01极地日志审计系统技术白皮书摘要.doc

极地综合日志审计系统 技术白皮书 北京市海淀区上地安宁庄西路9号金泰富地大厦8层 电话：010传真：010客服：400-01234-18 邮编：100085 网站： 目 录 1 前 言 1 1.1 适用对象 1 1.2 适合产品 1 1.3 技术支持 1 2 极地日志审计系统 2 3 产品特点 4 3.1 统一日志监控 4 3.2 全面的日志采集手段 5 3.3 丰富的日志类型支持 5 3.4 灵活的部署模式 7 3.5 遵照合规性要求的日志审计 7 3.6 日志归一化分析 8 3.7 高性能日志采集分析与海量存储 9 3.8 可视化日志分析 9 3.9 快速响应 9 4 产品简介 10 4.1 产品组成 10 4.2 功能列表 10 4.3 部署方式 11 4.3.1 单一部署 11 4.3.2 主从部署 11 4.3.3 混合部署 11 4.4 系统自身安全性保证 12 4.5 支持的产品 12 5 产品功能 14 5.1 安全仪表盘 14 5.2 资产管理 14 5.3 实时监视 15 5.3.1 事件趋势分析 15 5.3.2 事件调查 15 5.3.3 事件分配 16 5.4 事件查询 16 5.5 统计分析 16 5.6 态势分析 17 5.7 告警与响应管理 17 5.7.1 告警查看 17 5.7.2 告警规则 17 5.8 报表管理 18 5.9 系统管理 19 5.9.1 系统配置 19 5.9.2 采集引擎管理 19 5.9.3 系统自身健康监视 19 5.9.4 系统日志 19 5.10 权限管理 19 6 产品价值和优势 20 6.1 价值 20 6.2 优势 20  前 言 《极地日志审计系统使用手册》介绍了网络管理系统的操作及使用，涉及如何配置网络管理系统服务器、如何使用WEB控制台对网络设备、安全设备、主机设备、数据库、中间件、服务、链路性能、设备配置以及机房环境进行集中管理。 本手册涵盖了极地日志审计系统的全部功能的使用说明。根据用户购买的产品模块的不同，实际的操作界面可能会与本手册的描述存在差异，请以最终购买的产品模块及其界面为准。 适用对象 本系统适用于系统管理员、企业网络运行维护人员及网络管理的技术支持人员。 适合产品 本手册适合极地日志审计系统。 技术支持 公司主页，透过网站主页为用户及合作伙伴提供技术支持，可在任何地方，任何时间获取实时的网络安全解决方案、安全信息和各种安全资料，并提供远程的产品咨询服务。 极地日志审计系统 当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击，也有来自于企业和组织内部的违规和泄漏。 为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM，等等。这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。 另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。下表简要列举了部分相关法律法规对于日志审计的要求： 法律法规 相关条款 与日志审计相关的主要内容 《信息系统安全等级化保护基本要求》 对于网络安全、主机安全和应用安全部分 从二级开始，到四级都明确要求进行日志审计。 ISO27001:2005 4.3.3记录控制 记录应建立并加以保持，以提供符合ISMS要求和有效运行的证据。 《企业内部控制基本规范》 第四十一条 企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。（注：间接要求安全审计） 《商业银行内部控制指引》 第一百二十六条 商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。 《银行业信息科技风险管理指引》 第二十五条 对于所有计算机操作系统和系统软件的安全，在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。 第二十六条 对于所有信息系统的安全，以书面或者电子格式保存审计痕迹；要求用户管理员监控和审查未成功的登录和用户账户的修改。 第二十七条