您的位置:360文档中心› 网御星云日志审计系统产品白皮书V完整版

网御星云日志审计系统产品白皮书V完整版

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

网御星云日志审计系统

产品白皮书V

HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】

密级:公开

目录

产品白皮书

网御安全管理系统-日志审计系统

日志审计的需求与挑战

日志审计需求分析

日志,是对IT系统在运行过程中产生的事件的记录。通过日志,IT管理人员可以了解系统的运行状况。而通过对安全相关的日志的分析,IT管理者可以检验信息系统安全机制的有效性,这就是安全日志审计,简称日志审计。而日志的产生、收集、审计分析和存储的全过程称作日志管理。

日志审计需求主要源自于两个方面的驱动力。

一方面,从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。有研究指出,69%的攻击行为实际上都有日志留存,而根据国际着名的安全研究与教育组织SANS发布的《2011年度日志管理调查报告》显示,在受访的747个大中小规模的组织中,超过89%的组织都进行了日志管理。而他们进行日志管理的首要原因是监测与跟踪可疑的行为,例如非授权访问、内部信息泄露,等等。

另一方面,从国家法律法规、行业标准和规范的角度出发,日志审计已经成为了满足合规与内控需求的必备功能,例如:

GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》对

于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中

明确要求进行安全审计。而日志审计是符合这些要求的基本手段。

《互联网安全保护技术措施规定》(公安部82号令)第八条要求具备

“记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件

等安全审计功能”。

《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设

备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应

当能够满足各类内部和外部审计的需要”。

《银行业信息科技风险管理指引》第第二十七条要求银行业应制定相关

策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证

分析和预防欺诈。

《保险公司信息系统安全管理指引(试行)》第四十四条要求“对主机

系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、

异常操作和重要系统命令的使用等应进行重点审计”。

日志审计面临的挑战

当前客户在进行日志审计的过程中几乎都面临着相似的挑战。这其中最主要的三个挑战是:日志分散、日志格式不统一、日志量巨大。

日志分散

客户网络中信息系统相关的各种软硬件设备、安全防护设施都会产生日志。并且这些设备都分散在网络的不同位置。他们各自产生日志,并有各自的控制台进行日志查看,这对审计人员而言简直就是噩梦,根本没有精力去查看这么多控制台,更不要说分析其中的日志信息了。

日志格式不统一

每种设备类型的日志格式都不相同,各有各的表达,即时是表达同一件事情,也都有各自的表达方式。例如同样的登录失败信息,防火墙中的描述和主

机操作系统中的描述格式就可能根本不相同。这迫使审计人员去了解每种设备类型的格式。

日志量巨大

很多设备,尤其是网络安全设备产生的日志量十分巨大,单个防火墙每秒就可能产生上千条的日志信息,而全网的设备每天产生的日志量就更加可观,可能数以百GB计。审计员去查看这么多的日志根本不可能,即便是将它们存起来都是个问题。

如何应对挑战

客户需要日志审计,更需要应对所面临的挑战。客户需要从组织策略、处理流程和技术体系等多方面进行统筹考量,客户应该借助一个日志审计平台来为其审计工作提供技术支撑。这个日志审计平台应该能够实现对客户分散的海量日志进行收集,对这些日志格式进行规范化统一描述,实现对日志的集中化存储、分析、审计和展示,并符合相关法规标准的符合性要求。

产品综述

产品简介

网御星云推出的网御安全管理系统日志审计系统(以下简称LEADSEC-RS)是立足于公司十年信息安全积累的基础之上,基于客户需求的日志审计平台及日志管理解决方案。

日志审计系统能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。

LEADSEC-RS融合多种信息安全技术和管理理念,充分实现组织、管理、技术三个体系的合理调配,帮助用户进行基于日志的综合审计和日志全生命周期管理,从而最大化的保障网络、主机和应用系统安全机制的有效性。

LEADSEC-RS具有广泛的应用范围和客户群,在政府、电信、金融、电力、军工等行业均有成功的应用。

系统组成

LEADSEC-RS包括审计中心、日志采集器和日志代理三个部件。日志采集器和日志代理实现对审计数据源(主机/服务器类、网络类和安全类等)的日志信息统一收集,然后上传给审计中心进行集中化存储、分析和审计。同时,审计中心自身也可以直接收集审计数据源的日志信息。

审计中心

审计中心,即LEADSEC-RS的管理中心,是LEADSEC-RS的核心部件,实现了对日志的集中化存储、备份、查询、审计、告警、响应,以及出具报表报告。用户的审计员通过浏览器即可登陆审计中心,进行各种审计操作。

审计中心内置日志采集功能,可以直接收集审计数据源的日志信息。审计中心也可以汇聚来自日志采集器和日志代理的日志信息。

日志采集器

相关文档
最新文档