聚銘綜合日志分析系統(tǒng)對(duì)《網(wǎng)絡(luò)安全法》以及《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》第三級(jí)基本要求中網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全的解決方案

一、法規(guī)及要求：

1.1 《網(wǎng)絡(luò)安全法》

1.2 《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》第三級(jí)基本要求

● 網(wǎng)絡(luò)安全：

● 主機(jī)安全：

● 應(yīng)用安全：

二、聚銘網(wǎng)絡(luò)綜合日志分析系統(tǒng)解決方案

2.1  聚銘綜合日志審計(jì)系統(tǒng)對(duì)《網(wǎng)絡(luò)安全法》第二十一條三小條的解決方案

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

       系統(tǒng)通過集中采集各類系統(tǒng)中的安全事件（如網(wǎng)絡(luò)攻擊、防病毒等）、用戶訪問記錄、系統(tǒng)運(yùn)行日志等各類信息，經(jīng)過標(biāo)準(zhǔn)化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理。僅通過簡(jiǎn)潔的實(shí)時(shí)監(jiān)控界面，用戶即可實(shí)時(shí)獲知異常安全事件和分析違規(guī)情況,系統(tǒng)也提供了強(qiáng)大的安全異常問題分析追溯功能。

       系統(tǒng)內(nèi)所有采集的日志留存期限6個(gè)月以上，無法刪除或者修改。

2.2  聚銘綜合日志審計(jì)系統(tǒng)對(duì)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》第三級(jí)基本要求安全審計(jì)的解決方案：

2.2.1  網(wǎng)絡(luò)安全

a)     應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

日志分析系統(tǒng)收集網(wǎng)絡(luò)設(shè)備的系統(tǒng)日志進(jìn)行日志分析、審計(jì)，對(duì)用戶行為等進(jìn)行記錄。

原始日志：

CTFJ550a: NetScreen device_id=CTFJ550a [Root]system-notification-00018: Destination address 172.16.72.249/32 was added to policy ID 3138 by admin admin via NSRP Peer . (2015-01-08 10:41:27)

采集并標(biāo)準(zhǔn)化后的安全事件：

b)    審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。

日志分析系統(tǒng)收集到設(shè)備日志后，對(duì)日志進(jìn)行標(biāo)準(zhǔn)化，記錄日志的日期和時(shí)間、源用戶、目的用戶、事件類型、結(jié)果、源地址、源端口、目的地址、目的端口等相關(guān)信息。

c)     應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

對(duì)標(biāo)準(zhǔn)化后的日志，進(jìn)行關(guān)聯(lián)、統(tǒng)計(jì)分析后，形成不同維度的審計(jì)報(bào)表，如：網(wǎng)絡(luò)設(shè)備日志分布報(bào)表、網(wǎng)絡(luò)設(shè)備訪問控制報(bào)表、網(wǎng)絡(luò)連接分布報(bào)表等等。

d)    安全審計(jì)應(yīng)可以對(duì)特定事件，提供指定方式的實(shí)時(shí)報(bào)警

       系統(tǒng)內(nèi)置告警規(guī)則、同時(shí)支持圖形化自定義告警規(guī)則配置，當(dāng)匹配規(guī)則的事件發(fā)生時(shí)，實(shí)時(shí) 報(bào)警，響應(yīng)方式包括：郵件、轉(zhuǎn)發(fā)        外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

e)     應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。

系統(tǒng)對(duì)日志留存指定時(shí)間，如6個(gè)月；日志分析系統(tǒng)嚴(yán)格控制，進(jìn)程無法非法結(jié)束。

2.2.2  主機(jī)安全

a)     審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)用戶；

       日志分析系統(tǒng)收集各類主機(jī)終端、客戶端、服務(wù)器、防病毒軟件等設(shè)備的系統(tǒng)日志、用戶日志。

b)    審計(jì)內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；

如：

1、Windows的系統(tǒng)日志、安全日志、用戶日志

2、Liunx、AIX、HP-UX的系統(tǒng)日志、安全日志、用戶日志、系統(tǒng)命令等

3、數(shù)據(jù)庫(kù)的審計(jì)日志

4、防病毒軟件的系統(tǒng)日志

c)     審計(jì)記錄應(yīng)包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；

d)    應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

對(duì)標(biāo)準(zhǔn)化后的日志，進(jìn)行關(guān)聯(lián)、統(tǒng)計(jì)分析后，形成不同維度的審計(jì)報(bào)表，如：主機(jī)日志分布報(bào)表、主機(jī)訪問控制報(bào)表、等等。

e)     安全審計(jì)應(yīng)可以對(duì)特定事件，提供指定方式的實(shí)時(shí)報(bào)警

日志分析系統(tǒng)內(nèi)置告警規(guī)則、同時(shí)支持圖形化自定義告警規(guī)則配置，當(dāng)匹配規(guī)則的事件發(fā)生時(shí)，實(shí)時(shí)報(bào)警，響應(yīng)方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

f)      應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷

日志分析系統(tǒng)嚴(yán)格控制，進(jìn)程無法非法結(jié)束。

g)    審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等

日志分析系統(tǒng)對(duì)日志留存指定時(shí)間，如6個(gè)月，日志分析系統(tǒng)嚴(yán)格控制權(quán)限，已記錄的日志無法修改、刪除。

2.2.3  應(yīng)用安全

a)      安全審計(jì)應(yīng)覆蓋到應(yīng)用系統(tǒng)的每個(gè)用戶；

日志分析系統(tǒng)采集應(yīng)用系統(tǒng)的訪問日志，根據(jù)日志內(nèi)容，記錄每個(gè)用戶的操作行為。

b)      安全審計(jì)應(yīng)記錄應(yīng)用系統(tǒng)重要的安全相關(guān)事件，包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)功能的執(zhí)行等；

日志分析系統(tǒng)采集并記錄應(yīng)用系統(tǒng)重要的安全事件、訪問日志里包含用戶行為日志，

系統(tǒng)資源情況需要通過網(wǎng)管系統(tǒng)進(jìn)行監(jiān)控。

c)      安全相關(guān)事件的記錄應(yīng)包括日期和時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)、事件的結(jié)果等；

日志分析系統(tǒng)對(duì)采集的應(yīng)用日志進(jìn)行標(biāo)準(zhǔn)化，記錄日志的日期和時(shí)間、源用戶、目的用戶、事件類型、結(jié)果、源地址、源端口、目的地址、目的端口等相關(guān)信息。

d)      安全審計(jì)應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；

對(duì)標(biāo)準(zhǔn)化后的日志，進(jìn)行關(guān)聯(lián)、統(tǒng)計(jì)分析后，形成不同維度的審計(jì)報(bào)表，如：應(yīng)用類日志分布報(bào)表、應(yīng)用類訪問控制報(bào)表等等。

e)      安全審計(jì)應(yīng)可以對(duì)特定事件，提供指定方式的實(shí)時(shí)報(bào)警；

系統(tǒng)內(nèi)置告警規(guī)則、同時(shí)支持圖形化自定義告警規(guī)則配置，當(dāng)匹配規(guī)則的事件發(fā)生時(shí)，實(shí)時(shí)報(bào)警，響應(yīng)方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

f)       審計(jì)進(jìn)程應(yīng)受到保護(hù)避免受到未預(yù)期的中斷；

日志分析系統(tǒng)嚴(yán)格控制，進(jìn)程無法非法結(jié)束。

g)      審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。

       系統(tǒng)對(duì)日志留存指定時(shí)間，如6個(gè)月，日志分析系統(tǒng)嚴(yán)格控制權(quán)限，已記錄的日志無法修改、刪除。

三、聚銘綜合日志分析系統(tǒng)產(chǎn)品介紹

3.1  系統(tǒng)架構(gòu)

系統(tǒng)采用elastic、solrcloud、hadoop等大數(shù)據(jù)技術(shù)設(shè)計(jì)，支持集群方式部署，存儲(chǔ)集群高可用，可以無限擴(kuò)展存儲(chǔ)節(jié)點(diǎn)，擴(kuò)展存儲(chǔ)空間，容災(zāi)能力強(qiáng)、具備自動(dòng)發(fā)現(xiàn)集群設(shè)備、無需停機(jī)。

3.2  解決問題

3.3  多樣的采集方式，支持各類主流設(shè)備

3.4  格式統(tǒng)一標(biāo)準(zhǔn)、清晰易懂

3.5  關(guān)聯(lián)分析

系統(tǒng)不僅支持以預(yù)定義規(guī)則的方式進(jìn)行關(guān)聯(lián)分析，還支持基于模式發(fā)現(xiàn)方式的關(guān)聯(lián)；系統(tǒng)不僅支持短時(shí)間內(nèi)的序列關(guān)聯(lián)，還支持長(zhǎng)時(shí)間的關(guān)聯(lián)（最長(zhǎng)可達(dá)30天）

● 關(guān)聯(lián)場(chǎng)景：基于統(tǒng)計(jì)和基于關(guān)聯(lián)

基于統(tǒng)計(jì)包含：平均統(tǒng)計(jì)、方差統(tǒng)計(jì)，支持按天、按周統(tǒng)計(jì)，智能機(jī)器學(xué)習(xí)。

基于關(guān)聯(lián)包含：狀態(tài)關(guān)聯(lián)、時(shí)序關(guān)聯(lián)、歸并關(guān)聯(lián)、篩選關(guān)聯(lián)、端口關(guān)聯(lián)。

● 多維度關(guān)聯(lián)：

支持事件與基線關(guān)聯(lián)分析、事件與漏洞關(guān)聯(lián)分析、事件與事件關(guān)聯(lián)分析。

3.6  審計(jì)分析

審計(jì)能夠方便的自定義審計(jì)人員、行為對(duì)象、審計(jì)類型、審計(jì)策略等基本配置；并能夠自定義審計(jì)策略模板，系統(tǒng)內(nèi)置了大量審計(jì)策略模板，涵蓋了常見的、對(duì)企業(yè)非常實(shí)用的審計(jì)策略模板，如主機(jī)、防火墻、數(shù)據(jù)庫(kù)、薩班斯審計(jì)策略模板等。

3.7  實(shí)時(shí)告警

系統(tǒng)內(nèi)置告警規(guī)則、同時(shí)支持圖形化自定義告警規(guī)則配置，當(dāng)匹配規(guī)則的事件發(fā)生時(shí)，實(shí)時(shí)報(bào)警，響應(yīng)方式包括：郵件、轉(zhuǎn)發(fā)外系統(tǒng)、執(zhí)行程序等，也可以通過定制支持短信通知。

3.8  安全可視化

內(nèi)置了全球IP歸屬信息，能夠?qū)邮盏陌踩录罩局械?/span>IP地址進(jìn)行實(shí)時(shí)的解讀分析，告知安全事件相關(guān)的IP屬的組織、國(guó)家及地理位置等信息。這為用戶發(fā)現(xiàn)、分析、追溯異常安全事件提供了重要的的信息依據(jù)，能夠大大提升企業(yè)對(duì)異常安全事件分析、處置效率

3.9  審計(jì)與報(bào)表

系統(tǒng)支持自定義審計(jì)對(duì)象、審計(jì)策略，從而滿足不同行業(yè)用戶日志分析、審計(jì)合規(guī)的需求。系統(tǒng)內(nèi)置了各類實(shí)用的安全審計(jì)模板，如等級(jí)保護(hù)、薩班斯（SOX）、資產(chǎn)常見分類模板等，方便了用戶直接使用或參考定制。系統(tǒng)能夠自動(dòng)定期將各類安全事件及審計(jì)情況的報(bào)告以報(bào)表發(fā)送的方式告知相關(guān)人員。

---

聯(lián)系我們：

主頁：emrijsm.cn

全國(guó)服務(wù)熱線：400-1158-400

產(chǎn)品支持：support@juminfo.com