BIT84网络信息系统安全体系综合审计系统.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网络事件审计—数据库
居利思义 身劳心安 人强我强 共同发展
数据库事件
网络探针 数据库
访问源分析 用户登录 数据查询 数据修改 数据删除 数据定义 权限管理
设备支持列表
分类 主机系统
防火墙 入侵检测 网络设备
服务器
子类 Solaris AIX Windows Linux HP Unix Check Point Cisco PIX Netscreen 华为 CA(NIDS) ISS(HIDS) 华为 CISCO Juniper WebLogic WebSphere Apache Microsoft IIS Domino Sendmail Exchange
居利思义 身劳心安 人强我强 共同发展
日志采集-全面的获取技术
1)面向文件型收集器,Filestream Collector,提供通用系统格式模 板库,支持自定义,配合通用文件采集Agent,部署分客户端安装 和外置模式
2)面向协议型收集器,Event Collector,提供常见协议的支持,如 Syslog、Snmp Trap、Opsec Lea等,少量可AMS主机内置
产品功能—系统功能
► 日志采集 ● 日志来源 ● 数据标准化/过滤/归并/压制
► 日志审计 ● 行为审计 ● 关联分析审计 ● 基于用户实体的行为审计
► 实时监控 ● 事件响应 ● 操作阻断
► 审计报表 ► 系统管理
● 用户管理 ● 用户角色/权限管理 ● 对象管理 ● 采集调度管理 ● 数据备份管理 ● 系统日志管理 ● 系统分级管理
日志采集方式 标准日志采集(syslog) 标准日志采集(syslog) 日志采集客户端 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集接口(OPSEC LEA) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 获取日志文件 获取日志文件 获取日志文件 获取日志文件 日志API接口 标准日志采集(syslog) 获取日志文件
3)网络嗅探器,Network Sensor,通过旁路监听方式,网络协议还原 获取
4)数据库嗅探器,DB Sensor,通过旁路监听方式,数据库访问协议 还原获取
5)特殊探测器,Agent,为特殊目的一般安装在主机上的探测软件, 如针对UNIX主机操作、Windows系统Eventlog及其它操作运行信息
syslog/ Jdbc/api
标准日志采集
日志审计
Api/jdbc
数据库嗅探硬件 流量审计
Api/jdbc
堡垒主机硬件ቤተ መጻሕፍቲ ባይዱ访问控制
Syslog/snmp
网络嗅探硬件 流量审计
居利思义 身劳心安 人强我强 共同发展
居利思义 身劳心安 人强我强 共同发展
产品功能
居利思义 身劳心安 人强我强 共同发展
综合IT系统运维审计解决方案
居利思义 身劳心安 人强我强 共同发展
企业审计要求——SOX审计要求
居利思义 身劳心安 人强我强 共同发展
企业审计要求——SOX-AMS对主机/系统审计要求及满足
► 用户登录退出报告(302条款 (a)-(4)-(C)~ (D)) ► 用户登录失败报告(302条款 (a)-(4)-(C)~ (D)) ► 特定文件、目录访问报告 ► 系统开机/关机报告 ► 系统时间修改报告 ► 系统日志修改报告 ► 系统远程登录报告 ► 系统帐号管理操作跟踪 (302条款 (a)-(6)) ► 审计策略变更跟踪(302条款 (a)-(5)) ► 用户认证成功/失败报告 ► 应用访问报告(302条款 (a)-(5))
► 展示层 ● 展示层以多种报告报表的方式让用户能够从多个角度清楚的洞 察系统的运行情况,实现对审计系统的配置管理,实现综合审 计和报表展示。
综合审计体系结构
第三方审计产品 审计 产品 api/syslog/snmp
Ultr@AMS 集中身份管理系统
jdbc
URTR@AMS日志管理与审计系统
DB ULTR@AMS
指定文件及文件夹操作 外部端口使用 CPU/内存/硬盘使用情况 服务和进程运行跟踪 补丁信息 ……
主机系统审计—UNIX
居利思义 身劳心安 人强我强 共同发展
UNIX
Syslog
开关机 系统认证信息 口令猜测 帐户、组管理信息 关键配置文件错误 硬件告警、错误 内核错误信息 守护进程开启、关闭、错误
主机系统审计—windows
居利思义 身劳心安 人强我强 共同发展
Windows
API (无客户端)
Agent 系统日志
Agent 系统监控
开关机 系统登陆、注销 网络登陆 帐号增加、删除 用户属性更改(名称、权限、组等) 口令猜测 运行程序 策略更改(系统策略、审计策略等) 服务增加、删除、开启、关闭 服务异常关闭 服务器硬件异常 日志清除 审计访问对象 应用程序异常 时间更改、驱动更改
日志内容 系统日志 系统日志 Eventlog 系统日志 系统日志 管理日志/告警日志 管理日志/告警日志 管理日志/告警日志 管理日志/告警日志 告警日志 告警日志 管理日志 管理日志 管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志
居利思义 身劳心安 人强我强 共同发展
日志采集-审计日志来源
► 应用系统日志 ● 业务系统 ● 应用服务
► 标准日志 ● 系统日志文件 ● 安全设备 ● 网络设备
► 网络流量的日志 ● 网络嗅探
► 外部系统日志(4A) ● 集中用户管理日志 ● 集中认证日志 ● 集中授权日志 ● 访问控制日志 ● 单点登录系统 ● 堡垒主机日志
居利思义 身劳心安 人强我强 共同发展
产品体系结构
居利思义 身劳心安 人强我强 共同发展
产品结构说明
► 数据接口层 ● 数据接口层实现审计数据的采集及标准化,同时还可以完成与 其它日志系统的日志传输及结核。
► 核心业务层 ● 实现数据的综合分析和关联分析,生成各种审计报表。还提供 日志的维护管理,和用户的维护管理。
主机系统审计—安全设备
居利思义 身劳心安 人强我强 共同发展
安全设备
Syslog Snmp Trap
安全设备状态改变 安全设备配置修改 安全设备本身告警 安全设备安全事件
网络事件审计—网络行为
居利思义 身劳心安 人强我强 共同发展
网络事件
网络探针
Telnet登入/登出过程 Telnet用户命令操作 Ftp登入/登出过程 Ftp用户命令操作 Ftp文件上传下载 Web访问