背景现状
在当今信息时代,信息即是财富,信息安全管理是企业管理的重要组成部分,在信息安全管理中有一个重要的领域是事件分析和风险监控,日志及各类事件对于网络的正常运营重要,它记录了系统每天发生各种各样的事情,通过日志信息的分析可以有的检查错误发生的原因,监控用户的使用行为,发现异常情况或者受到攻击时攻击者留下的痕迹,从外部看,网络攻击的手段越来越多样化,并且攻击手法越来越隐蔽,并且攻击者 可以借助不同的技术手段设置多重跳板,追查变得无比困难;从内部看,各类IT资源,设备飞速膨胀,设备本身产生的日志数量也呈指数级增长,且设备的事件审计都相对孤立,产生孤岛应,无法形成整体,并有的进行相关关联,若采取单独的日志分析结果,无法有的获取并感知安全问题,对安全事件的预警和分析没有太大帮助,而海量日志的产生也使分析成为空想,数量的繁多,日志格式的多种样,分析技术的难度等问题,导致日志只能简单丢弃,使网络安全的检测与审计变为空谈。
近年来,从国家到企业,对信息系统的安全越发的重视,《中央网络安全和信息化领导小组成立》和《信息系统安全等级保护》等相关制度规范的出台,加强了顶层设计和政策要求,为广大企业、用户的网络安全防护提供了有的指导,企业也通过自身完善采取了多种安全措施信息系统的运行安全,如通过网络区域的,在边界部署防火墙进行访问控制,在网络内部署了防病毒系统,以保护桌面、接入服务器、网关系统的安全;通过多种扫描器和内部安全评估对核心网络的整体安全性进行主动评估并提交安全报告等等。
毫无疑问,现已部署的这些安全设备都扮演着重要的角色;但目前网络系统中,网络设备、主机、安全设备、存储设备都是分散管理,每天产生海量的日志数据,同时日志格式不统一,无法进行集中日志收集,也无法对产生的安全事件进行有的审计分析,建设统一集中的日志审计与管理平台是十分迫切的。日志审计系统的主要任务是实现对关键网络设备和安全设备及主机系统进行统一日志收集、分析和存储,进行安全审计和报警响应,网络的安全运行,并且日志审计与管理要有关法律法规的要求。
随着技术的发展,信息系统正在变得越为庞大和复杂,网络设备、主机系统、安全设备作为信息系统的基础支撑,数量庞大。根据前期的调研了解在某单位中,信息系统的主要组成如下:
操作系统:Windows、LINUX、AIX、HP-UX、SCO UNIX、SOLARIS…
网络设备:交换机、路由器、负载均衡、代理设备…
安全设备:防火墙、IDS/IPS、UTM、防病毒墙、VPN…
数据库:Oracle、Mysql、SQLServer...
应用:IIS、TOMCAT、Apache...
这些复杂的IT资源及其安全防护设备在运行过程中产生大量的安全日志和事件,有限的安全管理人员面对这些数量巨大,彼此独立的安全事件,操作各种产品自身的控制台界面和告警窗口,显得束手无策,工作率极低,难以发现真正的安全隐患。2、风险分析
2.1合规风险
以等级保护为核心的安全支撑体系是各行各业信息系统建设的重要内容。 随着国家相关机关出台等级保护规范标准,各行业或监管部门迅速发文响应并落实行业内信息系统安全等级保护工作。卫生部2011年印发(卫办发[2011]85号)《卫生行业信息安全等级保护工作的指导意见》的通知,明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。人民银行2012年制定了《金融行业信息安全等级保护测评服务安全指引》、《金融行业信息信息系统信息安全等级保护测评指南》和《金融行业信息系统信息安全等级保护实施指引》,2013年制定了《征信机构管理办法》(人民银行令[2013]第1号),明确和规范金融机构开展的信息系统安全等级保护测评工作。教育部2014年发布《教育部关于加强教育行业网络与信息安全工作的指导意见》(教技[2014]4号)明确规定“各单位信息系统要按照教育行业有关规范准确定级和备案”,“按照和教育行业有关标准规范要求进行等级测评”。还有财政部、人力资源社会保障、交通运输行业、电力行业等监管部门或行业都发布相应文件明确落实信息系统安全等级保护工作,建立、健全信息安全管理制度,落实安全保护技术措施,全面贯彻落实信息安全等级保护制度。如未满足,将面临通告、整改、降级等合规风险。
《企业内部控制基本规范》对上市的企业提出了内控管理要求,如不满足将面临整改等风险。
2.2技术风险
随着政府、企事业单位等各类组织的信息化程度,对信息系统的依赖程度也随之增加,业务信息系统的正常运行则是其中重中之重。当前,大部分组织都已对信息安全系统进行了基本的安全防护,如实施防火墙、入侵检测系统、防病毒系统等。然而,信息系统维护过程中依然还在日志分散、事件关联程度低等诸多风险,一旦业务信息系统事件得不到有将对业务的正常运行造成停顿与宕机,严重的还会造成经济的损失。具体风险如下:
大部分用户对网络内的IT资产具备了一定的审计能力,但审计粒度过粗,可读性差,缺少审计日志的完整性,同时审计日志为IT资产自身存储日志,达不到等级保护中对网络设备审计状态、用户行为的审计要求,一旦发生问题无法有定位与分析问题。
大部分用户在业务运行过程中时常出现由于操作系统、硬件、应用程序等故障或配置错误所导致的系统异常运行,服务终端。这些日志行为只存在系统及各类日志中有所反映,没有统一的日志审计手段,无法及时发现安全事故。
大部分用户的目前网络均存在着多个业务应用系统与多种IT资产设备,一个故障现象的产生,往往要对数台甚至数十台网络设备及主机的日志进行综合分析才能确定真正的故障原因,因此导致无法及时有的进行故障定位甚至可能产生错误的定位。
攻击者在进行恶意破坏行为时,一般会获取被攻击系统的高权限身份账号,恶意破坏之后可清理安全日志,从而导致无法正确定位安全日志以及事件日志的可信度下降,导致事故追责的困难。
大部分用户现有的网络环境中存在着各种服务器、网络设备、安全设备、数据库等信息资产设施,所产生的日志也各种各样,由于内部运维人员的技术能力不尽相同,往往很难分析各类日志中的内容,在出现安全事件时,无法有的从日志文件查看出相关信息,造成事件处理速度与工作率的下降。
2.3管理风险
大部分用户现在管理均采用责任到人制度,在日常的工作中一旦出现故障或安全事件时没有一个有的通知手段,造成事件处理的延误,存在事件处理不及时的风险,严重时可能引起投诉情况的产生。
3、需求分析
3.1合规需求
根据各行业的相关要求,应满足等级保护中对于网络设备、服务器、数据库等日志的审计要求,应能够按照等级保护相关规定进行建设。
对于上市的各类企事业单位,应按照《企业内部控制基本规范》相关技术要求,建立日志审计防护机制。
3.2技术需求
应具备集中日志审计机制,对现有网络环境中的所有网络设备、系统、安全产品的日志进行集中采集、监控和管理,减小管理员的管理点,采用统一的界面,将所有日志信息进行呈现,方便管理员的集中管理,大大的减少管理员的工作量。
应具备统一日志解析机制,能够通过技术的手段,提供统一的日志分析功能,将不同类型、格式的日志进行范式化和归并,采用字段分割、知识库等方式对日志进行解析,为管理员提供可视化、易管理的分析界面。
应具备统一的日志上报机制,通过标准的协议对各类资产进行日志的实时收集,日志的实时性与准确性。
应具备日志关联分析机制,按照事件类型分类、时间、帐号、资产多角度的关联分析,基于特征的匹配。基于事件的频率、频度进行统计分析。
3.3管理需求
应具备安全事件告警制度,当发生安全事件时,管理员需及时获知,以便快速的恢复和处理,减小因安全事故所带来的损失。传统的管理方式中,通常通过定期的巡检或安全事件发生后被动的去获取各类设备日志中的安全事件,这种方式极为滞后,针对这类问题急需通过相关技术手段,提前获知各类设备存在的安全风险,当有安全事件发生日,通过采集到的日志进行实时的告警,以便管理人员快速响应,及时预防和处理潜在或已将发生的安全风险。
3.4需求汇总
需求 | 概述 |
合规需合 | 等级保护相关规定 |
《企业内部控制基本规范》相关规定 |
技术需求 | 集中日志审计机制 |
统一日志解析机制 |
统一的日志上报机制 |
日志关联分析机制 |
管理需求 | 安全事件告警制度 |
4、环境调研与选型
4.1环境调研
通过对用户环境前期调研,用户现有网络设备XXX台、主机系统XXX台、安全设备XXX台。通过综合分析,按照通用评估指标“事件数每秒”(Event per Second,即EPS,表明系统每秒种能够收集的日志条数)为标准,以每条日志0.5K~1K字节数为基准。为满足性能需求,日志审计系统的审计精度,所采用日志审计系统应具备30000EPS的数据接收能力。
用户现有资产类型如下:
类型 | 名称 |
网络设备 | 路由器、交换机、负载均衡等 |
主机系统 | WINDOWS、LINUX、UNIX、AIX等 |
安全设备 | 防火墙、入侵检测、入侵防御、VPN、防病毒网关等 |
数据库 | oracle、mysql、SQLServer、MongoDB等主流数据库 |
应用 | IIS、tomcat、Apache等常用应用 |
所选日志审计系统应具备对以上类型设备的采集、分析与管理。
5、解决方案
5.1设计目标
通过日志审计系统的建设,为用户提供一个统一日志收集、呈现、分析的安全日志管理平台,能够及时进行安全事件的有告警,实现管理与技术的相互结合,并且满足相关法律法规中对日志审计的要求,从而到达企业合规的要求。具体技术目标如下:
实现对各种网络设备、安全设备、操作系统的日志进行收集,标准化、分类和统一存储。
对采集到的各类日志进行集中审计,达到降低安全风险,减少安全事件所带来的影响
对各种日志进行实时审计分析,发现违规行为,并能进行告警响应。
对审计信息进行统计分析,提供日志审计报告报表。
不对日志采集源对象的性能和安全产生影响
5.2设计依据
本方案设计依据的标准、规范和需求主要有:
合同、招标书等本项目要求文档
国家标准《信息系统安全等级保护基本要求》
国家保密标准BMZ2-2001《涉及国家秘密的计算机信息系统安全保密方案设计指南》
国家保密标准BMZ1-2000,《涉及国家秘密的计算机信息系统保密技术要求》
国家保密标准《计算机信息系统保密管理暂行规定》(国保发{1998}1号)
国家标准GB17859-1999,《计算机信息系统安全保护等级划分准则》
国家标准GB/T18336.2-2001,《信息技术 安全技术 信息技术安全性评估准则 第2部分: 安全功能要求》
ISO27001/ISO17799:2005/BS7799,《信息安全管理技术规范》。
5.3设计原则
系统化
本着系统化、平台化的原则,采取总体设计、分步实施、平滑过渡、建立信息安全管理制度、构建技术平台与流程来强化IT管理工作、系统将提供丰富的数据分析报告,为管理层提供管理决策支持数据。更重要的是系统独具平台化特色,各模块采用插件化设计,各子系统有相互独立性,又有机的集成在一起,形成一个有机的整体。
互通性
系统遵循ISO27001标准,支持目前业界开放标准协议;采用高度模块化设计,具备良好的扩充性,并提供开放的API接口和十分友好的二次开发界面,能很好地满足个性化系统管理的需求。
易用性
系统的管理界面方便实用,采用全中文菜单方式,对管理系统的访问采用B/S的架构,使维护人员能够在自己的桌面上方便的完成所有的日常监控任务;系统提供基于角色的个性化工作界面,各类人员工作的高性。
经济性
系统的建设要本着经济、节俭的原则,采用完全自主研发减少了第三方软件采用,系统服务器尽量采用充分利用原则,充分考虑现有硬件设备、软件功能、以及环境条件,尽量减少投资的浪费。
扩展性
系统应具有良好的扩展性体系架构,能够支持面向快速、灵活、有地支持扩展需求。系统有丰富的对外接口可方便的与其他系统集成。系统采用标准的门户管理可灵活的集成其他的业务系统。软件版本升级或改进应在不影响业务的情况下进行,系统可以稳定、平滑过渡。
高性
系统采用多种设计策略和业界成熟的技术模型实现,确保系统的实时性和高性,对于小批量的业务处理,响应时间控制在1-3秒以内;对于大批量的业务处理和查询统计功能,响应时间控制在5-10秒以内。
小影响原则
在方案设计及实施时,遵循对信息系统影响小原则,尽可能地采用对网络、系统、应用影响小的技术手段,对现有生产业务不产生干扰,保护现有系统。
5.4方案设计
5.4.1系统架构
建恒日志审计分析系统的底层系统采用嵌入式Linux系统,由日志采集模块、事件检索模块、审计报表模块、综合管理模块组成。采用B/S架构,管理员通过HTTPS方式对主机进行管理。系统架构示意图如下:
5.4.2功能设计
日志集中采集
为了满足上述需求中的集中日志审计机制,建恒日志审计分析系统能够通过技术的手段对多种审计对象无干扰的进行日志采集发送,实现信息系统中几乎所有不同类型的日志数据的采集。
具体日志采集方式如下:
标准协议:采集SYSLOG、SNMP协议类日志信息,对于WINDOWS系统采用在系统上安装AGENT的方式,将日志信息以SYSLOG形式将进行外发,对于业务系统和应用系统可通过开发方式实现日志的采集。
审计对象类型:
操作系统:Windows、LINUX、AIX、HP-UX、SCO UNIX、SOLARIS等
网络设备:交换机、路由器、负载均衡、代理设备等
安全设备:防火墙、IDS/IPS、UTM、防病毒墙、VPN等
应用:IIS、TOMCAT等
数据库:Oracle、Mysql、SQLServer、MongoDB等
日志审计系统将形式各异的各类日志数据采集并进行归一化处理后,形成系统z用日志格式,匹配内置解析规则,通过字段翻译转义,更方便于日志阅读及后续程序处理。
日志实时收集
为了满足上述需求中对于日志上报的需求,建恒日志审计与分析系统采用及时收集,立即分析,分段上报的收集模式,即满足用户对于日志收集实时性的要求也能系统不因日志采集频率过高造成系统的故障与性能的下降。
日志处理
为了满足上述需求中对于统一日志解析需求中的内容,建恒日志审计分析系统提供了对于原始日志的处理功能,日常业务运行过程中大部分系统日志为正常系统运行的日志信息,对安全管理意义甚微,建恒日志审计分析系统将在日志信息采集时对采集到的日志进行分类、过滤、范式化及合并。
系统日志处理流程如下:
l 分类
日志审计系统在采集时对所有日志数据进行分类划分,调用不同的解析插件分析来自不同设备的安全信息。按设备类型种类进行分类。
l 过滤
日志审计系统在采集时可根据设置的策略,对日志信息进行过滤,可以仅接受指定IP、端口、协议的安全事件信息进行过滤。可以通过多条件相结合的方式对日志过滤,根据日志的类型、发生时间、不同字段内容等进行精细匹配和过滤。
l 范式化
为了便于存放和分析,减少管理中心的负担,系统在采集日志时对接受的所有原始数据进行标准化处理。事件标准字段有:日期、时间、事件名、源IP、源端口、目的IP、目的端口、设备类型、附加信息。
l 合并
合并主要针对系统部署多台同一类型设备,同一事件可能在多台同类设备同时记录,为了避免重复需要对事件进行合并。由于同类设备记录同一事件的时间可能有差别,允许在较短时间范围内合并同一事件。
安全事件关联分析
为了满足上述需求对中对于日志关联分析需求内容,同事也为了更好的了解的安全状况,避免单一设备所带来的安全事件孤岛现象的产生,日志审计系统具备管理分析功能,并且安全事件关联分析是系统的一个核心功能,体现系统的主要价值。
日志审计系统可以通过关联分析对网络全局的日志安全事件进行自动联系分析,跟系统默认的或自定义的规则来识别网络威胁和负责的攻击模式,从而确定事件的真实性、进行事件分级并进行有的响应。
l 关联要素分析
数据源分为5类:安全设备、网络设备、数据库、应用以及主机。
安全设备包含:防火墙日志、IDS告警、防病毒扫描信息、资产漏洞扫描信息、垃圾邮件信息等
网络设备包含:路由器日志、交换机日志等
主机包含:Windows/Linux/Unix等
应用:服务状态日志等
数据库:操作行为(Sql语句),数据库性能日志。
l 规则关联
基于规则的关联是指按预定义的告警规则进行关联分析。针对单一事件所导致的不同设备间的日志记录和告警,首先是按厂家、或管理员来预定义若干种可疑活动。系统接收到安全事件后,将其与规则进行比较时,规则会触发。随着时间的推移,系统会创建出事件“状态”来跟踪那些成功执行的关联规则,将不同设备间的安全事件,联系成一个整体,从而完整的还原整个事件发生的完成过程和影响,有利于全面的掌握安全状况,避免日志信息的孤岛应。
事件分析和告警
为了满足上述需求中安全事件告警制度的管理需要,建恒日志审计分析系统通过对日志内容的深度分析,对采集到的日志数据进行动态分析,将网络非法访问、数据违规操作、系统进程异常、设备故障等高危安全事件,从海量日志数据中提取出来,并通过内置告警规则采用桌面屏幕、邮件、短信、SYSLOG、SNMP等方式通知管理员及时处理。
日志审计系统同时开放了灵活的分析和告警规则定义条件,用户可以根据自己的需要,通过审计系统个性化的贴合自己实际应用环境的分析和告警规则库,更细致地关注信息系统的安全事件,及时发现安全隐患。
历史事件检索
通过日志管理综合审计系统可基于内容关键字、源(目标)IP地址、用户、时间、操作关键字等多重条件组合,对历史事件进行快速检索和精确定位。更好的方便管理人员的日常使用减少新重复输入所带来的工作量系统支持查询模板功能,方便用户多次对关注的事件使用模板检索并查询结果按协议分类呈现及导出功能,方便用户查看和统计汇报。
综合审计报表
为满足用户日常统计汇报要求,以便用户更好了解各类设备的安全状况,系统提供丰富的合规性报表模块(如SOX法案、等级保护),满足用户的日常审计需求。系统支持手动/自动报表功能,不但支持用户多条件组合生成报表,系统还支持自动生成:日、周、月、季度、年度综合报表,支持自定义常态报表模块,报表可以WORD、HTML等多格式导出,位、多角度对相关网络设备、主机系统、安全设备安全状况进行审计。
5.4.3安全设计
因系统中保存大量的日志信息,所以系统本身应具备极高的安全性,避免因系统本身安全性造成的数据泄露、服务终端等安全风险的发生。
日志审计系统安全设计如下:
ü 系统底层采用嵌入式Linux系统,系统内核已进行全面精简、化,从而在内核级别保障系统本身及日志的安全性;
ü 采用主流的数据库,增强数据存储的安全性;
ü 针对保存的日志采用加密方式进行存储,并且管理员无法进行删除和修改操作;
ü 系统内置安全防火墙系统,可以设定严格的访问源,从而避免了绝大部分的无关流量,进一步保障系统本身的安全性;
ü 系统对内部的管理帐号具有严格的细粒度的权限控制,能够有防止内部管理员的越权访问,避免日志数据被越权访问、恶意删除;
ü 系统内部存储设计采用SATA硬盘Raid0+1阵列,采用此设计即能保障日志信息在设备内的安全存储需求,又能保障高的检索速度;
5.4.4处理能力设计
为应对多数据大并发要求,系统采用LINUX为底层系统,使用MonggoDB数据库对结果化进行数据存储,针对原始日志以文件的方式进行存储,采用多线程方式进行处理,加快处速度,使用缓存机制,检索能力,系统具备30000EPS(事件数每秒)的数据接收能力。面对系统中存储的海量数据,设备应具备快速的查询定位能力,针对亿级数据可在5秒内进行检索定位。
5.5产品部署
5.5.1单一部署
经过调研了解,XXX单位网络规划清晰,设计合理,并且较为集中。本方案建议产品部署在安全管理区,在XXX区域的被监控设备上开启相关外发服务,并在防火墙上开启相关通讯端口,将日志信息发送至日志审计系统,进行集中的采集、监控和审计。5.5.2分布式部署
针对用户部署方式复杂,存在跨区域、跨地区等问题,无法对日志信息进行集中管理的情况,本方案采用分布式部署模式,在XXX区域部署探针,并在防火墙上开启相关通讯端口,对本区域内的各类设备日志进行集中的采集后统一发送至日志审计系统管理中心,进行集中的分析,展现、管理和统计。
5.5.3影响性分析
因建恒日志审计分析系统为旁路部署,不会造成网络通信因日志审计系统故障造成中断,经统计和分析,日志审计系统主要产生影响如下:
影响 | 描述 | 程度 |
带宽占用 | 大量的日志信息通过网络发送至日志审计系统将会占用网络带宽 | 日志信息特点为单一日志空间占用仅为1到2KB,但总体生成量和发送源头较多,经谨慎分析,因信息信息的发送对网络带宽的占用极小可忽略不计 |
服务器性能影响 | 日志发送需通过SYSLOG、SNMP协议和安全AGENT进行外发,开启这些协议将会占用服务器资源 | 此方案采用的日志外发协议均为使用且安全性高的标准协议,此类协议服务器或设备自身均以支持,无需单独安装,且对系统资源占用极小,可忽略不计 |
代理程序影响 | 因WINDOWS系统、应用系统、业务系统等需通过安全AGENT进行日志外发,针对AGENT主要问题存在程序安全风险和与系统其他程序的兼容性问题 | 此方案所使用的AGENT程序仅进行日志信息转化和外发,其设计开发合理规范,内部测试流程严格可搞,并且经的内部测试和其他用户检验,可确保其无安全风险,对其他应用程序具备良好的兼容性 |
综上所述,在现有环境中部署日志审计系统对现有信息系统的正常无明显的影响,且可忽略不计。
6、运行管理
为保障设备的正常运行,满足日常管理、分析、审计要求。用户需配备不同的管理人员对日志审计系统进行日常的使用、管理和维护。同时为适应不同用户人员的管理、使用需求,建议对不同人员进行权限控制管理同时结合“三权分立”原则,设立账号管理员、审计管理员、操作管理员三大类角色,各角色具体职责如下:l 账号管理员
账号管理员可根据用户需求通过日志审计系统账号管理模块进行账号角色创建和管理权限。
l 系统管理员
系统管理员可通过日志审计系统管理模块对设备进行自身进行各种参数配置,设备性能和日志监控、数据备份恢复、采集模块管理,如:包括采集器的启动、停止,以及配置采集器发送什么类型的日志到JH-LAS管理中心等。
建恒日志审计分析系统以用户需求为出发,更好的为用户提供服务为标准,的对系统进行更新和完善,设备部署后,建恒提供离线升级服务,可通过电子邮件或邮寄升级光盘的方式,将离线升级包定期发送给系统管员,系统管理员可通过页面操作离线升级,如管理员存在操作难度,建恒可提供现场升级服务。
l 安全设备审计员
安全设备监控员可定期通过日志审计系统展示界面对权限范围内进行分析后的安全设备运行状况和安全事件进行集中的查看,并可通过告警接口实时了解获知所管理设备的安全事件。
结语
7.1满足性分析
此方案建设完成后可对覆盖用户现有需求,满足日志集中采集、分析、审计、告警等需求。
7.1.1合规要求
在诸如《信息安全等级保护》(几乎各级均要求提供审计功能)、《信息安全风险管理规范》、《基于互联网电子政务信息安全指南》、《银行业金融机构信息系统管理指引》等,要求对重要系统、设备的运日志进行保留,并且周期性地进行第三方审计的需要。利用建恒日志审计分析系统搭建的日志审计体系可支持对安全规范的性要求,利用审计规则自动化的评估审计策略的程度,从而支撑用户对审计工作的需求。
7.1.2技术需求
通过本方案的建设,可对信息系统中产生的各类日志信息集中的采集、分类、范式化、归并、分析、告警、检索和综合审计。在数据庞大的数据中及时发现存在或已发生的安全事件,并对全有日志信息进行统一集中的存储,以便后期追述和审计。通过完善的管理功能规划和设计,便于管理人员的日常管理维护工作,并配套合理的权限划分机制,使各类使用人员各司其职,避免因权限划分问题导致的安全风险。
本方案设计可应对高并发,大数据的日志集中采集需求,可杜绝因处理性能、网络带宽等带来的瓶颈,避免数据丢失漏审等问题的发生,真实的记录还原各类系统运行过程中的各类信息,准确的实现发生的各类安全事件。
7.1.3管理需求
通过本方案的建设,满足对于事件响应相关要求,内部人员工作率,减轻员工工作量,解决整体系统运营成本。
7.2用户收益
7.2.1完善内部安全风险管理体系
建恒日志审计分析系统从不同层面为企业和组织的用户带来价值回报。
对于安全管理员、安全分析员、安全运维人员:
ü明确工作职责,各类安全管理人员各司其职,协同合作
ü工作率,快速准确的识别安全告警,发现违规行为,进行应急响应
ü发生安全问题,事后调查有据可循。
ü对于安全负责人:
ü有助于建立一套可行的安全策略的执行方针,并通过建恒日志审计分析系统真正落实
ü通过持续有的安全事件分析识别安全事故、策略冲突、欺诈行为和操作行为
ü通过安全事件分析有助于进行审计和取证分析、支持内部调查、建立基线,以及进行安全运行趋势预测,确保企业和组织的业务的持续性和性
ü通过设备和系统的日志以及安全事件的统一存储,企业和组织的需要,国家和行业的法律法规
ü自动产生各种分析报表和报告,掌控整个企业和组织的安全状况
ü对于企业和组织,领导层:
ü可以全局掌握企业和组织的安全总体状况,为领导层进行安全建设决策提供依据
ü从整体上了企业和组织的安全防护水平
ü通过对建恒日志审计分析系统的投资发挥出原有各种安全设施的投资的潜在价值,从而使得企业和组织的成本益大化,降低总拥有成本,安全设施的投资回报率
7.2.2全生命周期日志管理
借助建恒日志审计分析系统,客户能够实现从日志产生、采集、综合分析与审计、到日志存储、备份整个日志生命周期管理。通过集中化的日志管理系统,协助客户解决网络中日志分散、种类繁多、数量巨大的问题,安全运营率。
7.2.3日常安全运维工作的有力工具
对于日常安全运维而言,核心的工作内容是对IT网络进行持续监测,确保网络、主机、安全系统等重要信息系统的运行安全。更具体地说,是要持续监测并识别针对网络、主机、安全设备等重要信息系统的性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。
借助日志审计系统,客户能够统一收集来自网络中IT资产的日志信息,通过分析日志中的安全事件,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助客户运维人员进行安全监视、问题快速定位、审计追踪、调查取证、应急处置、生成各类报表报告,成为客户日常安全运维和监控的有力工具。
7.2.4等级保护的审计要求
建恒日志审计分析系统在设计之初充分考虑的国家制定的信息系统等级保护制度中对于安全审计的技术要求。系统能够帮助客户更好地遵从等级保护的审计要求。
以GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》中对三级信息系统的安全审计要求为例,建恒日志审计分析系统能够对基本要求中规定的网络及安全设备、主机、数据库和应用的日志进行统一的采集和存储,协助客户对审计记录数据进行统计、查询、分析,并生成审计报表。对于采集的所有日志记录信息,都记录了日期、时间、类型、主体标识、客体标识和结果等信息,同时原封不动地保存了原始日志信息。对于存储的审计记录,建恒日志审计分析系统进行了完善的安全保护,避免遭受未预期的删除、修改或覆盖。
推广关键字:日志审计