隨著企業(yè)信息化建設的不斷深入���,各大類主機操作系統(tǒng)����、網(wǎng)絡設備、安全設備�����、以及業(yè)務應用系統(tǒng)都在不斷的增長���;眾多產(chǎn)品,不同廠家�����、不同型號的設備維護方法不一樣����,且都是基于某一個維度進行記錄,導致不同的設備間無法進行關聯(lián)分析���,海量的日志無法有效管理��,運維負擔大�����;其次����,當出現(xiàn)攻擊行為,攻擊者刪除安全日志����,安全事故事后也無法審計。
1.安全審計目標
從信息安全風險管理角度來看���,針對各類系統(tǒng)的運行日志和用戶網(wǎng)絡�、數(shù)據(jù)庫訪問行為的審計系統(tǒng)是信息安全保障體系中不可或缺的一部分�����,信息安全審計系統(tǒng)的目標包括:
1) 有效整合現(xiàn)有信息安全產(chǎn)品�,形成統(tǒng)一的安全事件管理平臺;
2) 通過全面的日志及行為分析�,彌補現(xiàn)有各類技術產(chǎn)品在威脅分析、發(fā)現(xiàn)方面的不足�;
3) 通過信息安全審計系統(tǒng)的部署滿足相關法律、法規(guī)要求����;
4) 為安全事故的責任追查��、故障定位提供有力的技術手段��。
2.安全日志審計架構(gòu)
2.1 數(shù)據(jù)采集:
2.1.1? Syslog系統(tǒng)日志
通過Syslog協(xié)議方式采集 :
Windows server 2000-2016各系統(tǒng)版本 :CentOS�、RedHat�����、Debian���、HP-UX、Solaris�、FreeBSD、AIX等類Unix系統(tǒng) ����;
Cisco、HUAWEI�����、H3C����、Juniper��、F5���、Radware等網(wǎng)絡設備和安全設備
Vmware、KVM等虛擬化平臺 ���;
Apache�����、Tomcat����、IIS��、weblogic等應用中間件 �����;
通過JDBC/ODBC接口方式采集 :
業(yè)務日志���、防病毒日志等存放于數(shù)據(jù)庫表內(nèi)的日志.
2.1.2 應用系統(tǒng)日志
通過FTP方式定時采集
Web應用服務器��、中間件系統(tǒng)����、OA辦公系統(tǒng)、CRM管理系統(tǒng)�、行業(yè)專用業(yè)務系統(tǒng)等
2.2 關聯(lián)分析
2.3 告警監(jiān)控
2.4 審計報表
