1、 企業(yè)信息安全日志審計解決方案 目錄日志審計需求分析產(chǎn)品簡介功能特點技術(shù)優(yōu)勢典型應(yīng)用用戶價值需求分析日志審計需求主要源自兩個方面的驅(qū)動力：一，從企業(yè)和組織自身安全的需要出發(fā)，日志審計能夠幫助用戶獲悉信息系統(tǒng)的安全運行狀態(tài)，識別針對信息系統(tǒng)的攻擊和入侵，以及來自內(nèi)部的違規(guī)和信息泄露，能夠為事后的問題分析和調(diào)查取證提供必要的信息。二，從國家法律法規(guī)和行業(yè)標(biāo)準(zhǔn)規(guī)范的角度出發(fā)，日志審計已經(jīng)成為滿足合規(guī)與內(nèi)控需求的必備功能，例如：網(wǎng)絡(luò)安全法第二十一條 （三）采取監(jiān)測、記錄網(wǎng)絡(luò)運行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安

2、全等級保護基本要求對于二級以上信息系統(tǒng)，在網(wǎng)絡(luò)安全、主機安全和應(yīng)用安全等基本要求中明確要求進(jìn)行安全審計；互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定第八條要求“記錄、跟蹤網(wǎng)絡(luò)運行狀態(tài)，監(jiān)測、記錄用戶各種信息、網(wǎng)絡(luò)安全事件等安全審計功能”；商業(yè)銀行內(nèi)部控制指引第一百二十六條指出“商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計的需要”。產(chǎn)品簡介產(chǎn)品簡介啟明星辰推出的新一代泰合信息安全運營中心系統(tǒng)，采用具有自主知識產(chǎn)權(quán)的分布式非關(guān)系型數(shù)據(jù)庫技術(shù)的日志審計系統(tǒng)及日志分析管理解決方案。系統(tǒng)能夠通過主被動結(jié)合的手段，實時不間斷地采集用戶網(wǎng)絡(luò)中各種不同廠商的安全設(shè)備

3、、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息，并將這些信息匯集到審計中心，進(jìn)行集中化存儲、索引、備份、全文檢索、實時搜索、審計、告警、響應(yīng)，并出具豐富的報表報告，獲悉全網(wǎng)的整體安全運行態(tài)勢，實現(xiàn)全生命周期的日志管理。系統(tǒng)采用融合了大數(shù)據(jù)技術(shù)的新一代技術(shù)架構(gòu)，基于分布式節(jié)點計算機制，使用具有自主知識產(chǎn)權(quán)的非關(guān)系型數(shù)據(jù)庫CupidDB，具有分布式、全文索引、擴展、實時格式化數(shù)據(jù)搜索和原始數(shù)據(jù)關(guān)鍵字搜索、高可靠性等特點，幫助用戶進(jìn)行基于日志的綜合審計和日志全生命周期管理，從而最大化的保障網(wǎng)絡(luò)、主機和應(yīng)用系統(tǒng)安全機制的有效性。功能特點支持大規(guī)模部署和功能擴展：支持分布式采集和分布式存

4、儲，支持大數(shù)據(jù)量日志審計，還能與TSOC安全管理平臺融合。豐富靈活的報表報告：內(nèi)置豐富的報表模板，包括統(tǒng)計報表、明細(xì)報表、趨勢報表和綜合審計報告，支持自定義?？梢暬罩緦徲嫞禾峁┴S富的可視化視圖，包括資產(chǎn)拓?fù)鋱D、IP地圖定位、多維分析圖、視網(wǎng)膜分析圖等詳盡的日志范式化和日志分類：支持將各種不同表達(dá)方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式，并進(jìn)行日志分類。威脅情報采集與利用：支持導(dǎo)入或者主動抓取的方式獲取內(nèi)外部相關(guān)威脅情報信息，并將其應(yīng)用于關(guān)聯(lián)分析?；旌鲜綑z索技術(shù)：支持對范化后的字段值進(jìn)行全部日志記錄的搜索，同時支持全文檢索技術(shù)。靈活強大的交互式分析：交互式查詢技術(shù)可以通過自定義的儀表盤同存儲的所有日志進(jìn)

5、行交互查詢。融合大數(shù)據(jù)技術(shù)：采用領(lǐng)先的高性能日志采集技術(shù)、分布式存儲與索引、流式集中事件及情境關(guān)聯(lián)分析技術(shù)。技術(shù)優(yōu)勢擴展性日志審計系統(tǒng)采用組件化技術(shù)框架，便于功能擴展。安全性具備完善的自身安全性設(shè)計，保證系統(tǒng)自身的安全等級符合用戶要求；影響性采取多種技術(shù)手段，力求對用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。大規(guī)模部署支持分布式日志采集和事件存儲、審計中心級聯(lián)，支持大規(guī)模部署。范式化技術(shù)自學(xué)習(xí)的事件范式化技術(shù)，提高日志分析效率。數(shù)據(jù)源擴展獨有的審計數(shù)據(jù)源擴展機制，方便實現(xiàn)新設(shè)備類型的日志采集。融合大數(shù)據(jù)技術(shù)在日志采集、分析和存儲三個方面獲得本質(zhì)的性能提升。操作簡單操作簡潔、界面美觀大方、內(nèi)置豐富儀表板，適用于

6、各級管理人員。典型應(yīng)用單級部署采集器分布式部署審計中心集群部署混合分部式部署級聯(lián)部署用戶價值 處理日志大數(shù)據(jù)的利器借助系統(tǒng)的大數(shù)據(jù)技術(shù)架構(gòu)，讓客戶實現(xiàn)對分散的具有大數(shù)據(jù)特征的日志的收集，對這些日志格式進(jìn)行規(guī)范化統(tǒng)一描述，實現(xiàn)對日志大數(shù)據(jù)的分布式集群化存儲，實現(xiàn)在日志大數(shù)據(jù)下對歷史數(shù)據(jù)的分析和檢測；在分布式存儲計算節(jié)點的架構(gòu)下大大提高安全分析人員對日志大數(shù)據(jù)的歷史數(shù)據(jù)的分析效率，減少計算資源耗費；并在系統(tǒng)獨有的交互式分析設(shè)計架構(gòu)下實現(xiàn)了對日志大數(shù)據(jù)的事件調(diào)查，歷史回溯，條件組合查詢，結(jié)果查看等功能。有效地解決了大數(shù)據(jù)時代中日志大數(shù)據(jù)帶來的挑戰(zhàn)。 全生命周期日志管理借助本系統(tǒng)，客戶能夠?qū)崿F(xiàn)從日志產(chǎn)

7、生、采集、綜合分析與審計、到日志存儲、備份整個日志生命周期管理。通過集中化的日志管理系統(tǒng)，協(xié)助客戶解決網(wǎng)絡(luò)中日志分散、種類繁多、數(shù)量巨大的問題，提升安全運營效率。 日常安全運維工作的有力工具對于日常安全運維而言，核心的工作內(nèi)容就是對IT網(wǎng)絡(luò)進(jìn)行持續(xù)監(jiān)測，確保網(wǎng)絡(luò)、主機、應(yīng)用、重要信息和人員資產(chǎn)的安全。更具體地說，就是要持續(xù)監(jiān)測并識別針對網(wǎng)絡(luò)、主機、應(yīng)用、重要信息和人員資產(chǎn)性能故障、非法訪問控制、非法或不當(dāng)操作、惡意代碼、攻擊入侵、違規(guī)與信息泄露行為。借助本系統(tǒng)，客戶能夠統(tǒng)一收集來自網(wǎng)絡(luò)中IT資產(chǎn)的日志信息，通過分析日志中的安全事件，識別各類性能故障、非法訪問控制、不當(dāng)操作、惡意代碼、攻擊入侵，

8、以及違規(guī)與信息泄露等行為，協(xié)助客戶安全運維人員進(jìn)行安全監(jiān)視、審計追蹤、調(diào)查取證、應(yīng)急處置、生成各類報表報告，成為客戶日常安全運維的有力工具。 遵照等級保護的審計要求系統(tǒng)在設(shè)計之初就充分考慮的國家制定的信息系統(tǒng)等級保護制度中對于安全審計的技術(shù)要求。系統(tǒng)能夠幫助客戶更好地遵從等級保護的審計要求。以GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求中對三級信息系統(tǒng)的安全審計要求為例，系統(tǒng)能夠?qū)疽笾幸?guī)定的網(wǎng)絡(luò)及安全設(shè)備、主機、數(shù)據(jù)庫和應(yīng)用的日志進(jìn)行統(tǒng)一的采集和存儲，協(xié)助客戶對審計記錄數(shù)據(jù)進(jìn)行統(tǒng)計、查詢、分析，并生成審計報表。對于采集的所有日志記錄信息，都記錄了日期、時間、類

9、型、主體標(biāo)識、客體標(biāo)識和結(jié)果等信息，同時原封不動地保存了原始日志信息。對于存儲的審計記錄，系統(tǒng)進(jìn)行了完善的安全保護，避免遭受未預(yù)期的刪除、修改或覆蓋。 契合合規(guī)與內(nèi)控的審計要求隨著客戶業(yè)務(wù)系統(tǒng)對網(wǎng)絡(luò)依賴程度的日益加深，以及層出不窮的安全威脅，各行各業(yè)對網(wǎng)絡(luò)安全的重視程度也日漸加強。針對上市公司、大中型企業(yè)（尤其是央企）、銀行、證券、保險，國家和各行業(yè)主管部門都出具了大量的內(nèi)控、合規(guī)管理標(biāo)準(zhǔn)、規(guī)范、規(guī)定，都對IT信息系統(tǒng)的安全審計提出了要求。針對中大型網(wǎng)絡(luò)中IT資產(chǎn)多、日志量大的特點，系統(tǒng)支持級聯(lián)和分布式部署的方式，配合系統(tǒng)高性能的日志采集技術(shù)，能夠?qū)崿F(xiàn)日志的集中化存儲與審計，降低客戶滿足合規(guī)性要求的總