BIT8-5网络的信息系统安全体系-综合审计系统.ppt

综合IT系统运维审计解决方案 企业审计要求——ＳＯＸ审计要求 企业审计要求——ＳＯＸ－AMS对主机／系统审计要求及满足 用户登录退出报告(302条款 (a)-(4)-(C)~ (D)) 用户登录失败报告(302条款 (a)-(4)-(C)~ (D)) 特定文件、目录访问报告 系统开机/关机报告 系统时间修改报告 系统日志修改报告 系统远程登录报告 系统帐号管理操作跟踪 (302条款 (a)-(6)) 审计策略变更跟踪(302条款 (a)-(5)) 用户认证成功/失败报告 应用访问报告(302条款 (a)-(5)) 产品体系结构 产品结构说明 数据接口层 数据接口层实现审计数据的采集及标准化，同时还可以完成与其它日志系统的日志传输及结核。 核心业务层 实现数据的综合分析和关联分析，生成各种审计报表。还提供日志的维护管理，和用户的维护管理。 展示层 展示层以多种报告报表的方式让用户能够从多个角度清楚的洞察系统的运行情况，实现对审计系统的配置管理，实现综合审计和报表展示。 综合审计体系结构 产品功能 产品功能—系统功能 日志采集 日志来源 数据标准化／过滤／归并／压制 日志审计 行为审计 关联分析审计 基于用户实体的行为审计 实时监控 事件响应 操作阻断 审计报表 系统管理 用户管理 用户角色／权限管理 对象管理 采集调度管理 数据备份管理 系统日志管理 系统分级管理 日志采集－审计日志来源 应用系统日志 业务系统 应用服务 标准日志 系统日志文件 安全设备 网络设备 网络流量的日志 网络嗅探 外部系统日志（4A） 集中用户管理日志 集中认证日志 集中授权日志 访问控制日志 单点登录系统 堡垒主机日志 日志采集－全面的获取技术 主机系统审计—ｗｉｎｄｏｗｓ 主机系统审计—ＵＮＩＸ 主机系统审计—安全设备 网络事件审计—网络行为 网络事件审计—数据库 设备支持列表 行为审计是审计内容的重点 关联分析审计 操作行为关联审计 能够将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联，再现用户的操作过程，能够再现所有关键系统数据的访问、修改和删除等。 能够对不规则或频繁出现的事件能进行统计分析、过滤和事件聚合等。 能够支持自定义的安全事件，能检测自定义的安全事件。 能够提供自定义匹配模式便于查询。 事件关联审计 能够将系统层的日志、数据库日志、中间层、应用层的日志、网络数据和用户关联起来，并能够区分不同用户行为，并且将所有事件聚合为对同一用户的事件关联审计。 基于网络实名的审计 系统通过与身份管理系统的结合，将某个账号的操作行为与自然人关联，实现基于网络实名的行为审计； 能够对主机，网络设备，数据库的所有用户指令操作的记录； 高危行为审计 能够对以下数据库高危操作进行审计包括：数据库表的删除、关键数据项的修改及删除等。 能够对以下应用层高危操作进行审计包括：用户数据的修改、关键业务系统配置的修改。 能够对以下高危操作进行审计包括：用户越权访问、用户权限升级、更改口令、新建用户、非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。 能够对以下系统层高危操作进行审计包括：系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、操作服务端口开启、启动后台进程和运行可执行文件等。 实时规则库结合 自定义实时规则 支持多种告警方式 邮件 短信 声音 发送SYSLOG等 支持工单接口 发送工单 状态跟踪 行为阻断 防火墙联动 堡垒主机 应用代理 砖取方式的报表展示 展示：用户选择好纵维和横维后，展示区中显示的内容，即为基本的展示单元或报表单元（参考详细分类报表），用户可点击纵维或横维来展某一分类进行钻取查看。用户也可以直接点击数据字段查看某组事件。 纵轴：按照从整体通过地域或业务系统两种途径精确到IP（人员）。用户可以点击总体一直进入某个具体的IP地址； 横轴：按照多种事件分类方法（事件源特点、级别特点、事件分类）；用户通过任一途径逐级定位到具体事件细节； 审计报表——报表前转 报表前转主要包括两个方面：前转到工单和自动邮件发送。 前转到工单：能将报表通过已有的电子工单系统进行发送和处理 自动邮件发送：报表生成后，系统能自动将生成的报表发送到指定的邮箱 产品功能——报表分类（1） 总体状态报表 此类报告主要面向管理层，便于管理层把握全局业务状态，方便安全运维决策，要求能直观的进行各种操作，并能对报表进行多种层面的预定义。报表支持导航功能，支持个性化报表和个性化报表菜单，能将本期总体状态分析数据和上期（或其他）数据进行对比分析，并且能将分析结果通过详细状况分析统计进行定位。 审计分析平台能直观的查看各业务系统、服务器、终端、人员、安全和网络状态，并且能通过总体状态报告，以钻取的方式定位到各种详细以及趋势报告，并