泰合TSOC-SA日志审计系统概要介绍

1、泰合TSOC-SA日志审计系统概要介绍An Executive Overview to TSOC-SA目录日志审计需求分析产品特点与价值其它功能介绍2泰合TSOC-SA日志审计系统介绍服务优势从日志到日志审计日志是对信息系统产生的事件的记录，包括了构成信息系统的主机、网络、安全设备或系统、应用等通过日志可以了解信息系统的运行状况通过分析信息系统的安全日志可以检验信息系统安全机制的有效性日志审计3日志审计的作用最朴素的需求：“一旦出了问题要能够提取相关的日志，为事后调查提供依据”安全审计通过收集存储网络上所有软硬件设备产生的日志、审计信息，根据策略进行存储，为事后取证提供依据对所收集的信息进行汇

2、总、分析、报警，对安全问题进行挖掘，提供各种报表，帮助管理员更好的掌握网络情况4日志审计的必要性5Verizon：2013年数据破坏调查报告Verizon联合世界18家信息安全机构进行的一项全球调查从47000件安全事件中提取并详细分析了621起数据破坏事件，涉及4480万笔泄漏的信息日志审计的必要性6Verizon：2013年数据破坏调查报告Verizon认为：要缓解信息破坏和信息泄露，必须进行日志审计20项关键安全控制措施日志审计的必要性7SANS：2012年度日志管理调查报告采访了600多位涵盖大中小企业的专业人士，他们都认为必须进行日志审计日志审计的必要性8SANS：2012年度日志管

3、理调查报告收集日志的原因排行检测/追踪来自内部/外部的可疑行为取证与关联分析阻止突发安全事件日志审计的必要性：合规性要求法律法规相关条款与日志审计相关的主要内容信息系统安全等级化保护基本要求对于网络安全、主机安全和应用安全部分从二级开始，到四级都明确要求进行日志审计。ISO27001:2005 4.3.3记录控制记录应建立并加以保持，以提供符合ISMS要求和有效运行的证据。企业内部控制基本规范第四十一条企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。（注：间接要求安全审计）企业内部控制应用指引第六条对于必需的后台操

4、作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。企业应当在信息系统中设置操作日志功能，确保操作的可审计性商业银行内部控制指引第一百二十六条商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。银行业信息科技风险管理指引第二十五条对于所有计算机操作系统和系统软件的安全，在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。第二十六条对于所有信息系统的安全，以书面或者电子格式保存审计痕迹；要求用户管理员监控和审查未成功的登录和用户账户的修

5、改。第二十七条银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。证券公司内部控制指引第一百一十七条证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能。证券公司信息系统日志应至少保存15年。保险公司信息系统安全管理指引（试行） 第三十一条（要求）形成网络接入日志并定期审计第四十三条根据内部控制与审计的要求，保存信息系统相关日志，并采取适当措施确保日志内容不被删除、修改或覆盖。第四十四条对主机系统进行审计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。互联网安全保护技术措

6、施规定（公安部82号令）第八条记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能。9项目等级保护第三级安全审计具体要求7.1 技术要求7.1.2 网络安全 安全审计（G3）a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息；c)应能够根据记录数据进行分析，并生成审计报表；d) 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 入侵防范（G3）b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。7.

7、1.3 主机安全 安全审计（G3）a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 应能够根据记录数据进行分析，并生成审计报表；e) 应保护审计进程，避免受到未预期的中断；f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。7.1.4 应用安全 安全审计（G3）a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；c) 审计记录的内容至少应包括事件的日期、时间、发起者

8、信息、类型、描述和结果等；d) 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。7.2 管理要求7.2.5 系统运维管理 监控管理和安全管理中心（G3）a) 应对通信线路、主机、网络设备和应用软件的运行状况、网络流量、用户行为等进行监测和报警，形成记录并妥善保存b) 应组织相关人员定期对监测和报警记录进行分析、评审，发现可疑行为，形成分析报告，并采取必要的应对措施；c) 应建立安全管理中心，对设备状态、恶意代码、补丁升级、安全审计等安全相关事项进行集中管理。日志审计的必要性：等级保护要求10当前日志审计系统面临的挑战审计层面防火墙日志IDS日志主机日志数据库日志WEB日志路由器日

9、志交换机日志网络审计系统日志终端管理系统日志防病毒日志11日志分散日志格式不统一日志量大我们需要一个怎样的日志审计系统？ 海量日志数据的集中管理 日志格式标准化 事前预警、事中监控和事后分析 综合安全审计和展示 对日志进行生命周期管理 符合政策、法规的规范性要求12目录日志审计需求分析产品特点与价值其它功能介绍13泰合TSOC-SA日志审计系统介绍服务优势综合日志审计应用系统日志审计主机、数据库日志审计安全设备和系统日志审计网络系统日志审计TSOC-SA日志审计系统：综合审计14领导安全主管审计人员掌握整体安全态势审核等保与内控评估安全有效性建立全局安全策略出具日志审计报告分析安全问题制定审计

10、规则采集和存储日志执行日志审计SyslogTrapOPSECFileWMIFTPODBCXML系统总揽15异构海量日志采集日志范式化与分类日志过滤归并关联分析告警存储加密压缩备份恢复监视统计查询追溯报表系统结构审计数据源业务层应用层关联分析引擎查询引擎高性能海量存储代理存储节点存储节点存储节点综合展示资产管理日志审计规则管理告警管理报表管理权限管理系统配置知识配置采集器管理日志维护应用层接口实时分析历史分析信息可视化日志采集层日志范式化多协议采集网络设备安全设备主机数据库中间件应用/服务存储日志过滤日志归并日志存储转发日志聚合引擎实时事件流Syslog、SNMP Trap、FTP、OPSEC

11、LEA、NETBIOS、ODBC、WMI、Shell脚本、VIP、Web Service等日志存储用户界面日志分析日志分类日志采集16系统组成审计中心指TSOC-SA的管理中心审计中心内置事件采集模块，具备全部事件采集功能日志采集器日志采集器可以独立安装运行，功能同审计中心中的采集模块，用以辅助审计中心解决特定日志采集、分布式日志采集和负载均衡等问题日志代理对于Windows日志，系统还提供一个单独的Windows日志代理软件，可以安装在Windows系统的主机上，采集Windows系统的日志17功能规格TSOC-SA资产管理日志审计规则管理告警管理报表管理系统管理综合展示18Internet

12、业务系统服务区网络核心区内部用户区高安全等级服务区分支机构远程个人管理区DMZ区Internet典型部署：单级采集分布式部署19采集器采集器采集器采集器采集器图示TSOC-管理中心TSOC-分布式采集器汇聚线路采集线路审计中心审计中心双机热备（限于硬件型号）20支持HA双机热备部署，以避免单点故障隐患，最大程度满足运维的可靠性和连续性。HA双机热备部署由两个节点组成，分为主机节点和备机节点，主备之间通过心跳线进行主备状态监测和数据实时同步，主机节点一旦断开，备机节点会立刻启动，无需人工干预，从而实现业务的不间断运行产品型号21平台支持的操作系统系统需求WindowsWindows Server

13、 2008 R2 Enterprise Windows Server 2003 Enterprise Edition SP2Windows 7 Enterprise64位操作系统最低Intel酷睿双核CPU，推荐使用Intel 至强4核以上CPU至少4GB内存，推荐16GB以上内存1TB以上磁盘空间LinuxRedhat Enterprise Linux6.3CentOS 6.364位操作系统最低Intel酷睿双核CPU，推荐使用Intel 至强4核以上CPU至少4GB内存，推荐16GB以上内存1TB以上磁盘空间TSOC-SA软件型所需运行环境如下：TSOC-SA软件型产品型号22型号规格指标

14、TSOC-SA21002U标准机架式，专用硬件平台和安全操作系统单台日志处理性能可达3000EPS*（约合每天130GB*）6个千兆电口，支持多端口采集；1个Console口 有效存储容量2TBTSOC-SA51002U标准机架式，带冗余电源，专用千兆硬件平台和安全操作系统单台日志处理性能可达6000EPS*（约合每天260GB*）4个千兆电口，支持多端口采集，可再扩展16个千兆采集口（电口/光口），1个Console口标配采用Raid5，有效存储容量3TBTSOC-SA硬件型审计中心TSOC-SA硬件型审计中心有两种型号可供选择：*该数值是指每日平均的EPS数。此时没有部署分布式日志采集器。

15、*该数值假设每条日志占用的综合存储空间为500Byte。综合存储空间是指日志范式化后占用的存储空间字节数，原始日志占用存储空间字节数，为日志建立索引所需的存储空间字节数，以及日志统计表存储空间字节数的总和。产品型号23型号规格指标TSOC-CL16001U标准机架式，专用硬件平台和安全操作系统单台日志处理性能可达4000EPS*（约合每天170GB*）6个千兆电口，支持多端口采集；1个Console口 有效存储容量1TBTSOC-SA硬件型日志采集器TSOC-SA硬件型日志采集器有一种型号可供选择：*该数值是指每日平均的EPS数。*该数值假设每条日志占用的综合存储空间为500Byte。综合存储

16、空间是指日志范式化后占用的存储空间字节数，原始日志占用存储空间字节数，为日志建立索引所需的存储空间字节数，以及日志统计表存储空间字节数的总和。目录日志审计需求分析产品特点与价值其它功能介绍24泰合TSOC-SA日志审计系统介绍服务优势产品特点高性能的日志管理技术架构高适应性日志采集详尽的日志范式化与日志分类基于策略的安全事件分析集中化的日志综合审计可视化日志审计丰富灵活的报表报告用户网络和业务影响性最小化完善的系统自身安全性保证与启明星辰安全管理平台无缝融合25高性能的日志管理技术架构海量异构日志采集日志范式化与分类过滤归并实时事件流关联分析实时安全监视备份/恢复N压缩/加密存储，压缩比可达2

17、0：1日志查询数据聚合聚合事件库统计报表入库均值为15000EPS2报表源数据来自于统计事件库，极大提高生成速度分布式查询技术提升查询效率；2000万条日志中查询响应时间不超过10秒4分布式数据库存储126TB级数据在线存储3高适应性日志采集TSOC-SA日志采集支持多种审计数据源和日志类型支持多种采集协议支持分布式日志采集27支持多种审计数据源28设备类型厂商或产品交换机Cisco、Extreme、Juniper、博科、华为、H3C、神州数码、锐捷路由器Cisco、Extreme、Juniper、华为、H3C、神州数码、锐捷防火墙/UTM/USG启明星辰、网御星云、Cisco、Juniper

18、 Netscreen、飞塔、Checkpoint、Nokia、Bluecoat、天融信、东软、方正科技、网御神州、亿阳信通、中科网威、中网、阿姆瑞特、卫士通、H3C、迪普、山石VPN网御星云、天融信、Array、Juniper网闸网御星云、国保金泰、鸿瑞、南瑞IDS/IPS/IDP启明星辰、网御星云、Cisco、McAfee、IBM、Snort、Tipping Point、绿盟、东软、H3C、天融信、安氏、三零盛安、网御神州、理工先河防病毒Symantec、TrendMicro、McAfee、瑞星、金山、江民、冠群金辰Anti-DDoS网御星云、绿盟WAF启明星辰、Imperva、绿盟、中创I

19、nfoGuard负载均衡设备F5、信安世纪安全审计系统启明星辰、复旦光华、汉邦、格尔、中软、三零盛安操作系统IBM AIX 、HP-UX 、Microsoft Windows、Solaris BSM、Linux及其变种数据库Oracle、SQL Server、DB2、MySQL、Informix、Sybase、国产数据库中间件Weblogic、WebShpere、JBoss、Apache、Tomcat、Domino业务系统各种客户自有的业务系统（需要定制）其它Syslog日志源、SNMP Trap日志源对审计数据源的扩展机制日志解析文件编写日志解析文件提取日志格式获得日志样本/格式导入TSOC

20、-SA获悉通讯协议方式配置日志源未知设备类型进行日志采集无需编程，仅需通过写XML解析文件即可采集新设备类型的日志129SyslogSNMP TrapFTP Server主被动结合的多协议日志采集防火墙/UTM防病毒系统IDSWindows主机数据库中间件/应用*nix主机网络设备网络审计系统/4A终端安全文件共享WMIODBCOPSEC LEA私有协议被动采集为主主动采集为辅嵌入采集（如有必要）日志代理30日志采集器日志采集器分布式日志采集：日志采集器TSOC-SATSOC-SA31在双Intel XEON 4核CPU，8GB内存，64位操作系统下，采用分布式日志采集器部署模式时，事件处理性

21、能可达平均15000EPS在双Intel XEON 4核CPU，8GB内存，64位操作系统下，采用单一部署模式时，事件处理性能可达平均6000EPSTSOC-SA日志审计系统可以进行级联转发在单Intel XEON 4核CPU，8GB内存，64位操作系统下，事件解析性能可达平均6000EPS详尽的日志范式化与日志分类范式化字段可以自定义扩展启明 IDS日志Dec 07 2011 22:18:55 30 : %PIX-4-106023: Deny tcp src outside: 211.137.43 .182 /3158 dst inside: 21.7 .255.217 / 445evt_s

22、end: evtip:1;evtname:UDP_MS-SQL_SLAMMER_蠕虫病毒;eid:152345450;counts:1;se:30;rspmode:81925;secutype:6;proto:UDP;sr:2;dest:3;sport:1176;dport:1434;smac:00-23-89-35-54-f0;dmac:00-23-89-35-54-f0;param:;设备名称设备地址事件名称源IP目的IP源端口目的端口启明 IDSPIX FWPIX 防火墙日志3023 143444521.7 .255.217211.137.43 .182DenyUDP_MS-SQL_SL

23、AMMER_蠕虫病毒11763158日志分类入侵攻击1范式化后事件通过日志范式化统一日志描述，提高日志分析效率32访问控制基于策略的安全日志分析33基于策略的日志分析就像地图的图层，只展现出用户关心的信息用户可以通过丰富的日志分析策略对全网的安全日志进行全方位、多视角、大跨度、细粒度的实时监测、统计分析、查询、调查、追溯、地图定位、可视化分析展示，等等策略D策略C策略B策略A基于策略的安全日志分析34用户可以自定义日志分析策略，系统具备超过3300条策略库不同的日志分析策略可以任意组合成为仪表板视图实时监视策略可以从设备、厂商、事件类型等多个维度进行实时的事件分析可以对事件进行地图定位、行为分

24、析、调查、追溯实时统计策略可以从设备、厂商、事件类型等多个维度进行实时事件的统计分析历史统计策略可以从设备、厂商、事件类型等多个维度进行历史事件的统计分析历史查询策略可以从设备、厂商、事件类型等多个维度进行历史事件查询分析用户的日志分析体验过程由过去的“条件编辑”转变为“策略选取”日志综合审计：分角色用户视图全网IT资源TSOC-SA日志审计平台不同角色的审计人员和领导具有自己的用户视图35领导安全主管审计人员全网的安全日志审计掌握整体安全态势审核等保与内控评估安全有效性建立全局安全策略出具日志审计报告分析安全问题制定审计规则采集和存储日志执行日志审计可自定义的综合展示仪表板设定仪表板显示样式

25、设定每块面板显示内容显示内容本身也可以自定义36可视化日志审计37首页日志分类统计仪表板实时事件分时图可视化日志审计38IP地图在线、离线定位事件拓扑图事件多维分析图视网膜分析图丰富的报表报告39灵活的内置报表编辑器用户可以自定义报表，包括报表样式、统计内容、图表形式40对用户网络和业务系统影响性最小化审计对象影响性分析无需安装代理以被动日志采集为主，不会对审计对象发起主动连接，不影响审计对象的现有安全机制网络影响性分析旁路部署，无需修改网络结构，对网络可靠性无影响TSOC-SA硬件产品支持多端口日志采集，减少日志流量的汇聚支持分布式日志采集器部署，日志采集器在上传日志的时候支持数据压缩加密、

26、定时上传，降低对网络带宽的占用，避开网络流量繁忙期41系统自身安全性保证日志采集日志采集器与审计中心之间采用TCP加密通讯（完整性、私密性）日志采集器支持存储转发（可用性）日志存储存储原始日志（完整性）日志加密混淆存储，防止非法访问和篡改（私密性）日志不能修改、删除（完整性）日志定期备份（可用性）系统访问支持HTTPS协议（私密性、完整性）采用基于角色的访问控制机制 用户身份三权分立，内置系统管理员、安全审计员、用户管理员支持双因素认证*支持Radius、LDAP集成*42* 需要定制开发目录日志审计需求分析产品特点与价值其它功能介绍43泰合TSOC-SA日志审计系统介绍服务优势资产管理将审计

27、对象作为资产进行统一管理，并能自动识别和添加资审计对象以可视化的拓扑方式直观展示资产的基本信息、日志信息和告警信息符合国家等级保护的要求，对资产分类描述，并对资产的重要性进行细粒度的赋值可以对网络中的审计数据源资产进行管理。除基本资产信息外，系统提供灵活的资产分类功能，实现对资产的分类管理。系统提供基于拓扑的资产视图，可以按图形化拓扑模式显示资产，并可编辑资产之间的网络连接关系；通过资产视图可直接查看该资产的日志及告警信息。系统能够根据收到的日志的设备地址自动发现新的资产。44基于规则的日志关联分析45可视化关联规则编辑器基于逻辑表达式，所有日志字段都可参与关联基于统计计数，根据日志字段的相同

28、于不同计数历史关联46设置需要分析的历史时间段基于任务模式的历史关联能够对历史事件进行关联规则匹配，发现历史事件中存在的入侵与违规资产关联47基于资产属性的情境关联基于资产类型的情境关联可以将日志中的IP地址与资产名称、资产价值、资产类型、自定义资产标签进行关联实时告警和设备联动48系统支持的告警响应方式响应方式说明事件属性重定义对产生告警的事件的某些属性进行重定义弹出提示框在系统的浏览器管理界面中弹出告警提醒对话框播放警示音在用户的浏览器管理界面中播放警示声音发送电子邮件发送一封电子邮件给指定人，邮件内容可以预定义，并可以医用告警事件的属性发送SNMP Trap发送SNMP trap信息到指

29、定IP发送短信给指定的手机号码发送短信，可以预定义短信内容，并引用告警事件的属性运行参数应用程序脚本运行用户指定的某个程序的CLI脚本，并能够将告警属性作为参数传递给CLI程序设备联动自动执行一组针对第三方设备的联动指令，并可以传递告警属性发送飞鸽给指定联系人发送飞鸽传书发送Syslog给指定IP以syslog协议发送告警49用户管理采用基于角色的权限管理机制三权分立的管理体制细分用户的资源访问权限和功能操作权限用户的帐号和口令加密存放50自身监控管理可以对审计中心的核心服务、数据库、日志采集器、日志代理等关键部件进行持续监控，保障系统自身运行的连续性51内置日志知识52系统内置日志字典表，记录了主流日志ID的原始含义和描述信息，方