BIT8-5网络信息系统安全体系-综合审计系统

1、综合IT系统运维审计解决方案企业审计计要求审计计要求企业审计计要求AMS对对主机系统审审计要求求及满足足用户登录录退出报报告(302条款(a)-(4)-(C)(D)用户登录录失败报报告(302条款(a)-(4)-(C)(D)特定文件件、目录录访问报报告系统开机机/关机报告告系统时间间修改报报告系统日志志修改报报告系统远程程登录报报告系统帐号号管理操操作跟踪踪(302条款(a)-(6)审计策略略变更跟跟踪(302条款(a)-(5)用户认证证成功/失败报告告应用访问问报告(302条款(a)-(5)产品体系系结构产品结构构说明数据接口口层数据接口口层实现现审计数数据的采采集及标标准化，同时还还可以完

2、完成与其其它日志志系统的的日志传传输及结结核。核心业务务层实现数据据的综合合分析和和关联分分析，生生成各种种审计报报表。还还提供日日志的维维护管理理，和用用户的维维护管理理。展示层展示层以以多种报报告报表表的方式式让用户户能够从从多个角角度清楚楚的洞察察系统的的运行情情况，实实现对审审计系统统的配置置管理，实现综综合审计计和报表表展示。综合审计计体系结结构数据库嗅探硬件URTRAMS日志管理理与审计计系统ULTRAMSDB堡垒主机硬件访问控制制流量审计计标准日志采集日志审计计网络嗅探硬件流量审计计集中身份管理系统UltrAMSSyslog/snmpApi/jdbcApi/jdbcsyslog/

3、Jdbc/apijdbc审计 产品第三方审审计产品品api/syslog/snmp产品功能能产品功能能系统统功能日志采集集日志来源源数据标准准化过过滤归归并压压制日志审计计行为审计计关联分析析审计基于用户户实体的的行为审审计实时监控控事件响应应操作阻断断审计报表表系统管理理用户管理理用户角色色权限限管理对象管理理采集调度度管理数据备份份管理系统日志志管理系统分级级管理日志采集集审计计日志来源源应用系统统日志业务系统统应用服务务标准日志志系统日志志文件安全设备备网络设备备网络流量量的日志志网络嗅探探外部系统统日志（4A）集中用户户管理日日志集中认证证日志集中授权权日志访问控制制日志单点登录录系统

4、堡垒主机机日志日志采集集全面面的获取取技术1）面向文文件型收收集器，FilestreamCollector，提供通通用系统统格式模模板库，支持自自定义，配合通通用文件件采集Agent,部署分客客户端安安装和外外置模式式2）面向协协议型收收集器，EventCollector，提供常常见协议议的支持持，如Syslog、SnmpTrap、OpsecLea等，少量量可AMS主机内置置3）网络嗅嗅探器，Network Sensor，通过旁旁路监听听方式，网络协协议还原原获取4）数据库库嗅探器器，DBSensor，通过旁旁路监听听方式，数据库库访问协协议还原原获取5）特殊探探测器，Agent，为特殊殊目的

5、一一般安装装在主机机上的探探测软件件，如针针对UNIX主机操作作、Windows系统Eventlog及其它操操作运行行信息主机系统统审计主机系统统审计主机系统统审计安全设设备网络事件件审计网络行行为网络事件件审计数据库库设备支持持列表分类子类日志内容日志采集方式主机系统Solaris系统日志标准日志采集（syslog） AIX系统日志标准日志采集（syslog）Windows Eventlog日志采集客户端Linux 系统日志标准日志采集（syslog）HP Unix 系统日志标准日志采集（syslog）防火墙Check Point管理日志/告警日志标准日志采集接口（OPSEC LEA）Cis

6、co PIX管理日志/告警日志标准日志采集（syslog）Netscreen管理日志/告警日志标准日志采集（syslog）华为管理日志/告警日志标准日志采集（syslog）入侵检测CA(NIDS)告警日志标准日志采集（syslog）ISS(HIDS)告警日志标准日志采集（syslog）网络设备华为管理日志标准日志采集（syslog）CISCO管理日志标准日志采集（syslog）Juniper管理日志标准日志采集（syslog）服务器WebLogic系统使用日志/管理日志获取日志文件WebSphere系统使用日志/管理日志获取日志文件Apache系统使用日志/管理日志获取日志文件Microsof

7、t IIS系统使用日志/管理日志获取日志文件Domino系统使用日志/管理日志日志API接口 Sendmail系统使用日志/管理日志标准日志采集（syslog）Exchange系统使用日志/管理日志获取日志文件办公Lotus Domino系统使用日志/管理日志日志API接口流量审计telnet会话内容网络嗅探/堡垒主机email收发件地址及邮件内容网络嗅探标准日志采集ftp会话内容网络嗅探/堡垒主机http网页内容恢复、图片恢复网络嗅探/堡垒主机ssh会话过程堡垒主机httpsWeb页面堡垒主机数据库Oracle会话过程网络嗅探DB2会话过程网络嗅探SQL Server会话过程网络嗅探Syba

8、se会话过程网络嗅探Informix会话过程网络嗅探数据库Oracle数据库自身审计日志日志API接口DB2数据库自身审计日志获取日志文件SQL Server数据库自身审计日志日志API接口Sybase数据库自身审计日志获取日志文件Informix数据库自身审计日志获取日志文件行为审计计是审计计内容的的重点通过各种种技术手手段获得得使用者者对信息息系统各各部分的的操作活活动记录录。主机行为为操作系统统层对用用户的操操作行为为跟踪网络行为为网络访问问行为，http、ftp、smtp/pop、telnet、msn、bt数据库行行为主流关系系型数据据库（Oracle/DB2/Mssql/Sybase

9、/Informix等）的SQL操作行为为应用行为为WEB和中间件件服务器器的访问问，应用用软件系系统自身身的操作作记录关联分析析审计操作行为为关联审审计能够将系系统层的的日志、数据库库日志、应用层层的日志志及网络络数据进进行相互互关联，再现用用户的操操作过程程，能够够再现所所有关键键系统数数据的访访问、修修改和删删除等。能够对不不规则或或频繁出出现的事事件能进进行统计计分析、过滤和和事件聚聚合等。能够支持持自定义义的安全全事件，能检测测自定义义的安全全事件。能够提供供自定义义匹配模模式便于于查询。事件关联联审计能够将系系统层的的日志、数据库库日志、中间层层、应用用层的日日志、网网络数据据和用户

10、户关联起起来，并并能够区区分不同同用户行行为，并并且将所所有事件件聚合为为对同一一用户的的事件关关联审计计。基于网络络实名的的审计系统通过过与身份份管理系系统的结结合，将将某个账账号的操操作行为为与自然然人关联联，实现现基于网网络实名名的行为为审计；能够对主主机，网网络设备备，数据据库的所所有用户户指令操操作的记记录；高危行为为审计能够对以以下数据据库高危危操作进进行审计计包括：数据库库表的删删除、关关键数据据项的修修改及删删除等。能够对以以下应用用层高危危操作进进行审计计包括：用户数数据的修修改、关关键业务务系统配配置的修修改。能够对以以下高危危操作进进行审计计包括：用户越越权访问问、用户户

11、权限升升级、更更改口令令、新建建用户、非正常常时间登登陆、多多次错误误登陆、审计策策略更改改和其他他异常事事件。能够对以以下系统统层高危危操作进进行审计计包括：系统文文件删除除、系统统文件的的修改、系统文文件属性性修改、格式化化磁盘、操作服服务端口口开启、启动后后台进程程和运行行可执行行文件等等。实时规则则库结合合自定义实实时规则则支持多种种告警方方式邮件短信声音发送SYSLOG等支持工单单接口发送工单单状态跟踪踪行为阻断断防火墙联联动堡垒主机机应用代理理日志分析析和响应应砖取方式式的报表表展示展示：用用户选择择好纵维维和横维维后，展展示区中中显示的的内容，即为基基本的展展示单元元或报表表单元

12、（参考详详细分类类报表），用户户可点击击纵维或或横维来来展某一一分类进进行钻取取查看。用户也也可以直直接点击击数据字字段查看看某组事事件。纵轴：按按照从整整体通过过地域或或业务系系统两种种途径精精确到IP（人人员）。用户可可以点击击总体一一直进入入某个具具体的IP地址址；横轴：按按照多种种事件分分类方法法（事件件源特点点、级别别特点、事件分分类）；用户通通过任一一途径逐逐级定位位到具体体事件细细节；审计报表表报报表前转转报表前转转主要包包括两个个方面：前转到到工单和和自动邮邮件发送送。前转到工工单：能能将报表表通过已已有的电电子工单单系统进进行发送送和处理理自动邮件件发送：报表生生成后，系统能

13、能自动将将生成的的报表发发送到指指定的邮邮箱产品功能能报报表分类类（1）总体状态态报表此类报告告主要面面向管理理层，便便于管理理层把握握全局业业务状态态，方便便安全运运维决策策，要求求能直观观的进行行各种操操作，并并能对报报表进行行多种层层面的预预定义。报表支支持导航航功能，支持个个性化报报表和个个性化报报表菜单单，能将将本期总总体状态态分析数数据和上上期（或或其他）数据进进行对比比分析，并且能能将分析析结果通通过详细细状况分分析统计计进行定定位。审计分析析平台能能直观的的查看各各业务系系统、服服务器、终端、人员、安全和和网络状状态，并并且能通通过总体体状态报报告，以以钻取的的方式定定位到各各

14、种详细细以及趋趋势报告告，并能能将出现现的威胁胁、风险险或者操操作与终终端或者者人员相相对应。统计趋势势报表统计趋势势分析统统计，此此类报告告主要面面向管理理层，把把握全局局业务状状态。要要求能将将与业务务相关的的各种风风险以及及事件的的趋势进进行统计计，能通通过各个个部门或或地域来来进行统统计分析析。详细分类类报表详细状况况分析统统计，此此类报告告主要面面向技术术层。要要求能将将各种与与业务相相关联的的数据进进行分析析统计，定位系系统故障障。此类类报表必必须能支支持数据据的钻取取和切片片。要求求支持对对多种不不同类别别数据源源的数据据进行关关联和综综合分析析、统计计。产品功能能报报表分类类（

15、2）总体状态态报表主机设备备（Windows、UNIX）网络设备备（交换换机、路路由器）安全设备备（防火火墙、入入侵检测测、防病病毒）应用系统统（邮件件、web/http、msn）统计趋势势报表趋势统计计时间单单位可以以是：小小时、天天、星期期、月、季、年年；按照总体体、业务务、部门门、地域域生成趋趋势统计计统计；按照事件件源、事事件特征征生成趋趋势统计计分析表表；详细分类类报表按照事件件源、事事件特征征产生报报表；灵活的查查询报表表会话（帐帐号实体）报表应用报表表查询报表表TELNET会会话查询询报表审计报表表数数据库会会话审计计报表日志的存存储管理理高可靠的的数据管管理采用RAID 5磁盘

16、阵列列，支持持高效压压缩的日日志存储储（压缩缩比20:1）支持手工工原始数数据批量量导入支持定期期和自定定义的自自动归档档，归档档文件可可下载支持归档档数据恢恢复支持外部部存储设设备，如如磁盘阵阵列柜、NAS高效数据据检索引引擎存储和检检索日志量（万条）查询条件复杂度第一遍第二遍第三遍第四遍500单条件检索2213双条件检索2322三条件检索3322四条件检索33431000单条件检索2222双条件检索2223三条件检索3323四条件检索3554系统自身身安全保保障内部通讯讯检查机机制内置安全全防火墙墙128位加密传传输缓冲区设设计管理界面面与其他他功能模模块分离离合理的权权限管理理所需即所所见系统自身身安全自身安全全性保障障在所有组组件之间间进行可可选的加加密方式式确保安安全的通通信引擎可利利用数字字证书对对所有用用户类代代理进行行身份验验证增强的用用户和管管理界面面可采用用基于SSL的的身份验验证可在所有有组件之之间实现现统一的的配置产品部署署日志及流流量审计计产品部部署具备访问问控制的的日志及及流量审审计产品品部署分布式部部署集团地方1地方2产品型号号及性能能指标名称AMS-500AMS-1000AMS-2000 AMS-500