日志安全审计系统-技术白皮书V2

目录一、背景与需求.......................................................................................................................31、背景.................................................................................................................................32、需求要点.........................................................................................................................43、面临挑战.........................................................................................................................5二、解决方案与系统构架.......................................................................................................51、解决方案.........................................................................................................................52、系统构架.........................................................................................................................73、业务模型.........................................................................................................................9三、系统功能与特点.............................................................................................................101、系统功能.......................................................................................................................102、主要功能描述...............................................................................................................103、系统特点.......................................................................................................................12四、部署与配置.....................................................................................................................131、部门级部署...................................................................................................................132、企业应用部署...............................................................................................................143、集团应用部署...............................................................................................................154、部署要求.......................................................................................................................165、运行环境.......................................................................................................................16五、效益与价值.....................................................................................................................161、产品价值.......................................................................................................................162、效益体现.......................................................................................................................17六、系统支持审计数据源一览表.........................................................................................18一、背景与需求1、背景随着我国工业企业及组织机构信息化建设的快速发展，越来越多的企业核心业务及机构工作的开展已经高度依赖于信息技术应用，因此，信息安全问题的全局性影响作用日益增强。目前，很多企业和组织在信息安全保障体系建设方面已经达到了一定的水平，先后建立了非法外联监控管理系统、防病毒系统、补丁分发系统、防火墙、入侵检测系统、漏洞扫描系统等，为客户端安全管理、网络安全管理和系统安全管理提供了技术支撑手段。但是，当前各种信息安全保障工作相对独立，各自为政，单点的工作开展的多，缺乏有效手段将这些安全工作有效串接，并形成一个综合防御体系。在此背景下，公安部发布了《信息系统安全等级保护技术要求》中对安全监控、审计提出明确的技术要求：监控审计范围覆盖网络设备、操作系统、数据库、应用系统，监控审计内容包括各网络设备运行状况、系统资源的异常使用、重要用户行为和重要系统命令的使用等系统内重要的安全相关事件。同时，随着信息安全监控、审计作为保障信息系统安全的制度逐渐成熟，并已在对信息系统依赖性高的行业开始普及，各种信息安全审计的相关标准相继引起广泛重视，包括国际上的ISO/IEC17799、COSO、COBIT、ITIL、NISTSP800等。这些标准从不同角度提出信息安全控制体系，可以有效地控制信息安全风险。近年来，国家提出了建立一个安全可控的网络安全环境，各个行业部门也出台了相关的网络业务安全的法规和安全标准，例如：GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统，在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。而日志审计是符合这些要求的基本手段。《互联网安全保护技术措施规定》（公安部82号令）第八条要求具备“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能”。《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。《银行业信息科技风险管理指引》第第二十七条要求银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。《保险公司信息系统安全管理指引（试行）》第四十四条要求“对主机系统进行审计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计”。因此，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能。2、需求要点日志管理与审计，就是将分散的各类资源产生的日志进行收集、归并、审计分析和存储。为此需要着重实现以下体系的构建：整合企业目前部署的各种相对孤立的安全防护资源（主要包括：防火墙、入侵检测系统、漏洞扫描系统、UTM等），实现对各种网络安全装置日志信息的综合采集、监控、管理及分析；严格监控各种关键业务系统（主要包括：生产类的生产调度系统，财务类的集团财务系统，研发类的PDM系统以及管理类的办公自动化系统、HR系统、ERP系统、政府的电子政务系统等），防止对重要数据非授权篡改行为的跟踪及审计等。基于以上基础，即可建立一套横向贯穿孤立的安全防线的整体安全日志管理审计平台，通过获取防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、运行主机、交换机、路由器、数据库系统、中间件等日志事件、状态事件和网络流量等信息，进行选择采集、综合评价和网络安全事件关联分析，实现对来自外部和内部各网络行为进行实时监控和合规性审计，为IT系统管理维护人员提供一个监控整个网络的软件和硬件设备运行状况、分析挖掘异常入侵信息、审计业务系统关键数据、发出各种方式网络安全事件告警的手段，真正让企业和组织的管理者把握网络信息整体安全态势，实现有效地协同防御。3、面临挑战当前客户在进行日志审计的过程中几乎都面临着相似的挑战。这其中最主要的三个挑战是：日志分散、日志格式不统一、日志量巨大。日志分散客户网络中信息系统相关的各种软硬件设备、安全防护设施都会产生日志。并且这些设备都分散在网络的不同位置。他们各自产生日志，并有各自的控制台进行日志查看，这对审计人员而言简直就是噩梦，根本没有精力去查看这么多控制台，更不要说分析其中的日志信息了。日志格式不统一每种设备类型的日志格式都不相同，各有各的表达，即时是表达同一件事情，也都有各自的表达方式。例如同样的登录失败信息，防火墙中的描述和主机操作系统中的描述格式就可能根本不相同。这迫使审计人员去了解每种设备类型的格式。日志量巨大很多设备，尤其是网络安全设备产生的日志量十分巨大，单个防火墙每秒就可能产生上千条的日志信息，而全网的设备每天产生的日志量就更加可观，可能数以百GB计。审计员去查看这么多的日志根本不可能，即便是将它们存起来都是个问题。二、解决方案与系统构架1、解决方案大量事实表明，对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行有效阻止，从而大大降低安全事件的发生率。对于一个典型的用户而言，经过较为系统的安全建设后，都会部署较多的安全产品。这些安全产品每天产生的事件量是巨大的，如下表所示：显然，收集和分析上述海量的日志是一个巨大的挑战，而能否做到这点将直接决定一个日志安全审计系统的成败。同时，日志安全审计决不能简单地将这些海量的日志信息直接展示给客户，否则