聚銘綜合日志分析系統(tǒng)對《網(wǎng)絡(luò)安全法》以及《信息系統(tǒng)安全等級保護(hù)基本要求》第三級基本要求中網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全的解決方案

一、法規(guī)及要求：

1.1 《網(wǎng)絡(luò)安全法》

1.2 《信息系統(tǒng)安全等級保護(hù)基本要求》第三級基本要求

● 網(wǎng)絡(luò)安全：

● 主機(jī)安全：

● 應(yīng)用安全：

二、聚銘網(wǎng)絡(luò)綜合日志分析系統(tǒng)解決方案

2.1  聚銘綜合日志審計系統(tǒng)對《網(wǎng)絡(luò)安全法》第二十一條三小條的解決方案

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月；

       系統(tǒng)通過集中采集各類系統(tǒng)中的安全事件（如網(wǎng)絡(luò)攻擊、防病毒等）、用戶訪問記錄、系統(tǒng)運(yùn)行日志等各類信息，經(jīng)過標(biāo)準(zhǔn)化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲和管理。僅通過簡潔的實(shí)時監(jiān)控界面，用戶即可實(shí)時獲知異常安全事件和分析違規(guī)情況,系統(tǒng)也提供了強(qiáng)大的安全異常問題分析追溯功能。

       系統(tǒng)內(nèi)所有采集的日志留存期限6個月以上，無法刪除或者修改。

2.2  聚銘綜合日志審計系統(tǒng)對《信息系統(tǒng)安全等級保護(hù)基本要求》第三級基本要求安全審計的解決方案：

2.2.1  網(wǎng)絡(luò)安全

a)     應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

日志分析系統(tǒng)收集網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志進(jìn)行日志分析、審計，對用戶行為等進(jìn)行記錄。

原始日志：

CTFJ550a: NetScreen device_id=CTFJ550a [Root]system-notification-00018: Destination address 172.16.72.249/32 was added to policy ID 3138 by admin admin via NSRP Peer . (2015-01-08 10:41:27)

采集并標(biāo)準(zhǔn)化后的安全事件：

b)    審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。

日志分析系統(tǒng)收集到設(shè)備日志后，對日志進(jìn)行標(biāo)準(zhǔn)化，記錄日志的日期和時間、源用戶、目的用戶、事件類型、結(jié)果、源地址、源端口、目的地址、目的端口等相關(guān)信息。

c)     應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；

對標(biāo)準(zhǔn)化后的日志，進(jìn)行關(guān)聯(lián)、統(tǒng)計分析后，形成不同維度的審計報表，如：網(wǎng)絡(luò)設(shè)備日志分布報表、網(wǎng)絡(luò)設(shè)備訪問控制報表、網(wǎng)絡(luò)連接分布報表等等。

d)    安全審計應(yīng)可以對特定事件，提供指定方式的實(shí)時報警

       系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當(dāng)匹配規(guī)則的事件發(fā)生時，實(shí)時 報警，響應(yīng)方式包括：郵件、轉(zhuǎn)發(fā)        外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

e)     應(yīng)對審計記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。

系統(tǒng)對日志留存指定時間，如6個月；日志分析系統(tǒng)嚴(yán)格控制，進(jìn)程無法非法結(jié)束。

2.2.2  主機(jī)安全

a)     審計范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；

       日志分析系統(tǒng)收集各類主機(jī)終端、客戶端、服務(wù)器、防病毒軟件等設(shè)備的系統(tǒng)日志、用戶日志。

b)    審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

如：

1、Windows的系統(tǒng)日志、安全日志、用戶日志

2、Liunx、AIX、HP-UX的系統(tǒng)日志、安全日志、用戶日志、系統(tǒng)命令等

3、數(shù)據(jù)庫的審計日志

4、防病毒軟件的系統(tǒng)日志

c)     審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；

d)    應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；

對標(biāo)準(zhǔn)化后的日志，進(jìn)行關(guān)聯(lián)、統(tǒng)計分析后，形成不同維度的審計報表，如：主機(jī)日志分布報表、主機(jī)訪問控制報表、等等。

e)     安全審計應(yīng)可以對特定事件，提供指定方式的實(shí)時報警

日志分析系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當(dāng)匹配規(guī)則的事件發(fā)生時，實(shí)時報警，響應(yīng)方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

f)      應(yīng)保護(hù)審計進(jìn)程，避免受到未預(yù)期的中斷

日志分析系統(tǒng)嚴(yán)格控制，進(jìn)程無法非法結(jié)束。

g)    審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等

日志分析系統(tǒng)對日志留存指定時間，如6個月，日志分析系統(tǒng)嚴(yán)格控制權(quán)限，已記錄的日志無法修改、刪除。

2.2.3  應(yīng)用安全

a)      安全審計應(yīng)覆蓋到應(yīng)用系統(tǒng)的每個用戶；

日志分析系統(tǒng)采集應(yīng)用系統(tǒng)的訪問日志，根據(jù)日志內(nèi)容，記錄每個用戶的操作行為。

b)      安全審計應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；

日志分析系統(tǒng)采集并記錄應(yīng)用系統(tǒng)重要的安全事件、訪問日志里包含用戶行為日志，

系統(tǒng)資源情況需要通過網(wǎng)管系統(tǒng)進(jìn)行監(jiān)控。

c)      安全相關(guān)事件的記錄應(yīng)包括日期和時間、類型、主體標(biāo)識、客體標(biāo)識、事件的結(jié)果等；

日志分析系統(tǒng)對采集的應(yīng)用日志進(jìn)行標(biāo)準(zhǔn)化，記錄日志的日期和時間、源用戶、目的用戶、事件類型、結(jié)果、源地址、源端口、目的地址、目的端口等相關(guān)信息。

d)      安全審計應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計報表；

對標(biāo)準(zhǔn)化后的日志，進(jìn)行關(guān)聯(lián)、統(tǒng)計分析后，形成不同維度的審計報表，如：應(yīng)用類日志分布報表、應(yīng)用類訪問控制報表等等。

e)      安全審計應(yīng)可以對特定事件，提供指定方式的實(shí)時報警；

系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當(dāng)匹配規(guī)則的事件發(fā)生時，實(shí)時報警，響應(yīng)方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

f)       審計進(jìn)程應(yīng)受到保護(hù)避免受到未預(yù)期的中斷；

日志分析系統(tǒng)嚴(yán)格控制，進(jìn)程無法非法結(jié)束。

g)      審計記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。

       系統(tǒng)對日志留存指定時間，如6個月，日志分析系統(tǒng)嚴(yán)格控制權(quán)限，已記錄的日志無法修改、刪除。

三、聚銘綜合日志分析系統(tǒng)產(chǎn)品介紹

3.1  系統(tǒng)架構(gòu)

系統(tǒng)采用elastic、solrcloud、hadoop等大數(shù)據(jù)技術(shù)設(shè)計，支持集群方式部署，存儲集群高可用，可以無限擴(kuò)展存儲節(jié)點(diǎn)，擴(kuò)展存儲空間，容災(zāi)能力強(qiáng)、具備自動發(fā)現(xiàn)集群設(shè)備、無需停機(jī)。

3.2  解決問題

3.3  多樣的采集方式，支持各類主流設(shè)備

3.4  格式統(tǒng)一標(biāo)準(zhǔn)、清晰易懂

3.5  關(guān)聯(lián)分析

系統(tǒng)不僅支持以預(yù)定義規(guī)則的方式進(jìn)行關(guān)聯(lián)分析，還支持基于模式發(fā)現(xiàn)方式的關(guān)聯(lián)；系統(tǒng)不僅支持短時間內(nèi)的序列關(guān)聯(lián)，還支持長時間的關(guān)聯(lián)（最長可達(dá)30天）

● 關(guān)聯(lián)場景：基于統(tǒng)計和基于關(guān)聯(lián)

基于統(tǒng)計包含：平均統(tǒng)計、方差統(tǒng)計，支持按天、按周統(tǒng)計，智能機(jī)器學(xué)習(xí)。

基于關(guān)聯(lián)包含：狀態(tài)關(guān)聯(lián)、時序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)。

● 多維度關(guān)聯(lián)：

支持事件與基線關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析。

3.6  審計分析

審計能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置；并能夠自定義審計策略模板，系統(tǒng)內(nèi)置了大量審計策略模板，涵蓋了常見的、對企業(yè)非常實(shí)用的審計策略模板，如主機(jī)、防火墻、數(shù)據(jù)庫、薩班斯審計策略模板等。

3.7  實(shí)時告警

系統(tǒng)內(nèi)置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當(dāng)匹配規(guī)則的事件發(fā)生時，實(shí)時報警，響應(yīng)方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

3.8  安全可視化

內(nèi)置了全球IP歸屬信息，能夠?qū)邮盏陌踩录罩局械?/span>IP地址進(jìn)行實(shí)時的解讀分析，告知安全事件相關(guān)的IP屬的組織、國家及地理位置等信息。這為用戶發(fā)現(xiàn)、分析、追溯異常安全事件提供了重要的的信息依據(jù)，能夠大大提升企業(yè)對異常安全事件分析、處置效率

3.9  審計與報表

系統(tǒng)支持自定義審計對象、審計策略，從而滿足不同行業(yè)用戶日志分析、審計合規(guī)的需求。系統(tǒng)內(nèi)置了各類實(shí)用的安全審計模板，如等級保護(hù)、薩班斯（SOX）、資產(chǎn)常見分類模板等，方便了用戶直接使用或參考定制。系統(tǒng)能夠自動定期將各類安全事件及審計情況的報告以報表發(fā)送的方式告知相關(guān)人員。

---

聯(lián)系我們：

主頁：m.emrijsm.cn

全國服務(wù)熱線：400-1158-400

產(chǎn)品支持：support@juminfo.com