LogBase日志管理综合审计系统范文.docx

1、LogBase日志管理综合审计系统范文LogBase日志管理综合审计系统技术白皮书杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD版权说明 版权所有 2005-2010，杭州思福迪信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属杭州思福迪信息技术有限公司所有，受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。商标信息Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标，受商标法保护。 目 录第一章 概述 4

2、1.1 信息安全审计的必要性 41.2 信息安全审计目标 5第二章 LogBase产品介绍 62.1 产品概述 62.2 体系结构 7第三章 LogBase功能介绍 8第四章 LogBase产品特性 105.1 全面的日志采集能力 105.2 可靠的安全保障能力 105.3 专用的日志专家规则库 105.4 灵活开放的查询条件 115.5 高效的事件定位能力 115.6 安全的旁路审计模式 115.7 良好的扩展性设计 125.8 丰富的合规性报表 12第五章 典型部署 13第六章 产品规格与指标 146.1 审计主机规格指标 146.2 硬件探测器性能指标 15第一章 概述1.1 信息安全审

3、计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。然而，信息系统维护过程中依然还面临着诸多的困难及风险， 如： 系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断。这些异常行为往往会事先在系统及各类日志中有所反映，如果缺乏有效的日志审计手段，就无法及时发现这些安全隐患。 网络资源滥用：大部分企业对员工的上网行为都不进行直接控制，因此员工不适当或滥用公司网络资源的行为时有

4、发生，如进行BT下载、观看在线电影、网上聊天以及访问非法网站的相关行为等等，这不仅是对公司管理制度的挑战，更使企业在国家相关法律法规的符合性上存在隐患，也容易造成企业资料泄密等后果。 应用及数据风险：企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息安全风险，包括用户非授权访问、管理员误操作、黑客恶意破坏等等，必须实行有效的安全审计手段。 安全事件定位风险：由于目前的应用系统往往都是相互关联的，一个故障现象，往往要对数台甚至数十台网络设备及主机的日志进行综合分析才能确定真正的故障原因，缺乏有效的统一安全事件审计平台可能导致无法及时进行故障定位甚至错误定位，此外恶意破坏者获得系统

5、权限后可以清理安全日志，从而导致无法正确定位安全日志。此外，SOX法案、公安部82号令、等级保护等各类法律法规均对日志、行为审计有明确的要求，确保关键信息系统在可控、可审计状态下运行。1.2 信息安全审计目标从信息安全风险管理角度来看，针对各类系统的运行日志和用户网络访问行为的审计系统是信息安全保障体系中不可或缺的一部分，信息安全审计系统的目标包括：（1）有效整合现有信息安全产品，形成统一的安全事件管理平台；（2）通过全面的日志及行为分析弥补现有各类技术产品在威胁分析发现方面的不足；（3）为安全事故的责任追查、故障定位提供有力的技术手段。第二章 LogBase产品介绍2.1 产品概述LogBa

6、se日志管理综合审计系统(以下简称LogBase)是思福迪公司自主研发的拥有自主知识产权的专业信息安全审计产品，系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及综合分析功能，实现对信息系统整体安全状况的全面审计。LogBase专注于对信息系统中各类主机、数据库、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和事后分析，是支持分布式、跨平台的统一智能化日志管理及审计设备，可以对各类网络设备、安全设备、操作系统、

7、WEB服务、中间件、数据库和其它应用进行全面的安全审计。Logbase系统可以帮助企业管理员随时了解整个IT系统的运行情况，通过实时的日志分析及时发现系统异常和非法访问行为；另一方面，通过事后分析和丰富的报表系统，管理员可以方便高效地对信息系统进行有针对性的安全审计。遇到特殊安全事件和系统故障，Logbase可以确保日志完整性和可用性，协助管理员进行故障快速定位，并提供客观依据进行追查和恢复。因此，LogBase可以帮助用户有效降低IT系统的故障而带来的损失，降低IT系统的运维成本和管理的复杂度，显著提高系统整体的安全性、可靠性和运行效率，保证IT系统7X24的正常、持续、稳定运行，降低信息系

8、统的整体安全风险。2.2 体系结构本产品基于嵌入式Linux系统，由日志采集模块、事件检索模块、审计报表模块、综合管理模块组成。LogBase采用B/S架构，管理员通过HTTPS方式对主机进行管理。Logbase的系统架构如图2.1所示。图2.1 LogBase日志管理审计系统体系结构第三章 LogBase功能介绍LogBase日志管理综合审计系统具有三大功能，如图3.1所示：图3.1 LogBase审计系统功能LogBase对日志管理综合审计系统进行了更广泛的定义：日志信息不仅仅是硬件设备及各类信息系统在运行中产生的日志记录，还包含LogBase针对用户的上网行为分析以及数据库操作行为分析所

9、形成的记录信息。 日志审计LogBase审计系统提供全面的日志采集功能，通过多种方式采集信息系统中众多类型的硬件设备、操作系统、应用系统等格式不一的日志数据。LogBase基于对各类日志的理解和深入分析，并提供日志专家规则库，实时智能分析海量日志数据，呈现给用户可读性强、更易理解的日志信息。基于全面日志数据的报表审计功能，为用户提供多角度、全方位的信息系统综合分析审计报告。 上网行为审计LogBase审计系统提供基于底层协议识别的流量分析功能，通过旁路侦听（Sniffer Mode）的网络无干扰方式，对经过信息系统边界的双向网络流量进行分析，可对网站访问、邮件收发、上传/下载、即时通讯、网络游

10、戏、炒股等提供完整的行为记录及内容还原功能。可自定义关键字库过滤，进行细粒度的上网行为追踪审计。 数据库审计LogBase审计系统提供针对主流数据库操作行为的分析功能。无需修改数据库配置及网络架构，通过在数据库服务器前端进行旁路侦听的方式，可对访问数据库的网络地址、用户帐号、数据库名、表名、操作指令明细、返回值等信息提供完整记录。通过预设规则，对用户越权、非法访问数据库，篡改、删除、窃取数据的行为进行实时告警。提供丰富的审计报表，如：异常登录统计报表、数据库高危操作明细报表、帐号登录失败明细表等等，满足用户合法性、合规性审计需求和数据库安全管理需要。第四章 LogBase产品特性5.1 全面的

11、日志采集能力完整全面的采集日志信息是日志审计的基础，LogBase基于对多种平台、常用协议及多类应用系统的深入分析，运用多种灵活的、安全的、可靠的采集手段，构建全面的日志管理审计平台，包括主流的操作系统日志（Windows系统、HP-UX、AIX、Solaris、BSD、Linux）、上网行为记录（HTTP、FTP、TELNET、MSN、BT、SMTP/POP等）、六大类各版本的主流数据库操作行为（DB2、Oracle8i 9i 10g、MSSQL2000 / 2005、Sybase、Mysql、Informix）、网络设备及安全设备日志（支持SYSLOG、SNMP_trap、Opsec_le

12、a协议）、应用系统日志（IIS、APACHE、SERV-U、Weblogic、Symantec等所有文本型日志文件），真正实现全面的、统一的日志管理审计系统平台。5.2 可靠的安全保障能力 系统底层采用嵌入式Linux系统，系统内核已进行全面精简、优化，从而在内核级别保障系统本身及日志的安全性； 采用自主研发的专有数据库，避免了主流数据库自身带来的安全问题； 系统内置安全防火墙系统，可以设定严格的访问源，从而避免了绝大部分的无关流量，进一步保障系统本身的安全性； 系统对内部的管理帐号具有严格的细粒度的权限控制，能够有效防止内部管理员的越权访问，避免日志数据被越权访问、恶意删除。 系统内部存储为

13、Raid阵列，即能保障日志信息在设备内的安全存储需求，又能保障高效的检索速度； 5.3 专用的日志专家规则库 LogBase自带基于日志内容分析的专家规则库，针对日志源数据进行实时等级划分，智能分析日志信息中所反映出的诸如设备故障、配置错误、系统警告、应用程序出错、传播违规违法信息、数据库敏感操作等信息，并能及时通过邮件或短信方式通知管理员。5.4 灵活开放的查询条件LogBase系统在接收日志信息时，根据不同的日志种类进行不同的格式化处理，在保留所有日志原始信息的同时将日志根据字段进行分割处理。用户在检索日志时，可以根据日志的类型，字段内容进行精细匹配，如：日志源IP、日志生成时间、任意字段

14、内容等；从而实现日志的快速准确定位；LogBase系统支持不限次数的多重条件查询规则设定，支持的操作符有：、=、不等于、包含、开闭区间等等常用逻辑运算符；支持跨日志查询，管理员能够通过设定规则条件，对日志进行精确定位匹配。5.5 高效的事件定位能力LogBase系统采用了思福迪公司自主开发的基于海量日志索引的日志检索引擎，避免了采用关系型数据库在处理海量日志数据时造成的低效率问题，通过“基于预测的动态索引技术”、“数据正交分组技术”及“适应磁盘的索引存储”“即时结果反馈技术”等核心技术手段，实现了对日志的高速检索能力。对Logbase缓存中的日志（最近入库的日志），Logbase对四重以内组合

15、条件查询，能够在5秒内即返回完整的检索结果。5.6 安全的旁路审计模式 LogBase对数据库操作访问、上网行为等审计内容支持全旁路方式进行审计，不在网络中串联设备；不在主机上安装客户端软件；不改变客户原有的登陆方式。 LogBase系统进行维护、升级时不会影响到正常业务的运行，也不会影响到网络性能。5.7 良好的扩展性设计LogBase系统支持在业务规模及审计管理范围扩大情况下的平滑升级，主要的系统可扩展及伸缩性能力主要表现在以下几个方面。 网络探测器的负载均衡当单台网络探测器不能支持大流量的网络访问监听及分析时，可针对不同的访问源区域，进一步增加网络探测器来分担现有探测器压力。 日志采集及

16、实时分析系统的负载均衡当系统的审计范围扩大或安全事件发生频率提高时，会造成系统需要实时接收和分析的日志量超出了系统可支持的日志吞吐量，此时系统支持将日志采集及实时分析系统模块分离出来，进行多台负载均衡的部署，以支撑更高并发日志量条件下的审计分析。 缓存日志存储及检索的负载均衡当用户缓存日志的日志保留天数及数量需要大幅度提高时，会造成审计人员进行日志检索及报表生成过程中的速度降低，此时系统支持对多台缓存日志存储及检索模块的负载均衡。5.8 丰富的合规性报表LogBase系统审计报表均根据各行业审计需求、国家法律法规相关要求进行专门设计，如：满足82号令审计需求，对特定上网行为进行日志记录并通过报

17、表系统对异常行为进行集中审计；根据SOX法案审计需求，对数据库操作、主机操作进行审计，并研发了大量满足SOX法案审计需求的报表。如用户登录/登出报表、特定操作统计报表、关键操作明细报表等等。第五章 典型部署图5.1 LogBase分布式部署示意图第六章 产品规格与指标6.1 审计主机规格指标技术指标LogBase 530LogBase 1300LogBase 3300体积规格2U2U2U日志吞吐量2500条/秒4500条/秒6000条/秒动态缓存量500万条1000万条1500万条日志存储量5亿条10亿条20亿条网络接口千兆*2 千兆*2千兆*2管理方式HTTPS/SSH/RS232集群支持不

18、支持不支持不支持类型扩展不支持支持支持报表扩展不支持支持支持外部存储不支持不支持支持分中心模式不支持不支持支持 6.2 硬件探测器性能指标类别型号体积监听口数量网口总数网口类型LogBase Netflow Sensor流量型探测器（支持获取各种主流网络及数据库访问行为)LogBase-NS100-11U16百兆LogBase-NS100-21U26百兆LogBase-NS100-31U36百兆LogBase-NS1000-11U16千兆LogBase-NS1000-21U26千兆LogBase-NS1000-31U36千兆类别型号体积采集吞吐量网口总数网口类型LogBase Event Collector协议型探测器(支持Syslog、OPSEC Lea、SNMP trap和LogBase专用协议等协议事件日志)LogBase-ECP1U10000条/秒4千兆LogBase Filestream Collector文件型探测器（支持通过ftp、http等协议采集）LogBase-FCP1U160G4千兆