聚銘綜合日志分析系統對《網絡安全法》以及《信息系統安全等級保護基本要求》第三級基本要求中網絡安全、主機安全、應用安全的解決方案

一、法規(guī)及要求：

1.1 《網絡安全法》

1.2 《信息系統安全等級保護基本要求》第三級基本要求

● 網絡安全：

● 主機安全：

● 應用安全：

二、聚銘網絡綜合日志分析系統解決方案

2.1  聚銘綜合日志審計系統對《網絡安全法》第二十一條三小條的解決方案

（三）采取監(jiān)測、記錄網絡運行狀態(tài)、網絡安全事件的技術措施，并按照規(guī)定留存相關的網絡日志不少于六個月；

       系統通過集中采集各類系統中的安全事件（如網絡攻擊、防病毒等）、用戶訪問記錄、系統運行日志等各類信息，經過標準化、過濾、歸并和告警分析等處理后，以統一格式的日志形式進行集中存儲和管理。僅通過簡潔的實時監(jiān)控界面，用戶即可實時獲知異常安全事件和分析違規(guī)情況,系統也提供了強大的安全異常問題分析追溯功能。

       系統內所有采集的日志留存期限6個月以上，無法刪除或者修改。

2.2  聚銘綜合日志審計系統對《信息系統安全等級保護基本要求》第三級基本要求安全審計的解決方案：

2.2.1  網絡安全

a)     應對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄；

日志分析系統收集網絡設備的系統日志進行日志分析、審計，對用戶行為等進行記錄。

原始日志：

CTFJ550a: NetScreen device_id=CTFJ550a [Root]system-notification-00018: Destination address 172.16.72.249/32 was added to policy ID 3138 by admin admin via NSRP Peer . (2015-01-08 10:41:27)

采集并標準化后的安全事件：

b)    審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。

日志分析系統收集到設備日志后，對日志進行標準化，記錄日志的日期和時間、源用戶、目的用戶、事件類型、結果、源地址、源端口、目的地址、目的端口等相關信息。

c)     應能夠根據記錄數據進行分析，并生成審計報表；

對標準化后的日志，進行關聯、統計分析后，形成不同維度的審計報表，如：網絡設備日志分布報表、網絡設備訪問控制報表、網絡連接分布報表等等。

d)    安全審計應可以對特定事件，提供指定方式的實時報警

       系統內置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當匹配規(guī)則的事件發(fā)生時，實時 報警，響應方式包括：郵件、轉發(fā)        外系統、執(zhí)行程序等，也可以通過定制支持短信通知。

e)     應對審計記錄進行保護，避免受到未預期的刪除、修改或覆蓋等。

系統對日志留存指定時間，如6個月；日志分析系統嚴格控制，進程無法非法結束。

2.2.2  主機安全

a)     審計范圍應覆蓋到服務器和重要客戶端上的每個操作系統用戶和數據庫用戶；

       日志分析系統收集各類主機終端、客戶端、服務器、防病毒軟件等設備的系統日志、用戶日志。

b)    審計內容應包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；

如：

1、Windows的系統日志、安全日志、用戶日志

2、Liunx、AIX、HP-UX的系統日志、安全日志、用戶日志、系統命令等

3、數據庫的審計日志

4、防病毒軟件的系統日志

c)     審計記錄應包括事件的日期、時間、類型、主體標識、客體標識和結果等；

d)    應能夠根據記錄數據進行分析，并生成審計報表；

對標準化后的日志，進行關聯、統計分析后，形成不同維度的審計報表，如：主機日志分布報表、主機訪問控制報表、等等。

e)     安全審計應可以對特定事件，提供指定方式的實時報警

日志分析系統內置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當匹配規(guī)則的事件發(fā)生時，實時報警，響應方式包括：郵件、轉發(fā)外系統、執(zhí)行程序等，也可以通過定制支持短信通知。

f)      應保護審計進程，避免受到未預期的中斷

日志分析系統嚴格控制，進程無法非法結束。

g)    審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等

日志分析系統對日志留存指定時間，如6個月，日志分析系統嚴格控制權限，已記錄的日志無法修改、刪除。

2.2.3  應用安全

a)      安全審計應覆蓋到應用系統的每個用戶；

日志分析系統采集應用系統的訪問日志，根據日志內容，記錄每個用戶的操作行為。

b)      安全審計應記錄應用系統重要的安全相關事件，包括重要用戶行為、系統資源的異常使用和重要系統功能的執(zhí)行等；

日志分析系統采集并記錄應用系統重要的安全事件、訪問日志里包含用戶行為日志，

系統資源情況需要通過網管系統進行監(jiān)控。

c)      安全相關事件的記錄應包括日期和時間、類型、主體標識、客體標識、事件的結果等；

日志分析系統對采集的應用日志進行標準化，記錄日志的日期和時間、源用戶、目的用戶、事件類型、結果、源地址、源端口、目的地址、目的端口等相關信息。

d)      安全審計應可以根據記錄數據進行分析，并生成審計報表；

對標準化后的日志，進行關聯、統計分析后，形成不同維度的審計報表，如：應用類日志分布報表、應用類訪問控制報表等等。

e)      安全審計應可以對特定事件，提供指定方式的實時報警；

系統內置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當匹配規(guī)則的事件發(fā)生時，實時報警，響應方式包括：郵件、轉發(fā)外系統、執(zhí)行程序等，也可以通過定制支持短信通知。

f)       審計進程應受到保護避免受到未預期的中斷；

日志分析系統嚴格控制，進程無法非法結束。

g)      審計記錄應受到保護避免受到未預期的刪除、修改或覆蓋等。

       系統對日志留存指定時間，如6個月，日志分析系統嚴格控制權限，已記錄的日志無法修改、刪除。

三、聚銘綜合日志分析系統產品介紹

3.1  系統架構

系統采用elastic、solrcloud、hadoop等大數據技術設計，支持集群方式部署，存儲集群高可用，可以無限擴展存儲節(jié)點，擴展存儲空間，容災能力強、具備自動發(fā)現集群設備、無需停機。

3.2  解決問題

3.3  多樣的采集方式，支持各類主流設備

3.4  格式統一標準、清晰易懂

3.5  關聯分析

系統不僅支持以預定義規(guī)則的方式進行關聯分析，還支持基于模式發(fā)現方式的關聯；系統不僅支持短時間內的序列關聯，還支持長時間的關聯（最長可達30天）

● 關聯場景：基于統計和基于關聯

基于統計包含：平均統計、方差統計，支持按天、按周統計，智能機器學習。

基于關聯包含：狀態(tài)關聯、時序關聯、歸并關聯、篩選關聯、端口關聯。

● 多維度關聯：

支持事件與基線關聯分析、事件與漏洞關聯分析、事件與事件關聯分析。

3.6  審計分析

審計能夠方便的自定義審計人員、行為對象、審計類型、審計策略等基本配置；并能夠自定義審計策略模板，系統內置了大量審計策略模板，涵蓋了常見的、對企業(yè)非常實用的審計策略模板，如主機、防火墻、數據庫、薩班斯審計策略模板等。

3.7  實時告警

系統內置告警規(guī)則、同時支持圖形化自定義告警規(guī)則配置，當匹配規(guī)則的事件發(fā)生時，實時報警，響應方式包括：郵件、轉發(fā)外系統、執(zhí)行程序等，也可以通過定制支持短信通知。

3.8  安全可視化

內置了全球IP歸屬信息，能夠對接收的安全事件日志中的IP地址進行實時的解讀分析，告知安全事件相關的IP屬的組織、國家及地理位置等信息。這為用戶發(fā)現、分析、追溯異常安全事件提供了重要的的信息依據，能夠大大提升企業(yè)對異常安全事件分析、處置效率

3.9  審計與報表

系統支持自定義審計對象、審計策略，從而滿足不同行業(yè)用戶日志分析、審計合規(guī)的需求。系統內置了各類實用的安全審計模板，如等級保護、薩班斯（SOX）、資產常見分類模板等，方便了用戶直接使用或參考定制。系統能夠自動定期將各類安全事件及審計情況的報告以報表發(fā)送的方式告知相關人員。

---

聯系我們：

主頁：emrijsm.cn

全國服務熱線：400-1158-400

產品支持：support@juminfo.com