LogBaseLEC日志管理综合审计系统技术白皮书v36

LogBase日志管理综合审计系统技术白皮书思福迪信息技术有限公司2013Logbase运维安全管理系统技术白皮书页版权说明©版权所有2005-2013，思福迪信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属思福迪公司所有，受到有关产权及版权法保护。任何个人、机构未经思福迪公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。商标信息Safetybase、LogBase均是思福迪公司注册商标，受商标法保护。读者对象本文档适合于各行业信息部门主管、运维相关技术人员、服务人员、内部信息系统审计人员等。适用范围本文档适针对LogBase日志管理综合审计系统V3.6版本编写。获得帮助公司网站：技术支持Email地址：support@获取更详尽的思福迪网络安全专业产品信息、商务信息，您可通过如下方式和我们联系：北京地址：北京市朝阳区安翔路2号光环电信大楼三层邮编：100029电话真州地址：杭州市文一西路75号3号楼6楼邮编：310012电话真海地址：上海市中山西路1878弄凯托大厦2号楼2602室邮编：200233电话真京地址：南京市珠江路5号华利国际大厦3807室邮编：210006电话东地址：广东省天河区龙口中路130号龙威广场A座4层3A18室邮编：510635电话真安地址：西安市高新区科技路50号金桥国际广场A座1-2403室邮编：710068电话真/p>

目录版权说明 2商标信息 2读者对象 2适用范围 2获得帮助 2一、概述 7二、信息安全审计的必要性 7三、信息安全审计目标 9四、LogBase日志管理综合审计系统介绍 114.1、产品概述 114.2、体系结构 114.3、主要功能 124.3.1、日志采集功能 124.3.2、实时分析功能 134.3.3、事件检索功能 144.3.4、综合审计报表功能 144.3.5、存储管理功能 154.4、产品特点 164.4.1、智能的日志归一化处理 164.4.2、高效的事件定位能力 164.4.3、安全的旁路审计模式 174.4.4、可靠的安全保障能力 174.4.5、良好的扩展性设计 174.4.6、满足合规性要求 17五、部署应用 18六、结束语 19一、概述随着计算机网络异常迅猛的发展，网络逐渐成为企业、政府及各种组织的重要信息载体和传输渠道,成为人们日常工作中不可缺少的一部分。网络及其所带来的信息数字化大幅度提高了人们的工作效率，使得海量信息存储和处理成为现实。但是，在享受到网络所带来方便的同时，日益严重的网络信息安全问题，不仅使上网企业、机构及用户蒙受巨大的经济损失，也使国家的安全面临严重威胁。根据计算机安全机构(CSI)等权威机构发布的一组数据：11%的公司发生过资料或网络被破坏的情况；12%的公司发生过内部人员的财务欺骗；14%的公司发生过专利信息被窃取的事件；16%的公司有来自内部未授权的存取行为；31%的公司有员工滥用Internet的现象；专家们通过上面的数据得出这样的结论..超过80%的信息安全隐患是来至组织内部的，这些隐患直接导致了信息被内部人员所窃取和破坏。如何解决组织内部的网络安全已成为摆在每一个单位、企业面前亟待解决的问题。对于一些安全保密性要求较高的单位，例如：军工、涉密企业、政府部门、银行等，如何对内部用户的进行有效管理，防止内部用户越权访问、信息泄密等违规行为发生，以及在相关非法事件发生后,可以对非法事件进行追踪、取证，也变的极为重要。二、信息安全审计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。但是随着时间的流逝，企业逐步发现，传统的以安全产品的叠加为主要安全手段的方式逐渐显示出严重的缺陷，目前面临的主要挑战包括：信息孤岛的问题：各种安全设备，如防火墙、IDS等都是各有侧重的安全产品。但是由于之间缺少信息层互通能力，各自为政，没有达到1+1=2的效果。降低了系统整体的效率，增加了安全事件的发现时间和响应时间。应用及数据风险：企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息安全风险，包括用户非授权访问、管理员误操作、黑客恶意破坏等等，必须实行有效的安全审计手段。系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断。这些异常行为往往会事先在系统及各类日志中有所反映，如果缺乏有效的日志审计手段，就无法及时发现这些安全隐患。缺乏审计能力：安全事故越来越多地被证明是由来自内部的误用、滥用造成的，特别是现代企业extranet使用日益广泛和企业及其供应商合作日益紧密的今天，如何从合法的授权使用中发现非法的行为，成为政府、企事业单位安全管理的关键安全事件定位风险：由于目前的应用系统往往都是相互关联的，一个故障现象，往往要对数台甚至数十台网络设备及主机的日志进行综合分析才能确定真正的故障原因，缺乏有效的统一安全事件审计平台可能导致无法及时进行故障定位甚至错误定位，此外恶意破坏者获得系统权限后可以清理安全日志，从而导致无法正确定位安全日志。海量信息的问题：在实际情况中，各个产品的日志的信息量是十分巨大的，而真正与安全事件有关的比例又是比较小的。那么，如何在海量的数据中检索出有用的信息，而不是靠传统人工的方式完成就成为管理者必须要考虑的问题法律、法规的要求：SOX法案、公安部82号令、等级保护等各类法律法规均对日志、行为审计有明确的要求，确保关键信息系统在可控、可审计状态下运行。三、信息安全审计目标从信息安全风险管理角度来看，针对各类系统的运行日志和用户网络访问行为的审计系统是信息安全保障体系中不可或缺的一部分，信息安全审计系统的目标包括：（1）有效整合现有信息安全产品，形成统一的安全事件管理平台；（2）通过全面的日志及行为分析弥补现有各类技术产品在威胁分析发现方面的不足；（3）为安全事故的责任追查、故障定位提供有力的技术手段。

四、LogBase日志管理综合审计系统介绍4.1、产品概述LogBase日志管理综合审计系统(以下简称LogBase)是思福迪公司自主研发的拥有自主知识产权的专业信息安全审计产品，系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及综合分析功能，实现对信息系统整体安全状况的全面审计。LogBase专注于对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析，是支持分布式、跨平台的统一智能化日志管理及审计设备，可以对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的安全审计。4.2、体系结构LogBase日志管理综合审计系统基于嵌入式Linux系统，采用B/S架构，由日志采集模块、事件检索模块、审计报表模块、综合管理模块四大模块组成。体系结构图如图1.1所示。图1.1LogBase日志管理审计系统体系结构4.3、主要功能4.3.1、日志采集功能LogBase日志管理审计系统基于对多种平台、常用协议及多类应用系统的深入分析，运用多种灵活的、安全的、可靠的采集手段，采集主流的网络设备、安全设备、操作系统日志、主流数据库、应用系统日志，并进行分类、归并、过滤等处理，进行格式化和统一的存储。真正实现全面的、统一的日志管理审计系统平台。4.3.2、实时分析功能LogBase日志管理审计系统自带基于日志内容分析的专家规则库，针对日志源数据进行实时等级划分，智能分析日志信息中所反映出的诸如设备故障、配置错误、系统警告、应用程序出错、传播违规违法信息、数据库敏感操作等信息，并能及时通过邮件或短信方式通知管理员。4.3.3、事件检索功能LogBase日志管理审计系统根据不同的日志种类进行不同的格式化处理，在保留所有日志原始信息的同时将日志根据字段进行分割处理。用户在检索日志时，可以根据日志的类型，字段内容进行精细匹配，如：日志源IP、日志生成时间、任意字段内容等；从而实现日志的快速准确定位；同时还支持不限次数的多重条件查询规则设定，支持的操作符有：>、<、=、不等于、包含、开闭区间等等常用逻辑运算符；支持跨日志查询，管理员能够通过设定规则条件，对日志进行精确定位匹配。4.3.4、综合审计报表功能LogBase日志管理审计系统拥有强大的报表功能，内置能够满足不用客户审计需求的安全审计报表模板，支持自动或手工方式生成日志审计报表，审计报表还可以根据各行业审计需求、国家法律法规相关要求进行专门设计。支持报表自定义扩展；支持柱状图、饼图、折线图等多种方式对统计数据进行展示；支持按天、周、月自动周期性生成报表；支持报表自动发送功能；4.3.5、存储管理功能LogBase日志管理审计系统支持自动化审计数据存储管理，管理员可以对审计数据进行手工备份、导出，也可以设定自动归档策略进行自动归档。手工归档、到处审计数据；存储空间不足时自动归档并删除最早数据；支持通过FTP、SFTP自动上传归档文件；周期性自动归档功能；4.4、产品特点4.4.1、智能的日志归一化处理对于不同的数据源能够由适配器根据预定义的配置，将来自不同数据源的日志信息在不丢失信息的前提下转化成格式统一的日志。4.4.2、高效的事件定位能力LogBase日志管理审计系统采用了思福迪公司自主开发的基于海量日志索引的日志检索引擎，避免了采用关系型数据库在处理海量日志数据时造成的低效率问题，通过“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”“即时结果反馈技术”等核心技术手段，实现了对日志的高速检索能力。4.4.3、安全的旁路审计模式LogBase日志管理审计系统支持全旁路方式进行审计，不在网络中串联设备；不在主机上安装客户端软件；不改变客户原有的登陆方式，系统进行维护、升级时不会影响到正常业务的运行，也不会影响到网络性能。4.4.4、可靠的安全保障能力系统底层采用嵌入式Linux系统，系统内核已进行全面精简、优化，从而在内核级别保障系统本身及日志的安全性；采用自主研发的专有数据库，避免了主流数据库自身带来的安全问题；系统内置安全防火墙系统，可以设定严格的访问源，从而避免了绝大部分的无关流量，进一步保障系统本身的安全性；系统对内部的管理帐号具有严格的细粒度的权限控制，能够有效防止内部管理员的越权访问，避免日志数据被越权访问、恶意删除；系统内部存储为Raid阵列，即能保障日志信息在设备内的安全存储需求，又能保障高效的检索速度；4.4.5、良好的扩展性设计LogBase日志管理审计系统支持在审计管理范围扩大情况下的平滑升级，当单台网络探针不能支持大流量的网络访问监听及分析时，可针对不同的访问源区域进一步增加网络探针来分担现有压力；4.4.6、满足合规性要求随着《信息系统安全等级保护基本要求》以及行业风险管理和内控指引的出台，用户合规审计需求日益凸显。LogBase日志管理审计系统提供了检查和达到相关审计要求技术方案，有助于完善组织的IT内控与审计体系，从而满足各种合规性要求，并且使组织能够顺利通过IT审计。五、部署应用LogBase日志管理审计系统支持全旁路方式进行审计，不在网络中串联设备；不在主机上安装客户端软件；不改变客户原有的登陆方式。图5.1LogBase分布式部署示意图六、结束语LogBase日志管理审计系统可以帮助企业管理员随时了解整