网御星云日志审计系统产品白皮书-V1.0.doc

密级 公开 产品白皮书 网御安全管理系统 日志审计系统 目目 录录 1日志审计的需求与挑战 1 1 1日志审计需求分析 1 1 2日志审计面临的挑战 2 1 3如何应对挑战 2 2产品综述 3 2 1产品简介 3 2 2系统组成 3 2 3系统结构 4 2 4产品功能规格 5 2 5支持审计数据源 7 2 6产品型号规格 8 2 6 1软件型规格 8 2 6 2硬件型规格 9 3典型部署 11 3 1单级部署 11 3 2级联部署 11 4产品特点 12 4 1高性能的日志管理技术架构 12 4 2详尽的日志范式化与日志分类 13 4 3集中化的日志综合审计 14 4 4可视化日志审计 15 4 5丰富灵活的报表报告 16 4 6对用户网络和业务影响最小 16 4 7友好的用户交互体验 16 4 8完善的系统自身安全性保证 17 4 9无缝向安全管理平台扩展 17 5产品功能 19 5 1综合展示 19 5 2资产管理 19 5 3日志采集 19 5 4日志范式化与分类 19 5 5日志过滤与归并 20 5 6日志转发 20 5 7日志采集器管理 20 5 8日志代理 20 5 9日志存储 20 5 10日志实时监视 21 5 11日志统计分析 21 5 12日志查询 21 5 13规则告警 21 5 14报表管理 22 5 15参考知识管理 22 5 16用户管理 22 5 17系统管理 22 6产品价值 23 6 1全生命周期日志管理 23 6 2日常安全运维工作的有力工具 23 6 3遵照等级保护的审计要求 23 6 4契合合规与内控的审计要求 25 1 日志审计的需求与挑战 1 1 日志审计 需求分析 日志 是对 IT 系统在运行过程中产生的事件的记录 通过日志 IT 管理人员可以了 解系统的运行状况 而通过对安全相关的日志的分析 IT 管理者可以检验信息系统安全机 制的有效性 这就是安全日志审计 简称日志审计 而日志的产生 收集 审计分析和存 储的全过程称作日志管理 日志审计需求主要源自于两个方面的驱动力 一方面 从企业和组织自身安全的需要出发 日志审计能够帮助用户获悉信息系统的 安全运行状态 识别针对信息系统的攻击和入侵 以及来自内部的违规和信息泄露 能够 为事后的问题分析和调查取证提供必要的信息 有研究指出 69 的攻击行为实际上都有 日志留存 而根据国际著名的安全研究与教育组织 SANS 发布的 2011 年度日志管理调查 报告 显示 在受访的 747 个大中小规模的组织中 超过 89 的组织都进行了日志管理 而他们进行日志管理的首要原因是监测与跟踪可疑的行为 例如非授权访问 内部信息泄 露 等等 另一方面 从国家法律法规 行业标准和规范的角度出发 日志审计已经成为了满足 合规与内控需求的必备功能 例如 GB T 22239 2008 信息安全技术 信息系统安全等级保护基本要求 对于二级以 上信息系统 在网络安全 主机安全和应用安全等基本要求中明确要求进行安全 审计 而日志审计是符合这些要求的基本手段 互联网安全保护技术措施规定 公安部 82 号令 第八条要求具备 记录 跟 踪网络运行状态 监测 记录用户各种信息 网络安全事件等安全审计功能 商业银行内部控制指引 第一百二十六条指出 商业银行的网络设备 操作系 统 数据库系统 应用程序等均当设置必要的日志 日志应当能够满足各类内部 和外部审计的需要 银行业信息科技风险管理指引 第第二十七条要求银行业应制定相关策略和流 程 管理所有生产系统的日志 以支持有效的审核 安全取证分析和预防欺诈 保险公司信息系统安全管理指引 试行 第四十四条要求 对主机系统进行 审计 妥善管理并及时分析处理审计记录 对重要用户行为 异常操作和重要系 统命令的使用等应进行重点审计 1 2 日志审计面临的挑战 当前客户在进行日志审计的过程中几乎都面临着相似的挑战 这其中最主要的三个挑 战是 日志分散 日志格式不统一 日志量巨大 日志分散日志分散 客户网络中信息系统相关的各种软硬件设备 安全防护设施都会产生日志 并且这些 设备都分散在网络的不同位置 他们各自产生日志 并有各自的控制台进行日志查看 这 对审计人员而言简直就是噩梦 根本没有精力去查看这么多控制台 更不要说分析其中的 日志信息了 日志格式不统一日志格式不统一 每种设备类型的日志格式都不相同 各有各的表达 即时是表达同一件事情 也都有 各自的表达方式 例如同样的登录失败信息 防火墙中的描述和主机操作系统中的描述格 式就可能根本不相同 这迫使审计人员去了解每种设备类型的格式 日志量巨大日志量巨大 很多设备 尤其是网络安全设备产生的日志量十分巨大 单个防火墙每秒就可能产生 上千条的日志信息 而全网的设备每天产生的日志量就更加可观 可能数以百 GB 计 审 计员去查看这么多的日志根本不可能 即便是将它们存起来都是个问题 1 3 如何应对挑战 客户需要日志审计 更需要应对所面临的挑战 客户需要从组织策略 处理流程和技 术体系等多方面进行统筹考量 客户应该借助一个日志审计平台来为其审计工作提供技术 支撑 这个日志审计平台应该能够实现对客户分散的海量日志进行收集 对这些日志格式 进行规范化统一描述 实现对日志的集中化存储 分析 审计和展示 并符合相关法规标 准的符合性要求 2 产品综述 2 1 产品简介 网御星云推出的网御安全管理系统 V3 0 日志审计系统 以下简称 LEADSEC RS 是立 足于公司十年信息安全积累的基础之上 基于客户需求的日志审计平台及日志管理解决方 案 日志审计系统能够通过主被动结合的手段 实时不间断地采集用户网络中各种不同厂 商的安全设备 网络设备 主机 操作系统 以及各种应用系统产生的海量日志信息 并 将这些信息汇集到审计中心 进行集中化存储 备份 查询 审计 告警 响应 并出具 丰富的报表报告 获悉全网的整体安全运行态势 实现全生命周期的日志管理 LEADSEC RS 融合多种信息安全技术和管理理念 充分实现组织 管理 技术三个体系 的合理调配 帮助用户进行基于日志的综合审计和日志全生命周期管理 从而最大化的保 障网络 主机和应用系统安全机制的有效性 LEADSEC RS 具有广泛的应用范围和客户群 在政府 电信 金融 电力 军工等行业 均有成功的应用 2 2 系统组成 LEADSEC RS 包括审计中心 日志采集器和日志代理三个部件 日志采集器和日志代理 实现对审计数据源 主机 服务器类 网络类和安全类等 的日志信息统一收集 然后上传 给审计中心进行集中化存储 分析和审计 同时 审计中心自身也可以直接收集审计数据 源的日志信息 审计中心审计中心 审计中心 即 LEADSEC RS 的管理中心 是 LEADSEC RS 的核心部件 实现了对日志的 集中化存储 备份 查询 审计 告警 响应 以及出具报表报告 用户的审计员通过浏 览器即可登陆审计中心 进行各种审计操作 审计中心内置日志采集功能 可以直接收集审计数据源的日志信息 审计中心也可以 汇聚来自日志采集器和日志代理的日志信息 日志采集器日志采集器 日志采集器可以安装并独立运行在一台服务器上 实现对异构审计数据源的日志采集 功能同审计中心的日志采集模块 用以辅助审计中心解决特定日志采集的问题 并可以实 现分布式日志采集能力 日志采集器收集的日志可以转发给审计中心 日志代理日志代理 日志代理用于安装并运行在审计对象上 实现对审计对象的数据源采集和转发 目前 日志代理支持 Windows 操作系统 主要用于采集 Windows 操作系统及其服务与应用的日 志 日志代理收集的日志可以转发给日志采集器 或者直接转发给审计中心 2 3 系统结构 LEADSEC RS 采用组件式平台架构 实现了分层的逻辑架构 包括 审计数据源层 日 志采集层 业务层和应用层 如下图所示 审计数据源层审计数据源层 审计对象层是指审计数据源对象 包括各类型的网络设备 安全设备 数据库 应用 系统 主机等能产生相关日志的设备和信息系统 日志采集层日志采集层 该层利用 SYSLOG SNMP ODBC OPSEC 文件等多种协议方式 从审计对象获 取日志 并对原始日志信息进行范式化 分类 过滤 归并 统一推送到业务层进行分析 存储 业务层业务层 利用关联分析引擎对采集的日志进行分析 触发规则 生成告警记录 通过高性能海 量数据存储代理将日志进行快速存储 通过分布式查询引擎实现日志查询 通过日志聚合 引擎实现日志抽取 应用层应用层 面向系统的使用者 提供一个图形化的显示界面 展现安全审计系统的各功能模块 提供综合展示 资产管理 日志审计 规则管理 告警管理 报表管理 权限管理 系统 管理 知识维护等功能 2 4 产品功能规格 功能项功能项功能描述功能描述 日志采集日志采集系统支持对包括网络设备 安全设备与系统 主机 中间件 数 据库 存储 应用和服务在内的多种审计数据源的日志采集 系 统支持以 Syslog SNMP Trap FTP OPSEC LEA NETBIOS ODBC WMI Win RPC Shell 脚本 VIP Web Service 等协议进行日志采集 日志范式化日志范式化系统自动对所有采集到的日志进行范式化处理 对不同日志格式 进行统一描述 并进行日志分类 增加日志类型 日志过滤日志过滤系统可以对采集到的日志进行基于规则的过滤处理 去掉无意义 的日志 消除日志噪声 日志归并日志归并系统可以对采集到的日志进行基于规则的归并处理 将相同的日 志内容进行合并 并记录事件条数 提升日志质量 日志采集器日志采集器系统提供可另外部署的日志采集器 每个采集器都能对日志进行 采集 范式化 过滤和归并 实现分布式日志采集 日志采集器 统一接入审计中心 实现集中化日志审计 日志代理日志代理系统提供可另外部署的日志代理 安装并运行在审计对象上 实 现对审计对象的日志采集和转发 日志代理统一接入审计中心或 者日志采集器 审计数据源审计数据源系统能够对审计数据源以资产的形式进行统一的维护 能够以列 管理管理表或者拓扑的方式查看资产清单和详细信息 可以查看每个审计 数据源的日志和告警信息 日志实时监日志实时监 视视 系统提供了实时审计视图 审计员可以根据内置或者自定义的实 时监视策略 从日志的任意维度实时观测安全事件的走向 并可 以进行事件调查 钻取 并进行事件行为分析和来源定位 日志统计分日志统计分 析析 系统提供了统计视图 审计员可以根据内置或者自定义的统计策 略 从日志的多个维度实时进行安全事件统计分析 并以柱图 饼图 堆积图等形式进行可视化的展示 日志查询日志查询用户可自定义查询策略 基于日志时间 名称 地址 端口 类 型等各种条件进行组合查询 并可导出查询结果 日志关联分日志关联分 析析 系统具备日志关联分析功能 系统提供了可视化的规则编辑器 用户可以定义基于逻辑表达式的关联规则 所有日志字段都可参 与关联 规则支持统计计数功能 可以对达到一定统计数量的日 志进行告警 日志存储日志存储系统将收集来的日志统一安全存储和备份 系统支持数据的自动 或手动备份 备份数据可手工恢复 用作日志回查 综合展示综合展示系统的综合展示功能为不用层级的用户提供了多视角 多层次的 审计仪表板 用户可以自定义仪表板 告警管理告警管理系统支持事件属性重定义 弹出提示框 发送邮件 发送 SNMP Trap 发送短信 执行命令脚本 设备联动 发送飞鸽传书 发 送 MSN 发送 Syslog 等告警方式 告警信息可查询 可导入导出 报表管理报表管理系统内置了丰富的报表报告模板 包括统计报表 明细报表 综 合审计报告 审计人员可以根据需要生成不同的报表 报表可以 调度生成 系统内置报表编辑器 用户可以自定义报表 用户管理用户管理系统采用基于角色的权限管理机制 提供三权分立设计 内置系 统管理员 用户管理员和审计管理员 系统管理系统管理系统具有丰富的自身配置管理功能 包括自身安全配置 系统运 行参数配置 审计资源配置等 系统具有系统自身运行监控与告 警 系统日志记录等功能 2 5 支持审计数据源 目前 LEADSEC RS 支持的部分厂商设备类型如下表所示 设备类型设备类型厂商或产品厂商或产品 交换机交换机 Cisco Extreme Juniper 博科 华为 H3C 神州数码 锐 捷 路由器路由器Cisco Extreme Juniper 华为 H3C 神州数码 锐捷 防火墙防火墙 UTM USG 网御星云 Cisco Juniper Netscreen 飞塔 Checkpoint Nokia Bluecoat 天融信 东软 方正科技 网 御神州 亿阳信通 中科网威 中网 阿姆瑞特 卫士通 H3C 迪普 山石 VPN 网御星云 天融信 Array Juniper 网闸网闸网御星云 国保金泰 鸿瑞 南瑞 IDS IPS IDP 网御星云 Cisco McAfee IBM Snort Tipping Point 绿盟 东软 H3C 天融信 安氏 三零盛安 网御神州 理工先河 防病毒防病毒 Symantec TrendMicro McAfee 瑞星 金山 江民 冠群金 辰 Anti DDoS网御星云 绿盟 WAF 启明星辰 Imperva 绿盟 中创 InfoGuard 负载均衡设备负载均衡设备F5 信安世纪 安全审计系统安全审计系统 启明星辰 复旦光华 汉邦 格尔 中软 三零盛安 操作系统操作系统 IBM AIX HP UX Microsoft Windows SUN Solaris Linux 及其变种 数据库数据库 Oracle SQL Server DB2 MySQL Informix Sybase 国产 数据库 中间件中间件Weblogic WebShpere JBoss Apache Tomcat Domino 网管系统网管系统HP OpenView NNM IBM NetCool CiscoWorks 存储系统存储系统HP IBM EMC VERITA 业务系统业务系统各种用户自有的业务系统 需要定制 其它其它 任意 Syslog 日志源 SNMP Trap 日志源 对于目前暂不支持的审计数据源 LEADSEC RS 还提供了方便灵活的扩展机制 只要 获得审计数据源的日志样本以及通讯协议方式 编写一份 XML 格式日志解析文件 导入 系统 即可获得对该审计数据源的日志采集能力 无需编码 2 6 产品型号规格 LEADSEC RS 从产品形态上分为软件型和硬件型 2 6 1软件型 规格 LEADSEC RS 软件型是一套软件包 可以安装在独立的服务器上运行 系统所需运行环 境如下 平台支持的操作系统系统需求 Windows Windows Server 2003 Windows XP Professional Windows 7 Windows 2008 Server 最低 Intel 酷睿双核 CPU 推荐使 用 Intel 至强 4 核以上 CPU 至少 2GB 内存 推荐 4GB 以上 内存 500GB 以上磁盘空间 Linux Redhat Enterprise Linux4 Redhat Enterprise Linux5 CentOS 最低 Intel 酷睿双核 CPU 推荐使 用 Intel 至强 4 核以上 CPU 至少 2GB 内存 推荐 4GB 以上 内存 500GB 以上磁盘空间 在双 Intel 至强 4 核 CPU 24GB 内存下 LEADSEC RS 的日志审计性能可达到平均 9000EPS1 2 6 2硬件型规格 LEADSEC RS 硬件型有两种型号 分别是 LEADSEC RS500 和 LEADSEC RS1000 型号型号规格指标规格指标 LEADSEC RSLEADSEC RS500 2U 标准机架式 专用硬件平台和安全操作系统 日志审计性能可达平均 3000EPS 约合每天 120GB2 5 个千兆电口 1 个百兆电口 支持多端口采集 1 个 Console 口 有效存储容量 2TB 1000 2U 标准机架式 带冗余电源 专用千兆硬件平台和安全 操作系统 日志审计性能可达平均 6000EPS 约合每天 240GB 4 个千兆电口 支持多端口采集 可扩展 4 个千兆采集口 电口 光口 1 个 Console 口 标配采用 Raid5 有效存储容量 3TB 1 平均 EPS 数值是指每日平均的 EPS Event Per Second 每秒事件数 后同 2 该数值假设每条日志占用的综合存储空间为 0 5KB 综合存储空间是指日志范式化后占用的存储空间字 节数 原始日志占用存储空间字节数 为日志建立索引所需的存储空间字节数 以及日志统计表存储空间 字节数的总和 后同 3 典型部署 3 1 单级部署 如下图所示 显示了系统的一个单级部署场景 日日志志审审计计系系统统 部部署署示示意意图图 图图例例 Syslog Agent File SNMP 加加密密数数据据 Syslog 应用类 Syslog Agent 主机类 Agent Syslog 网网络络类类 File File Agent Syslog 数据库 SNMP 日日志志采采集集器器 Syslog 应用类 Syslog Agent 主机类 Agent Syslog 网网络络类类 File File Agent Syslog 数据库 SNMP 日日志志采采集集器器 T TS SO OC C S SA A日日志志审审计计系系统统 应用类 主机类 Syslog 网网络络类类 SNMP Syslog 在这个单级部署场景中 审计中心可以直接采集审计数据源的日志 也可以通过外挂 的日志采集器采集审计数据源的日志 3 2 级联部署 如下图所示 系统支持多级级联部署 日志采集器 日志采集器 日志采集器 日志采集器 日志审计系统 日志审计系统日志审计系统 日志审计系统日志审计系统 日志采集器 总部日志审计系统 分部日志审计系统 分支机构日志 采集器 本部日志采集器 本部日志采集器 总部日志采集器 总部日志采集器 4 产品特点 4 1 高性能的日志 管理技术 架构 对了应对海量日志管理带来的挑战 LEADSEC RS 采用了国内领先的高性能日志采集 分析与存储架构 从产品技术架构的层面 进行了系统性的设计 真正使得 LEADSEC RS 产 品成为一款能够支撑持续海量日志管理的系统 LEADSEC RS 采取了多种高性能设计使得系统在日志采集 分析和存储三个方面获得了 本质的性能提升 如下表所示 关键点关键点采用的先进技术采用的先进技术达到的技术效果达到的技术效果用户价值和作用用户价值和作用 日志采集日志采集异步通讯 高速缓能够对海量异构日能够采集网络中大 存 日志范式化流 水线技术 志进行持续不断地 高速采集 规模审计对象的日 志 日志存储日志存储 高速日志存储 分 布式数据存储技术 TB 级日志存储存储长时间的日志 信息 满足合规的 要求 实时分 析 内存实时计算 复 杂事件处理 Complex Event Process 简称 CEP 技术 实时地对日志进行 监视和关联分析 及时发现安全异常 快速关联出安全隐 患 查询分 析 全文检索 分布式 查询技术 能够快速的从 TB 级的日志信息中返 回查询结果 快速从海量日志中 进行定点查询 日志日志 分析分析 统计分 析 数据抽取 数据摘 要等技术 能够实现对 TB 级 日志的快速报表生 成 快速生成各类安全 日报 周报 月报 等 4 2 详尽的日志范式化 与日志分类 LEADSEC RS 对收集的各种日志进行范式化处理 将各种不同表达方式的日志转换成统 一的描述形式 审计人员不必再去熟悉不同厂商不同的日志信息 从而大大提升审计工作 效率 系统提供的范式化字段包括日志接收时间 日志产生时间 日志持续时间 用户名 称 源地址 源 MAC 地址 源端口 操作 目的地址 目的 MAC 地址 目的端口 日 志的事件名称 摘要 等级 原始等级 原始类型 网络协议 网络应用协议 设备地址 设备名称 设备类型等 数量超过 50 个 使范式化后的日志详尽而易读 更能满足复杂的 多维度统计分析和审计要求 网御星云的安全技术人员还对每种日志进行了手工分类和分 析工作 加入了日志类型字段 丰富了日志所蕴含的信息量 让枯燥的日志信息变的更可 理解 与此同时 LEADSEC RS 将原始日志都原封不同的保存了下来 以备调查取证之用 审 计员也可以直接对原始日志进行模糊查询 4 3 集中化的日志 综合审计 LEADSEC RS提供了强大的日志综合审计功能 为不用层级的用户提供了多视角 多层次的审计视图 系统首先为用户提供了全局监视仪表板 可以在一个屏幕中看到不同设备类型 不同 安全区域的实时日志流曲线 统计图 以及网络整体运行态势 待处理告警信息等 用户 可以自定义仪表板 按需设计仪表板显示的内容和布局 可以为不同角色的用户建立不同 维度的仪表板 系统提供了实时审计视图 审计员可以根据内置或者自定义的实时监视策略 从日志 的任意维度实时观测安全事件的走向 并可以进行事件调查 钻取 并进行事件行为分析 和来源定位 审计员可以实时监视防火墙 IDS 防病毒 网络设备 主机和应用的高危安 全事件 可以实时监视各个部门 各个安全域 各个业务系统的重点安全事件 可以实时 监视全网的违规登录事件 配置变更事件 针对关键服务器的入侵攻击事件 等等 系统提供了统计视图 审计员可以根据内置或者自定义的统计策略 从日志的多个维 度实时进行安全事件统计分析 并以柱图 饼图 堆积图等形式进行可视化的展示 审计 员可以查看一段时间内的主机流量排行 主机登录失败次数排行 活跃病毒排行 网络设 备故障排行 最多访问用户排行 等等 系统提供了日志查询功能 用户可以制定查询策略 针对归一化后的日志或者原始日 志进行综合条件查询和模糊查询 系统提供了规则关联 统计关联等分析方法 通过建立科学的分析模型 协助用户对 日志的分析深度与安全事件的识别准确度得到进一步的提升 4 4 可视化日志审计 LEADSEC RS 为用户提供了丰富的可视化审计视图 充分提升审计效率 系统可以为用户展示一幅审计数据源的拓扑图 反映审计数据源的网络拓扑关系 并 且在拓扑节点上标注出每个审计数据源的日志量和告警事件量 用户点击拓扑节点可以查 询日志和告警信息详情 针对安全日志 用户可以对其源目的 IP 地址进行追踪 并在世界地图上标注出来 审计员也可以对一段时间内的日志进行行为分析 通过生成一幅行为分析图形象化地 展示海量日志之间的关联关系 从宏观的角度来协助定位安全问题 4 5 丰富灵活的 报表报告 出具报表报告是安全审计系统的重要用途 LEADSEC RS 内置了丰富的报表模板 包括 统计报表 明细报表 综合审计报告 审计人员可以根据需要生成不同的报表 系统内置 报表生成调度器 可以定时自动生成日报 周报 月报 季报 年报 并支持以邮件等方 式自动投递 支持以 PDF Excel Word 等格式导出 支持打印 系统还内置了一套报表编辑器 用户可以自行设计报表 包括报表的页面版式 统计 内容 显示风格等 4 6 对用户网络和业务影响最小 LEADSEC RS 在实现对用户网络中的 IT 设施进行集中日志审计的同时 采取多种技术 手段 力求对用户网络和业务的影响最小化 审计数据源影响性 分析 以远程日志采集为主 基本不必安装在审计数据源上 日志代理 主要采取被动采集技术 不会对审计数据源发起主动 连接 不影响审计数据源的现有安全机制 网络影响性分析 系统部署无需修改网络拓扑 支持多端口日志采集和分布式日志采集器部署 可以 就近分别采集多个网段的日志 减少日志流量的汇聚 日志采集器在上传日志的时候支持数据压缩 降低网 络带宽占用 支持定时上传 可以避开网络流量繁忙 期 4 7 友好的用户交互体验 LEADSEC RS 的用户界面采用了 WEB2 0 风格 具备友好的用户交互体验 系统采用多 窗口操作模式 各个功能界面之间可以快速切换 无需重复加载 界面支持换肤 每个用 户都可以选择自己喜欢的界面皮肤 4 8 完善的系统自身安全性保证 LEADSEC RS 具备完善的自身安全性设计 保证系统自身的安全等级符合用户的整体安 全策略 系统的自身安全性保证主要体现在三个方面 如下表所示 日志采集 日志采集器与审计中心之间支持加密通讯 日志采集器支持存储转发 断点续传 日志存储 存储原始日志 日志加密混淆存储 防止非法访问和篡改 单条日志不能修改 删除 支持日志定期备份 系统访问 浏览器访问支持 HTTPS 协议 私密性 完整性 采用基于角色的访问控制机制 用户身份三权分立 内置系统管理员 审计管理员 用户管理 员 支持双因素认证 支持 Radius LDAP 集成 4 9 无缝向 安全管理平台 扩展 日志审计系统主要功能是收集异构的安全日志 进行存储 分析 告警和报告 作为 长期发展规划 实现安全管理平台是最终目标 安全管理平台不仅包括安全日志 事件 管理 还包括资产 业务管理 应用性能管理 安全风险管理 安全运维管理 工单流程 知识库 和安全态势感知等 LEADSEC RS 安全 管理平台采用与 LEADSEC RS 完全相同的技术框架 因此 安全管理平台建设可以在现有日 志审计系统基础架构上 通过热插拔的方式实现安全管理的其他功能模块 实现向安全管 理平台的无缝扩展 5 产品功能 5 1 综合展示 用户登录即可进入综合展示首页 通过首页 能够快速的导航到各个功能 用户能够 通过仪表板从不同的方面对日志进行审计 可以在一个屏幕中看到不同设备类型 不同安 全区域的实时日志流曲线 统计图 以及网络整体运行态势 待处理告警信息等 用户可 以自定义仪表板 按需设计仪表板显示的内容和布局 可以为不同角色的用户建立不同维 度的仪表板 用户可以对展示界面进行换肤 5 2 资产管理 系统提供资产管理功能 可以对网络中的审计数据源资产进行管理 除基本资产信息 外 系统提供灵活的资产分类功能 实现对资产的分类管理 系统提供基于拓扑的资产视 图 可以按图形化拓扑模式显示资产 并可编辑资产之间的网络连接关系 通过资产视图 可直接查看该资产的日志及告警信息 系统能够根据收到的日志的设备地址自动发现新的 资产 5 3 日志采集 系统能够采集各种不同厂商的安全设备 网络设备 主机 操作系统 以及各种应用 系统产生的日志 通过 Syslog SNMP Trap FTP OPSEC LEA NETBIOS ODBC WMI Shell 脚本 VIP Web Service 等协议进行采集 用户仅 需安装部署审计中心 无需另装采集器 即可实现对日志的采集工作 系统也支持通过日 志采集器和日志代理的方式采集日志 完全取决于用户的实际需要 5 4 日志范式化 与分类 对于所有采集上来的日志 系统自动进行范式化处理 将各种厂商各种类型的日志格 式转换成系统一的格式 系统提供的范式化字段包括日志接收时间 日志产生时间 日志 持续时间 用户名称 源地址 源 MAC 地址 源端口 操作 目的地址 目的 MAC 地 址 目的端口 日志的事件名称 摘要 等级 原始等级 原始类型 网络协议 网络应 用协议 设备地址 设备名称 设备类型等 在进行日志范式化的时候 系统对日志进行了信息补齐 加入了日志类型字段 对日 志进行自动分类 为后续日志审计提供了便利条件 与此同时 系统将原始日志都原封不动保存了下来 以备调查取证之用 5 5 日志过滤 与归并 系统可以对采集到的日志进行基于策略的过滤和归并 提升日志审计的效率 通过过 滤操作 可以剔除掉无用的日志信息 降低日志噪音 通过归并操作 可以把短时间内满 足一定条件的多条日志合并成一条日志 减少日志的存储量 日志过滤和合并策略可以用 户自定义 系统默认不进行过滤和合并 5 6 日志转发 审计中心或者日志采集器都具备日志转发功能 可以将收集到的日志转发给指定的审 计中心 或者第三方系统 通过日志转发功能 可以实现日志采集器的分布式部署以及系 统级联部署 日志支持无条件转发 也支持基于过滤规则的转发 系统支持加密压缩转发 支持定 时转发 支持断点续传 5 7 日志采集器 管理 系统能够对所有外接的日志采集器进行统一管理 用户可以对日志采集器进行登记 注销 进行日志采集参数的配置 设定范式化 过滤 归并 转发的参数 5 8 日志代理 如果审计中心无法通过远程方式主动或者被动地采集日志 那么系统提供了一个日志 代理软件包 用户可以在被审计设备 系统上安装日志代理 采集到日志后 发送给日志审 计系统 5 9 日志存储 系统将收集来的日志统一安全存储和备份 系统支持 TB 级的海量数据加密存储 满 足合规与内控条款的相关需求 系统支持数据的自动或手动备份 备份数据可手工恢复 用作日志回查 5 10 日志实时监视 系统提供了实时审计视图 审计员可以根据内置或者自定义的实时监视策略 从日志 的任意维度实时观测安全事件的走向 并可以进行事件调查 钻取 并进行事件行为分析 和来源定位 审计员可以实时监视防火墙 IDS 防病毒 网络设备 主机和应用的高危安 全事件 可以实时监视各个部门 各个安全域 各个业务系统的重点安全事件 可以实时 监视全网的违规登录事件 配置变更事件 针对关键服务器的入侵攻击事件 等等 对于实时监视中的日志 用户可以进行追踪调查 进行源目标 IP 地址世界地图定位 并可以以图形化的方式展示日志之间的行为关系 5 11 日志统计分析 系统提供了统计视图 审计员可以根据内置或者自定义的统计策略 从日志的多个维 度实时进行安全事件统计分析 并以柱图 饼图 堆积图等形式进行可视化的展示 审计 员可以查看一段时间内的主机流量排行 主机登录失败次数排行 活跃病毒排行 网络设 备故障排行 最多访问用户排行 等等 5 12 日志查询 系统提供日志的查询功能 便于从海量数据中获取有用的日志信息 用户可自定义查 询策略 基于日志时间 名称 地址 端口 类型等各种条件进行组合查询 并可导出查 询结果 系统还提供快速查询和模糊查询功能 5 13 规则告警 系统具备日志关联分析功能 通过关联分析规则 系统能够对符合关联规则条件的日 志产生告警 系统提供了可视化的规则编辑器 用户可以定义基于逻辑表达式的关联规则 所有日志字段都可参与关联 规则支持统计计数功能 可以对达到一定统计数量的日志进 行告警 告警动作支持事件属性重定义 弹出提示框 发送邮件 发送 SNMP Trap 发送短信 执行命令脚本 设备联动 发送飞鸽传书 发送 MSN 发送 Syslog 等方式 对规则触发的告警 系统提供快捷的处理流程 可记录处理过程和处理结果 告警可 查询 可导入导出 5 14 报表管理 LEADSEC RS 内置了丰富的报表模板 包括统计报表 明细报表 综合审计报告 审计 人员可以根据需要生成不同的报表 系统内置报表生成调度器 可以定时自动生成日报 周报 月报 季报 年报 并支持以邮件等方式自动投递 支持以 PDF Excel Word 等 格式导出 支持打印 系统还内置了一套报表编辑器 用户可以自行设计报表 包括报表的页面版式 统计 内容 显示风格等 5 15 参考知识管理 系统内置日志字典表 记录了主流设备和系统的日志 ID 的原始含义和描述信息 方 便审计人员在进行日志审计的时候进行参考 5 16 用户管理 系统提供三权分立设计 内置系统管理员 用户管理员和审计管理员 系统提供用户集中管理的功能 对用户可以访问的资源进行细致的权限划分 具备安 全可靠的分级及分类用户管理功能 支持用户的身份认证 授权 用户口令修改等功能 不同的操作员具有功能操作权限 5 17 系统管理 系统具有丰富的自身配置管理功能 包括自身安全配置 系统运行参数配置 审计资 源配置等 系统具有系统自身运行监控与告警 系统日志记录等功能 6 产品价值 6 1 全生命周期 日志管理 借助 LEADSEC RS 客户能够实现从日志产生 采集 综合分析与审计 到日志存储 备份整个日志生命周期管理 通过集中化的日志管理系统 协助客户解决网络中日志分散 种类繁多 数量巨大的问题 提升安全运营效率 6 2 日常安全运维工作的有力工具 对于日常安全运维而言 核心的工作内容就是对 IT 网络进行持续监测 确保网络 主 机 应用 重要信息和人员资产的安全 更具体地说 就是要持续监测并识别针对网络 主机 应用 重要信息和人员资产性能故障 非法访问控制 非法或不当操作 恶意代码 攻击入侵 违规与信息泄露行为 借助 LEADSEC RS 客户能够统一收集来自网络中 IT 资产的日志信息 通过分析日志 中的安全事件 识别各类性能故障 非法访问控制 不当操作 恶意代码 攻击入侵 以 及违规与信息泄露等行为 协助客户安全运维人员进行安全监视 审计追踪 调查取证 应急处置 生成各类报表报告 成为客户日常安全运维的有力工具 6 3 遵照等级保护的审计要求 LEADSEC RS 在设计之初就充分考虑的国家制定的信息系统等级保护制度中对于安全审 计的技术要求 系统能够帮助客户更好地遵从等级保护的审计要求 项目项目等级保护第三级安全审计具体要求等级保护第三级安全审计具体要求 a 应对网络系统中的网络设备运行状况 网络流量 用户行为等进行日志记录 b 审计记录应包括 事件的日期和时间 用户 事 件类型 事件是否成功及其他与审计相关的信息 7 1 技术技术 要求要求 7 1 2 网络 安全 7 1 2 3 安 全审计 G3 c 应能够根据记录数据进行分析 并生成审计报表 d 应对审计记录进行保护 避免受到未预期的删除 修改或覆盖等 a 审计范围应覆盖到服务器和重要客户端上的每个 操作系统用户和数据库用户 b 审计内容应包括重要用户行为 系统资源的异常 使用和重要系统命令的使用等系统内重要的安全相 关事件 c 审计记录应包括事件的日期 时间 类型 主体 标识 客体标识和结果等 d 应能够根据记录数据进行分析 并生成审计报表 e 应保护审计进程 避免受到未预期的中断 7 1 3 主机 安全 7 1 3 3 安全审计 G3 f 应保护审计记录 避免受到未预期的删除 修改 或覆盖等 a 应提供覆盖到每个用户的安全审计功能 对应用 系统重要安全事件进行审计 c 审计记录的内容至少应包括事件的日期 时间 发起者信息