需求分析


日志审计需求主要源自两个方面的驱动力:一,从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,以及来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。二,从国家法律法规和行业标准规范的角度出发,日志审计已经成为满足合规与内控需求的必备功能,例如:《网络安全法》第二十一条 (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》对于二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计;《互联网安全保护技术措施规定》第八条要求“记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件等安全审计功能”;《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。

 

产品简介

产品简介


和记推出的新一代泰合信息安全运营中心系统,采用具有自主知识产权的分布式非关系型数据库技术的日志审计系统及日志分析管理解决方案。

系统能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、索引、备份、全文检索、实时搜索、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。

系统采用融合了大数据技术的新一代技术架构,基于分布式节点计算机制,使用具有自主知识产权的非关系型数据库CupidDB,具有分布式、全文索引、扩展、实时格式化数据搜索和原始数据关键字搜索、高可靠性等特点,帮助用户进行基于日志的综合审计和日志全生命周期管理,从而最大化的保障网络、主机和应用系统安全机制的有效性。

 

功能特点

  • ?支持大规模部署和功能扩展:

    支持分布式采集和分布式存储,支持大数据量日志审计,还能与TSOC安全管理平台融合。

  • ?丰富灵活的报表报告:

    内置丰富的报表模板,包括统计报表、明细报表、趋势报表和综合审计报告,支持自定义。

  • ?可视化日志审计:

    提供丰富的可视化视图,包括资产拓扑图、IP地图定位、多维分析图、视网膜分析图等

  • ?详尽的日志范式化和日志分类:

    支持将各种不同表达方式的日志转换成统一的描述形式,并进行日志分类。 

  • ?威胁情报采集与利用:

    支持导入或者主动抓取的方式获取内外部相关威胁情报信息,并将其应用于关联分析。 

  • 混合式检索技术:

    支持对范化后的字段值进行全部日志记录的搜索,同时支持全文检索技术。 

  • ?灵活强大的交互式分析:

    交互式查询技术可以通过自定义的仪表盘同存储的所有日志进行交互查询。 

  • ?融合大数据技术:

    采用领先的高性能日志采集技术、分布式存储与索引、流式集中事件及情境关联分析技术。 

 

技术优势

  • 扩展性

    日志审计系统采用组件化技术框架,便于功能扩展。

  • 安全性

    具备完善的自身安全性设计,保证系统自身的安全等级符合用户要求;

  • 影响性

    采取多种技术手段,力求对用户网络和业务的影响最小化。

  • 大规模部署

    支持分布式日志采集和事件存储、审计中心级联,支持大规模部署。

  • 范式化技术

    自学习的事件范式化技术,提高日志分析效率。

  • 数据源扩展

    独有的审计数据源扩展机制,方便实现新设备类型的日志采集。

  • 融合大数据技术

    在日志采集、分析和存储三个方面获得本质的性能提升。

  • 操作简单

    操作简洁、界面美观大方、内置丰富仪表板,适用于各级管理人员。

 

典型应用


单级部署



采集器分布式部署

 

审计中心集群部署

 


混合分部式部署


级联部署

用户价值

? 处理日志大数据的利器
借助系统的大数据技术架构,让客户实现对分散的具有大数据特征的日志的收集,对这些日志格式进行规范化统一描述,实现对日志大数据的分布式集群化存储,实现在日志大数据下对历史数据的分析和检测;在分布式存储计算节点的架构下大大提高安全分析人员对日志大数据的历史数据的分析效率,减少计算资源耗费;并在系统独有的交互式分析设计架构下实现了对日志大数据的事件调查,历史回溯,条件组合查询,结果查看等功能。有效地解决了大数据时代中日志大数据带来的挑战。

? 全生命周期日志管理
借助本系统,客户能够实现从日志产生、采集、综合分析与审计、到日志存储、备份整个日志生命周期管理。通过集中化的日志管理系统,协助客户解决网络中日志分散、种类繁多、数量巨大的问题,提升安全运营效率。

? 日常安全运维工作的有力工具
对于日常安全运维而言,核心的工作内容就是对IT网络进行持续监测,确保网络、主机、应用、重要信息和人员资产的安全。更具体地说,就是要持续监测并识别针对网络、主机、应用、重要信息和人员资产性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。

借助本系统,客户能够统一收集来自网络中IT资产的日志信息,通过分析日志中的安全事件,识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵,以及违规与信息泄露等行为,协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告,成为客户日常安全运维的有力工具。

? 遵照等级保护的审计要求
系统在设计之初就充分考虑的国家制定的信息系统等级保护制度中对于安全审计的技术要求。系统能够帮助客户更好地遵从等级保护的审计要求。

以GB/T 22239-2008《信息安全技术 信息系统安全等级保护基本要求》中对三级信息系统的安全审计要求为例,系统能够对基本要求中规定的网络及安全设备、主机、数据库和应用的日志进行统一的采集和存储,协助客户对审计记录数据进行统计、查询、分析,并生成审计报表。对于采集的所有日志记录信息,都记录了日期、时间、类型、主体标识、客体标识和结果等信息,同时原封不动地保存了原始日志信息。对于存储的审计记录,系统进行了完善的安全保护,避免遭受未预期的删除、修改或覆盖。

? 契合合规与内控的审计要求
随着客户业务系统对网络依赖程度的日益加深,以及层出不穷的安全威胁,各行各业对网络安全的重视程度也日渐加强。针对上市公司、大中型企业(尤其是央企)、银行、证券、保险,国家和各行业主管部门都出具了大量的内控、合规管理标准、规范、规定,都对IT信息系统的安全审计提出了要求。

针对中大型网络中IT资产多、日志量大的特点,系统支持级联和分布式部署的方式,配合系统高性能的日志采集技术,能够实现日志的集中化存储与审计,降低客户满足合规性要求的总体成本。

系统具有海量日志存储能力,能够存储长时间的日志信息,满足合规的相关要求。

实时合规管理的企业和组织往往都对其业务系统连续性有很高的要求,系统在运行的过程中采取了多种技术手段,确保对客户现有业务系统及其网络的影响程度降到最低,使得客户在实现合规的同时,维持业务系统的现有服务水平。

服务热线

400-624-3900