日志綜合審計系統(tǒng)v

1、思福迪產(chǎn)品介紹,思福迪信息技術(shù)有限公司,LogBase日志綜合審計系統(tǒng),公司概況,思福迪公司（SAFETYBASE INFORMATION TECHNOLOGY CO.,LTD）是國內(nèi)信息安全審計與IT內(nèi)控管理的領先廠商，成立于2005年2月，總部和研發(fā)中心設立在杭州，在北京、上海、武漢、福建等地設有分支機構(gòu)。公司理念：安全創(chuàng)造價值資質(zhì)榮譽：ISCCC信息安全服務資質(zhì)二級認證國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心省級應急服務支

2、撐單位全國安全防范報警系統(tǒng)標準化技術(shù)委員會通訊委員單位國家信息安全服務一級資質(zhì) 軍用信息安全產(chǎn)品認證資質(zhì),公司業(yè)務,安全產(chǎn)品,安全服務,典型客戶,主題,什么是信息安全審計？為什么需要信息安全審計？LogBase日志綜合審計可以為用戶解決什么問題？LogBase日志綜合審計系統(tǒng)介紹LogBase日志綜合審計系統(tǒng)目標用戶群LogBase日志綜合審計系統(tǒng)產(chǎn)品選型,信息安全審計是評判一個信息系統(tǒng)是否真正安全的重要標準之一。通過安

3、全審計收集、分析、評估安全信息、掌握安全狀態(tài)，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統(tǒng)調(diào)整到“最安全”和“最低風險”的狀態(tài)。安全審計已成為企業(yè)內(nèi)控、信息系統(tǒng)安全風險控制等不可或缺的關(guān)鍵手段，也是威懾、打擊內(nèi)部計算機犯罪的重要手段。,什么是信息安全審計？,在國際通用的CC準則（即ISO/IEC15408-2:1999《信息技術(shù)安全性評估準則》）中對信息系統(tǒng)安全審計（ISSA，Information System

4、Security Audit）給出了明確定義：信息系統(tǒng)安全審計主要指對與安全有關(guān)的活動的相關(guān)信息進行識別、記錄、存儲和分析；審計記錄的結(jié)果用于檢查網(wǎng)絡上發(fā)生了哪些與安全有關(guān)的活動，誰（哪個用戶）對這個活動負責；主要功能包括：安全審計自動響應、安全審計數(shù)據(jù)生成、安全審計分析、安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等。,什么是信息安全審計？,通俗來講，信息安全審計就是信息網(wǎng)絡中的“監(jiān)控攝像頭”，通過運用各種技術(shù)手段，洞察網(wǎng)絡信息系

5、統(tǒng)中的活動，全面監(jiān)測信息系統(tǒng)中的各種會話和事件，記錄分析各種網(wǎng)絡可疑行為、違規(guī)操作、敏感信息，幫助定位安全事件源頭和追查取證，防范和發(fā)現(xiàn)計算機網(wǎng)絡犯罪活動，為信息系統(tǒng)安全策略制定、風險內(nèi)控提供有力的數(shù)據(jù)支撐。,什么是信息安全審計？,主題,什么是信息安全審計？為什么需要信息安全審計？LogBase日志綜合審計可以為用戶解決什么問題？LogBase日志綜合審計系統(tǒng)介紹LogBase日志綜合審計系統(tǒng)目標用戶群LogBase日志綜合審

6、計系統(tǒng)產(chǎn)品選型,為什么需要信息安全審計？,《信息系統(tǒng)安全等級化保護基本要求》二級以上,《ISO27001:2005 》4.3.3小節(jié)、 《ISO17799:2005 》10.10小節(jié),《商業(yè)銀行內(nèi)部控制指引》第一百二十六條,《銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引》第四十六條,《證券公司內(nèi)部控制指引》第一百一十七條,《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》第八條,《薩班斯（SOX）法案》第404款,國家和行業(yè)法律法規(guī)都有安全審計的要求！,《企業(yè)內(nèi)部控

7、制基本規(guī)范》,10,為什么需要信息安全審計？,全國人大常委會在今年2月28日通過了刑法修正案(七)的表決，并且從頒布之日起實施。刑法修正案(七)第二百五十三條規(guī)定：國家機關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取、收買或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款

8、的規(guī)定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各相應條款的規(guī)定處罰。,為什么需要信息安全審計？,為什么需要信息安全審計？,一旦用戶單位采用的防御體系被突破怎么辦？至少我們必須知道系統(tǒng)是怎樣遭到攻擊的，怎么才能恢復系統(tǒng)，此外我們還要知道系統(tǒng)存在什么漏洞，如何能使系統(tǒng)在受到攻擊進有所察覺，如何獲取攻擊者留下的證據(jù)？用戶各系統(tǒng)設備，應用系統(tǒng)運行是否正常呢？發(fā)生安全事件時，有足夠的證據(jù)提供分

9、析么？能準確定位安全事件責任么？維護人員是否都按照規(guī)定進行操作？如何發(fā)現(xiàn)和告警違規(guī)操作？維護人員權(quán)限如何細粒度準確控制？第三方維護情況普遍存在，如果監(jiān)督和控制這些人的行為？如風險評估的過程是否可靠？我的信息安全體系建設是否能夠滿足相關(guān)規(guī)范要求呢？等等問題。,為什么需要信息安全審計？,怎樣通過集中的日志定位全全問題？怎樣通過快速的日志查詢分析安全問題？怎樣通過全全告警功能及時監(jiān)控系統(tǒng)故障？怎樣通過自動化的日志系統(tǒng)縮減故障

10、排查時間和業(yè)務中斷時間問題？怎樣通過全面的日志收集和安全告警，保障IT系統(tǒng)的業(yè)務連續(xù)性問題？怎樣能快速準確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)？怎樣通過交互的操作界面和全面的報表功能提升IT服務能力？怎樣通過完整的IT日志解決方案提高企業(yè)IT管理水平？,主題,什么是信息安全審計？為什么需要信息安全審計？LogBase日志綜合審計可以為用戶解決什么問題？LogBase日志綜合審計系統(tǒng)介紹LogBase日志綜合審計系統(tǒng)目標用戶

11、群LogBase日志綜合審計系統(tǒng)產(chǎn)品選型,LogBase日志綜合審計可以為用戶解決什么問題,通過LogBase日志審計系統(tǒng)建設，用戶的信息系統(tǒng)能夠落實《信息系統(tǒng)安全等級化保護基本要求》、《ISO27001:2005》、《企業(yè)內(nèi)部控制基本規(guī)范》和《薩班斯（SOX）法案》中有關(guān)安全審計控制點及日志和事件存儲的要求，積累信息系統(tǒng)安全等級保護工作經(jīng)驗。通過LogBase日志審計系統(tǒng)的建設，為用戶的信息系統(tǒng)建立全面的風險管理和內(nèi)控體系提供必要

12、的支撐。通過LogBase日志審計系統(tǒng)建設，為用戶的信息系統(tǒng)快速定位全網(wǎng)發(fā)生問題。通過LogBase日志審計系統(tǒng)建設，為用戶的信息系統(tǒng)快速的日志查詢分析呈現(xiàn)網(wǎng)中發(fā)生安全問題。,LogBase日志綜合審計可以為用戶解決什么問題,通過LogBase日志審計系統(tǒng)建設，日志審計的安全告警功能及時監(jiān)控系統(tǒng)為用戶的信息系統(tǒng)發(fā)現(xiàn)設備故障。通過LogBase日志審計系統(tǒng)建設，通過自動化的日志審計系統(tǒng)為用戶的信息系統(tǒng)縮減故障排查時間和業(yè)務中斷時間。

13、通過LogBase日志審計系統(tǒng)建設，通過全面的日志收集和安全告警，為用戶的信息系統(tǒng)保障IT系統(tǒng)的業(yè)務連續(xù)性問題。通過LogBase日志審計系統(tǒng)建設，為用戶的信息系統(tǒng)能快速準確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)證據(jù)。,LogBase日志綜合審計可以為用戶解決什么問題,通過LogBase日志審計系統(tǒng)的建設，用戶的信息系統(tǒng)能夠進一步完善信息安全保障體系，改變針對事中及事后的安全防護設施建設較弱的現(xiàn)狀，為落實各項監(jiān)管機構(gòu)及內(nèi)部檢查提供技術(shù)支

14、撐手段，不斷完善信息安全管理辦法，提高信息安全管理水平。通過LogBase日志審計系統(tǒng)，提升用戶的信息系統(tǒng)日常安全運維的水平，實現(xiàn)信息系統(tǒng)IT計算環(huán)境日志信息的集中管理，全面掌握IT計算環(huán)境運行過程中出現(xiàn)的隱患，通過安全事件報警和日志報表的方式，在運維人員有限的條件下，有效地把握運維工作的重點，進一步增強系統(tǒng)安全運維工作的主動性，更好地保障系統(tǒng)的正常運行。同時，有效規(guī)避日志信息分散存儲存在的非法刪除風險，確保安全事故處置的取證工作。,

15、主題,什么是信息安全審計？為什么需要信息安全審計？LogBase日志綜合審計可以為用戶解決什么問題？LogBase日志綜合審計系統(tǒng)介紹LogBase日志綜合審計系統(tǒng)目標用戶群LogBase日志綜合審計系統(tǒng)產(chǎn)品選型,全面采集硬件設備、操作系統(tǒng)、應用系統(tǒng)日志及自定義文本格式日志等基于海量日志高效檢索引擎提供實時日志統(tǒng)分析提供實時的各類型日志列表提供全面日志格式的標準化提供日志的實時關(guān)聯(lián)分析和告警提供豐富的合規(guī)報表和自定

16、義報表,LogBase日志綜合審計系統(tǒng)介紹,產(chǎn)品特點,記錄檢索,,,,,設備日志審計,數(shù)據(jù)庫審計,應用系統(tǒng)審計,上網(wǎng)行審計,日志流量審計,合規(guī)報警,審計報表,實時分析,實時采集,實時存儲,,,,,LogBase日志綜合審計系統(tǒng)介紹,產(chǎn)品功能,LogBase日志綜合審計系統(tǒng)介紹,日志對象,采集或捕獲 – 日志收集和管理歸一化或理解 – 成熟的日志解釋和翻譯分析或了解– 全面的審計和合規(guī)性報告,LogBase為用戶提供專業(yè)的日志審計流程

17、,LogBase日志綜合審計系統(tǒng)介紹,問題解決第一步：采集或捕獲(日志管理),功能：從任何平臺安全可靠地捕獲日志全面支持原始日志收集和保存將日志保存在經(jīng)過壓縮的高效存儲庫中在需要時可以訪問原始數(shù)據(jù)提供所有原始日志中查找關(guān)鍵數(shù)據(jù)通過報告證明對日志進行了全面收集,成效： 集中的自動收集日志可降低成本隨時應對 “審計”！,實施時間：即插即用,LogBase日志綜合審計系統(tǒng)介紹,問題解決第一步：采集或捕獲,操作系統(tǒng),Window

18、sLinuxAIXSunOSHP-UXBSD,網(wǎng)絡設備,路由器交換機負載均衡代理設備…..,安全設備,防火墻IDS/IPSUTMVPN防毒墻郵件網(wǎng)關(guān)……,數(shù)據(jù)庫訪問,OracleMSSQLInformixSybaseDB2Mysql,上網(wǎng)行為,網(wǎng)頁瀏覽文件傳輸郵件收發(fā)IM聊天BT下載WEB郵件BBS發(fā)帖其他,應用系統(tǒng),WEB ServerMail ServerFTP Server

19、中間件系統(tǒng)業(yè)務系統(tǒng)…..,日志文件采集,網(wǎng)絡抓包分析采集,日志協(xié)議、專用協(xié)議采集,LogBase日志綜合審計系統(tǒng),功能：從多種平臺安全可靠的采集日志支持原始日志的采集和保存日志采集狀態(tài)及趨勢監(jiān)控,應用效果：保證審計記錄的安全性通過狀態(tài)監(jiān)控發(fā)現(xiàn)系統(tǒng)異常有效降低審計管理成本,LogBase日志綜合審計系統(tǒng)介紹,問題解決第二步：歸一化（理解）,如何理解各種不同格式的日志文件？如何從日志文件中快速尋找到目標人員的做過的動作

20、和行為？,LogBase日志綜合審計系統(tǒng)介紹,AAA,歸一化處理,第三方應用,Logbaseslas log,將形式各異的日志統(tǒng)一成Logbase專有日志格式通用字段翻譯轉(zhuǎn)義，降低對審計員的技術(shù)要求歸一化后更易于閱讀、程序處理,時間,地址,對象,操作,結(jié)果,等級,信息,問題解決第二步：歸一化（理解）,LogBase日志綜合審計系統(tǒng)介紹,28,,,,,,問題解決第二步：歸一化（理解）,從翻譯中尋找需要的信息,LogBase日志綜合審

21、計系統(tǒng)介紹,Who: (哪個用戶或者應用造成了事件)What： (該事件代表了哪種動作)When： (事件何時發(fā)生的)Where： (事件是在哪個機器上發(fā)生的)What： (涉及到哪些對象，文件或者數(shù)據(jù)庫)WhereFrom： (事件起源于哪個機器?)WhereTo：事件的目標是哪個機器?),7W的關(guān)系,問題解決第二步：歸一化（理解）,LogBase日志綜合審計系統(tǒng)介紹,,問題解決第三步：關(guān)聯(lián)分析（了解）,審計的意義在于監(jiān)督

22、及發(fā)現(xiàn)違規(guī)的用戶行為，特別是特權(quán)用戶的行為?；谌罩緝?nèi)容的關(guān)鍵字過濾，安全事件規(guī)則庫，自定義敏感事件告警；合規(guī)報表展現(xiàn)。,LogBase日志綜合審計系統(tǒng)介紹,操作系統(tǒng)日志,支持對象Windows、Linux、AIX、HP-UX、Solaris……,LogBase日志綜合審計系統(tǒng)介紹,應用系統(tǒng)日志,WEB server中間件FTP SERVER、MailServer防病毒軟件自主開發(fā)應用系統(tǒng),LogBase日志綜合審計系統(tǒng)介紹,

23、網(wǎng)絡及安全設備,路由器、交換機、防火墻、VPN、負載均衡設備、防毒墻、代理設備、IDS/IPS等,LogBase日志綜合審計系統(tǒng)介紹,數(shù)據(jù)庫系統(tǒng)日志,采集對象：OralceDB2MS SQLServerMysqlInformixSybase系統(tǒng)日志（windows、linux、unix）,采集方式旁路鏡像采集網(wǎng)絡數(shù)據(jù)包安裝軟件探測器,數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類

24、（如create、drop、alter等）事務操作類（如Begin Transaction、Commit Transaction、Rollback Transaction等）用戶管理類以及其它輔助類（視圖、索引、過程等操作） 等數(shù)據(jù)庫訪問行為,LogBase日志綜合審計系統(tǒng)介紹,日志采集—完整記錄日志內(nèi)容,LogBase數(shù)據(jù)庫審計系統(tǒng)記錄內(nèi)容：日志發(fā)生時間源、目標IP地址數(shù)據(jù)庫名用戶名操作信息返回信息,LogBase日志

25、綜合審計系統(tǒng)介紹,日志采集-網(wǎng)絡行為,HTTP、Mail、MSN、FTP、BT等,LogBase日志綜合審計系統(tǒng)介紹,實時監(jiān)控,LogBase日志綜合審計系統(tǒng)介紹,關(guān)鍵日志告警,支持短信、郵件方式告警,LogBase日志綜合審計系統(tǒng)介紹,安全事件規(guī)則庫,LogBase日志綜合審計系統(tǒng)介紹,日志檢索功能,緩存日志檢索<5秒；支持不限次數(shù)的組合條件查詢；支持查詢結(jié)果導出,LogBase日志綜合審計系統(tǒng)介紹,安全審計報表,內(nèi)置豐富報

26、表支持自定義報表支持二次開發(fā),LogBase日志綜合審計系統(tǒng)介紹,政府---抓住國家大力發(fā)展電子政務的契機，緊跟國務院發(fā)布的十二金工程及后來的金土（國土資源部）、金安（安監(jiān)總局）等工程單位網(wǎng)絡安全建設與升級 十二金工程：辦公業(yè)務資源系統(tǒng)、金關(guān)、金稅和金融監(jiān)管（含金卡）、宏觀經(jīng)濟管理、金財、金盾、金審、社會保障、金農(nóng)、金水、金質(zhì)金融---重點關(guān)注銀行、保險行業(yè) 人民銀行系統(tǒng)總行、省、市、縣四級網(wǎng)絡中：內(nèi)聯(lián)網(wǎng)互聯(lián)、外聯(lián)網(wǎng)互聯(lián)

27、、網(wǎng)間支付、外匯結(jié)算、網(wǎng)間互聯(lián)、數(shù)據(jù)災備中心等網(wǎng)絡安全建設與升級項目 商業(yè)銀行總行、省、市（、縣）三（四）級網(wǎng)絡中：內(nèi)網(wǎng)互聯(lián)、外網(wǎng)互聯(lián)、網(wǎng)間支付、外匯結(jié)算等網(wǎng)絡安全建設與升級項目 保險行業(yè)總公司、省、市三級網(wǎng)絡中數(shù)據(jù)大集中、數(shù)據(jù)省分等網(wǎng)絡安全建設與升級項目電信---IDC機房服務器保護、支撐網(wǎng)安全建設與升級企業(yè)---防止病毒從網(wǎng)絡傳入內(nèi)網(wǎng)能源---石油、石化、電力、煤礦等,LogBase日志綜合審計系統(tǒng)目標用戶群,政府—抓

28、住國家大力發(fā)展電子政務的契機（日志，數(shù)據(jù)庫審計） 電子政務的內(nèi)網(wǎng)和專網(wǎng)上存儲著許多重要或敏感的數(shù)據(jù)，運行著重要的應用，電子政務網(wǎng)的特殊運行環(huán)境，要求它既要保證高強度的安全，又要通過互聯(lián)網(wǎng)與民眾方便地交換信息，信息安全審計在電子政務建設中的廣泛應用是必然的 。公安、保密局—等級保護（二級及以上需要審計） （日志，數(shù)據(jù)庫審計）公安是最大的客戶—印章系統(tǒng)、派出所身份證制作系統(tǒng)、移動警務系統(tǒng)、視頻監(jiān)控系統(tǒng)、車檢所系統(tǒng)、GPS定位系統(tǒng)、內(nèi)