02.18.日志分析服务技术白皮书v2.0.docxVIP

绿盟科技安全服务技术白皮书

日志分析服务

■文档编号

NSF-2014SI

■密级

内部使用

■版本编号

3.0

■日期

2016/9/26

?DATE\@yyyy2016绿盟科技

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属DOCPROPERTYCompany绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经DOCPROPERTYCompany绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。

■版本变更记录

时间

版本

说明

修改人

2014/2/19

V1.0

文档创建、丰富内容

安全服务部

2014/4/25

V1.1

丰富内容

安全服务部

2014/12/12

V2.0

丰富内容

安全服务部

2016/9/26

V3.0

丰富内容

安全服务部

■适用性声明

本文档是主要介绍北京神州绿盟信息安全股份有限公司（以下简称“绿盟科技”）的日志分析服务具体内容和方法，用于客户的相关人员了解绿盟科技的该项服务。

-PAGE\*ROMAN

-PAGE\*ROMANI-

目录

TOC\h\z\t附录1（绿盟科技）,1,附录2（绿盟科技）,2,附录3（绿盟科技）,3,附录4（绿盟科技）,4,标题1（绿盟科技）,1,标题2（绿盟科技）,2,标题3（绿盟科技）,3一.概述 1

1.1基本概念 1

1.2服务的必要性 1

二.服务的实施标准或原则 2

2.1政策文件或标准 2

2.2服务原则 2

三.绿盟科技日志分析服务 3

3.1服务范围 3

3.2服务内容 3

3.3服务方式 3

3.4服务流程 3

3.5服务特点 4

3.6服务报告 5

四.日志分析方法论 5

4.1确定时间分析法 5

4.2确定特征分析法 5

五.相关工具 6

六.为什么选择绿盟科技 6

DOCPROPERTYTitle绿盟科技安全服务技术白皮书

PAGE

-PAGE7-

?DATE\@yyyy2016绿盟科技 密级：内部使用

概述

基本概念

在网络技术快速发展的今天，系统千差万别、应用日趋复杂、网络规模逐步扩大，各种攻击手段日新月异，网络安全事件频发。在遭受到网络攻击后，最重要的任务就是查找当前被攻击系统所存在的漏洞和攻击源，为此，网站应用、操作系统和网络设备等各种资源记录的日志信息为寻找攻击行为和攻击源提供了很大的方便。

绿盟科技提供的日志分析服务是针对日常IT运维、网络安全事件、IT故障等场景，提供分析日志记录来获取相关有价值信息的一种服务措施，其更好的为发现日常安全威胁、快速排查故障、解决处理安全事件提供一种有效的辅助手段。

服务的必要性

所有的网络、系统、应用运行的过程和访问都会记录日志。在日常威胁监控、排查IT故障、处理安全事件时，通过查看日志记录信息可有效发现、解决部分问题，因此，日志记录非常重要，企业应确保进行必要的日志相关配置工作以保证其可操作性，如下：

是否开启了日志记录功能；

是否对日志进行定期备份；

是否配置有日志备份服务器；

定义适当的日志报警级别；

网络安全日志的误报排查；

网络攻击日志需要专业的分析；

大日志的分析

…

服务的实施标准或原则

政策文件或标准

日志管理的合规性政策文件或标准参考如下：

Sarbanes-Oxley（SOX）、COBIT

NISTSP800-66ForHIPAA，FFIECForGLBA

联邦信息安全管理法案（FISMA）NISPSP800-53

美国联邦法的21章Part11ISO17799/27002

北美电器可靠性协会网络安全标准（NERC）

美国联邦金融机构研究委员会的信息安全手册（FFIEC）

GlobalPrivacy2 ISO17799/27001

支付卡行业数据安全标准（PCI-DSS）

…

服务原则

在实施日志分析服务过程中，依据以下的服务原则开展工作：

高效率原则

日志分析重要目的之一就是在短时间内找到故障原因，应该根据故障日期和一定的分析经验来快速定位有价值日志。

准确原则

通过日志分析获取的信息必须是准确无误的。

可控性原则

可控性原则就是日志分析服务中对被分析系统日志的传播范围要能够控制得住。既要全面分析，又不能随意扩算，严格约束接触日志的人员范围，保障日志不被非法传播。

有用性原则

通过日志分析获取的日志信息必须能帮助日常IT运维、排查故障、发现潜在安全问题。

规范性原则

日志分析服务将按照NS