日志审计系统

安全分析,合规审计

日志审计系统
启博日志审计系统能够实时不间断地采集企业中不同厂商不同种类的安全设备,如网络设备、安全设备、服务器、工业主机、嵌入式装置、工业应用系统等产品的日志信息,并进行分析处理,形成安全事件,协助用户进行安全分析及合规审计,及时有效的发现异常安全事件及违规事件。
产品功能
  •  
    数据采集功能
    支持SNMP、ICMP、NMAP、代理程序等主动采集方式,SNMP Trap、Syslog等被动采集方式,以及流量嗅探方式,对网络设备、安全设备、服务器、工业主机、嵌入式装置、工业应用系统等设备的日志数据采集。
  •  
    安全事件分析功能
    产品支持对采集的日志数据进行解析处理,识别分析安全事件类别、等级、威胁和漏洞情况。
  •  
    审计分析功能
    支持日志数据的过滤、归并,剔除冗余、统计、关联分析等安全事件的处理审计工作。
  •  
    流量分析
    支持分析网络中的通信连接信息;支持识别网络中的通信协议特征,包括但不限于:FTP协议、HTTP协议、SMB协议、SMTP协议、POP3协议、IMAP协议、DNS协议、IEC104协议、SSL(TLS)协议;支持分析还原网络中的通信文件信息。
  •  
    异常事件监控告警
    日志审计系统具备对采集到的日志进行实时分析能力,依照系统内置的安全事件规则库,对日志信息进行实时事件匹配和关联分析,并对其中的异常事件、重点关注事件进行多种告警监控,便于安全维护人员及时发现信息系统中的异常状况。
  •  
    日志存储管理功能
    系统将收集来的日志统一安全存储和备份,支持数据的自动或手动备份,根据存储空间进行灵活的管理。备份数据可手工恢复,用作日志回查,保障日志数据的安全。并可以根据自定义策略对日志数据进行自动删除。
产品架构
系统采用组件式分层的逻辑架构,包括:日志采集层、服务层和应用层。

日志采集层

通过多种采集协议,从日志源采集获取日志,并对原始日志信息进行分类、规范化、过滤和归并等预处理,然后转发到服务层进行分析处理;

精细化的网络管理

在集中互联网接入服务中,精细化的流量管理是有效分配带宽资源,合理保障企业的关键业务正常运行。

服务层

系统通过分析引擎,对日志进行关联分析、攻击检测、审计分析和统计分析;通过查询引擎实现日志的快速查询;通过日志聚合引擎实现日志抽取分析;通过高性能日志数据存储代理进行日志数据的存储管理;

应用层

面向系统的用户,提供图形化的操作界面,展现系统的各功能模块;面向系统的使用者,提供一个图形化的显示界面,展现安全审计系统的各功能模块,提供综合展示、资产管理、日志审计、规则管理、监控告警、安全报表、采集管理和系统管理等功能。

产品部署
启博日志审计系统部署在管理网中,一般采用旁路监听模式。
产品优势
  •  
    完备的日志数据采集能力
    本产品支持采集对象的安全数据的主动采集和被动采集方式,采集方式包括Syslog、SNMP、SNMP Trap、ICMP、NMAP、Agent、流量嗅探等方式,以适应广泛的采集对象,快速准确地采集获取安全数据。
  •  
    广泛的采集对象
    本产品支持多种采集对象,包括: 通用主机:采用通用操作系统的服务器、工作站等; 嵌入式主机:采用非通用操作系统或无操作系统的嵌入式装置; 网络设备:包括交换机、路由器等网络通信设备; 安全设备:包括防火墙、纵向加密认证装置、正向隔离装置、反向隔离装置、入侵检测系统(IDS)、蜜罐、web应用防火墙等安全设备等;
  •  
    丰富的日志类型数据支持
    本产品针对采集对象,可采集丰富的数据内容,以支持深入的安全分析。采集的内容包括主机、网络设备和安全设备的日志数据,具体有网络行为、移动介质接入、人工操作、关键文件变更、开放服务、设备运行状态和性能数据等。
  •  
    集中可靠的日志存储
    本系统可以将采集的所有原始日志、事件和告警信息统一存储起来,建立一个企业和组织的集中日志存储系统,实现了国家标准和法律法规中对于日志存储的强制性要求,降低了日志分散存储的管理成本,提高了日志管理的可靠性,消除了本地日志存储情况下可能被抹掉的危险,也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。 本系统在进行数据管理的时候,对数据存储算法进行了充分优化,提供多种日志存储策略,能够方便地进行日志备份和恢复。
  •  
    灵活的安全事件分析
    针对大量不同种类设备的日志,可基于模板方式进行安全事件分析,分析出事件的类型、级别、具体内容等,并支持模板的灵活扩展,以支持更多的安全事件分析。
  •  
    快速查询审计能力
    系统采用优化的基于大量日志索引的日志检索引擎,基于日志数据的特点,从数据存储方式、索引建立和查询分析方面入手,实现了对日志的快速检索能力。
  •  
    强大的流量分析能力
    系统采用功能强大的流量嗅探引擎,可以解析FTP、HTTP、SMB、SMTP、POP3、IMAP、DNS、IEC104、SSL(TLS)等协议,支持分析还原网络中的通信文件信息。
  •  
    系统安全可靠
    启博日志审计系统采用启博自研工业安全操作系统(QBOS),从安全操作系统内核级加固、强身份鉴别、重要数据资源保护等安全机制,建立完善的安全管理体系,保障系统的运行安全、数据安全及安全管理,具有抗攻击能力;
产品价值
本系统是为了能满足企业的日志集中审计需求,针对信息安全事件实现“可发现”、“可处理”、“可审计”、“可度量”,
提升安全管理能力,满足内控管理和合法合规要求。产品价值点主要体现在以下三方面。
全生命周期日志管理
通过本产品,客户能够实现从日志产生、采集、综合分析与审计、到日志存储备份整个日志生命周期管理。通过日志审计系统,协助客户解决网络中日志分散、种类繁多、数量巨大的问题,提升安全运营效率。
日常安全运维的有力工具
对于日常安全运维而言,核心的工作内容就是对IT网络进行持续监测,确保网络、主机、应用、重要信息和人员资产的安全。更具体地说,就是要持续监测并识别针对网络、主机、应用、重要信息和人员资产的性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。
通过本产品客户能够统一收集来自网络中IT资产的日志信息,通过分析日志中的安全事件,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告,成为客户日常安全运维的有力工具。
等级保护等法律法规的遵循保障
本产品在设计时就充分考虑了国家制定的信息系统等级保护制度中对于安全审计的技术要求,能够帮助客户更好地遵从等级保护的审计要求。
以等保三级中关于安全审计的要求为例,本产品能够对基本要求中规定的网络及安全设备、主机、数据库和应用的日志进行统一的采集和存储,协助客户对审计记录数据进行统计、查询、分析,并生成审计报表。对于采集的所有日志记录信息,都记录了日期、时间、类型、主体标识、客体标识和结果等信息,同时原封不动地保存了原始日志信息,对于存储的审计记录,进行了完善的安全保护,避免遭受未预期的删除、修改或覆盖。
应用场景
启博日志审计系统主要应用于政府、公安、金融、教育、能源、电力、军工、医疗、大中小型企业等用户,为用户提供符合国家等保以及各种行业的法律法规要求的合规性审计产品。
目前该产品已销往核电、水电、风电等相关行业。
等保相关
需求:等保和网络安全法合规要求,满足全网日志统一收集和集中审计。
解决方案:收集全网出口、安全、交换、服务器等设备日志,对海量日志实现高速存储、查询,实现集中日志审计,满足安全法要求。
预期效果:满足等保合规要求项,增加等保评分。
网络安全检查
需求:安全分析实现精准定位安全风险,全网日志收集和快速查询。
解决方案:收集服务器、安全设备等日志实现安全分析,定位关键安全风险,发现安全事件及时告警。
预期效果:对内网日志收集满足日志审计,通过对日志分析实现安全威胁的定位和安全风险的评估,提升企业安全运维能力。
操作行为审计
需求:对资源的访问、外设的使用和异常访问的主机进行记录审计。
解决方案:全网设备的日志收集,制定审计策略规则监控告警,包括网络设备,服务器,安全设备等,集中管理、统计监控。
预期效果:收集全网出口的主机、安全设备等设备日志,对日志实现高速存储、查询,实现集中日志审计,发现非工作时间访问、外设使用、异常登录等行为。