慧眼日志审计系统）.ppt

and and 安全设备管理控制台 密码登录失败… 安全事件不被关注！ 密码猜解 事件次数：1 安全事件：身份验证-登录失败 事件优先级:3 可信度：2 风险：无 关联2次 关联3次 and 60秒内连续15次失败发生 安全事件：身份验证-登录失败 事件优先级:4 可信度：6 风险：低 事件类型：口令猜解 关联4次 关联5次 60秒内连续31次密码登录失败发生 安全事件：身份验证-登录失败 事件优先级:4 可信度：8 风险：低 事件类型：口令猜解 通过5次关联， 直接置事件可靠性由2到8， 同时事件优先级从3到4。 风险事件类型为：密码猜解。 内置风险算法 事件次数：3 安全事件：身份验证-登录失败 事件优先级:4 可信度：4 风险：低 事件类型：口令猜解 样例场景一 安全设备管理控制台 疑似安全攻击事件 在可疑事件发生后，又有文件传输 大量的疑似事件 不被关注 安全设备 疑似安全攻击事件 在可疑事件发生后，又有文件传输 日志审计系统 目标服务器 系统日志事件 内置风险算法 告警 风险 样例场景二 样例场景三 从多种安全事件关联出高危事件！ 传统的安全手段无法发现高危事件！ ? 1、获得全面的日志集中管理，实现海量日志收存查，消除信息孤岛 ； 用户收益 2、获得日志视角的安全管理，发现安全事件，掌握系统安全状况 ； 3、实现ISO27001、等保、分保、行业规定等相关合规审计 ； 4、实现安全事件事后取证定责有依据，强化“不可抵赖”安全特性 5、丰富灵活的报表，为工作汇报、信息安全决策提供可靠数据 ； 产品资质及案例 第三部分 慧眼日志审计产品资质 典型客户 国都兴业信息审计系统技术（北京）有限公司 IT审计，创造信息系统新价值 * 为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、网闸，等等。这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT计算环境及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。 * * * 如图所示，针对不同的审计和保护对象，采取不同的技术手段，就出现了不同类型的安全审计类产品。这些产品名目繁多，用途不一，如果选择一款适用的安全审计系统显得尤为重要。 通过上图，我们可以看出来，基于日志的审计适应性最广，并且是等级保护中二级以上明确要求的内容，而且日志审计能够对最广大的保护对象进行审计，适应面广。而其它审计产品一般都是针对某个具体领域和保护对象的专项审计类产品，适合于在日志审计部署了以后再考虑，作为整体安全审计的有效补充。 * * * * * * */ 58 Captech Co.,Ltd. All Rights Reserved. */ 58 Captech Co.,Ltd. All Rights Reserved. */ Captech Co.,Ltd. All Rights Reserved. */ 58 Captech Co.,Ltd. All Rights Reserved. */ 58 Captech Co.,Ltd. All Rights Reserved. 公司介绍 国都兴业信息审计系统技术（北京）有限公司（以下简称国都兴业），成立于1998年，员工160人，是中国第一家专业从事IT系统审计技术研究与产品开发的企业，北京市高新技术企业战略投资人包括中关村发展集团。公司通过了国际ISO 9000质量管理体系认证，获得了信息安全服务资质认证及相关产品资质认证。 国都兴业推出的“慧眼”信息审计系列产品，能够针对IT基础设施、信息安全、网络应用、数据库应用以及业务操作等方面，提供全方位实时监测和审计，被广泛地应用于企业内部控制、企业风险管理、信息系统安全保障等方面。 国家信息安全中心联合实验室 用户IT现状及面临的问题 慧眼日志审计解决之道 案例及资质介绍 慧眼综合日志审计系统 简介 国都兴业信息审计系统技术(北京)有限公司 用户IT现状及面临的问题 新形势下的IT现状 问题一：各种设备各自为政，如何打破信息孤岛 网络中有各种各样的设备、应用 问题二：监控和审计界面过多，手忙脚乱 海量日志-无法有效管理 信息孤岛-日志无法关联 大量误报-关键告警淹没 多种界面 -高成本低效率 网络设备 服务器/桌面机操作系统 防病毒系统 入侵检测系统 漏洞评估系统 Firewalls Firewalls Firewalls Firewalls Firewalls 防火墙/VPN 安全管理变得复杂难以应