泰合TSOC-SA日志审计系统架构介绍

合集下载

SecFoxLASv30日志审计系统介绍

13
全面可管理的信息安全体系
安全管家安全医生安全顾问
业务层
安全决策
应用层
基础设施层
三个层面
安全分析
安全监控
三个维度
SecFox安全管理解决方案
源于联想网御神州
15
SecFox安全审计解决方案
SecFox-EPS终端审计
SecFox-NBA（业务审计型）
SecFox-LAS日志审计
SecFox-NBA（上网审计型）
41
[1] 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。 [2] 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。
系统简介：运行环境(硬件型)
硬件型产品不按照日志采集节点数发放许可，不限审计节点数，支持的节点数仅受限于硬件平台的性能！大大降低用户的总拥有成本
型号
SecFox-LAS-R1
• 在内存中进行 • 事件归并
• 事件追踪：一查到底、及时发现违规和入侵
– 更加强调审计的闭环：发现问题后要能够处理问题
• 告警 • 联动
11
关于数据库审计
• 可以通过日志审计或者抓包审计的方式去做 • 具体要根据客户需求来定 • 日志审计：SecFox-LAS日志分析与审计系统
– 审计内容和粒度可以很细 – 需要数据库打开日志配置项，对性能有一定影响 – 数据库日志与OS日志、应用系统日志综合分析，进行
SecFox-LAS-R2
规格指标
-1U标准机架式 -采集事件性能超过7000EPS，事件处理性能达到
4500EPS -自带1TB热插拔硬盘，支持Raid，硬盘容量可以扩展 -2U标准机架式，支持冗余电源 -采集事件性能超过30000EPS，事件处理性能达到

日志综合分析与管理解决方案V1.1

泰合中心日志综合分析与管理系统解决方案北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年10月目录1文档管理 (1)1.1文档信息 (1)1.2分发控制 (1)1.3版本控制 (1)2日志管理现状及面临的挑战 (2)2.1日志管理现状 (2)2.2面临的挑战 (2)3日志分析与管理的需求 (3)4方案设计 (3)4.1设计原则 (3)4.2体系结构 (4)4.3系统概述 (4)4.4方案实现功能 (5)4.4.1日志数据源 (6)4.4.2日志集中采集 (7)4.4.3日志存储 (10)4.4.4告警监控 (11)4.4.5基于日志的审计 (11)4.5方案功能特色 (12)4.5.1支持海量数据存储 (12)4.5.2多样化的报表 (12)4.5.3丰富的分析功能 (13)4.5.4支持通用日志采集 (13)4.5.5灵活扩充新设备 (13)4.5.6日志日常维护 (13)4.5.7用户管理 (13)4.5.8系统管理 (14)5实施与部署 (14)6方案成效 (14)1文档管理1.1文档信息1.2分发控制1.3版本控制2日志管理现状及面临的挑战2.1日志管理现状目前大多数企业，特别是大型企业、机构对于异构、海量日志数据没有很好的管理办法，结果往往是：➢日志采集效率低不能完全捕获，数据格式不统一，缺少标准化的技术手段。

➢人员要求高系统管理人员面对浩如烟海的日志信息，首先面临的一个问题是如此浩大的工作量是人工所无法完成的，另外，要求系统管理人员能够理解日志信息的内涵，对管理人员的要求很高。

➢各自为战，缺乏关联性不同的系统管理员分管不同的信息系统，难免出现各自为政的局面，但是事故发生前的一系列事件之间却存在紧密的联系，二者之间的矛盾导致事故难于处理。

➢人力投入高，处理效果差海量日志数据需要系统管理人员手工维护和管理，导致分析时间长，关键时刻很难发现问题。

TSOC-SA泰合信息安全运营中心系统-日志审计系统V3.0.10.1用户手册

首页................................................................................................................................................ 13 2.1 2.2 导航栏.................................................................................................................................... 13 管理面板................................................................................................................................ 13
第 2 页共 72 页
安全源自未雨绸缪，诚信贵在风雨同舟
客户服务与技术支持
如果您在使用泰合产品时遇到了问题，可以通过以下方式反馈给我司的客户服务部，我们将竭诚为您提供技术支持。启明星辰公司客户服务部的联系方式如下：地址：北京市海淀区东北旺西路 8 号中关村软件园 21 号楼启明星辰大厦电话：010-82779160 传真：010-82779151 接收者：服务支持部网站支持：
3.1.1 3.1.2 3.1.3
3.1.3.1 3.1.3.2 3.1.3.3 3.1.3.4 3.1.3.5 3.1.3.6
资产域........................................................................................................................... 17 资产组........................................................................................................................... 18 资产............................................................................................................................... 19

日志管理综合审计系统-产品介绍

明细型、统计型报告满足合规性审计要求
Part 5
产品优势
产品优势
自研海量日志存储系统，千万级别日志量5秒内查询完成全面的日志采集采集能力，能够采集所有日志类型内置大量专家级日志规则，日志规则支持自定义配置嵌入式Linux系统，安全性保障，保护数据安全良好的扩展性，支持分布式部署，多点采集
日志综合审计系统
Hale Waihona Puke Part 2应用背景
日志管理现状
数量大种类多
格式乱分布广
日志种类多
• 网络设备：路由/交换/防火墙； • 主机系统：Unix/Linux/Windows； • 应用系统：OA/CRM/ERP/Web； • 数据库：Oracle/Mssql/Sybase；
日志数量大
• 单台防火墙的日志达百万/天； • 管理的日志源头至少成百上千；
安全审计
c)
d)
e) f)
应用安全
a)
7.1.4.3：
b)
第三级基本要求/技术要求/应用安全/ 安全审计
c)
d)
条款应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；应能够根据记录数据进行分析，并生成审计报表；应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。
综合报表分析报告
自定义报表，统计分析日志信息了解运维安全势态，发现安全隐患
Thanks
安全存储
日志统一集中安全存储，防止日志被删与丢失
部署方式
Part 4
功能介绍
产品架构
采集中心
实时分析引擎
告警

SecFox-LASv3.0日志审计系统介绍

交换机/路由器
操作日志设备状态日志设备故障日志、设备性能日志
入侵告警日志系统规则库升级日志
入侵检测系统
防病毒系统
Unix操作系统（含Solaris, HP-UX, Linux, AIX等）防火墙、VPN

病毒日志、攻击日志防病毒系统配置变更日志病毒扫描日志病毒库升级日志
发送一个事件到服务台系例如发送给HP Service Desk，或者BMC 统
29
整体审计报表
自动生成周报、月报、季报，并自动投递报表给管理员
30
符合等级保护要求的安全审计
• 在信息系统等级保护基本技术要求中，从第二级开始，针对网络安全、主机安全、应用安全都有明确的安全审计控制点 • 在等保的管理要求中，“安全事件处置” 控制点从第二级开始要求对日志和告警事件进行存储 • 在等保的管理要求中，从第三级开始提出了“监控管理与安全管理中心”的控制点要求
2
当前面临的挑战
监控和审计界面过多、手忙脚乱！
3
当前面临的挑战
无法迅速定位问题点
4
当前面临的挑战
国家和行业法律法规都有安全审计的要求！
《信息系统安全等级化保护基本要求》二级以上
《ISO27001:2005 》4.3.3小节
《商业银行内部控制指引》第一百二十六条《银行业金融机构信息系统风险管理指引》第四十六条《证券公司内部控制指引》第一百一十七条《互联网安全保护技术措施规定》第八条《萨班斯（SOX）法案》第404款
账户日志 QQ使用日志、MSN使用日志常见网络病毒、常见网络游戏常见P2P下载日志 FTP登录和注销日志 Telnet登录和注销日志 IIS日志 Apache日志 Syslog日志 Snmp trap日志 Netflow日志 22

泰合安全管理平台(TSOC)

行业电信领域
客户名称
广东省电信公司中国移动通信集团新疆有限公司中国移动通信集团河南有限公司湖南电信江西移动中国联通有限公司广东分公司青海移动中国电信股份有限公司昆明分公司河北移动通信有限责任公司中国电信股份有限公司四川分公司中国移动通信集团设计院有限公司中国航天科技某研究院中国兵器工业集团公司中国船舶工业综合技术经济研究院西安航空发动机集团有限公司
工单管理
16
安全预警
人工预警
– – 发布一条漏洞预警分析漏洞的影响
事件预警
– – 基于已发生的事件推测潜在威胁
17
运行状态监控
18
设备控制管理
基于设备类型的脚本控制支持批量操作事件自动触发控制响应
19
用户管理
基于角色的访问控制管理（Role-Based Access Control）三权分立的管理体制 – 细分用户的资源访问权限和功能操作权限 – 不同用户的帐号和口令加密存放内置三个帐户 – 用户管理系统管理员（UserAdmin） – 审计管理员（AuditAdmin） – 权限管理员 (SmcAdmin)
泰合安全管理平台（TSOC）架构及功能
1
TSOC平台构成
概述平台架构
TSOC主要功能
主要模块各模块功能介绍
2
TSOC系统概述
泰合安全管理平台，是为解决各安全产品间的协作问题而建立起来的一个信息交换、信息存储、信息处理平台，通过该平台，可以对各安全产品进行控制管理。
泰合安全管理平台由用户管理、事件管理和安全管理中心三部分组成。
–
–
漏洞关联分析是判断系统收集到的事件所对应的漏洞编号或端口与系统中存在的资产的漏洞编号或端口号是否符合，如果符合就触发关联事件。进一步降低系统的误报率。

日志审计解决方案

日志审计解决方案一、背景介绍随着信息技术的发展和应用的普及，各类企业和组织面临着日益增长的数据量和复杂的信息系统环境。

为了确保信息系统的安全性和合规性，日志审计成为了一项重要的任务。

日志审计可以帮助企业和组织监控和分析其信息系统的活动记录，以发现潜在的安全威胁、追踪异常行为、满足合规要求以及支持事后调查等。

二、日志审计的意义1. 安全威胁检测：通过对日志进行审计，可以发现并及时应对潜在的安全威胁，如未经授权的访问、异常登录行为等。

2. 异常行为追踪：日志审计可以记录和分析用户的操作行为，帮助企业和组织追踪和识别异常行为，如非法操作、数据篡改等。

3. 合规性要求满足：许多行业和法规要求企业和组织对其信息系统进行日志审计，以确保其合规性，如金融行业的PCI DSS、医疗行业的HIPAA等。

4. 事后调查支持：当发生安全事件或违规行为时，日志审计可以提供关键的证据和线索，帮助进行事后调查和取证。

三、日志审计解决方案的关键组成部分1. 日志收集：通过在关键系统和设备上部署日志收集器，实时收集和存储系统产生的日志数据。

收集的日志数据可以包括操作系统日志、应用程序日志、网络设备日志等。

2. 日志存储：将收集到的日志数据存储在安全可靠的存储介质上，确保其完整性和可审计性。

可以采用传统的关系型数据库或专门的日志管理系统进行存储。

3. 日志分析：对存储的日志数据进行分析和挖掘，以发现异常行为和安全威胁。

可以使用各种分析工具和技术，如规则引擎、机器学习算法等。

4. 报告和告警：根据分析结果生成详细的报告和告警，以便管理员和安全团队及时了解系统的安全状况和发现潜在的威胁。

5. 审计日志管理：对日志数据进行管理和维护，包括日志的保留期限、备份策略、访问权限控制等，以确保其完整性和可审计性。

6. 可视化和查询：通过直观的可视化界面和强大的查询功能，管理员和安全团队可以方便地查看和分析日志数据，快速定位和解决问题。

四、日志审计解决方案的实施步骤1. 需求分析：与企业和组织的相关部门和人员沟通，了解其日志审计需求和合规要求，明确解决方案的目标和范围。

H3C SecCenter CSAP-SA 综合日志审计技术白皮书(2021-01-11)

H3C综合日志审计平台技术白皮书1.系统简介近年来，国内外相继发生的“棱镜门”、域名系统遭攻击、国外情报机构的网络攻击工具曝光、勒索病毒爆发、大规模用户信息泄漏等问题，以及信息通信诈骗等问题不断给我们敲响警钟。

日志是对网络信息系统在运行过程中产生的事件的记录。

通过日志，信息安全人员可以了解系统的运行状况。

通过对安全相关的日志的分析，信息安全人员可以检验信息系统安全机制的有效性。

日志审计需求主要源自于两个方面的驱动力。

一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，另一方面，识别来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。

综合日志审计平台的需求H3C 综合日志审计平台能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统等产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

H3C 综合日志审计平台功能2.系统架构H3C 综合日志审计平台通过收集来自企业和组织信息系统资源中各种设备和应用的安全日志，可结合云端的威胁情报，对海量安全日志进行统计分析和关联分析，协助用户准确、快速地识别安全事故，从而及时做出响应。

该架构可划分为四个层次，数据采集层、数据处理层、数据分析层和业务表示层。

（1）数据采集层主要利用SYSLOG、ODBC、TCP/UDP、FTP等多种协议方式，采集包括网络设备、安全设备、主机、中间件、数据库在内的多种审计数据源的日志。

（2）数据处理层由于不同数据源对网络安全事件的定义通常具有不同的格式，还需要通过范式处理将数据归一化为统一格式，然后进行去除冗余及噪声数据。

同时实现对海量安全日志的快速检索。

（3）数据分析层通过统计分析引擎和关联分析引擎，通过融合、归并和关联底层多个安全设备提供的安全日志，并对网络中安全事件进行预警。

泰合TSOC-SA日志审计系统介绍

泰合TSOC-SA日志审计系统介绍
An Executive Overview to TSOC-SA
当前日志审计系统面临的挑战
日志分散
日志格式不统一
日志量大
2
系统总全态势 •审核等保与内控 •评估安全有效性
Syslog Trap OPSEC File WMI FTP ODBC XML …
高性能
High Performance
高适应性
High Adaptability
TSOC-SA 日志审计
- 日志源快速扩展
- WEB2.0用户交互界面 - 丰富的审计仪表板
- 灵活丰富的报表报告
- 无缝向综合审计平台扩展 - 无缝向安管平台（SOC）扩展
高扩展性
High Extensibility
高可视性
异构海量日志采集
日志范式化与分类
日志过滤归并
领导
关联分析
告警
安全主管
•建立全局安全策略 •出具日志审计报告 •分析安全问题
•制定审计规则
•采集和存储日志审计人员 •执行日志审计
存储
加密
压缩
备份
恢复
3
标准部署模式
4
产品型号
TSOC-SA具有软件和硬件两种形态
TSOC-SA硬件型有两种型号可供选择：
型号规格指标
TSOC-SA2100
• 2U标准机架式，专用硬件平台和安全操作系统
• 单台日志处理性能可达3000EPS*（约合每天130GB**） • 6个千兆电口，支持多端口采集；1个Console口 • 有效存储容量2TB
TSOC-SA5100
• 2U标准机架式，带冗余电源，专用千兆硬件平台和安全操作系统 • 单台日志处理性能可达6000EPS*（约合每天260GB**） • 4个千兆电口，支持多端口采集，可再扩展16个千兆采集口（电口/

泰合TSOC-SA日志审计系统竞争分析

综合审计 3C认证
我们可以通过复杂事件关联分析更灵活的实现
将日志审计与数据库审计、堡垒机结合起来做成综合审计方案以应对用IT认证应对
产品资质对比
计算机信息涉密信息系 IT产品信息安军用信息安系统安全专分级评估证书/ 统产品检测全认证全产品认证计算机软件著作权用产品销售型号证书 -安全管理平证书证书登记证书许可证（EAL3+）台类 √
14
与安恒产品对比优势
友商优势与应对策略
SA优势（攻）资产拓扑知识库日志归并历史关联双机热备部署 DAS-Logger优势（攻）不采用关系型数据库存储,更安全快捷专用的日志专家规则库综合审计明御综合日志审计平台DAS-Logger 不支持不支持不支持不支持不支持 SA应对策略（守）我们也可以说当前采用的事非关系数据库我们可以通过复杂事件关联分析更灵活的实现将日志审计与数据库审计、堡垒机结合起来做成综合审计方案以应对计算机信息涉密信息系 IT产品信息安军用信息安分级评估证书/ 系统安全专统产品检测全认证全产品认证计算机软件著作权型号证书 -安全管理平用产品销售证书证书登记证书（EAL3+）许可证台类 √
内置合规报表
3C认证
我们支持自定义报表，可自定义合规报表
使用IT认证应对
产品资质对比
厂商产品名称泰合信息安全运营中心（TSOC）安全管理系统（SecFox） IT产品信息安军用信息安分级评估证书/ 计算机信息涉密信息系全认证全产品认证型号证书计算机软件著作权系统安全专统产品检测 -安全管理平证书（EAL3+）登记证书用产品销售台类 √ √ √ √ √ X √ √ √ X √ √

泰合TSOC-SA日志审计系统架构介绍

存储日志过滤日志弻幵日志存储转发日志聚合引擎实时事件流syslogsnmptrapftpopsecleanetbiosodbcwmishell脚本vipwebservice等日志存储用户界面日志分析日志分类日志采集30系统组成?审计中心指tsocsa的管理中心审计中心内置事件采集模块具备全部事件采集功能?日志采集器日志采集器可以独立安装运行功能同审计中心中的采集模块用以辅劣审计中心解决特定日志采集分布式日志采集和负载均衡等问题?日志代理对亍windows日志系统还提供一个单独的windows日志代理软件可以安装在windows系统的主机上采集windows系统的日志31功能规格tsocsa资产管理日志审计觃则管理告警管理报表管理系统管理综合展示32部署方式33单级部署?单机部署?采集分布式部署?事件存储分布式部署?混合分布式部署多级部署internet业务系统服务匙网络核心匙内部用户匙高安全等级服务匙分支机构进程个人管理匙dmz匙internet单级部署
7. 1 技术要求
23
日志审计的本质和内涵
Who －谁 When －在什么时间 Which－访问了哪些资源 What －对访问的资源做了什么 How －如何处理
响应处理
24
当前日志审计系统面临的挑战
日志分散
日志格式不统一
志审计系统？
Verizon认为：要缓解信息破坏和信息泄露，必须进行日志审计
8
日志审计的必要性
Verizon：2013年数据破坏调查报告
Verizon联合世界18家信息安全机构进行的一项全球调查
从47000件安全事件中提取并详细分析了621起数据破坏事件，涉及4480万笔泄漏的信息
9
日志审计的必要性
Verizon：2013年数据破坏调查报告 20项关键安全控制措施

启明星辰泰合信息安全运营中心介绍.doc

启明星辰泰合信息安全运营中心介绍（108万）启明星辰TSOC采用成熟的浏览器/服务器/数据库架构，由“五个中心、五个功能模块”组成。

五个中心为漏洞评估中心、网络管理中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。

五个功能模块为资产管理、策略配置管理、自身系统维护管理、用户管理、安全知识管理。

启明星辰TSOC综合在一个平台上实现了信息采集、分析处理、风险评估、综合展示、响应管理、流程规范等网络安全管理需具备的所有功能。

主要功能如下：1. 资产管理管理网络综合安全运行管理系统所管辖的设备和系统对象。

它将TSOC其所辖IP设备资产信息登记入库，并可与现有资产管理软件实现信息双向交互，可自动发现管理域里的新增资产，并按照ISO13335标准对资产的CIA属性（保密性、可用性、完整性）进行评估。

2. 事件管理事件管理处理事件收集、事件整合和事件可视化三方面工作。

事件管理功能首先要完成对事件的采集与处理。

它通过代理（Agent）和事件采集器的部署，在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息，并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。

在事件收集的过程中，事件管理功能还将完成事件的整合工作，包括聚并、过滤、范式化，从而实现了全网的安全事件的高效集中处理。

事件管理功能本身支持大多数被管理设备的日志采集，对于一些尚未支持的设备，可通过通用代理技术（UA）支持，确保事件的广泛采集。

在事件统一采集与整合的基础上，泰合安全运营中心提供多种形式的事件分析与展示，将事件可视化，包括实时事件列表、统计图表、事件仪表盘等。

此外，还能够基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。

3. 综合分析、风险评估和预警综合分析是泰合安全运营中心的核心模块，其接收来自安全事件监控中心的事件，依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析，并基于资产（CIA属性）进行综合风险评估分析，形成统一的5级风险级别，并按照风险优先级针对各个业务区域和具体事件产生预警，参照安全知识库的信息，并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。

日志审计解决方案

日志审计解决方案一、概述日志审计是指对系统、应用程序或网络设备产生的日志进行收集、分析和监控的过程。

通过对日志进行审计，可以帮助企业发现潜在的安全威胁、检测异常行为、追踪用户活动等，从而提高系统的安全性和合规性。

本文将介绍一种日志审计解决方案，包括其架构、功能和部署方式。

二、架构该日志审计解决方案的架构包括以下几个关键组件：1. 日志收集器：负责收集各个系统、应用程序或网络设备产生的日志，并将其发送到中央日志存储系统。

2. 中央日志存储系统：用于存储和管理收集到的日志数据，可以采用关系型数据库或分布式文件系统。

3. 日志分析引擎：对存储在中央日志存储系统中的日志数据进行分析和监控，通过定义规则和模式来检测异常行为。

4. 可视化界面：提供用户友好的界面，用于展示分析结果、生成报表和配置审计规则。

三、功能该日志审计解决方案具有以下主要功能：1. 日志收集：支持多种日志格式和协议，可以灵活地收集各类系统、应用程序或网络设备产生的日志。

2. 日志存储：提供高效的日志存储和管理机制，支持数据压缩和索引，以便快速检索和分析。

3. 日志分析：通过定义规则和模式，对日志数据进行实时分析和监控，检测异常行为、发现安全威胁。

4. 可视化报表：生成各种报表和图表，展示审计结果和统计信息，帮助用户全面了解系统的安全状况。

5. 告警机制：支持配置告警规则，当检测到异常行为时，及时发送告警通知，帮助用户及时采取措施。

6. 审计日志管理：对审计过程中产生的日志进行管理和归档，确保日志的完整性和可追溯性。

四、部署方式该日志审计解决方案可以根据实际需求选择不同的部署方式：1. 集中式部署：将日志收集器、中央日志存储系统、日志分析引擎和可视化界面部署在同一台服务器上，适用于规模较小的企业。

2. 分布式部署：将日志收集器部署在各个系统、应用程序或网络设备上，将中央日志存储系统、日志分析引擎和可视化界面部署在不同的服务器上，适用于规模较大的企业。

业务支撑安全管理系统介绍

拓扑管理性能监测故障诊断历史分析
安全经理领导
•掌握整体运行状况 •符合等保要求 •评估安全的可用性
主机监控数据库监控中间件监控应用监控虚拟化监控
•建立监控策略 •制定任务计划 •出具运行分析报告
告警响应告警关联统计报表
监控人员
•应用性能监测
•故障定位 •任务处理与告警响应
13
网络监控
高层领导
•掌握业务系统运行态势
•查阅业务系统运行报告业务部门领导 •协调安全事件的处理 •落实运维管理策略 •制定任务计划 •出具分析报告 •监测网络可用性
运维经理
•安全日志审计
运维人员全网IT资源 TSOC-BSM管理平台
•任务处理与应急响应
一体化业务运行管控
9
安全管理平台需求分析
目录
泰合TSOC-BSM系统介绍产品特点与价值其它功能
典型部署：单级采集分布式部署
业务系统服务区
管理中心
高安全等级服务区
DMZ区
采集器
Interne Internet t
管理区
网络核心区
TSOC-管理中心
远程个人
内部用户区
分支机构
图示
TSOC-分布式采集器汇聚线路采集线路 8
面向各角色用户的一体化安全管控
•掌握整体运行态势
•评估管理机制的有效性 •提供业务管理决策支持
网络设备
SNMP ICMP STP …
网络监控
安全设备监控网络安全状态
支持 SNMP 协议的各种品牌型号的路由器、交换机、负载均衡、流控等设备名称、 IP 信息、描述、节点状态、运行时间、接口信息、路由信息、网络状态信息、网络性能信息网络拓扑自动发现与管理、故障诊断

TSOC-APM泰合信息安全运营中心系统-应用性能管理V3.0.40.1产品介绍

43
谢谢！
欢迎莅临启明星辰大厦参观指导
44
23
应用响应分析
显示应用系统性能信息
定位响应缓慢的页面
HTTP错误信息所有因访问慢页面而受影响的终端
应用状态监控
应用响应分析
应用故障分析
TSOC -APM
应用安全保护
应用访问行为分析
网络流量分析
24
应用状态监控
应用状态监控
应用响应分析
应用故障分析
TSOC -APM
应用安全保护
37
诊断分析
诊断分析诊断工具
应用响应缓慢应用不可用应用性能指标告警线路异常网络攻击 Ping分析抓包分析 SNMP分析探测服务
38
报表管理
① 系统内置大量报表报告模板 ② 系统内置报告编辑器，管理人员可以根据需要灵活地定义所需的报告 ③ 支持报表调度管理，可以定期产生报表报告 ④ 支持自动发送电子邮件派发报表 ⑤ 报表/报告可以预览、打印、导出，支持EXCEL、PDF、DOC、XML、HTML、
IT
的帮安助全客性户和全生面产提效升能其
基础设施21
目录
应用性能管理需求分析泰合TSOC-APM应用性能管理产品介绍产品特点与价值功能详述服务优势
22
TSOC-APM的价值
应用状态监控
应用响应分析
应用故障分析
TSOC-APM
应用安全保护
应用访问行为分析
网络流量分析
端口镜像 – 以上三种情况，可选择其一，也可组合选择，或是全
部选择
17
产品部署
18
支持多路侦听
管理口
探针口

LogBase日志管理综合审计系统

任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标，受商标法保护。

目录第一章概述 (4)1.1 信息安全审计的必要性 (4)1.2 信息安全审计目标 (5)第二章 LogBase产品介绍 (6)2.1 产品概述 (6)2.2 体系结构 (7)第三章 LogBase功能介绍 (8)第四章 LogBase产品特性 (10)5.1 全面的日志采集能力 (10)5.2 可靠的安全保障能力 (10)5.3 专用的日志专家规则库 (10)5.4 灵活开放的查询条件 (11)5.5 高效的事件定位能力 (11)5.6 安全的旁路审计模式 (11)5.7 良好的扩展性设计 (12)5.8 丰富的合规性报表 (12)第五章典型部署 (13)第六章产品规格与指标 (14)6.1 审计主机规格指标 (14)6.2 硬件探测器性能指标 (15)第一章概述1.1 信息安全审计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。

当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。

然而，信息系统维护过程中依然还面临着诸多的困难及风险，如：✓系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断。

泰合安全运营中心-解决方案

泰合信息安全运营中心系统（T S O C）XXXX项目解决方案建议书模板北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.二零一二年五月目录泰合信息安全运营中心系统（TSOC）.......................... XXXX项目解决方案建议书模板................................ 1安全管理中心总体方案...................................遵循的标准.......................................遵循的国际国内标准和规范......................参考的企业标准、规范和指南....................平台总体方案体系架构.............................功能体系架构..................................平台软件架构.................................. 2平台的功能特点.........................................系统平台WEB门户入口界面.........................资产与业务域管理.................................资产管理......................................业务域管理....................................漏洞信息采集与脆弱性管理.........................漏洞信息采集..................................脆弱性管理....................................事件/业务安全监控管理............................事件采集与整合................................事件/业务安全可视化监控.......................宏观趋势分析.....................................综合关联分析.....................................规则关联分析..................................统计关联分析..................................漏洞关联分析.................................. 流量分析模型..................................... 基线管理......................................... 安全策略管理..................................... 网元管理功能.....................................拓扑监控......................................网元状态监控..................................TCP端口监控...................................数据库监控.................................... 工作流管理....................................... 设备控制管理..................................... 多级管理......................................... 风险监控与管理...................................事件风险监控..................................资产风险监控..................................安全域风险监控................................实时风险监控.................................. 安全预警管理..................................... 安全策略文档管理.................................安全信息知识库管理...............................综合显示与报表报告...............................安全响应管理.....................................用户管理.........................................系统健康管理..................................... 3典型应用...............................................系统部署.........................................多级部署.........................................日常管理......................................... 4方案特点与效果展示.....................................面向业务的资产与风险管理.........................安全事件和漏洞监控...............................多种响应方式.....................................多种关联分析方法.................................网元状态监控.....................................拓扑与GIS展示...................................丰富的知识库..................................... 1安全管理中心总体方案北京启明星辰信息技术股份有限公司泰合信息安全运营中心系统解决方案（以下简称“安全管理中心”）以实用性和可扩展性为设计指导思想，将安全管理员从复杂的设备配置和海量日志信息中解脱出来，把精力专注于发现和处理各种重要安全事件；同时又将各自独立的安全设备组成为一个有机的整体，通过基于资产管理的事件关联分析和管理，及时发现安全风险、安全事件和业务安全隐患，并结合安全策略和安全知识的管理，提供多种安全响应机制，从而使得客户能够实时掌控网络的安全态势。

审计日志设计架构

审计日志设计架构
审计日志设计架构通常包含以下几个关键组件：
1. 审计日志生成器：负责收集和记录系统中的各种操作日志。

可以是独立的日志生成模块，也可以由应用程序内置的日志框架实现。

2. 日志存储引擎：用于存储生成的日志数据。

可以使用传统的关系型数据库，也可以采用分布式存储系统或日志管理工具。

存储引擎应具备高可用性和可扩展性。

3. 日志传输管道：负责将生成的日志数据传输到存储引擎。

可以使用网络传输协议（如HTTP、TCP/IP）或消息队列等方式实现。

4. 日志索引和查询服务：用于对存储的日志数据进行索引和查询。

可以使用全文索引引擎、NoSQL数据库或专门的查询引擎实现。

5. 可视化和报告工具：用于分析和展示日志数据。

可以通过图表、报表或仪表盘等形式，提供实时监控、告警和报告功能。

6. 安全和权限控制：设计审计日志时要考虑安全性和权限控制机制，确保只有授权的用户可以访问和修改审计日志数据。

7. 事件触发和通知：为了及时响应和处理异常事件，应设计能够触发预定义的事件，并通过通知方式实时通知相关人员。

总体上，审计日志的设计架构应考虑可靠性、可扩展性、实时性和可查询性，并结合具体应用场景和系统要求进行定制化设计。