LogBase日志管理综合审计系统

LogBase日志管理综合审计系统技术白皮书杭州思福迪信息技术有限公司SAFETYBASEINFOTECHCO.LTDLogBase日志管理综合审计系统白皮书©版权所有2010杭州思福迪信息技术有限公司2/15版权说明©版权所有2005-2010，杭州思福迪信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属杭州思福迪信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。商标信息Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标，受商标法保护。LogBase日志管理综合审计系统白皮书©版权所有2010杭州思福迪信息技术有限公司3/15目录第一章概述..................................................................................................................41.1信息安全审计的必要性................................................................................41.2信息安全审计目标........................................................................................5第二章LogBase产品介绍...........................................................................................62.1产品概述........................................................................................................62.2体系结构........................................................................................................7第三章LogBase功能介绍...........................................................................................8第四章LogBase产品特性.........................................................................................104.1全面的日志采集能力..................................................................................104.2可靠的安全保障能力..................................................................................104.3专用的日志专家规则库..............................................................................104.4灵活开放的查询条件..................................................................................114.5高效的事件定位能力..................................................................................114.6安全的旁路审计模式..................................................................................114.7良好的扩展性设计......................................................................................124.8丰富的合规性报表......................................................................................12第五章典型部署........................................................................................................13第六章产品规格与指标............................................................................................146.1审计主机规格指标......................................................................................146.2硬件探测器性能指标...................................................................................15LogBase日志管理综合审计系统白皮书©版权所有2010杭州思福迪信息技术有限公司4/15第一章概述1.1信息安全审计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。然而，信息系统维护过程中依然还面临着诸多的困难及风险，如：系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断。这些异常行为往往会事先在系统及各类日志中有所反映，如果缺乏有效的日志审计手段，就无法及时发现这些安全隐患。网络资源滥用：大部分企业对员工的上网行为都不进行直接控制，因此员工不适当或滥用公司网络资源的行为时有发生，如进行BT下载、观看在线电影、网上聊天以及访问非法网站的相关行为等等，这不仅是对公司管理制度的挑战，更使企业在国家相关法律法规的符合性上存在隐患，也容易造成企业资料泄密等后果。应用及数据风险：企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息安全风险，包括用户非授权访问、管理员误操作、黑客恶意破坏等等，必须实行有效的安全审计手段。安全事件定位风险：由于目前的应用系统往往都是相互关联的，一个故障现象，往往要对数台甚至数十台网络设备及主机的日志进行综合分析才能确定真正的故障原因，缺乏有效的统一安全事件审计平台可能导致无法及时进行故障定位甚至错误定位，此外恶意破坏者获得系统权限后可以清理安全日志，从而导致无法正确定位安全日志。此外，SOX法案、公安部82号令、等级保护等各类法律法规均对日志、行为审计有明确的要求，确保关键信息系统在可控、可审计状态下运行。LogBase日志管理综合审计系统白皮书©版权所有2010杭州思福迪信息技术有限公司5/151.2信息安全审计目标从信息安全风险管理角度来看，针对各类系统的运行日志和用户网络访问行为的审计系统是信息安全保障体系中不可或缺的一部分，信息安全审计系统的目标包括：（1）有效整合现有信息安全产品，形成统一的安全事件管理平台；（2）通过全面的日志及行为分析弥补现有各类技术产品在威胁分析发现方面的不足；（3）为安全事故的责任追查、故障定位提供有力的技术手段。LogBase日志管理综合审计系统白皮书©版权所有2010杭州思福迪信息技术有限公司6/15第二章LogBase产品介绍2.1产品概述LogBase日志管理综合审计系统(以下简称LogBase)是思福迪公司自主研发的拥有自主知识产权的专业信息安全审计产品，系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及综合分析功能，实现对信息系统整体安全状况的全面审计。LogBase专注于对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析，是支持分布式、跨平台的统一智能化日志管理及审计设备，可以对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的安全审计。Logbase系统可以帮助企业管理员随时了解整个IT系统的运行情况，通过实时的日志分析及时发现系统异常和非法访问行为；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，Logbase可以确保日志完整性和可用性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。因此，LogBase可以帮助用户有效降低IT系统的故障而带来的损失，降低IT系统的运维成本和管理的复杂度，显著提高系统整体的安全性、可靠性和运行效率，保证IT系统7X24的正常、持续、稳定运行，降低信息系统的整体安全风险。LogBase日志管理综合审计系统白皮书©版权所有2010杭州思福迪信息技术有限公司7/152.2体系结构本产品基于嵌入式Linux系统，由日志采集模块、事件检索模块、审计报表模块、综合管理模块组成。LogBase采用B/S架构，管理员通过HTTPS方式对主机进行管理。Logbase的系统架构如图2.1所示。图2.1LogBase日志管理审计系统体系结构LogBase日志管理综合审计系统白皮书©版权所有2010杭州思福迪信息技术有限公司8/15第三章LogBase功能介绍LogBase日志管理综合审计系统具有三大功能，如图3.1所示：图3.1LogBase审计系统功能LogBase对日志管理综合审计系统进行了更广泛的定义：日志信息不仅仅是硬件设备及各类信息系统在运行中产生的日志记录，还包含LogBase针对用户的上网行为分析以及数据库操作行为分析所形成的记录信息。日志审计LogBase审计系统提供全面的日志采集功能，通过多种方式采集信息系统中众多类型的硬件设备、操作系统、应用系统等格式不一的日志数据。LogBase基于对各类日志的理解和深入分析，并提供日志专家规则库，实时智能分析海量日志数据，呈现给用户可读性强、更易理解的日志信息。基于全面日志数据的报表审计功能，为用户提供多角度、全方位的信息系统综合分析审计报告。上网行为审计LogBase日志管理综合审计系统白皮书©版权所有2010杭州思福迪信息技术有限公司9/15LogBase审计系统提供基于底层协议识别的流量分析功能，通过旁路侦听（SnifferMode）的网络无干扰方式，对经过信息系统边界的双向网络流量进行分析，可对网站访问、邮件收发、上传/下载、即时通讯、网络游戏、炒股等提供完整的行为记录及内容还原功能。可自定义关键字库过滤，进行细粒度的上网行为追踪审计。数据库审计LogBase审计系统提供针对主流数据库操作行为的分析功能。无需修改数据库配置及网络架构，通过在数据库服务器前端进行旁路侦听的方式，可对访问数据库的网络地址、用户帐号、数据库名、表名、操作指令明细、返回值等信息提供完整记录。通过预设规则，对用户越权、非法访问数据库，篡改、删除、窃取数据的行为进行实时告警。提供丰富的审计报表，如：异常