日志綜合審計(jì)系統(tǒng)v

1、思福迪產(chǎn)品介紹,思福迪信息技術(shù)有限公司,LogBase日志綜合審計(jì)系統(tǒng),公司概況,思福迪公司（SAFETYBASE INFORMATION TECHNOLOGY CO.,LTD）是國內(nèi)信息安全審計(jì)與IT內(nèi)控管理的領(lǐng)先廠商，成立于2005年2月，總部和研發(fā)中心設(shè)立在杭州，在北京、上海、武漢、福建等地設(shè)有分支機(jī)構(gòu)。公司理念：安全創(chuàng)造價(jià)值資質(zhì)榮譽(yù)：ISCCC信息安全服務(wù)資質(zhì)二級認(rèn)證國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心省級應(yīng)急服務(wù)支

2、撐單位全國安全防范報(bào)警系統(tǒng)標(biāo)準(zhǔn)化技術(shù)委員會(huì)通訊委員單位國家信息安全服務(wù)一級資質(zhì) 軍用信息安全產(chǎn)品認(rèn)證資質(zhì),公司業(yè)務(wù),安全產(chǎn)品,安全服務(wù),典型客戶,主題,什么是信息安全審計(jì)？為什么需要信息安全審計(jì)？LogBase日志綜合審計(jì)可以為用戶解決什么問題？LogBase日志綜合審計(jì)系統(tǒng)介紹LogBase日志綜合審計(jì)系統(tǒng)目標(biāo)用戶群LogBase日志綜合審計(jì)系統(tǒng)產(chǎn)品選型,信息安全審計(jì)是評判一個(gè)信息系統(tǒng)是否真正安全的重要標(biāo)準(zhǔn)之一。通過安

3、全審計(jì)收集、分析、評估安全信息、掌握安全狀態(tài)，制定安全策略，確保整個(gè)安全體系的完備性、合理性和適用性，才能將系統(tǒng)調(diào)整到“最安全”和“最低風(fēng)險(xiǎn)”的狀態(tài)。安全審計(jì)已成為企業(yè)內(nèi)控、信息系統(tǒng)安全風(fēng)險(xiǎn)控制等不可或缺的關(guān)鍵手段，也是威懾、打擊內(nèi)部計(jì)算機(jī)犯罪的重要手段。,什么是信息安全審計(jì)？,在國際通用的CC準(zhǔn)則（即ISO/IEC15408-2:1999《信息技術(shù)安全性評估準(zhǔn)則》）中對信息系統(tǒng)安全審計(jì)（ISSA，Information System

4、Security Audit）給出了明確定義：信息系統(tǒng)安全審計(jì)主要指對與安全有關(guān)的活動(dòng)的相關(guān)信息進(jìn)行識別、記錄、存儲(chǔ)和分析；審計(jì)記錄的結(jié)果用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動(dòng)，誰（哪個(gè)用戶）對這個(gè)活動(dòng)負(fù)責(zé)；主要功能包括：安全審計(jì)自動(dòng)響應(yīng)、安全審計(jì)數(shù)據(jù)生成、安全審計(jì)分析、安全審計(jì)瀏覽、安全審計(jì)事件選擇、安全審計(jì)事件存儲(chǔ)等。,什么是信息安全審計(jì)？,通俗來講，信息安全審計(jì)就是信息網(wǎng)絡(luò)中的“監(jiān)控?cái)z像頭”，通過運(yùn)用各種技術(shù)手段，洞察網(wǎng)絡(luò)信息系

5、統(tǒng)中的活動(dòng)，全面監(jiān)測信息系統(tǒng)中的各種會(huì)話和事件，記錄分析各種網(wǎng)絡(luò)可疑行為、違規(guī)操作、敏感信息，幫助定位安全事件源頭和追查取證，防范和發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)犯罪活動(dòng)，為信息系統(tǒng)安全策略制定、風(fēng)險(xiǎn)內(nèi)控提供有力的數(shù)據(jù)支撐。,什么是信息安全審計(jì)？,主題,什么是信息安全審計(jì)？為什么需要信息安全審計(jì)？LogBase日志綜合審計(jì)可以為用戶解決什么問題？LogBase日志綜合審計(jì)系統(tǒng)介紹LogBase日志綜合審計(jì)系統(tǒng)目標(biāo)用戶群LogBase日志綜合審

6、計(jì)系統(tǒng)產(chǎn)品選型,為什么需要信息安全審計(jì)？,《信息系統(tǒng)安全等級化保護(hù)基本要求》二級以上,《ISO27001:2005 》4.3.3小節(jié)、 《ISO17799:2005 》10.10小節(jié),《商業(yè)銀行內(nèi)部控制指引》第一百二十六條,《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》第四十六條,《證券公司內(nèi)部控制指引》第一百一十七條,《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》第八條,《薩班斯（SOX）法案》第404款,國家和行業(yè)法律法規(guī)都有安全審計(jì)的要求！,《企業(yè)內(nèi)部控

7、制基本規(guī)范》,10,為什么需要信息安全審計(jì)？,全國人大常委會(huì)在今年2月28日通過了刑法修正案(七)的表決，并且從頒布之日起實(shí)施。刑法修正案(七)第二百五十三條規(guī)定：國家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取、收買或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款

8、的規(guī)定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各相應(yīng)條款的規(guī)定處罰。,為什么需要信息安全審計(jì)？,為什么需要信息安全審計(jì)？,一旦用戶單位采用的防御體系被突破怎么辦？至少我們必須知道系統(tǒng)是怎樣遭到攻擊的，怎么才能恢復(fù)系統(tǒng)，此外我們還要知道系統(tǒng)存在什么漏洞，如何能使系統(tǒng)在受到攻擊進(jìn)有所察覺，如何獲取攻擊者留下的證據(jù)？用戶各系統(tǒng)設(shè)備，應(yīng)用系統(tǒng)運(yùn)行是否正常呢？發(fā)生安全事件時(shí)，有足夠的證據(jù)提供分

9、析么？能準(zhǔn)確定位安全事件責(zé)任么？維護(hù)人員是否都按照規(guī)定進(jìn)行操作？如何發(fā)現(xiàn)和告警違規(guī)操作？維護(hù)人員權(quán)限如何細(xì)粒度準(zhǔn)確控制？第三方維護(hù)情況普遍存在，如果監(jiān)督和控制這些人的行為？如風(fēng)險(xiǎn)評估的過程是否可靠？我的信息安全體系建設(shè)是否能夠滿足相關(guān)規(guī)范要求呢？等等問題。,為什么需要信息安全審計(jì)？,怎樣通過集中的日志定位全全問題？怎樣通過快速的日志查詢分析安全問題？怎樣通過全全告警功能及時(shí)監(jiān)控系統(tǒng)故障？怎樣通過自動(dòng)化的日志系統(tǒng)縮減故障

10、排查時(shí)間和業(yè)務(wù)中斷時(shí)間問題？怎樣通過全面的日志收集和安全告警，保障IT系統(tǒng)的業(yè)務(wù)連續(xù)性問題？怎樣能快速準(zhǔn)確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)？怎樣通過交互的操作界面和全面的報(bào)表功能提升IT服務(wù)能力？怎樣通過完整的IT日志解決方案提高企業(yè)IT管理水平？,主題,什么是信息安全審計(jì)？為什么需要信息安全審計(jì)？LogBase日志綜合審計(jì)可以為用戶解決什么問題？LogBase日志綜合審計(jì)系統(tǒng)介紹LogBase日志綜合審計(jì)系統(tǒng)目標(biāo)用戶

11、群LogBase日志綜合審計(jì)系統(tǒng)產(chǎn)品選型,LogBase日志綜合審計(jì)可以為用戶解決什么問題,通過LogBase日志審計(jì)系統(tǒng)建設(shè)，用戶的信息系統(tǒng)能夠落實(shí)《信息系統(tǒng)安全等級化保護(hù)基本要求》、《ISO27001:2005》、《企業(yè)內(nèi)部控制基本規(guī)范》和《薩班斯（SOX）法案》中有關(guān)安全審計(jì)控制點(diǎn)及日志和事件存儲(chǔ)的要求，積累信息系統(tǒng)安全等級保護(hù)工作經(jīng)驗(yàn)。通過LogBase日志審計(jì)系統(tǒng)的建設(shè)，為用戶的信息系統(tǒng)建立全面的風(fēng)險(xiǎn)管理和內(nèi)控體系提供必要

12、的支撐。通過LogBase日志審計(jì)系統(tǒng)建設(shè)，為用戶的信息系統(tǒng)快速定位全網(wǎng)發(fā)生問題。通過LogBase日志審計(jì)系統(tǒng)建設(shè)，為用戶的信息系統(tǒng)快速的日志查詢分析呈現(xiàn)網(wǎng)中發(fā)生安全問題。,LogBase日志綜合審計(jì)可以為用戶解決什么問題,通過LogBase日志審計(jì)系統(tǒng)建設(shè)，日志審計(jì)的安全告警功能及時(shí)監(jiān)控系統(tǒng)為用戶的信息系統(tǒng)發(fā)現(xiàn)設(shè)備故障。通過LogBase日志審計(jì)系統(tǒng)建設(shè)，通過自動(dòng)化的日志審計(jì)系統(tǒng)為用戶的信息系統(tǒng)縮減故障排查時(shí)間和業(yè)務(wù)中斷時(shí)間。

13、通過LogBase日志審計(jì)系統(tǒng)建設(shè)，通過全面的日志收集和安全告警，為用戶的信息系統(tǒng)保障IT系統(tǒng)的業(yè)務(wù)連續(xù)性問題。通過LogBase日志審計(jì)系統(tǒng)建設(shè)，為用戶的信息系統(tǒng)能快速準(zhǔn)確地為安全調(diào)查和司法取證提供有力數(shù)據(jù)證據(jù)。,LogBase日志綜合審計(jì)可以為用戶解決什么問題,通過LogBase日志審計(jì)系統(tǒng)的建設(shè)，用戶的信息系統(tǒng)能夠進(jìn)一步完善信息安全保障體系，改變針對事中及事后的安全防護(hù)設(shè)施建設(shè)較弱的現(xiàn)狀，為落實(shí)各項(xiàng)監(jiān)管機(jī)構(gòu)及內(nèi)部檢查提供技術(shù)支

14、撐手段，不斷完善信息安全管理辦法，提高信息安全管理水平。通過LogBase日志審計(jì)系統(tǒng)，提升用戶的信息系統(tǒng)日常安全運(yùn)維的水平，實(shí)現(xiàn)信息系統(tǒng)IT計(jì)算環(huán)境日志信息的集中管理，全面掌握IT計(jì)算環(huán)境運(yùn)行過程中出現(xiàn)的隱患，通過安全事件報(bào)警和日志報(bào)表的方式，在運(yùn)維人員有限的條件下，有效地把握運(yùn)維工作的重點(diǎn)，進(jìn)一步增強(qiáng)系統(tǒng)安全運(yùn)維工作的主動(dòng)性，更好地保障系統(tǒng)的正常運(yùn)行。同時(shí)，有效規(guī)避日志信息分散存儲(chǔ)存在的非法刪除風(fēng)險(xiǎn)，確保安全事故處置的取證工作。,

15、主題,什么是信息安全審計(jì)？為什么需要信息安全審計(jì)？LogBase日志綜合審計(jì)可以為用戶解決什么問題？LogBase日志綜合審計(jì)系統(tǒng)介紹LogBase日志綜合審計(jì)系統(tǒng)目標(biāo)用戶群LogBase日志綜合審計(jì)系統(tǒng)產(chǎn)品選型,全面采集硬件設(shè)備、操作系統(tǒng)、應(yīng)用系統(tǒng)日志及自定義文本格式日志等基于海量日志高效檢索引擎提供實(shí)時(shí)日志統(tǒng)分析提供實(shí)時(shí)的各類型日志列表提供全面日志格式的標(biāo)準(zhǔn)化提供日志的實(shí)時(shí)關(guān)聯(lián)分析和告警提供豐富的合規(guī)報(bào)表和自定

16、義報(bào)表,LogBase日志綜合審計(jì)系統(tǒng)介紹,產(chǎn)品特點(diǎn),記錄檢索,,,,,設(shè)備日志審計(jì),數(shù)據(jù)庫審計(jì),應(yīng)用系統(tǒng)審計(jì),上網(wǎng)行審計(jì),日志流量審計(jì),合規(guī)報(bào)警,審計(jì)報(bào)表,實(shí)時(shí)分析,實(shí)時(shí)采集,實(shí)時(shí)存儲(chǔ),,,,,LogBase日志綜合審計(jì)系統(tǒng)介紹,產(chǎn)品功能,LogBase日志綜合審計(jì)系統(tǒng)介紹,日志對象,采集或捕獲 – 日志收集和管理歸一化或理解 – 成熟的日志解釋和翻譯分析或了解– 全面的審計(jì)和合規(guī)性報(bào)告,LogBase為用戶提供專業(yè)的日志審計(jì)流程

17、,LogBase日志綜合審計(jì)系統(tǒng)介紹,問題解決第一步：采集或捕獲(日志管理),功能：從任何平臺(tái)安全可靠地捕獲日志全面支持原始日志收集和保存將日志保存在經(jīng)過壓縮的高效存儲(chǔ)庫中在需要時(shí)可以訪問原始數(shù)據(jù)提供所有原始日志中查找關(guān)鍵數(shù)據(jù)通過報(bào)告證明對日志進(jìn)行了全面收集,成效： 集中的自動(dòng)收集日志可降低成本隨時(shí)應(yīng)對 “審計(jì)”！,實(shí)施時(shí)間：即插即用,LogBase日志綜合審計(jì)系統(tǒng)介紹,問題解決第一步：采集或捕獲,操作系統(tǒng),Window

18、sLinuxAIXSunOSHP-UXBSD,網(wǎng)絡(luò)設(shè)備,路由器交換機(jī)負(fù)載均衡代理設(shè)備…..,安全設(shè)備,防火墻IDS/IPSUTMVPN防毒墻郵件網(wǎng)關(guān)……,數(shù)據(jù)庫訪問,OracleMSSQLInformixSybaseDB2Mysql,上網(wǎng)行為,網(wǎng)頁瀏覽文件傳輸郵件收發(fā)IM聊天BT下載WEB郵件BBS發(fā)帖其他,應(yīng)用系統(tǒng),WEB ServerMail ServerFTP Server

19、中間件系統(tǒng)業(yè)務(wù)系統(tǒng)…..,日志文件采集,網(wǎng)絡(luò)抓包分析采集,日志協(xié)議、專用協(xié)議采集,LogBase日志綜合審計(jì)系統(tǒng),功能：從多種平臺(tái)安全可靠的采集日志支持原始日志的采集和保存日志采集狀態(tài)及趨勢監(jiān)控,應(yīng)用效果：保證審計(jì)記錄的安全性通過狀態(tài)監(jiān)控發(fā)現(xiàn)系統(tǒng)異常有效降低審計(jì)管理成本,LogBase日志綜合審計(jì)系統(tǒng)介紹,問題解決第二步：歸一化（理解）,如何理解各種不同格式的日志文件？如何從日志文件中快速尋找到目標(biāo)人員的做過的動(dòng)作

20、和行為？,LogBase日志綜合審計(jì)系統(tǒng)介紹,AAA,歸一化處理,第三方應(yīng)用,Logbaseslas log,將形式各異的日志統(tǒng)一成Logbase專有日志格式通用字段翻譯轉(zhuǎn)義，降低對審計(jì)員的技術(shù)要求歸一化后更易于閱讀、程序處理,時(shí)間,地址,對象,操作,結(jié)果,等級,信息,問題解決第二步：歸一化（理解）,LogBase日志綜合審計(jì)系統(tǒng)介紹,28,,,,,,問題解決第二步：歸一化（理解）,從翻譯中尋找需要的信息,LogBase日志綜合審

21、計(jì)系統(tǒng)介紹,Who: (哪個(gè)用戶或者應(yīng)用造成了事件)What： (該事件代表了哪種動(dòng)作)When： (事件何時(shí)發(fā)生的)Where： (事件是在哪個(gè)機(jī)器上發(fā)生的)What： (涉及到哪些對象，文件或者數(shù)據(jù)庫)WhereFrom： (事件起源于哪個(gè)機(jī)器?)WhereTo：事件的目標(biāo)是哪個(gè)機(jī)器?),7W的關(guān)系,問題解決第二步：歸一化（理解）,LogBase日志綜合審計(jì)系統(tǒng)介紹,,問題解決第三步：關(guān)聯(lián)分析（了解）,審計(jì)的意義在于監(jiān)督

22、及發(fā)現(xiàn)違規(guī)的用戶行為，特別是特權(quán)用戶的行為?；谌罩緝?nèi)容的關(guān)鍵字過濾，安全事件規(guī)則庫，自定義敏感事件告警；合規(guī)報(bào)表展現(xiàn)。,LogBase日志綜合審計(jì)系統(tǒng)介紹,操作系統(tǒng)日志,支持對象Windows、Linux、AIX、HP-UX、Solaris……,LogBase日志綜合審計(jì)系統(tǒng)介紹,應(yīng)用系統(tǒng)日志,WEB server中間件FTP SERVER、MailServer防病毒軟件自主開發(fā)應(yīng)用系統(tǒng),LogBase日志綜合審計(jì)系統(tǒng)介紹,

23、網(wǎng)絡(luò)及安全設(shè)備,路由器、交換機(jī)、防火墻、VPN、負(fù)載均衡設(shè)備、防毒墻、代理設(shè)備、IDS/IPS等,LogBase日志綜合審計(jì)系統(tǒng)介紹,數(shù)據(jù)庫系統(tǒng)日志,采集對象：OralceDB2MS SQLServerMysqlInformixSybase系統(tǒng)日志（windows、linux、unix）,采集方式旁路鏡像采集網(wǎng)絡(luò)數(shù)據(jù)包安裝軟件探測器,數(shù)據(jù)操作類（如select、insert、delete、update等）結(jié)構(gòu)操作類

24、（如create、drop、alter等）事務(wù)操作類（如Begin Transaction、Commit Transaction、Rollback Transaction等）用戶管理類以及其它輔助類（視圖、索引、過程等操作） 等數(shù)據(jù)庫訪問行為,LogBase日志綜合審計(jì)系統(tǒng)介紹,日志采集—完整記錄日志內(nèi)容,LogBase數(shù)據(jù)庫審計(jì)系統(tǒng)記錄內(nèi)容：日志發(fā)生時(shí)間源、目標(biāo)IP地址數(shù)據(jù)庫名用戶名操作信息返回信息,LogBase日志

25、綜合審計(jì)系統(tǒng)介紹,日志采集-網(wǎng)絡(luò)行為,HTTP、Mail、MSN、FTP、BT等,LogBase日志綜合審計(jì)系統(tǒng)介紹,實(shí)時(shí)監(jiān)控,LogBase日志綜合審計(jì)系統(tǒng)介紹,關(guān)鍵日志告警,支持短信、郵件方式告警,LogBase日志綜合審計(jì)系統(tǒng)介紹,安全事件規(guī)則庫,LogBase日志綜合審計(jì)系統(tǒng)介紹,日志檢索功能,緩存日志檢索<5秒；支持不限次數(shù)的組合條件查詢；支持查詢結(jié)果導(dǎo)出,LogBase日志綜合審計(jì)系統(tǒng)介紹,安全審計(jì)報(bào)表,內(nèi)置豐富報(bào)

26、表支持自定義報(bào)表支持二次開發(fā),LogBase日志綜合審計(jì)系統(tǒng)介紹,政府---抓住國家大力發(fā)展電子政務(wù)的契機(jī)，緊跟國務(wù)院發(fā)布的十二金工程及后來的金土（國土資源部）、金安（安監(jiān)總局）等工程單位網(wǎng)絡(luò)安全建設(shè)與升級 十二金工程：辦公業(yè)務(wù)資源系統(tǒng)、金關(guān)、金稅和金融監(jiān)管（含金卡）、宏觀經(jīng)濟(jì)管理、金財(cái)、金盾、金審、社會(huì)保障、金農(nóng)、金水、金質(zhì)金融---重點(diǎn)關(guān)注銀行、保險(xiǎn)行業(yè) 人民銀行系統(tǒng)總行、省、市、縣四級網(wǎng)絡(luò)中：內(nèi)聯(lián)網(wǎng)互聯(lián)、外聯(lián)網(wǎng)互聯(lián)

27、、網(wǎng)間支付、外匯結(jié)算、網(wǎng)間互聯(lián)、數(shù)據(jù)災(zāi)備中心等網(wǎng)絡(luò)安全建設(shè)與升級項(xiàng)目 商業(yè)銀行總行、省、市（、縣）三（四）級網(wǎng)絡(luò)中：內(nèi)網(wǎng)互聯(lián)、外網(wǎng)互聯(lián)、網(wǎng)間支付、外匯結(jié)算等網(wǎng)絡(luò)安全建設(shè)與升級項(xiàng)目 保險(xiǎn)行業(yè)總公司、省、市三級網(wǎng)絡(luò)中數(shù)據(jù)大集中、數(shù)據(jù)省分等網(wǎng)絡(luò)安全建設(shè)與升級項(xiàng)目電信---IDC機(jī)房服務(wù)器保護(hù)、支撐網(wǎng)安全建設(shè)與升級企業(yè)---防止病毒從網(wǎng)絡(luò)傳入內(nèi)網(wǎng)能源---石油、石化、電力、煤礦等,LogBase日志綜合審計(jì)系統(tǒng)目標(biāo)用戶群,政府—抓

28、住國家大力發(fā)展電子政務(wù)的契機(jī)（日志，數(shù)據(jù)庫審計(jì)） 電子政務(wù)的內(nèi)網(wǎng)和專網(wǎng)上存儲(chǔ)著許多重要或敏感的數(shù)據(jù)，運(yùn)行著重要的應(yīng)用，電子政務(wù)網(wǎng)的特殊運(yùn)行環(huán)境，要求它既要保證高強(qiáng)度的安全，又要通過互聯(lián)網(wǎng)與民眾方便地交換信息，信息安全審計(jì)在電子政務(wù)建設(shè)中的廣泛應(yīng)用是必然的 。公安、保密局—等級保護(hù)（二級及以上需要審計(jì)） （日志，數(shù)據(jù)庫審計(jì)）公安是最大的客戶—印章系統(tǒng)、派出所身份證制作系統(tǒng)、移動(dòng)警務(wù)系統(tǒng)、視頻監(jiān)控系統(tǒng)、車檢所系統(tǒng)、GPS定位系統(tǒng)、內(nèi)