极地日志审计系统技术白皮书Word下载.docx

1、另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。下表简要列举了部分相关法律法规对于日志审计的要求：法律法规相关条款与日志审计相关的主要内容信息系统安全等级化保护基本要求对于网络安全、主机安全和应用安全部分从二级开始，到四级都明确要求进行日志审计。ISO27001:2005 记录应建立并加以保持，以提供符合ISMS要求和有效运行的证据。企业内部控制基本规范第四十一条企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。（注：间接要求安全审计）商业银行内部控制

2、指引第一百二十六条商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。银行业信息科技风险管理指引第二十五条对于所有计算机操作系统和系统软件的安全，在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。第二十六条对于所有信息系统的安全，以书面或者电子格式保存审计痕迹；要求用户管理员监控和审查未成功的登录和用户账户的修改。第二十七条银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。证券公司内部控制指引第一百一十

3、七条证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能。证券公司信息系统日志应至少保存15年。互联网安全保护技术措施规定（公安部82号令）第八条记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能。萨班斯（SOX）法案第404款公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。在SOX中，信息系统日志审计系统及其审计结果是评判内控评价有效性的一个重要工具和佐证）尤其是国家信息系统等级保护制度的出台，明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。综

4、上所述，企业和组织迫切需要一个全面的、面向企业和组织IT资源（信息系统保护环境）的、集中的安全审计平台及其系统，这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志，并进行存储、监控、审计、分析、报警、响应和报告。JLAS借助在安全领域的长期积累，结合中国信息安全领域的特殊性，自主研制出了面向中国客户的安全日志审计平台极地日志审计系统，真正满足了客户的安全审计需求。极地日志审计系统作为一个统一日志监控与审计平台，能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。如果客户网络

5、中重要网络和业务系统无法产生日志，极地日志审计系统也能够通过部署硬件采集引擎的方式主动侦测网络中的协议通讯，并转化为日志，汇集到审计中心。极地日志审计系统能够实时地对采集到的不同类型的信息进行归一化分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故，消除了管理员在多个控制台之间来回切换的烦恼，同时提高工作效率。极地日志审计系统能够实时采集数据流，对一段时间内的网络流量或者网络连接数进行统计，并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，进而对异常流量和行为进行审计。对于集中存储起来的海量信息，极地日志审计系统可以让审计人员借

6、助历史分析工具对日志进行深度挖掘、调查取证、证据保全。极地日志审计系统能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动，实现安全审计的管理闭环。极地日志审计系统为客户提供了丰富的报表模板，使得用户能够从各个角度对企业和组织的安全状况进行审计，并自动、定期地产生报表。用户也能够自定义报表。3产品特点极地日志审计系统（JLAS）系统的主要特点包括以下十个方面：1）统一日志监控2）全面的日志采集手段3）丰富的日志类型支持4）灵活的部署模式5）遵照合规性要求的日志审计6）日志归一化分

7、析7）高性能日志采集分析和海量存储8）安全事故追溯9）可视化日志分析10）快速响应和协同防御3.1统一日志监控极地日志审计系统将企业和组织的IT资源环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来，使得用户通过单一的管理控制台对IT环境的安全信息（日志）进行统一监控。统一安全监控给客户带来的直接收益就是态势感知。通过态势感知，客户实现对全网综合安全的总体把控。态势感知的核心客户体验是JLAS特有的安全仪表盘：每个频道包括多个监控窗口，可以显示多方面的安全信息，窗口可以缩放、可以移动换位、可以更换布局、可以调台，显示管理员想看的内容。极

8、地日志审计系统提供丰富的频道切换器，用户可以在不同的频道间切换。同时，用户也可以自定义频道。态势感知不是简单的信息堆积和罗列，这些信息是统一收集并归一化之后的信息，是用一种共同语言表达出来的。否则的话，不同的事件用各自的语言表达出来，意思各不相同，用户就会陷入管理的泥沼。借助极地日志审计系统的统一日志监控，用户不必时常在多个控制台软件之间来回切换、浪费宝贵的时间。与此同时，由于企业和组织的所有安全信息都汇聚到一起，使得用户可以全面掌控IT环境的安全状况，对安全威胁做出更加全面、准确的判断。借助极地日志审计系统，用户可以进行细致深入的安全日志查询、分析、审计，出具各种审计报表报告。3.2全面的日

9、志采集手段极地日志审计系统能够通过多种方式全面采集网络中各种设备、应用和系统的日志信息，确保用户能够收集并审计所有必需的日志信息，避免出现审计漏洞。同时，极地日志审计系统尽可能地使用被审计节点自身具备的日志外发协议，尽量不在被审计节点上安装任何代理，保障被审计节点的完整性，使得对被审计节点的影响最小化。极地日志审计系统支持通过Syslog、SNMP、ODBC/JDBC、内部私有TCP/ UDP等网络协议进行日志采集。针对能够产生日志，但是无法通过网络协议发送给极地日志审计系统的情形，系统为用户提供一个软件的通用采集引擎。该采集引擎能够自动将指定的日志（文件或者数据库记录）发送到审计中心。例如，

10、针对Windows操作系统日志、Norton的防病毒日志，等等。如果客户网络中无法采集日志，则可以在网络中部署一个硬件采集引擎设备主动的收集网络中的通讯信息，转化为日志，并传送给极地日志审计系统。例如，该硬件采集引擎可以旁路部署在数据库系统所在的交换机旁边，侦听并分析数据库访问操作的指令，并转化为操作日志送到极地日志审计系统审计中心。可见，极地日志审计系统中的日志已经超越了传统日志的概念，真正实现了对全网IT资源的日志产生、收集、分析和审计。3.3丰富的日志类型支持极地日志审计系统能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系

11、统的日志、事件、告警等安全信息进行全面的审计。目前，极地日志审计系统能够审计的日志类型和内容如下表所示：审计日志类型审计日志内容Windows操作系统账户登录日志账户管理日志目录服务访问日志审核登录日志对象访问日志审核策略更改日志特权使用日志详细跟踪日志审核系统日志文件操作日志：指定目录下的文件/子目录修改、删除日志操作系统性能日志*NIX操作系统账户登录注销日志服务启停日志帐户管理日志su日志MODEM活动日志FTP会话Web访问日志防火墙、VPN安全规则日志：IDS阻断日志连接阻断日志连接通过日志 NAT日志代理日志IDS日志VPN日志用户认证日志内容过滤日志病毒过滤日志设备状态日志HA日

12、志设备性能日志交换机/路由器操作日志设备故障日志设备状态日志：例如端口开关，设备启动与停止，等等负载均衡、流控设备系统日志入侵检测系统、入侵防御系统入侵告警日志系统规则库升级日志系统登录注销系统启停防病毒系统、防病毒网关病毒日志攻击日志病毒扫描日志漏洞扫描日志防病毒系统配置变更日志病毒库升级日志WEB服务器）错误日志访问日志数据库系统访问操作日志中间件系统应用系统安全账户锁定日志登录失败日志登录尝试日志QQ使用日志MSN使用日志常见网络病毒常见网络游戏常见P2P下载日志远程登录FTP登录和注销日志Telnet登录和注销日志通用日志Syslog日志Snmp trap日志日志3.4灵活的部署模式极

13、地日志审计系统的部署方式十分灵活，对网络环境的适应性极强，既能够支持单一的中小型网络，也支持跨区域、分级分层、物理/逻辑隔离的大规模网络。极地日志审计系统产品分为软件形态和硬件形态两种，用户可以根据自身需要选择。针对单一的网络，用户既可以购买软件版，也可以购买硬件版，只需要将系统以单一部署的模式安放在任何网络可达的位置即可，无需更改现有网络的任何拓扑结构。系统安装上线后，将网络中设备、应用和系统的日志发送目标地址指向审计中心即可。针对物理/逻辑隔离的网络环境，用户可以选购具有多端口采集功能的极地日志审计系统硬件型产品。例如，针对电子政务网络中典型的内外网隔离的情况，极地日志审计系统支持两个日志

14、采集端口，分别采集内网和外网的日志信息，并借助权限管理功能，分别进行内网和外网的日志审计。针对跨区域、分级分层的大规模网络，极地日志审计系统支持主从式部署模式。首先，在不同的物理节点上部署多套极地日志审计系统系统；然后，借助极地日志审计系统内置的级联功能，可以实现一对多的主从式连接，即多个从极地日志审计系统系统将指定的日志和告警汇集到主极地日志审计系统系统。通过主从式部署，实现了大规模网络尤其是跨广域网环境下的日志综合审计。最后，极地日志审计系统还支持混合部署模式。如果客户网络中无法采集日志，则可以在网络中部署一个硬件采集引擎主动收集网络中的通讯信息，转化为日志，并传送给极地日志审计系统。例如

15、，该采集引擎采用旁路部署的方式放置在数据库系统所在的交换机旁边，侦听并分析数据库访问操作的指令，并转化为操作日志送到极地日志审计系统管理中心。3.5遵照合规性要求的日志审计信息系统审计是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。为了建立健全内控体系，国家、行业都颁布了一系列的法律法规，从美国的SOX方案，到国内针对电子政务、央企、银行、证券、基金、保险、上市公司的信息系统风险保障和内控的指引、条例和文件，以及最新颁布的企业内部控制规范基本规范。所有这些法律法规都直接或者间接的指出了要将日志审计作为信息系统审计的基本技

16、术手段。此外，信息系统安全等级化保护基本要求也对安全审计、尤其是日志审计做出了明确的要求：企业内部控制基本规范的第四十一条要求“企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。”商业银行内部控制指引的第一百二十六条要求“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。银行业信息科技风险管理指引第二十一条明确要求商业银行信息科技部门要“定期向信息科技管理委员会提交本银行信息安全评估报告”，“信息安全策略的制定应涉及合规性管理领域”。第二十七条指出“银

17、行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。证券公司内部控制指引第一百一十七条要求“证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能。证券公司信息系统日志应至少保存15年”。信息系统等级化保护基本要求的技术要求中，从第二级开始，针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在管理要求中，“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储；从第三级开始提出了“监控管理与安全管理中心”的控制点要求。大量的审计实践表明，日志审计是信息系统审计最基本而且必要的技术手段，也是投入产出比最高的方式

18、。极地日志审计系统特有的基于规则的审计引擎能够为各个行业客户制定出与上述要求相一致的实时/历史审计场景。3.6日志归一化分析极地日志审计系统收集企业和组织中的所有安全日志和告警信息，通过归一化分析引擎，协助用户准确、快速地识别安全事故，从而及时做出响应。日志归一化是极地日志审计系统区别于传统安全日志审计系统的关键特征。极地日志审计系统将异构的日志变成系统可识别的统一的日志，屏蔽了不同厂商以及不同类型的产品之间的日志差异，使得日志归一化分析成为可能；而传统的日志审计系统仅针对原始日志的时间、源/目的IP地址等信息进行简单分解，其他主要内容则原封不动，全部存储在数据库中，仅仅提供普通的日志查询功能

19、。更加地，极地日志审计系统在进行日志归一化的同时，还保留了原始日志记录，便于将来进行具有司法证据效力的调查取证分析。3.7高性能日志采集分析与海量存储极地日志审计系统可以将采集来的所有日志、事件和告警信息统一存储起来，建立一个企业和组织的集中日志存储系统，实现了国家标准和法律法规中对于日志存储的强制性要求，降低了日志分散存储的管理成本，提高了日志管理的可靠性，消除了本地日志存储情况下可能被抹掉的危险，也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。极地日志审计系统在进行数据管理的时候，对数据存储算法进行了充分优化。极地日志审计系统提供多种日志存储策略，能够方便地进行日志备份和恢复

20、。3.8可视化日志分析事件可视化是指极地日志审计系统以图形化的方式将归一化后的事件形象展示出来的过程。3.9快速响应极地日志审计系统在识别出安全事故后，能够自动或者用户手工的对威胁进行响应，采取安全对策，从而形成安全审计的闭环。极地日志审计系统由于可以综合分析来自防火墙、IDS、系统日志、网络等等一系列的信息，因而能够更为精确地定位安全威胁，使得实时自动阻止攻击变得更加可行。在发生告警后，极地日志审计系统可以通过电子邮件、SNMP Trap等方式对外发出通告；能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序。极地日志审计系统可通过与网络设备或安全设备共同协作来关闭威胁通信，以阻

21、止正在进行的攻击。极地日志审计系统可以与众多第三方网络设备、安全设备进行联动。例如，在发现攻击后，阻断网络交换机的端口，或者更改防火墙和入侵检测系统的安全规则，阻止攻击的扩散和恶化。极地日志审计系统支持与市场上大部分安全设备和网络设备之间的策略联动。极地日志审计系统的响应方式包括带内响应和带外响应两种。前面提到的是带内响应，即依靠现有的网络基础设施进行响应。带外响应则可以在网络已经出现运行中断的情况下发出重要的安全事件，及时提醒管理员，使得管理员通过收到的告警进行分析和快速响应。4产品简介4.1产品组成极地日志审计系统产品包括管理（审计）中心和可选的采集引擎两个部分。产品采用B/S架构，管理员

22、无需安装任何客户端软件，通过IE浏览器登录管理中心即可进行各种操作。其中，管理中心包括硬件和软件两种形态供用户选择。具体请与公司销售人员联系。4.2功能列表功能点说明管理范围能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计安全仪表盘安全仪表盘为用户提供了一个从总体上把握企业和组织整体安全情况的界面。通过监控频道，用户可以快速导航到系统的各个功能界面，可以看到当前企业和组织的整体安全等级资产管理按照设备资产重要程度和管理域的方式组织设备资产，提供便捷的添加、修改、删除、查询与统计功能，便

23、于安全管理和系统管理人员能方便地查找所需设备资产的信息，并对资产关键度赋值事件采集和归一化通过 SNMP、Syslog、数据库、文件、OPSEC LEA、软件采集引擎、硬件探针等多种方式完成数据收集功能。收集后进行字段和安全等级的归一化处理，并保留原始日志事件监视、分析和响应监控管理人员可以通过事件分析对来自企业和组织所有的事件进行实时监视、查询、分析、历史分析和事件统计，从而快速识别安全事故。所有的事件分析都以场景的方式列举出来，管理人员可以方便的在各种分析场景之间快速切换，提高分析工作的效率。在识别出安全事故后，自动告警，监控管理人员能够及时进行响应处理，响应方式包括发送邮件、SNMP T

24、rap、执行程序脚本，等等趋势分析通过采集数据流或者防火墙的网络流量日志，对最近一段时间的网络流量或者网络连接数进行统计，并描绘趋势曲线。通过某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，并发现异常流量和行为报表管理提供丰富的报表管理功能。根据时间、数据类型等生成报表，提供打印、导出以及邮件送达等服务；直观地为管理员提供决策和分析的数据基础，帮助管理员掌握网络及业务系统的状况。报表可以保存为html、excel等多种格式权限管理采用基于角色的权限管理机制，通过角色定义支持多用户访问。角色能够从设备和功能两个维度进行定义，从而达到对每一台设备、每一项功能进行操作的控制粒度系统配置系统自

25、身的健康状况监控，以及对系统的各项配置工作其他用户使用模式无需安装客户端，使用IE浏览器访问管理中心部署方式可以独立部署，也可以级联部署4.3部署方式4.3.1单一部署极地日志审计系统可应用于各种大中小型企事业单位和机构，其办公地点可能分布在许多地方，他们的业务系统需要跨越不同的局域网段来部署。典型的，将极地日志审计系统管理中心服务器放置在网管中心或者安全中心，然后对被审计对象进行必要的配置，使得他们的日志信息能够发送到管理中心。管理员通过浏览器可以从任何位置登录管理中心服务器，进行各项操作。特别地，借助极地日志审计系统硬件型产品独有的多端口采集技术，系统支持同时采集多个不同网段的日志信息。这

26、种部署方式适用于物理或者逻辑隔离的多个网络，或者为了缩短网络中日志传输的路径、降低日志通讯的流量。4.3.2主从部署对于大型、全国性的、分级的网络环境，可以采用主从部署的方式，将多个极地日志审计系统管理分支统一接入到一个主极地日志审计系统管理中心。在这种模式下，各级极地日志审计系统管理中心的部署方式与单一部署方式基本相同。管理员只需要在下级管理中心配置将本级事件信息转发给上级管理中心的策略。4.3.3混合部署例如，用户要针对数据库系统进行日志审计，但是出于性能的考虑，无法开启数据库自身的日志记录，同时也不能在数据库服务器上安装代理。此时，用户可以将一个硬件采集引擎采用旁路部署的方式放置在数据库

27、系统所在的交换机旁边，侦听并分析数据库访问操作的指令，并转化为操作日志送到极地日志审计系统。通过极地日志审计系统与硬件采集引擎的混合部署，实现了对无法产生日志的被审计对象的安全审计，做到全面审计，避免出现审计死角。4.4系统自身安全性保证作为一款安全管理类产品，极地日志审计系统产品自身具备完善的安全性保证，包括：产品内部的各个组件之间通信都支持加密传输，例如浏览器访问管理中心支持HTTPS、通用采集引擎（GLC）与管理中心之间采用加密压缩协议进行传输、多级管理中心之间采用加密协议进行传输，等等，保证网络通讯的机密性。产品对采集到的日志都进行了加密存储，保证数据的完整性和机密性。产品具备自身运行

28、健康状态监视功能，存储的数据支持自动备份和恢复，保证系统的可用性。对于硬件型产品，底层的操作系统是安全操作系统。4.5支持的产品极地日志审计系统具备强大的数据收集能力，支持各种主流产品，通过 SNMP、Syslog、数据库ODBC/JDBC、内部私有TCP/ UDP、文件等多种方式完成数据收集功能。下表列举了部分极地日志审计系统支持的产品：设备类型厂商或产品交换机Cisco系列交换机华为QuidWay系列交换机H3C系列交换机神州数码系列交换机路由器Cisco系列路由器华为QuidWay系列路由器防火墙JLAS SecGate系列Cisco PIX系列Juniper Netscreen系列Symante