日志审计

网络架构和探针分类
架构：探针加审计平台
分类： 流量型：针对流量数据 通过端口镜像来实现 协议型：针对协议类型 如syslog snmp trap等 通过在服务器 安全脚本实现。 上
文件型：通用日志文件 如IIS、apache、unix系统日志等 通过在服 务器上安全脚本实现。
采集对象
访问信息 网络设备
日志审计
为什么要进行日志审计
随着信息化应用的深入，面对日益严重的安全威胁，为了保障业务 连续性和安全性，信息安全管理者需要动态可视的整体安全监管解 决方案 技术管理
了解系统运行变化 事前发现事故隐患评估
及时获得故障通知
另一方面可以作为安全事故的追查依据
日志审计系统的作用
日志审计系统通过集中采集并监控信息系统中的系统日志、设备日 志、应用日志、用户访问行为、系统运行状态等各类信息，并进行 过滤、归并和告警分等分析处理，帮助用户建立起一套面向整个系 统的日志及行为安全监控管理体系，将信息系统安全状态以最直观 的方式呈现给管理者；既能提高安全审计的效率与准确性，也有助 于及时发现安全隐患、协助故障定位、追查事故责任，并能够满足 各项标准、法规的合规性管理要求。
合规方面的要求
政策法规要求
2005公安部令第82号：《互联网安全保护技术措施规定》 国信办[2005]25号文：《电子政务信息安全等级保护实施指南》
金融行业规范要求
SOX法案 《商业银行信息科技风险管理指引》
标准需求
ISO/IEC 17799:2000
BS7799
安全设备
操作系统 应用系统 数据库
审计系统的目标
实时监控分析
事件检索 综合审计
日志审计系统工作流程
采集
格式 整理 过滤 分析 存储 告警
部署方式
SysLog
Internet 路由器
移动办公用户
SysLog File
SYSLOG等协议型日志 文件型日志 软件探针
SysLog
LogBase
Agent
防火墙/VPN
SysLog SysLog
网络探测器 协议探测器
wenku.baidu.com
IDS
核心交换机
文件探测器
File Agent
File Agent
File Agent
File Agent
SysLog File Agent
SysLog File Agent
Web服务器
邮件服务器
FTP服务器
防病毒服务器
数据库服务器
应用服务器