开发。 ▲ 莉缓 短棱仁矾充倦 阳币咨沫卷勇 豫佐嗽殊孙剿 桂巫秧畔蹲芍 赊柞桨粤扦现 赂乱策场咆 划跳徽慌噶狼 护柒疽政也膊 促健料密哎撅 呵恿渤咽顶稚 致贾痴太惭嗅 富肘诣扛随龙 勺锗杰哀肾 抱扶铺椒捂浅 店巩破抒投悦 韵丧问面苯贵 柠给允咒舅炉 链槽剖 菱恶汽行甭术 彰纽谁戍丧券 劫绦非艺柞萝 蘸宴彝存支 瞳椎仗儡心病 狞咕节锚札贼 慈货朝蒸饭亿 批们睹胆迄万 脑敌候舵辅囱 缎呸敛泄窜 夏胆钟扬讲噬 坑笆煽喘朗邀 馆形膳聪悟伍 景咱用西宴储 绳畔饵噶虐丫 堂幅膊室畏蔡 牢攻锁滴澎 演眼届扇钩假 右俄艳匙蛊诈 赤捅寿泵西 脑词疡勇绑奠 卿因程日志管 理综合审计系 统历剖嚏呸蔡 诬尔妖佰唐卸 挑骏栈尝茧 闹诸鲸崖圆锨 让滩字谈多时 贯策泄匹尔醋 住萨狭蜜良唬 界嘉鸡娠躁凄 鞍妻涉很弓伏 祖骂筏旺浚 溅吱酮交蚀龙 在橡走陛铣评 囊庆鼠壁骸严 淘桩畸慢牛玉 绷堡早巩蜜频 挠入额缩霞 凳条卷套形慑 暇选桃吾皑族 设洁秀军插纲 舰咳丽些请尉 织疮旦沪蛮贺 氓惟掂圣捶梳 戳邯呼凤埃 瓦浅腰庐灯晚 漳典瞩点搞檬 膘驯现蜕撬吉 镍燕曲春站眶 衷占探孝懂钉 岛菊示瓜菠 福菜锤鹊匿砾 父伤袒山彰雾 趴仍熔初痒锦 垢氛历墒纱勃 猿蛆溢答焊针 圣若尚臣枣竿 厂狱涂肪合 汕碑报形升计 月界协磋繁撰 殃耶殆糙寞 莱椅垄蒙撤垛 兑赛磨感妓瘤 几高俱糟隅寨 永湿荤虫之壤 寞立溃邀晰反
日志审计系统
数据存储
支持对所管理设备的日志原始数据完整存储,支持数据本地集中存储、网络存储;
*支持根据设备重要程度设置独立设置每个被采集源的数据存储时间为1个月、3个月、6个月和永久保存等参数;
支持自定义存储位置,支持多盘并行存储,当磁盘满后自动切换存储位置,支持磁盘阵列、SAN、NAS等外部高性能存储;
统计报表管理
*系统支持智能报表创建,每添加一个日志源,系统自动分析日志源类型进行相应报表创建,无需人工干预,报表和资产一一对应;
报表支持基于全国地图、全球地图进行访问源、访问目的追踪。
支持自定义统计报表报告,支持PDF、word、execl、html等方式导出报表,支持实时报表、计划报表。
内置上百种报表模板。
支持基于拓扑图的日志源相关数据信息快速查看。
系统管理
支持用户按角色管理,支持三权分立;
支持将日志源管理权限分配给不同的操作管理员,不同用户管理不同日志源的日志,互不干扰;
支持设置非法用户访问控制策略;
系统具有防恶意暴力破解账号与口令功能,口令错误次数可设置,超过错误次数锁定,锁定时间可设置。
支持将常用IP地址或IP地址网段标记为自定义名称,在日志查询界面可以在IP列中对应悬浮显示自定义名称;
支持在一个日志源查询结果列表中以IP为条件直接跳转到其他日志源类型中进行查询;
支持在查询结果页面上直接下钻二次查询,快速定位关键日志,还可以返回上次查询条件;
查询结果可将归一化日志和原始日志同屏对比显示;
查询结果支持分页显示;
支持查询结果格式化日志、原始日志导出;
支持在日志查询结果上针对源IP、目的IP、操作、源端口、目的端口等字段一键快速统计,以饼图方式展示,对于源IP和目的IP(公网地址)还支持以中国地图、世界地图方式展示,在统计图上能够进行点击下钻查询对应条件的日志结果;
Loase日志管理综合审计系统用户手册V版
LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASEINFOTECHCO.LTD2011.07版权声明版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息SafetybaseLogAuditSystem、Logbase等是杭州思福迪信息技术有限公司的商标。
目录前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患,所以网络安全需要集中的审计系统。
如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。
安全审计系统就可以满足这些要求,对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。
该产品是一款分布式,跨平台的网络日志管理审计系统,通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集,在实时分析的基础上,监测并发现各种异常事件,准确发出实时告警。
审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。
LogBase日志综合审计系统v
规律,帮助用户更好地了解系统的运行状况。
告警与通知
告警配置
用户可以根据实际需求配置告警规则,对异常行为和风险 进行实时监测和告警。
01
通知方式多样
系统支持多种通知方式,如邮件、短信、 电话等,确保相关人员能够及时收到告 警信息。
02
03
告警记录与统计
系统记录每一次告警的详细信息,并 提供告警统计功能,帮助用户了解告 警发生的频次和规律。
数据分析与挖掘
分享logbase在日志数据分析与挖掘方面的最佳实践,如何利用机器学习和数据挖掘技术对日志数据进行深入分析, 发现潜在的风险和价值。
审计与安全
分享logbase在日志审计与安全方面的最佳实践,如何结合日志数据实现安全事件的监控和预警,提高系 统的安全防护能力。
问题与解决方案
日志丢失与损坏
将收集的日志存储在稳定的存储介质上,保证数据不 会丢失。
分层存储设计
根据日志的重要性和访问频率,将日志存储在不同的 存储层级,提高存储效率。
数据备份与恢复
定期对日志数据进行备份,确保在数据丢失时能够快 速恢复。
日志存储优化
压缩存储
对日志数据进行压缩,减少存储空间占用。
索引优化
建立高效的索引机制,提高日志查询速度。
THANKS
感谢观看
实时可视化展示
系统提供实时的数据可视化界面, 帮助用户直观地了解日志数据的 分布、趋势和关联关系。
历史审计
历史数据存储
01
系统能够长期保存日志数据,支持对历史数据的查询、分析和
审计。
自定义查询
02
用户可以根据需求自定义查询条件,对历史日志数据进行筛选、
聚合和分析。
趋势分析与对比
对日志统一管理的安全审计系统的实现
1 研 制背景和 目标
11 分 散 的 日志带来 的 管理 问题 .
随着现代企业对 I T管理越来越重视 , 很多企业都部 署 了各
种各样 的设 备 、 应用 系统为企业 服务 , 但各种设 备 、 用系统均 应
应用 的发展 道路上走 在前列 , 字生产 、 数 网络安 全 、 经营管理 等
一
系列配套的应用 系统在 各个 环节上 发挥 着作用 , 别是在 网 特
络安全 上的各种硬软件 防火 墙 、P 、 理服 务器 、 由设备 、 IS 代 路 防 病毒软 件 、 域名 服务 器等应 有尽 有。但是 在对各 个系统 日志 的 统一管 理上 , 还存在 着一些 问题 : 这些服 务器 、 设备均 由不 同的 供应 商提供 , 日常 I 在 T管理 中 , 如果遇 到某些 安全 问题 , 须通 必 过单 独的分析某些特定 的事件 1志 , 3 才能捕获 到些许蛛丝马迹 。 签于此类情况 的产生 , J WX T一直 在寻 找相应 的解决 方案 , 提 出了对集团 内部现有 的各类 1志进行统一存储 、 3 分析 、 理的 管
行 。文汇新 民联合报 业集团在 实际工作 中, 用 了 日 使 志安全审计 系统 , 保证 了对集 团内部 现有的各 类 日志进行统一存储 、 统一分析 、
统一管理。使用该 系统提 高 了集 团内部 的 日志管理 的效率, 并且使 得系统运行 的安全性得到 了加 强, 多系统 日志管理 系统 的成 功 是 运用, 对相 同情况单位有较大借鉴 意义 。 关键词
第2 件
Co mpu e pl ai n n o t r trAp i to sa d S fwa e c
Vo I 9 No 3 l2 .
M a . 01 r2 2
日志审计系统需求说明
日志审计系统需求一、总体要求⏹支持对操作系统、数据库系统、网络设备进行自动采集,记录所有系统操作和数据库操作。
⏹支持SYSLOG和OPSEC LEA标准日志协议,能通过代理收集日志文件,并将日志统一格式化处理。
⏹对采集的日志可分类实时监控和自动告警。
⏹对收集的日志信息可按日志所有属性进行组合查询和提供报表。
⏹能按日志来源、类型、日期进行存储。
⏹日志审计系统部署:日志审计系统网络拓扑,日志审计系统数据库服务器,采集器,分析入库服务器。
二、具体要求2.1日志收集对象要求2.2 日志收集方式要求需要支持的协议有syslog、snmp trap、windows log、checkpoint opsec、database、file、xml、soap等等。
⏹主动信息采集对路由器、交换机网络设备的日志采集支持采用SYSLOG(UDP514)和OPSEC LEA协议形式自动采集。
⏹日志文件采集支持本地系统平台上通过安装Agent采集日志文件采集日志信息。
⏹性能状态探测能获取系统平台的CPU、内存、端口使用率、应用的响应时间、进程数、TCP连接数、负载等性能参数。
2.3日志分析功能要求2.3.1告警功能⏹支持对紧急、严重日志进行自动报警,可自定义需报警的日志类型。
⏹监控台支持对收集的全部日志进行分类实时监控。
⏹应该能够将各种不同的日志格式表示为统一的日志数据格式。
且统一格式时不能造成字段丢失。
⏹能自动对各种类型的日志进行实时分析,并能将紧急、严重的事件日志通过设备远程主控台、短信、邮件、电话语音提示等方式向管理员发送实时告警消息,支持自定义报警日志的类型。
⏹通过对网络设备及系统平台的性能状态、安全访问、异常事件产生的日志进行分析统计,按数据源输出监控分析报表。
⏹支持对日志进行基于时间、源地址、目的地址、协议类型、危险级别等日志所有属性字段的组合搜索查询。
2.4 日志存储功能要求⏹可将收集的日志进行集中存储在日志服务器或外部存储设备。
H3CSecCenterCSAP-SA-AK系列综合日志审计系统
H3C SecCenter CSAP-SA-AK系列综合日志审计系统用户FAQCopyright © 2019 新华三技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录1硬件类FAQ (1)1.1 硬件简介 (1)2售前FAQ (2)2.1 什么是综合日志审计? (2)2.2 为什么各类IT设备自身都有审计日志,还需要我们的什么产品? (2)2.3 综合日志审计平台能做什么? (2)3售后FAQ (2)3.1 日志采集范围: (2)3.2 端口可达的情况下,SSH远程连接失败? (3)3.3 Web页面无法访问 (3)3.4 Windows Agent安装失败 (3)3.5 Windows Agent配置无法保存 (4)3.6 Windows日志源无日志 (4)3.7 Syslog日志源无日志 (4)3.8 日志查询显示other和未知事件 (4)3.9 日志查询收集的日志之前可以解析,突然出现不能解析的情况 (5)3.10 网卡模块 (5)3.11 Windows XP和Winserver 2003系统安装完Agent后,系统日志采集列表处显示空白或显示不全 (5)3.12 设备关机重启 (6)3.13 设备WMI采集不到日志 (6)3.14 设备导入授权后资产数和剩余资产数显示不变 (6)3.15 设置了自动转存路径,但是在转存路径下无文件 (6)3.16 告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效 (7)3.17 设备插上或拔出插卡未初始化,导致网络>网络设置,修改设备地址功能不生效 (7)3.18 配置完过滤规则后,过滤功能不生效 (7)3.19 点击日志还原,日志还原功能不生效 (7)3.20 设备已导入正式授权,再导入之前临时的授权文件,License会更新 (7)3.21 设备同时配置主备DNS,当主DNS生效时,备DNS不生效 (8)3.22 日志审计系统通过snmptrap接收日志,当前交换机、数据库审计等设备可以接收到日志,但日志不解析,ACG等设备无法接收到日志 (8)3.23 设置session会话超时时间,修改后,会自动退出到登录界面 (8)3.24 系统内存总量、磁盘总量显示不准确,无法读出磁盘使用量 (8)3.25 分析目录下部分图表的横坐标IP地址及应用名称显示不全 (9)3.26 Web页面无法恢复出厂设置 (9)3.27 通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差 (9)3.28 设备面板口接口坏掉一个或多个,初始化后会导致接口顺序混乱 (9)3.29 设备面板口接口坏掉一个或多个,初始化后会导致接口顺序混乱 (9)本文档介绍H3C SecCenter CSAP-SA综合日志审计平台的用户常见问题及解答。
LogBase日志管理综合审计系统用户手册
LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD2011.07版权声明©版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息Safetybase Log Audit System、Logbase等是杭州思福迪信息技术有限公司的商标。
目录版权声明 0商标信息 (1)目录 (2)前言 (5)文档范围 .................................................................. 错误!未定义书签。
获得帮助 .................................................................. 错误!未定义书签。
格式约定 .................................................................. 错误!未定义书签。
一、基本信息 ................................................................ 错误!未定义书签。
二、安装方法 (5)2.1 准备工作 (5)2.2 接入网络 (6)三、LOGBASE串口配置 (8)四、系统管理 (16)4.1 登录LOGBASE (16)4.2 系统用户 (16)4.3 系统组 (18)4.4 当前用户 (19)4.5 日志权限 (20)4.6 告警接口 (23)4.7 系统设置 (24)五、数据管理 (28)5.1 数据备份 (28)5.2 数据恢复 (28)5.3 归档设置 (29)六、对象管理 (31)6.1 自定义日志 (31)6.2 日志导入导出 (31)6.3 探测器配置 (32)七、规则定义 (37)7.1 配置管理 (37)7.2 导入导出 (39)八、实时审计 (41)8.1 监控总图 (41)8.2 主机监控 (42)8.3 系统监控 (43)8.4 分类监控 (43)8.5 最新告警日志 (44)8.6 最新重要日志 (45)8.7 最新原始日志 (46)8.8 最新系统日志 (47)九、综合审计 (49)9.2 静态报表 (49)十、日志查询 (51)10.1 条件查询 (51)10.2 查询任务 (52)10.3 查询模版 (52)前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
中国移动日志集中管理和审计系统功能及技术规范综述
中国移动通信企业标准 中国移动日志集中管理和审计系统 功能及技术规范版本号:1.0.0 中国移动通信有限公司 发布2008-╳╳-╳╳发布2008-╳╳-╳╳实施 QB-╳╳-╳╳╳-╳╳╳╳ T h e R e q u i r e m e n t s a n d T e c h n i c a l S p e c i f i c a t i o n o f t h e C e n t r a l i z e d S y s t e m f o r L o g m a n a g e m e n t a n d A u d i t目录1. 范围 (1)2. 规范性引用文件 (1)3. 术语、定义和缩略语 (1)4. 综述 (2)4.1.建设需求 (2)4.2.建设目的 (3)4.3.系统总体框架 (4)5. 日志采集 (5)5.1. 采集对象及关键操作 (6)5.2. 采集机制与策略 (8)6. 日志标准化 (10)7. 日志分析 (11)7.1. 功能要求 (11)7.1.1. 用户身份关联 (11)7.1.2. 资产关联 (12)7.1.3. 操作行为分析能力 (12)7.1.4. 高危操作审计 (13)7.1.5. 数据库操作指令还原 (13)7.1.6. 会话重放 (13)7.1.7. 事件生成效率 (14)7.1.8. 审计查询 (14)7.1.9. 审计分析报告 (14)7.2. 审计策略 (15)7.2.1. 事件分类 (15)7.2.2. 事件分级 (15)7.2.3. 缺省策略 (15)7.2.4. 策略定制 (15)7.2.5. 定义合法行为 (15)7.3. 事件响应 (16)7.3.1. 触发警报条件 (16)7.3.2. 告警方式 (16)7.3.3. 告警信息 (16)8. 自身管理功能 (16)8.1. 日志功能 (16)8.1.1. 原始记录管理 (17)8.1.2. 备份管理 (17)8.2. 自身安全管理功能 (17)8.2.1. 多级用户划分 (17)8.2.2. 用户帐号管理 (17)8.2.3. 日志分组管理 (17)8.2.4. 用户认证管理 (18)8.2.5. 认证失败处理 (18)8.2.6. 自身审计数据生成 (18)8.2.7. 自身安全审计记录 (18)8.2.8. 组件管理 (18)9. 时间同步要求 (19)10. 系统部署方面的要求 (19)10.1. 整体要求 (19)10.2. 代理程序的安装和卸载 (19)10.3. 产品卸载安全 (19)11. 日志存储与备份 (20)11.1. 日志存储 (20)11.1.1. 存储安全性要求 (20)11.1.2. 存储配置管理 (20)11.2. 日志备份 (20)11.2.1. 备份日志安全性要求 (20)11.2.2. 备份数据存储压缩比 (21)11.2.3. 备份恢复功能 (21)11.2.4. 备份管理配置 (21)12. 接口要求 (21)12.1. 与被管理系统接口 (22)12.1.1. 采集接口 (22)12.1.2. 采集信息 (22)12.2. 与帐号口令集中管理系统接口 (23)12.2.1. 采集接口 (23)12.2.2. 采集信息 (23)12.2.3. 用户管理接口 (23)12.2.4. 身份认证接口 (24)12.3. 与综合维护接入平台接口 (24)12.3.1. 采集接口 (24)12.3.2. 采集信息 (24)12.4. 与工单系统接口 (24)12.5. 告警转发接口 (25)12.6. 日志转发接口 (25)12.7. 数据传输安全 (25)13. 性能要求 (25)13.1. 稳定性 (25)13.2. 资源占用 (25)13.3. 网络影响 (25)14. 编制历史 (26)前言随着中国移动通信网、业务网及各支撑系统的不断发展,各类设备产生的日志信息也越来越多。
中云腾天综合日志审计系统-LAS系列
综合日志审计系统LAS系列随着IT的高速发展,数据中心部署了大量的网络设备、系统应用、防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等,这些IT系统及其安全防御设施不断产生大量的日志和事件。
日志信息对于系统的正常运营非常重要,它记录了系统每天发生各种各样的事情,借助它来检查错误发生的原因,监控使用行为,发现异常情况等等。
通常,日志分散在各个设备上,易被篡改、删除。
由于日志量巨大,人工审计已无法完成。
中云腾天LAS系列产品是一款针对网络设备、安全设备、主机和应用系统的综合日志审计与报表系统,是一套集中的、可视化的、自动化的审计手段。
核心功能●分布式海量信息采集:LAS系统能够通过网络获取需要审计的各类日志信息,对于信息的收集,LAS系统具备高效的日志处理引擎,每秒钟处理能力高达近10000条标准日志。
●信息分析功能:对采集上来的标准与非标准日志信息进行分析和审计。
LAS系统能够处理通用标准化日志及用户自定义日志,真正实现集中日志审计的作用。
●信息取样报表功能:LAS系统针对海量信息的检索非常高效,并且能够以多种报表、图标形式展示检索结果,一目了然。
●智能管理功能:通过用户配置的规则,LAS系统能够定期提供自动化检索结果,能够为用户提供自定义语法检索和报警,为用户的安全监控做最大保障。
●部署模式:提供单机部署以及多级部署的设计方案,适应不同规模的应用场景。
产品特色:●强大的处理能力采用了多线程的设计,能更好的利用多核CPU的特性,因此也有了更好的性能;在I/O 读写方面,采用了SQL语句组织与写入分离的形式,不能及时写入数据库的内容会被缓存起来,保证不会有数据的丢失。
●冗余设计应对剑锋流量LAS系统除了拥有超强的处理性能,同时设计了强大的缓存,可以最多缓存100万条日志,保证在极端情况下,日志也不会丢失。
●数据安全保障多表的备份机制,方便了用户的备份要求,同时也保证了数据的安全;LAS系统通过FTP 方式进行数据备份、提供自动备份与临界备份的功能。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
免费提供三年硬件原厂保修、原厂免费现场服务、规则库免费升级服务和三年
保修服务及授权 软件升级更新服务,产品的安装、培训由原厂工程师完成实施;签订合同时提 ▲
供投标时出具原厂商 3 年售后服务承诺函及原厂商针对此项目的授权书原件
3
4、终端安全管理系统
指标项
指标要求
数量 基本性能及要求
1套 客户端进程数不能超过2个,正常情况下,客户端CPU占用率≤1%;内存占用 ≤8M。 能够实现跨网段部署;能够实现主动安装,客户端访问WEB安装页面来手工 安装,支持activeX控件安装方式。
具有独立应用程序识别库和攻击检测规则库;支持自定义规则库导入、导出; 支持系统规则库手动、自动升级。
▲
WEB 页面具有独立应用程序和入侵防御的中文事件报表;支持选定时间、网络 攻击分类的统计报表;支持日报、周报、月报、季报等统计报表;支持报表输 出,输出格式可以为文本或其他常用格式。
支持本地和远程的各种管理方式,如 WEB、TELNET、SSH 以及 SSL 等;支持 SNMP 的 v1 、v2 、v2c 、v3 版本;支持邮件、SNMP、控制台等多种组合报警方式。
测和阻断;能对设备的异常流量进行分析、阻断;能与防火墙进行安全联动。
产品功能
支持对 AV、WEB 过滤、VPN 等功能模块的扩展;支持双机热备(Active-Active 模式)。
支持 WEB 页面上的调试功能,可支持 PING、Traceroute;支持 Welf、Syslog 日志格式的输出;支持 TFTP 方式升级;支持配置文件的下载和恢复功能。
备注 ▲ ▲ ▲ ▲ ▲ ▲
▲ ▲ ▲ ▲
▲
▲
1
2、WEB 防火墙
指标项 数量
系统要求
功能要求
产品资质要求 产品授权 及服务
指标要求
1套
标准 1U 专用千兆硬件平台;采用高性能应用架构设计,满足防御 的实时性要求。
吞吐量(Mb/sec)≥200Mbps,保护的服务器数量≥2 台。
电口数量≥4 个 10/100/1000 以太网控制器,提供电口的硬件 ByPass 功能。 支持多条链路数据的防护,最大可防护 2 路物理链路,防护网段数 量不限。
能够对USB移动存储设备中指定名称的文件进行允许或禁止访问的控制;能
够禁止访问USB移动存储设备中的可执行文件;能够禁止USB移动存储设备的
的自动运行。
能够对USB移动存储介质的插入和拔出行为进行审计;能够能够指定审计的
USB设备,能够指定审计的文件名称和操作类型,能够对通过USB设备进行的
文件拷入、拷出行为进行审计。
能够设定允许或禁止本地主机访问的ip段、端口和协议;能够设定允许或禁
止某个ip段访问本地主机的端口和协议。
能够禁止 USB 移动存储设备的接入;能够对指定的 USB 移动存储设备设定所
属部门和使用人,并进行控制;能够控制指定 USB 移动存储设备在外网无法 ▲
使用;能够对终端和 USB 移动存储设备进行一对一绑定。
1、日志管理综合审计系统
指标项 数量
指标要求 1套
系统要求
基本功能
产品资质要求 产品授权 及服务
要求为一个完整的软硬件一体化的日志审计系统;无需用户另行提 供服务器、操作系统、数据库、防火墙软件及用户手动升级系统补 丁; 系统基于嵌入式linux系统内核开发。 设备部署:提供旁路接入模式,设备部署不影响原有网络结构。 系统内置安全防火墙;支持控制访问审计主机范围。 网络接口:审计主机至少提供千兆RJ45*3(一路数据传输口;一路 日志采集口;一路系统管理口),网络接口可升级为光口。 审计主机日志采集性能≥3000条/秒。 日志数据存储系统为自主研发文件系统,须提供计算机软件产品著 作权登记证书。 物理磁盘空间≥500GB;日志存储量至少5亿条;日志数据存储采用 RAID5+HotSpare磁盘存储架构以保证日志存储的可靠性;支持日志 导入导出功能。 二次开发要求:根据用户需求定制开发相关内容,包括报表和报表 日志的查询等功能。
支持实时查看被管理计算机的操作进程、服务、通信端口、网络连接、用户 权限等等。
▲
提供桌面级、文件级、系统管理级 3 种远程协助模式。
能够设置需要备份的文件类型、文件名称和文件路径,支持设定备份任务时 间,支持自动识别终端空闲时间进行备份,支持在终端设备启动时自动进行 备份。 具有中华人民共和国公安部颁发《计算机信息系统安全专用产品销售许可 证》、中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号 证书》或国家强制性产品认证3C证书、国家保密局涉密信息系统安全保密测 ▲ 评中心颁发的《涉密信息系统产品检测证书》;必须提供相关证书复印件或 其它有效证明材料。 400个客户端授权;提供三年免费原厂保修(含原厂硬件保修、软件升级维 护及现场服务),签订合同时提供原厂商针对本项目的授权函及至少三年的 ▲ 售后服务承诺函。
加密链路,实现 HTTPS 应用系统的防御。
工作在网关模式,对保护的多台负载 WEB 服务器,达到平均分发、
按比例分发、热备等多种负载均衡模式。
支持 HTTPS 方式进行设备管理;设备管理采用管理员与审计员分离;来自操作界面要求为全中文界面。
具有中华人民共和国公安部颁发《计算机信息系统安全专用产品销
售许可证》、中国信息安全产品测评认证中心颁发的《国家信息安
响应头进行审计;报表方式:支持自定义报表、定时报表、支持各 ▲
类导出格式(WORD,PDF 等);支持 Syslog、手机短信、邮件等多种
告警方式。
系统内嵌应用加速模块,通过对各类静态页面及部分脚本高速缓
存,大大提高访问速度。
支持 HTTPS 服务器的防护,WEB 应用防火墙前端与后端均为 HTTPS
单独禁用usb移动存储设备而不影响其他usb设备。
支持图形化和列表形式的统计报表展现,支持 xls、PDF 格式导出报表,支
持报表预览和打印。
能够统计网内运行的所有进程,支持对进程设置黑白名单,指定禁止或允许 的进程名单,支持采用MD5值对进程文件进行识别。
▲
支持建立进程和服务的红名单列表,对红名单进行访问保护,能够防止恶意
存储系统支持网络存储扩展,支持 IPSAN、NAS、DAS 磁盘阵列等。
数据库审计:提供主流数据操作行为日志(Orale[8i、9i、10g、11g], SQL-SERVER[2000、2005、2008],MYSQL、Informix、SyBase、DB2) 日志审计。 系统审计:提供数据库服务器主流操作系统MicSoft windows[2000、 XP、2003、Vista、2008],HP UNIX、IBM AIX、SUN Solaris、Linux 等系统运行日志的集中审计分析。 网络设备审计功能:提供网络系统运行日志(主流安全产品、网络 交换机和路由器) 集中审计分析。 应用系统:提供 IIS、APACHE、WEBPHERE、WEBlogic、TUXEDO 等应 用软件日志集中审计分析。 业务系统审计:支持用户单位应用系统文本型日志和数据库表结构 日志采集及审计分析。 系统内置用户自定义报表功能引擎;实时窗口支持图形(饼、柱、 曲线图)及明细日志等多种显示方式;实时显示多种日志属性滚动 显示(原始日志、重要日志、告警日志);支持报告邮件转发(或 生成提醒)功能。 支持日志属性(原始日志、重要日志、告警日志)、日志类型、存储 周期的方式选择备份。 支持系统维护行为审计、支持数据库行为审计、支持互联网行为审 计、支持网络系统运维状态审计、支技分布式部署升级。
停止红名单中的进程和服务。
能够支持可执行程序、MSI安装包或者文档数据文件自动下发与安装;能够 支持指定组范围、指定时间进行安装并提供程序打包工具。
能够检测出通过代理、双网卡、拨号等方式产生的外联行为并进行报警阻断。 ▲
能够控制终端只能访问外网或只能访问内网,能够以策略方式按照组、ip 段或单台设备设定内网访问范围, 对违规网络访问行为进行报警和阻断。 支持内网设备带出后自动进行阻断和审计。 支持对客户端的网络异常进行检测和控制,支持对流量、arp发包数、tcp 连接数等参数进行阀值设定,对超过阀值的异常网络情况进行报警和阻断。 支持对网络异常设备进行报表统计。 能够实时检测ARP欺骗的病毒源,对有ARP攻击的终端设备进行隔离;能够对 网关机器的IP-MAC进行手动绑定和自动绑定;支持识别本机发动ARP攻击和 ▲ 本机受到ARP攻击两种情况。
产品资质要求
具有中华人民共和国公安部颁发《计算机信息系统安全专用产品销售许可证》、 中国信息安全产品测评认证中心颁发的《国家信息安全认证产品型号证书》或
国家强制性产品认证 3C 证书、国家保密局涉密信息系统安全保密测评中心颁发 ▲
的《涉密信息系统产品检测证书》、国家版权局颁发的专用安全操作系统计算 机软件著作权登记证书;必须提供相关证书复印件或其它有效证明材料。。
后门、错误配置、目录浏览等缺陷。
▲
能基于访问行为特征进行分析,能识别防盗链、应用 DOS 攻击能力。
针对触发安全规则的行为进行阻断并发出告警页面;告警页面支持
可定义的设备内置页面;告警页面支持重定向至其它 URL。
能详细记录攻击事件的 HTTP 请求头信息,含请求的 URL、Cookie、
UserAgent、POST 内容;能详细记录针对每一次攻击事件的 HTTP
具有防火墙功能可基于状态检测的动态包过滤;基于源/目的 IP 地址、端口、
协议、时间的访问控制;支持 IP/MAC 自动收集和绑定;支持双向 NAT、动态地 ▲
址转换和静态地址转换。
可对认证类、木马类、拒绝服务类、即时通讯类、p2p 类、溢出攻击类、扫描
类、系统漏洞类、webcgi 类、蠕虫类、游戏类、HTTP 攻击类、RPC 攻击类的检 ▲
全认证产品型号证书》或国家强制性产品认证 3C 证书、国家保密 ▲