思福迪LogBase日志管理审计系统技术白皮书.docx

1.ogBase日志管理审计系统V1.0技术白皮书1.OGBaSeXZ日志专家杭州思福迪信息技术有限公司SAFETYBASEINFOTECHCO.1.TD2007.12版权说明©版权全部2005-2008,杭州思福迪信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特殊注明，版权均属杭州思福通信息技术有限公司全部，受到有关产权及版权法爱护，任何个人、机构未经杭州思福迪信息技术有限公司的书而授权许可,不得以任何方式复制或引用本文件的任何片断。商标信息Safetybase,1.ogBaSe均是杭州思福迪信息技术有限公司注册商标，受商标法爱护。北京市西城区裕民东路5号瑞得大厦303室邮编:100029电话:010-82031028传真：010-82031020北京分公司上海分公司公司信息:/1.ogsascE-mai1.：admin(1.Rbasc公司总部杭州市文一西路75号3号楼6楼邮编:310012电话:0571-88923222传真:0571-88923887上海市中山西路1878弄凯托大厦1号楼1701室邮编:200233电话:021-64861456传真：021-64866195文档内容5期里读者5如何获得帮助5第一堂概述61. 1信息平安审计的必要性61.2信息平安审计目标7其次亘1.ogBase产品介绍82. 1产品概述82.2体系结构9第三章审计功能介绍103.1 数据库平安审计103. 2上网行为审计123.3 综合日志审计143.4 管理操作审计(BH)17第四受管理功能及特性194.1 实时监控194.2 查询分析1943综合分析194.4 数据管理204.5 权限管理204.6 设备管理214.7 产品特性及优势21第五章产品规格与指标245.1 审计主机规格指标245.2 硬件探测器性能指标26第六章典型部署27第七章技术支持和服务体系28文档内容本文档主要介绍1.ogBaSe产品的技术相关特性，主要功能，典型部署和各种性能指标等。期望读者期里了解本产品主要功能和技术特性的阅读行，本文档假设您对下面的学问有肯定的了解：，日志和行为记录的概念：1各类常见网络访问协议的功能1典型网络设备的应用部署模式如何获得帮助平安相关资料可以访问公司网站：:"1.OgBaSC 本产品相关最新信息可以访问:1.OgBaSC.''product/ 本产品技术支持可以拨打电话：0571-88923876 产品支持电T邮件地址：SUDDOrt(1.ogbase第一章概述1.1 信息平安审计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高；对信息系统的依靠;程度也随之增加，如何保障信息系统平安是全部单位都非常关注的一个问题。当前，大部分组织都已对信息平安系统进行J'基本的平安防护，照实施防火墙、入侵检测系统、防病毒系统等。然而，信息系统维护过程中依旧还面临着诸多的困难及风险，如：/系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异样运行，服务中断。这些异样行为往往会事先在系统及各类日忐中有反映，假如缺乏有效的日志审计手段，就无法刚好发觉这些平安随忠。/网络资源滥用：大部分企业都对员工的上网行为不进行干脆限制，因此员工不适当或滥用公司网络资源的行为，如进行BT下效、观看在线电影、网上闲聊以及访问非法网站的相关行为等等，不仅造成了对公司管理制度的挑战，更对企业在国家相关法律法规的符合性上形成隐患，也简单造成企业资料泄密等后果。/应用及数据风险：企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息平安风险，包括用户非授权访问、管理员误操作、黑客恶意破坏等等，必需实行有效的平安审计手段。,平安事务定位风险：由于目前的应用系统往往都是相互关联的，一个故障现象，往往要对数台甚至数十台网络设备及主机的日志进行关联分析才能确定真正的故障缘由，缺乏有效的统一平安事务审计平台可能导致无法刚好进行故障定位甚至错误定位，此外恶意破坏者获得系统权限后可以清理平安日志，从而导致无法正确定位平安日志。此外，SOX法案、82号令、公安部等级爱护等各类法规及行规均对日志审计、行为审计有明确的要求，确保关键信息系统在可审计、可控状态下运行。1.2 信息平安审计目标从信息平安风险管理角度来看，针对各类系统的运行日志和用户网络访问行为的审计系统是信息平安保障体系中不行或缺的一部分，信息平安审计系统的目标包括：（1）有效整合现有信息平安产品，形成统的平安事务管理平台：（2）通过全面的日志及行为分析弥补现有各类技术产品在威逼分析发觉方面的不足：（3）为平安事故的贵任追查、故障定位供应仃力的技术手段。其次章1.OgBaSe产品介绍2.1 产品概述JgBase日志管理综合审计系统（以下简称1.ogBa>e）是思福迪公司自主研发的拙有自主学问产权的专业信息平安审计产品，系统通过监测及采集信息系统中的系统平安事务、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及关联分析功能，实现对信息系统整体平安状况的全面审计。I4gBasc专注于对局域网、广域网和互联网上各类系统、应用和设备的平安事务、用户行为、系统状态的实时采集、实时分析、异样报警、集中存储和事后分析，是支持分布式、跨平台的统一智能化日志管理及审计设备，可以对各类网络设笛、平安设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的平安审计.1.OgBaSe是功能强大的智能化日志管理设备,通过1.OGBASE方面可以随时了解整个IT系统的日志吞吐状况，在实时的日志分析中刚好发觉系统异样和非法访问行为，通过告警模块以E-Inai1、手机短信息等多种方式刚好通知管理员：另一方面，在事后分析和报表中供应多种多样的运行分析报告，便利系统管理员从日志类型、特征、数呈、内容中分析IT系统全面的运行状况,刚好发觉平安漏洞和非法访问行为，推断性能瓶颈和预料性能波动，同时为系统今后的战略规划供应依据。遇到特殊平安事务和系统故障，确保日志完整性和可用性，帮助快速定位相关故障，并以此为依据进行追杳和复原。因此，1.ogBase可以帮助用户有效降低IT系统的故障而带来的损失，降低IT系统的运维成本和管理的困难度，显著提高系统整体的平安性、牢靠性和运行效率，保证IT系统7X24的正常、持续、稳定运行,降低信息系统的整体平安风险.2.2 体系结构本产品基于嵌入式64位1.inUX系统，由采集分析模块、检索引擎模块、报表模块、管理模块组成.1.OgBaSC采纳B/S架构，管理员通过S方式对主机进行管理。1.ogbaSe的系统架构如图2.1所示。日志存他中心E113>管理及查询中心HFe¾<2)图2.11.ogBase日志管理审计系统体系结构第三章审计功能介绍3.1 数据库平安审计随着信息系统的发展，数据库的应用已经非常广泛，几乎全部的关键业务系统都依靠于数据库绽开，数据库也由此变为企业最珍贵的数据资产，因此，数据库系统的平安保障也是整个信息系统平安建设中的最重要组成部分。目前，针对数据库的平安威逼主要来自于以卜几方面：数据库被恶意篡改（黑客攻击等）：管理田违规操作：数据泄漏问题：针对上述平安问题，黑客攻击等行为可以在网络层、操作系统层、数据层面通过平安加固进行肯定程度的防卫，对于内部人员造成的数据库平安问题，只能依靠于内部管理制度建设及数据库平安审计系统去防范。1.ogbase数据阵平安审计模块是针对上述数据库平安威逼而设计的第：.方平安审计工具，它能够具体记录对数据库的各种篡改及信息窃取过程，不仅能够为审计人员供应客观的审计记录，也能够对内部的违规及越权操作起到很好的成摄作用。3.1.1 支持数据库类型1.OgbaSe支持以下主流数据库系统：ORAC1.EDB2>MSSQ1.SERVER> MYSQ1.> SYBASE> INFORMIX1.ogbase都能够通过网络流量分析实时地、精细化还原各种数据库操作，如登录、注销、插入、删除、更改数据、更改权限、执行存储过程等。具体日志内容如下：【发生时间、客户端IP、服务器IP、源MAC地址、目的MAC地址、源端口、目的满口、数据库名、用户名、数据库指令、服务器返I可状态（执行胜利与否）】等等。M4：17218IM18UAICHM:RW(H191714Q4TrWr2CO&01-19161703«e«：c*nUXftB9ItSMAiItM：ttJCFC7A98优N*AKttO18CDM2Ae11:MWSnK0D1»«««：KP«:一1.OOaUWTIT1.ItIMItIrPatfinit1.H810K4|»体：Bm46攸aa：ERPORv3H1.Bte<三15O4.5<r<oe=网络硬件探测器还同时支持采集TeIneI、FTP等操作日志，对数据库股务器的访问行为进行多途径检测。此外，1.ogbase也支持采集数据库自身审计日志的功能，如OraCIe的a1.ert文件等，并对其中的有效信息进行审计。3.1.2采集方式1.OgbaSe数据库审计模块采纳硬件网络探测器对网络流量进行旁路分析方式采柒审计所需的数据，无需数据库开启自身审计功能，避开由此对数据库系统带来负面性能影响。3.1.3审计效果1.ogbase能够对网络中的数据库异样访问行为进行实时监测，并通过告警功能对异样的数据库操作行为进行实时告警，结合TeInCt、FTP等操作系统访问审计，能够刚好发觉各类数据库恶意镖改或违规操作行为。此外，1.ogbaSe强大的报表功能也使其成为快班斯法案等法规合规性审计检查的有力协助工具。1.OgbaSe供应大量的数据库平安审计报表，如用户登录报表异样登录报表G关键操作报表3£操作明细报表服务器启停报表等.通过1.OgbaSe系统的实施，企业能够建立完善的数据库平安审计体系，为数据库稳定运行、企业业务正常开展供应强有利的平安保障。3.2上网行为审计现代化的办公系统都依苑于信息系统开展，因员工在办公过程中带来的各类问题层出不穷，如访问不良网站导致病毒泛滥、钓鱼攻击、通过IM或邮件泄漏公司机密、BT下载导致拥塞网络出口、IM及网络嬉戏导致办公效率低下等等。如今，如何规范、合理地利用企业网络，避开网络资源奢侈，提高员工工作效率是全部企业面临的难题。另一方面，公安部早在2005年为了规范和加强互联网平安运用就颁布了互联网平安爱护技术措葡规定（公安部第82号令）夕公安部82号令3中规定，互联网服务供应者应当落实以下互联网平安爱护技术措施：,记录并留存用户登录和退出时间、系统维护日志的技术措旅：/记录、跟踪网络运行状态，监测、记录网络平安事务等平安审计功能。假如单位在互联网访问方面没有实行措施保留原始记录（日志）,一旦发生通过互然网开展的作奸犯科行为，只能追查到单位，追究管理贵任，给单位在经济和声誉上带来巨大损失，甚至要求停网整顿，将严皎干扰正常工作的开展.3.2.1审计协议类