BIT8-5网络信息系统安全体系-综合审计系统

综合IT系统运维审计解决方案居利思义身劳心安人强我强共同发展企业审计要求——ＳＯＸ审计要求居利思义身劳心安人强我强共同发展企业审计要求——ＳＯＸ－AMS对主机／系统审计要求及满足►用户登录退出报告(302条款(a)-(4)-(C)~(D))►用户登录失败报告(302条款(a)-(4)-(C)~(D))►特定文件、目录访问报告►系统开机/关机报告►系统时间修改报告►系统日志修改报告►系统远程登录报告►系统帐号管理操作跟踪(302条款(a)-(6))►审计策略变更跟踪(302条款(a)-(5))►用户认证成功/失败报告►应用访问报告(302条款(a)-(5))居利思义身劳心安人强我强共同发展产品体系结构居利思义身劳心安人强我强共同发展产品结构说明►数据接口层●数据接口层实现审计数据的采集及标准化，同时还可以完成与其它日志系统的日志传输及结核。►核心业务层●实现数据的综合分析和关联分析，生成各种审计报表。还提供日志的维护管理，和用户的维护管理。►展示层●展示层以多种报告报表的方式让用户能够从多个角度清楚的洞察系统的运行情况，实现对审计系统的配置管理，实现综合审计和报表展示。居利思义身劳心安人强我强共同发展综合审计体系结构数据库嗅探硬件URTR@AMS日志管理与审计系统ULTR@AMSDB堡垒主机硬件访问控制流量审计标准日志采集日志审计网络嗅探硬件流量审计集中身份管理系统Ultr@AMSSyslog/snmpApi/jdbcApi/jdbcsyslog/Jdbc/apijdbc审计产品第三方审计产品api/syslog/snmp居利思义身劳心安人强我强共同发展产品功能居利思义身劳心安人强我强共同发展产品功能—系统功能►日志采集●日志来源●数据标准化／过滤／归并／压制►日志审计●行为审计●关联分析审计●基于用户实体的行为审计►实时监控●事件响应●操作阻断►审计报表►系统管理●用户管理●用户角色／权限管理●对象管理●采集调度管理●数据备份管理●系统日志管理●系统分级管理居利思义身劳心安人强我强共同发展日志采集－审计日志来源►应用系统日志●业务系统●应用服务►标准日志●系统日志文件●安全设备●网络设备►网络流量的日志●网络嗅探►外部系统日志（4A）●集中用户管理日志●集中认证日志●集中授权日志●访问控制日志●单点登录系统●堡垒主机日志居利思义身劳心安人强我强共同发展日志采集－全面的获取技术1）面向文件型收集器，FilestreamCollector，提供通用系统格式模板库，支持自定义，配合通用文件采集Agent,部署分客户端安装和外置模式2）面向协议型收集器，EventCollector，提供常见协议的支持，如Syslog、SnmpTrap、OpsecLea等，少量可AMS主机内置3）网络嗅探器，NetworkSensor，通过旁路监听方式，网络协议还原获取4）数据库嗅探器，DBSensor，通过旁路监听方式，数据库访问协议还原获取5）特殊探测器，Agent，为特殊目的一般安装在主机上的探测软件，如针对UNIX主机操作、Windows系统Eventlog及其它操作运行信息居利思义身劳心安人强我强共同发展主机系统审计—ｗｉｎｄｏｗｓWindowsAgent系统日志Agent系统监控开关机系统登陆、注销网络登陆帐号增加、删除用户属性更改（名称、权限、组等）口令猜测运行程序策略更改（系统策略、审计策略等）服务增加、删除、开启、关闭服务异常关闭服务器硬件异常日志清除审计访问对象应用程序异常时间更改、驱动更改指定文件及文件夹操作外部端口使用CPU/内存/硬盘使用情况服务和进程运行跟踪补丁信息……API（无客户端）居利思义身劳心安人强我强共同发展主机系统审计—ＵＮＩＸUNIXSyslog开关机系统认证信息口令猜测帐户、组管理信息关键配置文件错误硬件告警、错误内核错误信息守护进程开启、关闭、错误居利思义身劳心安人强我强共同发展主机系统审计—安全设备安全设备SyslogSnmpTrap安全设备状态改变安全设备配置修改安全设备本身告警安全设备安全事件居利思义身劳心安人强我强共同发展网络事件审计—网络行为网络事件网络探针Telnet登入/登出过程Telnet用户命令操作Ftp登入/登出过程Ftp用户命令操作Ftp文件上传下载Web访问居利思义身劳心安人强我强共同发展网络事件审计—数据库数据库事件网络探针数据库访问源分析用户登录数据查询数据修改数据删除数据定义权限管理居利思义身劳心安人强我强共同发展设备支持列表分类子类日志内容日志采集方式主机系统Solaris系统日志标准日志采集（syslog）AIX系统日志标准日志采集（syslog）WindowsEventlog日志采集客户端Linux系统日志标准日志采集（syslog）HPUnix系统日志标准日志采集（syslog）防火墙CheckPoint管理日志/告警日志标准日志采集接口（OPSECLEA）CiscoPIX管理日志/告警日志标准日志采集（syslog）Netscreen管理日志/告警日志标准日志采集（syslog）华为管理日志/告警日志标准日志采集（syslog）入侵检测CA(NIDS)告警日志标准日志采集（syslog）ISS(HIDS)告警日志标准日志采集（syslog）网络设备华为管理日志标准日志采集（syslog）CISCO管理日志标准日志采集（syslog）Juniper管理日志标准日志采集（syslog）服务器WebLogic系统使用日志/管理日志获取日志文件WebSphere系统使用日志/管理日志获取日志文件Apache系统使用日志/管理日志获取日志文件MicrosoftIIS系统使用日志/管理日志获取日志文件Domino系统使用日志/管理日志日志API接口Sendmail系统使用日志/管理日志标准日志采集（syslog）Exchange系统使用日志/管理日志获取日志文件居利思义身劳心安人强我强共同发展办公LotusDomino系统使用日志/管理日志日志API接口流量审计telnet会话内容网络嗅探/堡垒主机email收发件地址及邮件内容网络嗅探／标准日志采集ftp会话内容网络嗅探/堡垒主机http网页内容恢复、图片恢复网络嗅探/堡垒主机ssh会话过程堡垒主机httpsWeb页面堡垒主机数据库Oracle会话过程网络嗅探DB2会话过程网络嗅探SQLServer会话过程网络嗅探Sybase会话过程网络嗅探Informix会话过程网络嗅探数据库Oracle数据库自身审计日志日志API接口DB2数据库自身审计日志获取日志文件SQLServer数据库自身审计日志日志API接口Sybase数据库自身审计日志获取日志文件Informix数据库自身审计日志获取日志文件居利思义身劳心安人强我强共同发展行为审计是审计内容的重点通过各种技术手段获得使用者对信息系统各部分的操作活动记录。•主机行为操作系统层对用户的操作行为跟踪•网络行为网络访问行为，http、ftp、smtp/pop、telnet、msn、bt•数据库行为主流关系型数据库（Oracle/DB2/Mssql/Sybase/Informix等）的SQL操作行为•应用行为WEB和中间件服务器的访问，应用软件系统自身的操作记录居利思义身劳心安人强我强共同发展关联分析审计►操作行为关联审计●能够将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，再现用户的操作过程，能够再现所有关键系统数据的访问、修改和删除等。●能够对不规则或频繁出现的事件能进行统计分析、过滤和事件聚合等。●能够支持自定义的安全事件，能检测自定义的安全事件。●能够提供自定义匹配模式便于查询。►事件关联审计●能够将系统层的日志、数据库日志、中间层、应用层的日志、网络数据和用户关联起来，并能够区分不同用户行为，并且将所有事件聚合为对同一用户的事件关联审计。►基于网络实名的审计●系统通过与身份管理系统的结合，将某个账号的操作行为与自然人关联，实现基于网络实名的行为审计；●能够对主机，网络设备，数据库的所有用户指令操作的记录；居利思义身劳心安人强我强共同发展高危行为审计►能够对以下数据库高危操作进行审计包括：数据库表的删除、关键数据项的修改及删除等。►能够对以下应用层高危操作进行审计包括：用户数据的修改、关键业务系统配置的修改。►能够对以下高危操作进行审计包括：用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。►能够对以下系统层高危操作进行审计包括：系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、操作服务端口开启、启动后台进程和运行可执行文件等。居利思义身劳心安人强我强共同发展实时规则库结合自定义实时规则支持多种告警方式邮件短信声音发送SYSLOG等支持工单接口发送工单状态跟踪行为阻断防火墙联动堡垒主机应用代理日志分析和响应居利思义身劳心安人强我强共同发展砖取方式的报表展示►展示：用户选择好纵维和横维后，展示区中显示的内容，即为基本的展示单元或报表单元（参考详细分类报表），用户可点击纵维或横维来展某一分类进行钻取查看。用户也可以直接点击数据字段查看某组事件。●纵轴：按照从整体通过地域或业务系统两种途径精确到IP（人员）。用户可以点击总体一直进入某个具体的IP地址；●横轴：按照多种事件分类方法（事件源特点、级别特点、事件分类）；用户通过任一途径逐级定位到具体事件细节；居利思义身劳心安人强我强共同发展审计报表——报表前转►报表前转主要包括两个方面：前转到工单和自动邮件发送。●前转到工单：能将报表通过已有的电子工单系统进行发送和处理●自动邮件发送：报表生成后，系统能自动将生成的报表发送到指定的邮箱居利思义身劳心安人强我强共同发展产品功能——报表分类（1）►总体状态报表●此类报告主要面向管理层，便于管理层把握全局业务状态，方便安全运维决策，要求能直观的进行各种操作，并能对报表进行多种层面的预定义。报表支持导航功能，支持个性化报表和个性化报表菜单，能将本期总体状态分析数据和上期（或其他）数据进行对比分析，并且能将分析结果通过详细状况分析统计进行定位。●审计分析平台能直观的查看各业务系统、服务器、终端、人员、安全和网络状态，并且能通过总体状态报告，以钻取的方式定位到各种详细以及趋势报告，并能将出现的威胁、风险或者操作与终端或者人员相对应。►统计趋势报表●统计趋势分析统计，此类报告主要面向管理层，把握全局业务状态。要求能将与业务相关的各种风险以及事件的趋势进行统计，能通过各个部门或地域来进行统计分析。►详细分类报表●详细状况分析统计，此类报告主要面向技术层。要求能将各种与业务相关联的数据进行分析统计，定位系统故障。此类报表必须能支持数据的钻取和切片。要求支持对多种不同类别数据源的数据进行关联和综合分析、统计。居利思义身劳心安人强我强共同发展产品功能——报表分类（2）►总体状态报表●主机设备（Windows、UNIX）●网络设备（交换机、路由器）●安全设备（防火墙、入侵检测、防病毒）●应用系统（邮件、web/http、msn）►统计趋势报表●趋势统计时间单位可以是：小时、天、星期、月、季、年；●按照总体、业务、部门、地域生成趋势统计统计；●按照事件源、事件特征生成趋势统计分析表；►详细分类报表●按照事件源、事件特征产生报表；►灵活的查询报表●会话（帐号——实体）报表●应用报表居利思义身劳心安人强我强共同发展查询报表——TELNET会话查询报表居利思义身劳心安人强我强共同发展审计报表——数据库会话审计报表居利思义身劳心安人强我强共同发展日志的存储管理居利思义身劳心安人强我强共同发展高可靠的数据管理采用RAID5磁盘阵列，支持高效压缩的日志存储（压缩比20:1）支持手工原始数据批量导入支持定期和自定义的自动归档，归档文件可下载支持归档数据恢复支持外部存储设备，如磁盘阵列柜、NAS高效数据检索引擎存储和检索日志量（万条）查询条件复杂度第一遍第二遍第三遍第四遍500单条件检索221