思福迪LogBase日志综合审计系统介绍

日志采集-硬件设备
• 路由器、交换机、 • 防火墙、VPN、负载均衡设备、防毒墙、代理设备、 IDS/IPS等
SAFETY INFORMATION TECHNOLOGY CO., LTD
日志采集-网络访问
• HTTP、Mail、MSN、FTP、BT等
SAFETY INFORMATION TECHNOLOGY CO., LTD
模块化设计、高扩展性集群部署能力
• 探测器负载均衡、报表模块、检索模块负载、存储模块、分析模块负载
SAFETY INFORMATION TECHNOLOGY CO., LTD
• 背景分析 • 产品介绍 • 产品部署
SAFETY INFORMATION TECHNOLOGY CO., LTD
产品部署
协议型探针
Syslog Snmp Trap Netflow Opsec Lea
文件型探针
通用日志文件 IIS、apache Unix系统日志 中间件 应用系统
SAFETY INFORMATION TECHNOLOGY CO., LTD
日志采集-操作系统
• 支持对象
第404节 管理层对内部控制的评价
要求公司管理层在年度财务报告中：
• • 描述他们在建立和维护一个针对财务报告的内部控制程序中的责任 对与财务报告相关的内部控制有效性以一个公认架构进行评价（例如 COSO内控架构）
同时要求外部审计人员：对管理层评价的有效性进行评价
SAFETY INFORMATION TECHNOLOGY CO., LTD
事件检索
• 自主研发的基于海量日志存储及检索系统，检索速度比使 用关系型数据库大大提高。 • 支持查询结果导出为.csv文件 • 支持逻辑运算符多重条件组合查询
SAFETY INFORMATION TECHNOLOGY CO., LTD
综合审计
• 多样式、全方位的合规性报表模板； • 自定义报表，支持多种格式导出； • 支持动、静态报表，直接发送管理员；
SAFETY INFORMATION TECHNOLOGY CO., LTD
存储管理
• 用户权限管理、自带防火墙、存储数据加密
SAFETY INFORMATION TECHNOLOGY CO., LTD
产品特性
全面的日志采集能力
• 全面采集硬件设备、操作系统、应用系统日志信息，自定义文本格式采集
File Agent
SysLog File Agent
SysLog File Agent
Web服务器
邮件服务器
FTP服务器
防病毒服务器
数据库服务器
应用服务器
SAFETY INFORMATION TECHNOLOGY CO., LTD
Thank You!
SAFETY INFORMATION TECHNOLOGY CO., LTD
• SOX法案对内部控制的要求
第302节 公司对财务报告的责任
要求公司首要官员及首要财务官在季度/年度报告中保证：
• • • • • 对信息披露的控制和程序负责 设计必要的内部控制手段并确保其执行可使高层及时获得重要信息 对披露控制的有效性进行评估，评估结果需存档 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞 弊行为 存档描述内部控制的重大变化
SAFETY INFORMATION TECHNOLOGY CO., LTD
实时监控
SAFETY INFORMATION TECHNOLOGY CO., LTD
实时分析
• 基于日志内容的关键字过滤，安全事件规则库，自定义敏 感事件告警；
SAFETY INFORMATION TECHNOLOGY CO., LTD
SAFETY INFORMATION TECHNOLOGY CO., LTD
• 背景分析 • 产品介绍 • 产品部署
SAFETY INFORMATION TECHNOLOGY CO., LTD
LogBase日志管理综合审计系统是思福迪公司自 主研发的拥有自主知识产权的专业信息安全审计产 品，通过监测及采集信息系统中的系统安全事件、 用户访问行为、系统运行日志、系统运行状态等各 类信息，经过规范化、过滤、归并和告警分析等处 理后，以统一格式的日志形式进行集中存储和管理 ，结合丰富的日志统计汇总及综合分析功能，实现 对信息系统整体安全状况的全面审计。
SysLog
Internet 路由器
SysLog
移动办公用户
SysLog File
SYSLOG等协议型日志 文件型日志 软件探针
LogBase
Agent
防火墙/VPN
SysLog SysLog
网络探测器 协议探测器
IDS
核心交换机
文件探测器
File Agent
File Agent
File Agent
日志采集-数据库
• Mssql、db2、oracle、informix、sybase、mysql • 支持远程访问协议及本地日志文件
SAFETY INFORMATION TECHNOLOGY CO., LTD
完整记录数据库日志内容
日志发生时间 源、目标IP地址 数据库名 用户名 操作信息 返回信息
– Windows、Linux、AIX、HP-UX、Solaris……
SAFETY INFORMATION TECHNOLOGY CO., LTD
日志采集-应用系统
– – – – – WEB server 中间件 FTP SERVER、MailServer 防病毒软件 自主开发应用系统
SAFETY INFORMATION TECHNOLOGY CO., LTD
一体机
流量型探测器
协议型探测器
文件型探测器
SAFETY INFORMATION TECHNOLOGY CO., LTD
产品功能
日志采集
实时分析
事件检索
综合审计
存储管理
SAFETY INFORMATION TECHNOLOGY CO., LTD
日志采集
Logbase Lec
流量型探针
数据库访问 Oracle Db2 Informix Sybase Mysql mssql 网络访问 Web浏览 FTP 电驴 BT 邮件收发 WEBmail IM通信 ……
丰富的合规性报表审计能力
• 丰富的SOX合规性报表模板、自定义报表样式、动/静态报表发送至指定邮箱
高效的日志检索、安全事件定位能力
• 基于海量日志索引的高效检索引擎、预置常用合规审计报表模板，自定义报表功能
数据管理、系统安全保障能力
• 嵌入式64位精简内核平台、防火墙、专用日志存储系统、传输加密、细化权限管理
金融行业规范要求
SOX法案
《商业银行信息科技风险管理指引》
标准需求
ISO/IEC 17799:2000
BS7799
SAFETY INFORMATION TECHNOLOGY CO., LTD
• 等级保护的基本要求（G3）
SAFETY INFORMATION TECHNOLOGY CO., LTD
现在，掌控安全
LogBase日志管理综合审计系统介绍
SAFETY INFORMATION TECHNOLOGY CO., LTD
• 背景分析 • 产品介绍 • 产品部署
ຫໍສະໝຸດ Baidu
SAFETY INFORMATION TECHNOLOGY CO., LTD
政策法规要求
2005公安部令第82号：《互联网安全保护技术措施规定》 国信办[2005]25号文：《电子政务信息安全等级保护实施指南》
日志管理的必要性
合规的主要依据: 等级保护 风险评估 各行业安全管理规定
技术管理的主要依据 了解系统运行变化 事前发现事故隐患评估 及时获得故障通知 安全事故的追查依据
人工管理费时费力，效果差
• • • • •
日志海量，每天数以亿计 输出方式，多种多样 格式复杂，可读性差 分析备份，工作烦复 易篡改或删除
SAFETY INFORMATION TECHNOLOGY CO., LTD
产品架构
采集中心
配置管理
实时分析引擎
配置管理 告警
存储中心
配置管理 日志备份
综合分析中心
配置管理 报表
管理接口(https)
SAFETY INFORMATION TECHNOLOGY CO., LTD
产品组成
主机+探测器