隨著企業(yè)信息化建設(shè)的不斷深入���,各大類主機(jī)操作系統(tǒng)�����、網(wǎng)絡(luò)設(shè)備����、安全設(shè)備、以及業(yè)務(wù)應(yīng)用系統(tǒng)都在不斷的增長���;眾多產(chǎn)品�,不同廠家��、不同型號(hào)的設(shè)備維護(hù)方法不一樣�,且都是基于某一個(gè)維度進(jìn)行記錄,導(dǎo)致不同的設(shè)備間無法進(jìn)行關(guān)聯(lián)分析��,海量的日志無法有效管理�,運(yùn)維負(fù)擔(dān)大;其次����,當(dāng)出現(xiàn)攻擊行為�,攻擊者刪除安全日志,安全事故事后也無法審計(jì)�����。
1.安全審計(jì)目標(biāo)
從信息安全風(fēng)險(xiǎn)管理角度來看�,針對(duì)各類系統(tǒng)的運(yùn)行日志和用戶網(wǎng)絡(luò)����、數(shù)據(jù)庫訪問行為的審計(jì)系統(tǒng)是信息安全保障體系中不可或缺的一部分����,信息安全審計(jì)系統(tǒng)的目標(biāo)包括:
1) 有效整合現(xiàn)有信息安全產(chǎn)品,形成統(tǒng)一的安全事件管理平臺(tái)�;
2) 通過全面的日志及行為分析,彌補(bǔ)現(xiàn)有各類技術(shù)產(chǎn)品在威脅分析��、發(fā)現(xiàn)方面的不足����;
3) 通過信息安全審計(jì)系統(tǒng)的部署滿足相關(guān)法律、法規(guī)要求���;
4) 為安全事故的責(zé)任追查���、故障定位提供有力的技術(shù)手段。
2.安全日志審計(jì)架構(gòu)
2.1 數(shù)據(jù)采集:
2.1.1? Syslog系統(tǒng)日志
通過Syslog協(xié)議方式采集 :
Windows server 2000-2016各系統(tǒng)版本 :CentOS�、RedHat、Debian�����、HP-UX、Solaris�����、FreeBSD��、AIX等類Unix系統(tǒng) �;
Cisco、HUAWEI�����、H3C��、Juniper����、F5、Radware等網(wǎng)絡(luò)設(shè)備和安全設(shè)備
Vmware��、KVM等虛擬化平臺(tái) ��;
Apache��、Tomcat�、IIS、weblogic等應(yīng)用中間件 ����;
通過JDBC/ODBC接口方式采集 :
業(yè)務(wù)日志、防病毒日志等存放于數(shù)據(jù)庫表內(nèi)的日志.
2.1.2 應(yīng)用系統(tǒng)日志
通過FTP方式定時(shí)采集
Web應(yīng)用服務(wù)器�����、中間件系統(tǒng)��、OA辦公系統(tǒng)����、CRM管理系統(tǒng)、行業(yè)專用業(yè)務(wù)系統(tǒng)等
2.2 關(guān)聯(lián)分析
2.3 告警監(jiān)控
2.4 審計(jì)報(bào)表
