LogBaseLEC日志管理綜合審計系統(tǒng)技術(shù)白皮書v36

LogBase日志管理綜合審計系統(tǒng)技術(shù)白皮書思福迪信息技術(shù)有限公司2013Logbase運維安全管理系統(tǒng)技術(shù)白皮書頁版權(quán)說明?版權(quán)所有2005-2013，思福迪信息技術(shù)有限公司本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，版權(quán)均屬思福迪公司所有，受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護(hù)。任何個人、機(jī)構(gòu)未經(jīng)思福迪公司的書面授權(quán)許可，不得以任何方式復(fù)制或引用本文件的任何片斷。商標(biāo)信息Safetybase、LogBase均是思福迪公司注冊商標(biāo)，受商標(biāo)法保護(hù)。讀者對象本文檔適合于各行業(yè)信息部門主管、運維相關(guān)技術(shù)人員、服務(wù)人員、內(nèi)部信息系統(tǒng)審計人員等。適用范圍本文檔適針對LogBase日志管理綜合審計系統(tǒng)V3.6版本編寫。獲得幫助公司網(wǎng)站：技術(shù)支持Email地址：support@獲取更詳盡的思福迪網(wǎng)絡(luò)安全專業(yè)產(chǎn)品信息、商務(wù)信息，您可通過如下方式和我們聯(lián)系：北京地址：北京市朝陽區(qū)安翔路2號光環(huán)電信大樓三層郵編：100029電話真州地址：杭州市文一西路75號3號樓6樓郵編：310012電話真海地址：上海市中山西路1878弄凱托大廈2號樓2602室郵編：200233電話真京地址：南京市珠江路5號華利國際大廈3807室郵編：210006電話東地址：廣東省天河區(qū)龍口中路130號龍威廣場A座4層3A18室郵編：510635電話真安地址：西安市高新區(qū)科技路50號金橋國際廣場A座1-2403室郵編：710068電話真/p>

目錄版權(quán)說明 2商標(biāo)信息 2讀者對象 2適用范圍 2獲得幫助 2一、概述 7二、信息安全審計的必要性 7三、信息安全審計目標(biāo) 9四、LogBase日志管理綜合審計系統(tǒng)介紹 114.1、產(chǎn)品概述 114.2、體系結(jié)構(gòu) 114.3、主要功能 124.3.1、日志采集功能 124.3.2、實時分析功能 134.3.3、事件檢索功能 144.3.4、綜合審計報表功能 144.3.5、存儲管理功能 154.4、產(chǎn)品特點 164.4.1、智能的日志歸一化處理 164.4.2、高效的事件定位能力 164.4.3、安全的旁路審計模式 174.4.4、可靠的安全保障能力 174.4.5、良好的擴(kuò)展性設(shè)計 174.4.6、滿足合規(guī)性要求 17五、部署應(yīng)用 18六、結(jié)束語 19一、概述隨著計算機(jī)網(wǎng)絡(luò)異常迅猛的發(fā)展，網(wǎng)絡(luò)逐漸成為企業(yè)、政府及各種組織的重要信息載體和傳輸渠道,成為人們?nèi)粘９ぷ髦胁豢扇鄙俚囊徊糠帧＞W(wǎng)絡(luò)及其所帶來的信息數(shù)字化大幅度提高了人們的工作效率，使得海量信息存儲和處理成為現(xiàn)實。但是，在享受到網(wǎng)絡(luò)所帶來方便的同時，日益嚴(yán)重的網(wǎng)絡(luò)信息安全問題，不僅使上網(wǎng)企業(yè)、機(jī)構(gòu)及用戶蒙受巨大的經(jīng)濟(jì)損失，也使國家的安全面臨嚴(yán)重威脅。根據(jù)計算機(jī)安全機(jī)構(gòu)(CSI)等權(quán)威機(jī)構(gòu)發(fā)布的一組數(shù)據(jù)：11%的公司發(fā)生過資料或網(wǎng)絡(luò)被破壞的情況；12%的公司發(fā)生過內(nèi)部人員的財務(wù)欺騙；14%的公司發(fā)生過專利信息被竊取的事件；16%的公司有來自內(nèi)部未授權(quán)的存取行為；31%的公司有員工濫用Internet的現(xiàn)象；專家們通過上面的數(shù)據(jù)得出這樣的結(jié)論..超過80%的信息安全隱患是來至組織內(nèi)部的，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。如何解決組織內(nèi)部的網(wǎng)絡(luò)安全已成為擺在每一個單位、企業(yè)面前亟待解決的問題。對于一些安全保密性要求較高的單位，例如：軍工、涉密企業(yè)、政府部門、銀行等，如何對內(nèi)部用戶的進(jìn)行有效管理，防止內(nèi)部用戶越權(quán)訪問、信息泄密等違規(guī)行為發(fā)生，以及在相關(guān)非法事件發(fā)生后,可以對非法事件進(jìn)行追蹤、取證，也變的極為重要。二、信息安全審計的必要性隨著政府、企事業(yè)單位等各類組織的信息化程度不斷提高，對信息系統(tǒng)的依賴程度也隨之增加，如何保障信息系統(tǒng)安全是所有單位都十分關(guān)注的一個問題。當(dāng)前，大部分組織都已對信息安全系統(tǒng)進(jìn)行了基本的安全防護(hù)，如實施防火墻、入侵檢測系統(tǒng)、防病毒系統(tǒng)等。但是隨著時間的流逝，企業(yè)逐步發(fā)現(xiàn)，傳統(tǒng)的以安全產(chǎn)品的疊加為主要安全手段的方式逐漸顯示出嚴(yán)重的缺陷，目前面臨的主要挑戰(zhàn)包括：信息孤島的問題：各種安全設(shè)備，如防火墻、IDS等都是各有側(cè)重的安全產(chǎn)品。但是由于之間缺少信息層互通能力，各自為政，沒有達(dá)到1+1=2的效果。降低了系統(tǒng)整體的效率，增加了安全事件的發(fā)現(xiàn)時間和響應(yīng)時間。應(yīng)用及數(shù)據(jù)風(fēng)險：企業(yè)中各類應(yīng)用系統(tǒng)在對外服務(wù)的同時將面臨各種用戶訪問行為造成的信息安全風(fēng)險，包括用戶非授權(quán)訪問、管理員誤操作、黑客惡意破壞等等，必須實行有效的安全審計手段。系統(tǒng)運維風(fēng)險：由于操作系統(tǒng)、硬件、應(yīng)用程序等故障或配置錯誤導(dǎo)致系統(tǒng)異常運行，服務(wù)中斷。這些異常行為往往會事先在系統(tǒng)及各類日志中有所反映，如果缺乏有效的日志審計手段，就無法及時發(fā)現(xiàn)這些安全隱患。缺乏審計能力：安全事故越來越多地被證明是由來自內(nèi)部的誤用、濫用造成的，特別是現(xiàn)代企業(yè)extranet使用日益廣泛和企業(yè)及其供應(yīng)商合作日益緊密的今天，如何從合法的授權(quán)使用中發(fā)現(xiàn)非法的行為，成為政府、企事業(yè)單位安全管理的關(guān)鍵安全事件定位風(fēng)險：由于目前的應(yīng)用系統(tǒng)往往都是相互關(guān)聯(lián)的，一個故障現(xiàn)象，往往要對數(shù)臺甚至數(shù)十臺網(wǎng)絡(luò)設(shè)備及主機(jī)的日志進(jìn)行綜合分析才能確定真正的故障原因，缺乏有效的統(tǒng)一安全事件審計平臺可能導(dǎo)致無法及時進(jìn)行故障定位甚至錯誤定位，此外惡意破壞者獲得系統(tǒng)權(quán)限后可以清理安全日志，從而導(dǎo)致無法正確定位安全日志。海量信息的問題：在實際情況中，各個產(chǎn)品的日志的信息量是十分巨大的，而真正與安全事件有關(guān)的比例又是比較小的。那么，如何在海量的數(shù)據(jù)中檢索出有用的信息，而不是靠傳統(tǒng)人工的方式完成就成為管理者必須要考慮的問題法律、法規(guī)的要求：SOX法案、公安部82號令、等級保護(hù)等各類法律法規(guī)均對日志、行為審計有明確的要求，確保關(guān)鍵信息系統(tǒng)在可控、可審計狀態(tài)下運行。三、信息安全審計目標(biāo)從信息安全風(fēng)險管理角度來看，針對各類系統(tǒng)的運行日志和用戶網(wǎng)絡(luò)訪問行為的審計系統(tǒng)是信息安全保障體系中不可或缺的一部分，信息安全審計系統(tǒng)的目標(biāo)包括：（1）有效整合現(xiàn)有信息安全產(chǎn)品，形成統(tǒng)一的安全事件管理平臺；（2）通過全面的日志及行為分析彌補(bǔ)現(xiàn)有各類技術(shù)產(chǎn)品在威脅分析發(fā)現(xiàn)方面的不足；（3）為安全事故的責(zé)任追查、故障定位提供有力的技術(shù)手段。

四、LogBase日志管理綜合審計系統(tǒng)介紹4.1、產(chǎn)品概述LogBase日志管理綜合審計系統(tǒng)(以下簡稱LogBase)是思福迪公司自主研發(fā)的擁有自主知識產(chǎn)權(quán)的專業(yè)信息安全審計產(chǎn)品，系統(tǒng)通過監(jiān)測及采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問行為、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲和管理，結(jié)合豐富的日志統(tǒng)計匯總及綜合分析功能，實現(xiàn)對信息系統(tǒng)整體安全狀況的全面審計。LogBase專注于對信息系統(tǒng)中各類主機(jī)、數(shù)據(jù)庫、應(yīng)用和設(shè)備的安全事件、用戶行為、系統(tǒng)狀態(tài)的實時采集、實時分析、異常報警、集中存儲和事后分析，是支持分布式、跨平臺的統(tǒng)一智能化日志管理及審計設(shè)備，可以對各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、WEB服務(wù)、中間件、數(shù)據(jù)庫和其它應(yīng)用進(jìn)行全面的安全審計。4.2、體系結(jié)構(gòu)LogBase日志管理綜合審計系統(tǒng)基于嵌入式Linux系統(tǒng)，采用B/S架構(gòu)，由日志采集模塊、事件檢索模塊、審計報表模塊、綜合管理模塊四大模塊組成。體系結(jié)構(gòu)圖如圖1.1所示。圖1.1LogBase日志管理審計系統(tǒng)體系結(jié)構(gòu)4.3、主要功能4.3.1、日志采集功能LogBase日志管理審計系統(tǒng)基于對多種平臺、常用協(xié)議及多類應(yīng)用系統(tǒng)的深入分析，運用多種靈活的、安全的、可靠的采集手段，采集主流的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)日志、主流數(shù)據(jù)庫、應(yīng)用系統(tǒng)日志，并進(jìn)行分類、歸并、過濾等處理，進(jìn)行格式化和統(tǒng)一的存儲。真正實現(xiàn)全面的、統(tǒng)一的日志管理審計系統(tǒng)平臺。4.3.2、實時分析功能LogBase日志管理審計系統(tǒng)自帶基于日志內(nèi)容分析的專家規(guī)則庫，針對日志源數(shù)據(jù)進(jìn)行實時等級劃分，智能分析日志信息中所反映出的諸如設(shè)備故障、配置錯誤、系統(tǒng)警告、應(yīng)用程序出錯、傳播違規(guī)違法信息、數(shù)據(jù)庫敏感操作等信息，并能及時通過郵件或短信方式通知管理員。4.3.3、事件檢索功能LogBase日志管理審計系統(tǒng)根據(jù)不同的日志種類進(jìn)行不同的格式化處理，在保留所有日志原始信息的同時將日志根據(jù)字段進(jìn)行分割處理。用戶在檢索日志時，可以根據(jù)日志的類型，字段內(nèi)容進(jìn)行精細(xì)匹配，如：日志源IP、日志生成時間、任意字段內(nèi)容等；從而實現(xiàn)日志的快速準(zhǔn)確定位；同時還支持不限次數(shù)的多重條件查詢規(guī)則設(shè)定，支持的操作符有：>、<、=、不等于、包含、開閉區(qū)間等等常用邏輯運算符；支持跨日志查詢，管理員能夠通過設(shè)定規(guī)則條件，對日志進(jìn)行精確定位匹配。4.3.4、綜合審計報表功能LogBase日志管理審計系統(tǒng)擁有強(qiáng)大的報表功能，內(nèi)置能夠滿足不用客戶審計需求的安全審計報表模板，支持自動或手工方式生成日志審計報表，審計報表還可以根據(jù)各行業(yè)審計需求、國家法律法規(guī)相關(guān)要求進(jìn)行專門設(shè)計。支持報表自定義擴(kuò)展；支持柱狀圖、餅圖、折線圖等多種方式對統(tǒng)計數(shù)據(jù)進(jìn)行展示；支持按天、周、月自動周期性生成報表；支持報表自動發(fā)送功能；4.3.5、存儲管理功能LogBase日志管理審計系統(tǒng)支持自動化審計數(shù)據(jù)存儲管理，管理員可以對審計數(shù)據(jù)進(jìn)行手工備份、導(dǎo)出，也可以設(shè)定自動歸檔策略進(jìn)行自動歸檔。手工歸檔、到處審計數(shù)據(jù)；存儲空間不足時自動歸檔并刪除最早數(shù)據(jù)；支持通過FTP、SFTP自動上傳歸檔文件；周期性自動歸檔功能；4.4、產(chǎn)品特點4.4.1、智能的日志歸一化處理對于不同的數(shù)據(jù)源能夠由適配器根據(jù)預(yù)定義的配置，將來自不同數(shù)據(jù)源的日志信息在不丟失信息的前提下轉(zhuǎn)化成格式統(tǒng)一的日志。4.4.2、高效的事件定位能力LogBase日志管理審計系統(tǒng)采用了思福迪公司自主開發(fā)的基于海量日志索引的日志檢索引擎，避免了采用關(guān)系型數(shù)據(jù)庫在處理海量日志數(shù)據(jù)時造成的低效率問題，通過“基于預(yù)測的動態(tài)索引技術(shù)”、“數(shù)據(jù)正交分組技術(shù)”及“適應(yīng)磁盤的索引存儲”“即時結(jié)果反饋技術(shù)”等核心技術(shù)手段，實現(xiàn)了對日志的高速檢索能力。4.4.3、安全的旁路審計模式LogBase日志管理審計系統(tǒng)支持全旁路方式進(jìn)行審計，不在網(wǎng)絡(luò)中串聯(lián)設(shè)備；不在主機(jī)上安裝客戶端軟件；不改變客戶原有的登陸方式，系統(tǒng)進(jìn)行維護(hù)、升級時不會影響到正常業(yè)務(wù)的運行，也不會影響到網(wǎng)絡(luò)性能。4.4.4、可靠的安全保障能力系統(tǒng)底層采用嵌入式Linux系統(tǒng)，系統(tǒng)內(nèi)核已進(jìn)行全面精簡、優(yōu)化，從而在內(nèi)核級別保障系統(tǒng)本身及日志的安全性；采用自主研發(fā)的專有數(shù)據(jù)庫，避免了主流數(shù)據(jù)庫自身帶來的安全問題；系統(tǒng)內(nèi)置安全防火墻系統(tǒng)，可以設(shè)定嚴(yán)格的訪問源，從而避免了絕大部分的無關(guān)流量，進(jìn)一步保障系統(tǒng)本身的安全性；系統(tǒng)對內(nèi)部的管理帳號具有嚴(yán)格的細(xì)粒度的權(quán)限控制，能夠有效防止內(nèi)部管理員的越權(quán)訪問，避免日志數(shù)據(jù)被越權(quán)訪問、惡意刪除；系統(tǒng)內(nèi)部存儲為Raid陣列，即能保障日志信息在設(shè)備內(nèi)的安全存儲需求，又能保障高效的檢索速度；4.4.5、良好的擴(kuò)展性設(shè)計LogBase日志管理審計系統(tǒng)支持在審計管理范圍擴(kuò)大情況下的平滑升級，當(dāng)單臺網(wǎng)絡(luò)探針不能支持大流量的網(wǎng)絡(luò)訪問監(jiān)聽及分析時，可針對不同的訪問源區(qū)域進(jìn)一步增加網(wǎng)絡(luò)探針來分擔(dān)現(xiàn)有壓力；4.4.6、滿足合規(guī)性要求隨著《信息系統(tǒng)安全等級保護(hù)基本要求》以及行業(yè)風(fēng)險管理和內(nèi)控指引的出臺，用戶合規(guī)審計需求日益凸顯。LogBase日志管理審計系統(tǒng)提供了檢查和達(dá)到相關(guān)審計要求技術(shù)方案，有助于完善組織的IT內(nèi)控與審計體系，從而滿足各種合規(guī)性要求，并且使組織能夠順利通過IT審計。五、部署應(yīng)用LogBase日志管理審計系統(tǒng)支持全旁路方式進(jìn)行審計，不在網(wǎng)絡(luò)中串聯(lián)設(shè)備；不在主機(jī)上安裝客戶端軟件；不改變客戶原有的登陸方式。圖5.1LogBase分布式部署示意圖六、結(jié)束語LogBase日志管理審計系統(tǒng)可以幫助企業(yè)管理員隨時了解整