日志集中审计_eTrust Audit.pdfVIP

1.1 日志集中审计——eTrust Audit 1.1.1 概述 CA 的 eTrust Audit 是综合安全审计解决方案，它可以有效地收集和分析来自异构服务 器和其它来源的事件数据，使系统管理员能够轻松识别信息系统中潜在的非法操作。 eTrust Audit 收集整个企业范围内的安全和系统审计信息，同时不会像其它审计产品那 样会降低系统性能或造成网络流量阻塞。eTrust Audit 克服了 UNIX/Windows NT 管理障碍， 是一个真正的跨平台安全事件管理解决方案。eTrust Audit 提供的基本审计和分析功能，主 机入侵探测功能，可以帮助客户明显地降低受到来自外界和内部的威胁。 eTrust Audit 自动整合来自运行eTrust Access Control 的多个UNIX 主机和 Windows NT 服务器以及来自 eTrust SSO 和 eTrust Intrusion Detection 的事件数据，并将其存储在中心数 据库中以便方便地进行访问和编写报表。管理员使用 eTrust Audit 监视、报警和报告跨平台 的用户活动信息。有了这些信息，系统管理员将可以在出现可能对关键电子商务系统造成负 面影响的袭击和问题之前，立即做出反应。 1.1.2 体系架构 eTrust Audit 1.5 可在多层体系结构中提供无限灵活的部署方式。分布网络中的每一台计算机 都可以作为客户机加入 eTrust Audit 系统，而网络中的任何用户都可以接收到 eTrust Audit 的告警、电子邮件、和系统状态通知。只要配置正确，那么 eTrust Audit 的各项服务就能通 过防火墙和因特网而传输事件，并通过可选择的加密方法转发审计数据。 eTrust Audit 1.5 的组件包括： 服务——收集和转发审计数据，生成报警驱动和告警。 数据库——存储用于分析和管理的审计数据的事件数据库，存储入侵检测策略的配 置数据库。 图形用户界面： Policy Manager 负责策略管理 Audit Viewer 负责对存储在中央数据库中的审计事件进行显示、排序、和过滤。 并且保存定制过滤程序以供将来使用。 Audit Reporter 可根据事件数据库查看详细的、图形化的报告。 Security Monitor 可以接近实时的方式显示滚动式告警。 附图1. 安全审计体系架构图 eTrust Audit 各个组件间的关系见上图，Policy Manager 、Security Monitor、Audit Router 和日志存放中心数据库根据需要可以安装在一台机器上，也可以不安装在一台机器上。如果 在大型的分布计算机系统上，这些组建应该分开，如上图所示，Audit Policy Manger 和Security Monitor 安装在一台计算机上，数据库单独安装在一台计算机上，并在上面安装 Audit Data Tool，Audit Router 根据地域或者计算机数量部署安装在计算机上。 1.1.3 功能介绍 审计功能和特点 eTrust Audit 将收集整个企业环境下计算机系统、应用系统、数据库系统和安全系统的 系统审计信息， 同时还能避免网络性能降低问题。 eTrust Audit 有效地整合来自 UNIX 、Windows NT/2K 服务器、数据库和应用，以及其 他 eTrust 产品的数据，并把信息保存在 eTrust Audit 的中央数据库，以便进行关联分析、访 问和编写报表。eTrust Audit 集安全策略兼容性、安全性评估、入侵探测、信息风险管理、 安全性审计、信息技术审计和日志管理等特点于一身。系统管理员可以使用这些数据来协调 监控和系统报警工作，并报告跨平台用户的活动信息，从而减少管理审计信息的开支和复杂 性。 跨平台事件管理 eTrust Audit 收集来自异构环境的审计日志，这些环境包括 UNIX 、Windows NT/2000 、 OS/390 和 Oracle， 还有 Netscape 、Apache 等领先的网络服务器，以及通过 API 呼叫和支持 SNMP 的第三方应用环境。对于每天需要处理众多未经授权的访问和恶意侵袭的电子商务