SecFoxLASv日志审计系统介绍

1、SecFox-LAS日志审计系统介绍Revision 2SOC事业部Executive Overview of SecFox-LAS Log Analysis and Audit System2目录当前面临的挑战安全审计的发展现状与趋势我们的解决方案帮助企业解决什么问题案例分析系统部署和实施方案产品价值和优势3当前面临的挑战监控和审计界面过多、手忙脚乱！4当前面临的挑战无法迅速定位问题点当前面临的挑战5信息系统安全等级化保护基本要求二级以上ISO27001:2005 4.3.3小节商业银行内部控制指引第一百二十六条银行业金融机构信息系统风险管理指引第四十六条证券公司内部控制指引第一百一十七条互

2、联网安全保护技术措施规定第八条萨班斯（SOX）法案第404款国家和行业法律法规都有安全审计的要求！6当前面临的挑战网络基础设施和安全基础设施建设基本完成复杂的计算环境计算环境管理的孤岛，各自为政审计成本居高不下，审计效率难以提升国家法规(等保)、行业规定(内控)的要求SecFox-LAS!7我们真正需要的是?全网资源的统一监控与审计提供容易使用且单一管理控制台能够对全网的安全状况进行审计提供集中化监控、审计、告警、分析及报表管理功能异常和违规行为追踪降低事件误报率提供可视化的审计手段仅需投入少量资源可以得到最大效益符合国家和行业的审计要求8目录当前面临的挑战安全审计的发展现状与趋势我们的解决方

3、案帮助企业解决什么问题案例分析系统部署和实施方案产品价值和优势9安全审计的发展现状与趋势技术实现方式网络审计主机审计终端审计数据库审计日志抓包Agent每种技术手段各有优劣势适应性最广，是等保的基本要求多用于网络审计和用户上网行为审计也用于数据库审计主要用于终端审计应用审计审计/保护对象10安全审计的发展现状与趋势关于日志审计日志审计是基础日志审计的扩展性好、适用性强安全审计与等级化保护的结合二级以上都要有日志审计三级或者重点安全域要有针对性的部署专门的审计系统四级要部署安全管理中心综合安全审计是未来发展趋势日志审计的技术发展趋势传统的日志审计注重的是日志的存储、基于数据库技术的日志查询和统计

4、问题：缺少对不同设备产生的日志的关联分析，因而难以发现隐藏的威胁和违规行为新型的日志审计更加注重日志实时关联分析在内存中进行事件归并事件追踪：一查到底、及时发现违规和入侵更加强调审计的闭环：发现问题后要能够处理问题告警联动11公安部新的产品评测标准中，增加了日志关联分析评测指标项12关于数据库审计可以通过日志审计或者抓包审计的方式去做具体要根据客户需求来定日志审计：审计内容和粒度可以很细需要数据库打开日志配置项，对性能有一定影响数据库日志与OS日志、应用系统日志综合分析，进行行为追踪抓包审计：旁路部署，不影响被审计的数据库无法审计加密信息无法审计真正的用户行为，缺少行为追踪审计的效果不一定明显

5、无法审计触发器和存储过程的内容SecFox-NBA网络行为审计系统（业务审计型）SecFox-LAS日志分析与审计系统13目录当前面临的挑战安全审计的发展现状与趋势我们的解决方案帮助企业解决什么问题案例分析系统部署和实施方案产品价值和优势基础设施层应用层业务层三个层面 三个维度 安全医生安全管家安全顾问全面可管理的信息安全体系安全决策安全监控安全分析源于联想 网御神州15SecFox安全管理解决方案16SecFox安全审计解决方案SecFox-NBA（上网审计型）SecFox-EPS终端审计信息可视化、关联分析SecFox-NBA（业务审计型）SecFox-LAS日志审计17目录当前面临的挑战

6、安全审计的发展现状与趋势我们的解决方案帮助企业解决什么问题案例分析系统部署和实施方案产品价值和优势18帮助用户解决什么问题？统一日志监控与安全审计平台实时安全日志分析网络流量异常审计海量日志集中存储实时告警、应急响应整体安全审计报表报告符合等级保护要求的安全审计19统一安全审计平台：态势感知审计监控频道，可以自由切换。面向业务链的审计统一安全审计平台：频道定制20监控频道的布局可以定制，频道显示的内容也可以定制21统一安全审计平台：实时统计22统一安全审计平台：综合审计审计日志类型审计日志内容（主要）Windows操作系统账户日志特权使用日志详细跟踪日志审核系统日志文件操作日志：指定目录下的文

7、件/子目录修改、删除日志操作系统性能日志Unix操作系统（含Solaris, HP-UX, Linux, AIX等）服务启停日志帐户日志su日志MODEM活动日志、FTP会话、Web访问日志防火墙、VPN安全规则日志IDS阻断日志连接阻断/通过日志代理日志、IDS日志、VPN日志用户认证日志内容过滤日志病毒过滤日志设备状态日志、HA日志、设备性能日志交换机/路由器操作日志设备状态日志设备故障日志、设备性能日志入侵检测系统入侵告警日志系统规则库升级日志防病毒系统病毒日志、攻击日志防病毒系统配置变更日志病毒扫描日志病毒库升级日志应用系统安全账户日志QQ使用日志、MSN使用日志常见网络病毒、常见网络

8、游戏常见P2P下载日志远程登录FTP登录和注销日志Telnet登录和注销日志WEB服务器IIS日志Apache日志通用日志Syslog日志Snmp trap日志Netflow日志统一安全审计示例：windows审计23统一安全审计示例：应用安全审计2425实时安全日志分析审计场景自由切换，自由定义在内存中进行日志分析实时日志分析：事件追踪26点击查看明细点击放大事件追查事件追溯事件趋势27网络流量异常审计基于NetFlow技术对网络流量进行审计和比较分析28实时告警、应急响应、设备联动可以与各种第三方的网络设备、安全设备进行策略联动，形成管理的闭环丰富的响应方式29响应方式说明设置告警属性设置

9、通过规则引擎生成的关联事件的告警属性运行参数应用程序脚本运行用户指定的某个程序的CLI脚本，并能够将告警属性作为参数传递给CLI程序设备联动自动执行一组针对第三方网络设备或者安全设备的联动指令发送电子邮件发送一封电子邮件给指定人发送SNMP Trap发送SNMP trap信息到指定IP发送一个事件到网管系统例如发送给HP OpenView NNM发送一个事件到服务台系统例如发送给HP Service Desk，或者BMC30整体审计报表自动生成周报、月报、季报，并自动投递报表给管理员31符合等级保护要求的安全审计在信息系统等级保护基本技术要求中，从第二级开始，针对网络安全、主机安全、应用安全都

10、有明确的安全审计控制点在等保的管理要求中，“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储在等保的管理要求中，从第三级开始提出了“监控管理与安全管理中心”的控制点要求符合等级保护要求的安全审计32符合等保要求的实时审计场景和审计报表模板33目录当前面临的挑战安全审计的发展现状与趋势我们的解决方案帮助企业解决什么问题案例分析系统部署和实施方案产品价值和优势源于联想 网御神州34典型案例1：某电信运营商日志审计项目作为运营商，其网络核心的交换机、路由器以及防火墙等产生的日志量相当巨大。SecFox-LAS凭借其8000EPS的事件分析性能很好的对巨量日志进行审计，SecFox-LAS

11、利用其特有的数据存储机制使得日存储日志量达到30GB。系统有效实现了电信运营商日志审计的要求现在处于运维阶段，不断添入了新的防火墙、漏扫等日志的审计。“网御神州的日志审计系统在分析性能和日志存储方面表现优异，系统运行稳定，达到了我们运营商对日志审计的要求。” 运营商安全审计项目经理源于联想 网御神州35典型案例2：某市政务网日志审计项目该政务网是网监认定的等级保护三级单位。通过部署SecFox-LAS日志审计系统，实现了等级保护三级要求对日志审计的规定，包括：网络安全审计：设备运行状况、网络流量主机安全审计：资源异常使用、重要操作记录、文件删改应用安全审计：应用访问日志“通过网神日志审计系统的

12、使用，使得我单位能够较好的满足等级保护三级要求中对日志审计的规定，并且搭建了一个安全管理平台，实现了对安全审计的集中管理。” 信息中心主任36目录当前面临的挑战安全审计的发展现状与趋势我们的解决方案帮助企业解决什么问题案例分析系统部署和实施方案产品价值和优势37部署和运行源于联想 网御神州38产品性能优化配置下每秒采集事件性能超过30000条优化配置下达到15000EPS（事件每秒）的事件分析性能；事件存储量仅取决于系统所用存储空间大小；控制台登录管理中心的用户最大并发连接数：50个事件采集器对于所在主机和服务器的CPU利用率占用：2%源于联想 网御神州39系统简介：系统自身健康监控产品组成与

13、系统功能40安全日志审计系统SecFox-LAS企业版v3.0基本包软件型等级保护包节点许可SecFox-LAS-1R硬件型SecFox-LAS-2R基础管理平台审计总控台设备管理日志查询流量分析告警管理报表管理等级保护包41系统简介：运行环境(软件型)SecFox管理中心平台支持的操作系统系统配置WindowsWindows 2000 Server / Advanced ServerWindows Server 2003系列Windows XP Professional-最低Pentium 4 2.93GHz CPU，推荐使用Intel Pentium Xeon 1.6GHz以上CPU-至少

14、1GB内存，推荐2GB-200GB磁盘空间1LinuxRedhat Enterprise Linux AS3Redhat Enterprise Linux AS4-最低Pentium 4 2.93GHz CPU，推荐使用Intel Pentium Xeon 1.6GHz以上CPU-至少1GB内存，推荐2GB-200GB磁盘空间2事件传感器（可选）事件传感器运行在安装了Windows系列操作系统的主机和服务器上。Web控制台平台支持的操作系统系统配置WindowsMicrosoft Windows 2000 系列Microsoft Windows 2003系列Microsoft Windows

15、XP系列-最低Pentimu III 1.1GHz CPU-至少256M内存-1G磁盘空间-16位真彩，建议分辨率为1024768以上-Internet Explorer 6.0以上1 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。2 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。系统简介：运行环境(硬件型)42型号规格指标SecFox-LAS-R1-1U标准机架式-采集事件性能超过7000EPS，事件处理性能达到4500EPS-自带1TB热插拔硬盘，支持Raid，硬盘容量可以扩展SecFox-LAS-R2-2U标准机架式，支持冗余电源-采集事件性能超过30000EPS

16、，事件处理性能达到15000EPS-自带2TB热插拔硬盘，支持Raid，硬盘容量可以扩展-支持外接存储，例如DAS、NAS、SAN等；支持光纤接口硬件型产品不按照日志采集节点数发放许可，不限审计节点数，支持的节点数仅受限于硬件平台的性能！大大降低用户的总拥有成本43目录当前面临的挑战安全审计的发展现状与趋势我们的解决方案帮助企业解决什么问题案例分析系统部署和实施方案产品价值和优势44价值和优势完全自主开发，针对中国客户需求和管理习惯强调全网以业务为主线的整体安全审计统一安全审计平台，扩展性强，适应未来发展的需求45价值和优势区别于普通日志审计的5大特点强调实时分析与审计普通日志审计的都是基于数

17、据库的查询审计，SecFox-LAS是内存中审计，速度快、效率高、更准确、更实时SecFox-LAS具有丰富的审计场景，并且可以自由定制强调整体审计具有异常流量审计功能对NetFlow数据流的分析和审计超强的事件采集能力最高达到30000+ EPS（事件每秒）全面符合等级保护的要求，协助用户进行等级保护源于联想 网御神州46产品荣誉863科研成果，完全自主研发，申请三项专利拥有齐全的产品资质产品推出至今发展到3.0版本，稳定可靠，拥有大量的用户群CCID统计SecFox 2007年销量排名第一47产品获奖SecFox安全管理平台荣获“2006年电子信息技术创新应用奖”/topics/12/2007-04-12/481.shtml 48产品获奖荣获2007-2008中国安全管理平台（SOC）市场年度成功企业大奖 49从LAS升级到SIM：协同防御平台ALERT!ALERT!ALERT!ALERT!ALERT!海量日志数据 孤岛防御大量的误报单点防御机制面临挑战！50事件可视化是指SecFox-SIM将归一化和关联分析后的事件、威胁等以图形的形式形象的展