搜索
LogBase网络安全审计解决方案杭州思福迪信息技术有限公司SAFETYBASEINFOTECHCO.LTDLogBase网络安全日志审计解决方案2/23目录目录..........................................................................................................................................2第一章方案概述......................................................................................................................3第二章需求分析......................................................................................................................4第三章技术解决方案..............................................................................................................53.1方案设计原则................................................................................................................53.2设备选型和配置.............................................................................错误!未定义书签。3.3设备部署示意图............................................................................................................53.4LogBase审计产品的技术优势.....................................................................................6第四章LOGBASE系统功能结构...................................................................................................84.1系统体系结构..................................................................................................................84.2日志采集...........................................................................................................................94.3日志存储及检索.............................................................................................................104.4日志分析.........................................................................................................................114.5系统管理.........................................................................................................................154.6系统开放性....................................................................................................................214.7系统安全性....................................................................................................................214.8系统外部接口.................................................................................................................22LogBase网络安全日志审计解决方案3/23第一章方案概述随着互联网的飞速发展,客户对网络系统中的核心数据库应用系统进行全面的监测、分析、评估是保障网络安全的重要手段。网络信息安全是动态的,是已经建立的系统体系,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患。所以安全系统需要集中的审计系统。如果不能将在同一网络中多个不同或者相同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。如果没有实时的、集中的、可视化审计,就不能有效、及时的评估系统究竟是不是安全的,无法及时发现安全隐患。安全审计系统就可以满足这些要求,对网络中的数据库系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。杭州思福迪公司是国内日志管理的领先者,其自主知识产权产品——LogBase日志管理综合审计系统可涵盖多种数据库操作日志(ORACLE/DB2/MSSQL/SYSBASE/INFORMIX/MYSQL),系统采用统一的日志格式(使用户更易读懂日志内容),并提供日志海量存储和高速检索功能,系统运用关键字实时跟踪分析技术,从事件源、事件时间、事件目的对象、事件使用方法、事件频率各个角度,提供丰富的统计分析报告,帮助用户及时发现安全隐患,协助优化网络资源的使用。LogBase网络安全日志审计解决方案4/23第二章需求分析XXXX公司的计算机网络以及数据库系统,是公司业务正常运行和核心数据信息安全的基础保障,为加强对网络信息安全的建设,满足国家法律法规的相关规定,满足行业相关文件和规定的技术要求,公司决定实施计算机网络安全日志审计系统。根据XXXX公司的实际网络应用环境和招标要求,我们的网络日志审计系统必须满足以下需求:全面收集信息系统运行的所有日志,集中在线存储至少三个月支持采集数据库操作行为日志:如OracleORACLE/DB2/MSSQL/SYSBASE/INFORMIX/MYSQL数据库的远程访问日志;海量日志存储空间,保证日志安全可靠所有的日志信息必须集中在线存储至少三个月以上,能方便的导出到外部存储介质,导出后的日志能加密存储,确保不能篡改,并且导出的日志能方便的导入到日志审计系统中,以便查询。实时监控安全审计对象,拥有主动报警功能集中信息系统的运行状态日志信息,以便实时监控系统的运行安全情况和对系统的故障、非法操作等进行事后分析、调查取证。实时分析日志信息,并提供报警功能。高效的日志检索能力、丰富的统计报表模板对收集的日志可以按不同的条件查询(包括模糊查询)以及关联查询,并能提供丰富的统计报表等。LogBase网络安全日志审计解决方案5/23第三章技术解决方案3.1方案设计原则1、先进性和成熟性原则采用代表当前计算机发展趋势的先进技术和成熟的产品,确保该信息系统在2年内不落后,保证平台在技术上领先、成熟、稳定和可靠。2、可靠性原则整个网络系统必须具备高度的稳定性和可靠性,提供充分的可靠性服务。网络系统运行稳定、故障率低、容错性强,实现7*24小时正常工作。3、最小影响原则在方案设计及实施时,遵循对信息系统影响最小原则,尽可能地采用对网络、系统、应用影响最小的技术手段,对现有系统不产生干扰,保护现有系统。4、安全性原则在规划设计和维护管理的过程中要充分考虑网络建设和信息安全相结合的原则,从技术、管理等方面制订严格的方案,形成多层次、全方位的安全保密防线,确保系统的安全性。3.3设备部署示意图LogBase日志管理综合审计系统可以部署单点集中模式与分布式部署模式,采用旁路的方式采集日志信息,部署方便、快捷、稳定,对网络原有拓扑结构基本不变。部署方式如下图所示:LogBase网络安全日志审计解决方案6/23LogBase部署示意图部署说明:LogBase审计主机给分配IP地址连接在核心交换机上,方便用户管理。LogBase探测器通过对一台核心交换机的旁路监听,采集数据库操作的日志。另外,数据库探测器需要与LogBase设备链路互通;3.4LogBase审计产品的技术优势3.41日志高速检索及分析能力LogBase系统采用了思福迪公司自主开发的基于海量日志索引的日志检索引擎,避免了在采用关系数据库在处理海量日志数据时的低效率问题,采用了“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”等核心技术手段,实现了对日志的高速检索能力。LogBase网络安全日志审计解决方案7/233.42日志的安全存储能力LogBase内部存储为SATA硬盘Raid5阵列,即能保障日志信息在设备内的安全存储需求,又能保障高效的检索速度;Logbase内置安全防火墙系统,可以设定严格的访问源,从而避免了绝大部分的无关流量,进一步保障系统本身的安全性;Logbase系统为嵌入式64位Linux系统,系统内核已进行全面精简、优化,从而在内核级别保障系统本身及日志的安全性;当网络出现不稳定、中断情况;探针所采集的日志会进行本地缓存处理,直到网络恢复正常后再进行日志传输Logbase对内部的管理帐号具有严格的访问权限控制,能够有效防止内部管理员的越权访问,避免数据库被恶意删除。3.43灵活的查询条件及规则定义功能LogBase系统在接收日志信息时,根据不同的日志种类进行不同的格式化处理,在保留所有日志原始信息的同时将日志根据字段进行分割处理。用户在检索日志时,可以根据日志的类型,字段内容进行精细匹配,如:日志源IP、日志生成时间、任意字段内容等;从而实现日志的快速准确定位;Logbase系统支持多重条件查询规则设定,支持的操作符有:、、=、包含、时间区间等等;支持跨日志查询,从而满足不用目的的查询需要。3.44稳定可靠的旁路审计模式此次解决方案采用全旁路设计,不在网络中串联设备;不在主机上安装客户端软件;不改变客户原有的登陆方式。相对于其他的审计方式,如单点登陆、应用代理等方式,LogBase的旁路方式具有更高的稳定性及可靠性:设备自身故障不影响网络的正常访问;不会断开已经建立的连接;不增加单点故障点;支持性能、容量的平滑升级。LogBase网络安全日志审计解决方案8/23系统直接分析数据库服务底层访问协议,可自动兼容各种类型的数据库客户端,无须对特定客户端软件进行特定分析及二次开发,提供全方位的数据库访问审计,无审计盲点。LogBase系统进行维护、升级时不会影响到正常业务的运行,也不会影响到网络性能。3.45良好的扩展性设计LogBase系统支持在业务规模及审计管理范围扩大情况下的平滑升级,主要的系统可扩展及伸缩性能力主要表现在以下几个方面。网络探测器的负载均衡当单台网络探测器不能支持大流量的网络访问监听及分析时,可针对不同的访问源区域,进一步增加网络探测器来分担现有探测器