综合日志审计系统的搭建与使用,日志管理平台采集分析检索
网络安全等级保护日志审计系统需具备安全产品销售许可证
随着政府、企事业单位等各类组织的正常工作开展对信息化的依赖程度越来越高,信息系统安全防护的重要性也随之增高。对各类日志进行安全审计是信息系统安全维护的重点工作之一,目前,由于日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等因素,人为开展日志审计工作已逐渐变为一项不可能完成的任务。
综合日志审计系统具备对整个信息系统中的各类日志进行集中采集、集中管理、集中审计的能力。
通过部署,一方面可以集中收集、长时间存放所有的记录日志,避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生。
另一方面,强大的日志审计能力可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段,从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成,大大减少信息部门的工作量。
随着客户业务系统对网络依赖程度的日益加深,以及层出不穷的安全威胁,各行各业对网络安全的重视程度也日渐加强。针对上市公司、大中型企业(尤其是央企)、银行、证券、保险,国家和各行业主管部门都出具了大量的内控、合规管理标准、规范、规定,都对IT信息系统的安全审计提出了要求。
借助综合日志审计系统,客户能够实现从各种IT资产操作行为的产生、采集、综合分析与审计、到事件数据存储、备份整个审计日志的生命周期管理。通过集中化的审计日志管理系统,协助客户解决网络中日志分散、种类繁多、数量巨大的问题,提升安全运营效率。
日志审计系统审计所支持设备类型如下:
设备类型 | 厂商或产品 |
交换机 | Cisco、Extreme、Juniper、博科、华为、中兴、H3C、神州数码、锐捷、博达、Dell Force10、Foundry、F5、北电网络、 |
路由器 | Cisco、Juniper、华为、H3C、神州数码、锐捷、阿尔卡特、 |
防火墙 /UTM/USG | 启明星辰、网御星云、360、Cisco、Juniper Netscreen、飞塔、Checkpoint、Nokia、Bluecoat、天融信、东软、方正科技、网神、亿阳信通、中科网威、中网、阿姆瑞特、卫士通、H3C、迪普、山石、中宇万通 |
VPN | 启明星辰、网御星云、天融信、Array、Juniper、网神 |
网闸 | 网御星云、网神、方正 |
IDS/IPS/IDP | 启明星辰、网御星云、绿盟、东软、H3C、迪普、天融信、网神、汉柏、极地 |
漏洞扫描 | 启明星辰、网御星云、绿盟、榕基、极地 |
防病毒 | Symantec、TrendMicro、McAfee、瑞星、360、金山、江民、冠群金辰、熊猫 |
Anti-DDoS | 网御星云、启明星辰、绿盟、中新 |
WAF | 启明星辰、Imperva、绿盟、中创InfoGuard、安信华 |
负载均衡设备 | F5、信安世纪 |
安全审计系统 | 启明星辰、网御星云、复旦光华、汉邦、三零盛安、深信服、 |
运维审计 | 启明星辰、奇智、极地、网神、绿盟 |
身份认证 | 格尔、吉大正元 |
服务器 | IBM AIX 、HP-UX 、Microsoft Windows、SUN Solaris、Linux及其变种 |
数据库 | Oracle、SQL Server、DB2、MySQL、Informix、Sybase、MongoDB |
中间件 | WebLogic、WebShpere、JBoss、Apache、Tomcat、Domino |
网管系统 | HP OpenView NNM、IBM NetCool、CiscoWorks |
存储系统 | HP、IBM、EMC、VERITA |
业务系统 | 各种用户自有的业务系统(需要定制) |
其它 | 任意Syslog日志源、SNMP Trap日志源 |
图表 审计范围
部署方式
综合日志审计系统性能
峰值处理能力(每秒日志解析能力EPS):60000EPS。
针对千万级数据可在10秒内进行检索定位。
支持默认Raid0+1级别冗余容错方式。
本地存储空间>30亿条,可定制扩容,可接外部存储设备。
综合日志审计系统的搭建与使用,日志管理平台采集分析检索
物理服务器/虚机给8c 16G 1T
启动安装
引导起来直接选择第二项install-las-296
等待重启进入系统
在浏览器地址栏输入ip(https://XXXX)(注:为出厂默认ip)即可进行访问。
默认管理接口根据用户网络环境,在部署时可对访问地址进行灵活修改。
(注:web访问建议使用谷歌浏览器进行访问)
系统预设账户列表,可根据需要选择登录:
用户类型 | 用户名 |
超级管理员 | admin |
操作管理员 | operator |
审计管理员 | saudit |
账号管理员 | userManager |
权限划分
用户类型 | 用户所拥有权限 |
超级管理员 | 拥有所有权限 |
操作管理员 | 除内部审计、用户管理、授权规则的所有功能 |
审计管理员 | 只有内部审计权限 |
账号管理员 | 只有用户管理权限 |
首页
登入系统默认进入首页即‘状态’菜单项,概括显示系统主要统计信息。
自定义图表预览功能
完成添加自定义图表后,可点击‘预览’查看自定义图表,点击‘查看事件’,可自定义搜索条件,如下图
审计
日志查询
菜单项‘审计’à‘日志查询’详情。
全文搜索
在事件搜索输入框内输入关键字,可查询包含关键字内容的事件,搜索结果中关键字高亮蓝色背景显示。支持多个关键字搜索,多个关键字用‘|’分割。
原始日志
查看原始日志:菜单项‘审计’à‘日志查询’à‘日志拆解’。
钻取关联事件
点击关联事件列表左侧‘查看’图表,可查看该关联事件的详情。
内部审计
查看和检索内部审计事件:菜单项‘审计’à‘内部审计’。
关系展示
资产列表
查看资产列表:菜单项‘资产’à‘资产列表’。
批量导入资产
添加解析规则
点击解析规则列表右上角‘添加解析规则’图标,进入添加解析规则界面,填写相应的添加项,上传解析规则文件à点击‘可用性测试’,测试通过则显示‘提交’按钮,可点击‘提交’完成添加解析规则的操作。
报表
菜单项‘报表’à‘报表列表’子项。进入报表列表展示页面。
钻取告警关联事件
点击每条告警信息‘操作’列的‘查看’即可查看该条告警信息的详细情况。
采集器管理
菜单项‘系统’à‘采集器管理’子项。进入采集器列表界面。
知识库
菜单项‘系统’à‘知识库’子项。进入知识库模块页面。
日志导入
菜单项‘系统’à‘日志导入’子项。进入日志导入模块。可以导入资产类别、资产类型的相关日志。
数据备份
菜单项‘系统’à‘数据备份’子项。进入数据备份模块。
附:
等级保护的审计要求
系统能够帮助客户更好地遵从等级保护的审计要求。
项目 | 等级保护第三级安全审计具体要求 | ||
7.1 技术要求 | 7.1.2 网络安全 | 7.1.2.3 安全审计(G3) | a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; |
b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; | |||
c) 应能够根据记录数据进行分析,并生成审计报表; | |||
d) 应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 | |||
7.1.3 主机安全 | 7.1.3.3 安全审计(G3) | a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; | |
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; | |||
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; | |||
d) 应能够根据记录数据进行分析,并生成审计报表; | |||
e) 应保护审计进程,避免受到未预期的中断; | |||
f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 | |||
7.1.4 应用安全 | 7.1.4.3 安全审计(G3) | a) 应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计; | |
c) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等; | |||
d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 | |||
合规与内控的审计要求
随着客户业务系统对网络依赖程度的日益加深,以及层出不穷的安全威胁,各行各业对网络安全的重视程度也日渐加强。针对上市公司、大中型企业(尤其是央企)、银行、证券、保险,国家和各行业主管部门都出具了大量的内控、合规管理标准、规范、规定,都对IT信息系统的安全审计提出了要求。
法规要求 | 相关条款 | 与日志审计相关的主要内容 |
《企业内部控制基本规范》 | 第四十一条 | 企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制,保证信息系统安全稳定运行。(注:间接要求安全审计) |
《企业内部控制应用指引》 | 第六条 | 对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。企业应当在信息系统中设置操作日志功能,确保操作的可审计性 |
《商业银行内部控制指引》 | 第一百二十六条 | 商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。 |
《银行业信息科技风险管理指引》 | 第二十五条 | 对于所有计算机操作系统和系统软件的安全,在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。 |
第二十六条 | 对于所有信息系统的安全,以书面或者电子格式保存审计痕迹;要求用户管理员监控和审查未成功的登录和用户账户的修改。 | |
第二十七条 | 银行业应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。 | |
《证券公司内部控制指引》 | 第一百一十七条 | 证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能。证券公司信息系统日志应至少保存15年。 |
《保险公司信息系统安全管理指引(试行) 》 | 第三十一条 | (要求)形成网络接入日志并定期审计 |
第四十三条 | 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。 | |
第四十四条 | 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。 |
