BIT84网络信息系统安全体系-综合审计系统.ppt

1、综合IT系统运维审计解决方案,企业审计要求审计要求,企业审计要求AMS对主机系统审计要求及满足,用户登录退出报告(302条款 (a)-(4)-(C) (D) 用户登录失败报告(302条款 (a)-(4)-(C) (D) 特定文件、目录访问报告 系统开机/关机报告 系统时间修改报告 系统日志修改报告 系统远程登录报告 系统帐号管理操作跟踪 (302条款 (a)-(6) 审计策略变更跟踪(302条款 (a)-(5) 用户认证成功/失败报告 应用访问报告(302条款 (a)-(5),产品体系结构,产品结构说明,数据接口层 数据接口层实现审计数据的采集及标准化，同时还可以完成与其它日志系统的日志传输及

2、结核。 核心业务层 实现数据的综合分析和关联分析，生成各种审计报表。还提供日志的维护管理，和用户的维护管理。 展示层 展示层以多种报告报表的方式让用户能够从多个角度清楚的洞察系统的运行情况，实现对审计系统的配置管理，实现综合审计和报表展示。,综合审计体系结构,数据库嗅探硬件,URTRAMS日志管理与审计系统,ULTRAMS,DB,堡垒主机硬件,访问控制,流量审计,标准日志采集,日志审计,网络嗅探硬件,流量审计,集中身份管理系统,UltrAMS,Syslog/snmp,Api/jdbc,Api/jdbc,syslog/ Jdbc/api,jdbc,审计 产品,第三方审计产品,api/syslog

3、/snmp,产品功能,产品功能系统功能,日志采集 日志来源 数据标准化过滤归并压制 日志审计 行为审计 关联分析审计 基于用户实体的行为审计 实时监控 事件响应 操作阻断 审计报表 系统管理 用户管理 用户角色权限管理 对象管理 采集调度管理 数据备份管理 系统日志管理 系统分级管理,日志采集审计日志来源,应用系统日志 业务系统 应用服务 标准日志 系统日志文件 安全设备 网络设备 网络流量的日志 网络嗅探 外部系统日志（4A） 集中用户管理日志 集中认证日志 集中授权日志 访问控制日志 单点登录系统 堡垒主机日志,日志采集全面的获取技术,1）面向文件型收集器，Filestream Colle

4、ctor，提供通用系统格式模板库，支持自定义，配合通用文件采集Agent,部署分客户端安装和外置模式 2）面向协议型收集器，Event Collector，提供常见协议的支持，如Syslog、Snmp Trap、Opsec Lea等，少量可AMS主机内置 3）网络嗅探器，Network Sensor，通过旁路监听方式，网络协议还原获取 4）数据库嗅探器，DB Sensor，通过旁路监听方式，数据库访问协议还原获取 5）特殊探测器，Agent，为特殊目的一般安装在主机上的探测软件，如针对UNIX主机操作、Windows系统Eventlog及其它操作运行信息,主机系统审计,主机系统审计,主机系统审

5、计安全设备,网络事件审计网络行为,网络事件审计数据库,设备支持列表,行为审计是审计内容的重点,通过各种技术手段获得使用者对信息系统各部分的操作活动记录。,主机行为 操作系统层对用户的操作行为跟踪 网络行为 网络访问行为，http、ftp、smtp/pop、telnet、msn、bt 数据库行为 主流关系型数据库（Oracle/DB2/Mssql/Sybase/Informix等）的SQL操作行为 应用行为 WEB和中间件服务器的访问，应用软件系统自身的操作记录,关联分析审计,操作行为关联审计 能够将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，再现用户的操作过程，能够再现所有关

6、键系统数据的访问、修改和删除等。 能够对不规则或频繁出现的事件能进行统计分析、过滤和事件聚合等。 能够支持自定义的安全事件，能检测自定义的安全事件。 能够提供自定义匹配模式便于查询。 事件关联审计 能够将系统层的日志、数据库日志、中间层、应用层的日志、网络数据和用户关联起来，并能够区分不同用户行为，并且将所有事件聚合为对同一用户的事件关联审计。 基于网络实名的审计 系统通过与身份管理系统的结合，将某个账号的操作行为与自然人关联，实现基于网络实名的行为审计； 能够对主机，网络设备，数据库的所有用户指令操作的记录；,高危行为审计,能够对以下数据库高危操作进行审计包括：数据库表的删除、关键数据项的修

7、改及删除等。 能够对以下应用层高危操作进行审计包括：用户数据的修改、关键业务系统配置的修改。 能够对以下高危操作进行审计包括：用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。 能够对以下系统层高危操作进行审计包括：系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、操作服务端口开启、启动后台进程和运行可执行文件等。,实时规则库结合 自定义实时规则 支持多种告警方式 邮件 短信 声音 发送SYSLOG等 支持工单接口 发送工单 状态跟踪 行为阻断 防火墙联动 堡垒主机 应用代理,日志分析和响应,砖取方式的报表展示,展示：用户选择好

8、纵维和横维后，展示区中显示的内容，即为基本的展示单元或报表单元（参考详细分类报表），用户可点击纵维或横维来展某一分类进行钻取查看。用户也可以直接点击数据字段查看某组事件。 纵轴：按照从整体通过地域或业务系统两种途径精确到IP（人员）。用户可以点击总体一直进入某个具体的IP地址； 横轴：按照多种事件分类方法（事件源特点、级别特点、事件分类）；用户通过任一途径逐级定位到具体事件细节；,审计报表报表前转,报表前转主要包括两个方面：前转到工单和自动邮件发送。 前转到工单：能将报表通过已有的电子工单系统进行发送和处理 自动邮件发送：报表生成后，系统能自动将生成的报表发送到指定的邮箱,产品功能报表分类（1

9、）,总体状态报表 此类报告主要面向管理层，便于管理层把握全局业务状态，方便安全运维决策，要求能直观的进行各种操作，并能对报表进行多种层面的预定义。报表支持导航功能，支持个性化报表和个性化报表菜单，能将本期总体状态分析数据和上期（或其他）数据进行对比分析，并且能将分析结果通过详细状况分析统计进行定位。 审计分析平台能直观的查看各业务系统、服务器、终端、人员、安全和网络状态，并且能通过总体状态报告，以钻取的方式定位到各种详细以及趋势报告，并能将出现的威胁、风险或者操作与终端或者人员相对应。 统计趋势报表 统计趋势分析统计，此类报告主要面向管理层，把握全局业务状态。要求能将与业务相关的各种风险以及事

10、件的趋势进行统计，能通过各个部门或地域来进行统计分析。 详细分类报表 详细状况分析统计，此类报告主要面向技术层。要求能将各种与业务相关联的数据进行分析统计，定位系统故障。此类报表必须能支持数据的钻取和切片。要求支持对多种不同类别数据源的数据进行关联和综合分析、统计。,产品功能报表分类（2）,总体状态报表 主机设备（Windows、UNIX） 网络设备（交换机、路由器） 安全设备（防火墙、入侵检测、防病毒） 应用系统（邮件、web/http、msn） 统计趋势报表 趋势统计时间单位可以是：小时、天、星期、月、季、年； 按照总体、业务、部门、地域生成趋势统计统计； 按照事件源、事件特征生成趋势统计分析表； 详细分类报表 按照事件源、事件特征产生报表； 灵活的查询报表 会话（帐号实体）报表 应用报表,查询报表TELNET会话查询报表,审计报表数据库会话审计报表,日志的存储管理,高可靠的数据管理 采用RAID 5磁盘阵列，支持高效压缩的日志存储（压缩比20:1） 支持手工原始数据批量导入 支持定期和自定义的自动归档，归档文件可下载 支持归档数据恢复 支持外部存储设备，如磁盘阵列柜、NAS 高效数据检索引擎,存储和检索,系统自身安全保障,内部通讯检查机制 内置安全防火墙 128位加密传输 缓冲区设计 管理界面与其他功能模块分离 合理的权限管理 所需即所见,系统自身