风信子日志审计子系统
风信子日志审计子系统是风信子认证审控系统(4A系统)的重要产品线之一,负责用户应用系统主机日志的审计,弥补风信子网络审计系统不能审计直接在主机键盘操作的缺陷,与风信子网络安全审计系统一起,为用户提供全方位的日志审计和安全预警功能。
-
风信子日志审计子系统中日志搜集代理和日志分析平台共同协作获取主机、网络设备及应用系统的日志数据,根据日志策略进行分析归类,最后存储到审计管理平台中。
根据【风信子认证审控系统用户指南】中向导使用指示,用户可方便通过上述各种软件按照自身需求配置日志审计策略,形成审计日志及报表。
性能指标企业型专业型软件型
MAX事务处理能力5000eps2000eps2000eps
MAX设备数400100100
MAX日志规则数1000200200
MAX查询响应时间5秒5秒5秒
MAX储存速度8000条/秒3000条/秒3000条/秒
-
支持Syslog标准主机日志采集、过滤及分析
风信子日志审计子系统支持使用Syslog方式对Unix,Linux, Windows各版本操作系统及多种应用系统的标准主机日志采集与审计。
操作系统主要包括:
indows 2000, WINDOWS XP, WINDOWS 2003
Solaris AIX HP Unix RedHat Linux
应用系统主要包括:
Apache IIS Symantec AntiVirus SendMail
支持SNMP标准网络设备状态查询与监控
风信子日志审计子系统使用SNMP和SNMP-TRAP方式采可以实时查询和监控多种网络设备和安全设备的状态,包括以下设备类型:
监控设备 防火墙 CISCO PIX Firewall
Netscreen Firewall
Checkpoint Firewall
ISONE Linktrust FirewallIDS ISS Real Secure IDS
ISONE Linktrust IDS路由器 Huawei Quidway R2621, R2631
CISCO 7206, 7507, 3725, 12016, 2691, 3662, 3640交换机 Huawei Quidway S3526, S3026, S3050, S3552, S6506
CISCO Catalyst 2950-24, 2950T-48, 6509, 4003, 4506, 4006, 2950G-48, 2924XLv主机键盘及串口操作审计
通过在主机上安装专门的日志代理,除了收集主机自身发出的日志信息外,还可以把在主机上直接操作(机房),或者通过串口等绕过网络流量审计的操作方式所产生的访问行为完全审计下来,发送给审计平台,达到回放级的审计效果。
支持多种数据库日志审计
风信子日志审计子系统可以分析多种大型数据库日志,如Oracle、DB2、Sybase、SQLServer;将这些数据库的二进制日志转化成可见的数据库操作记录,根据设定的条件进行过滤、分级和归类;用户能够在日志中发现错误操作,并且可以按照审计分析选择回退操作。
日志平台监控报警
风信子日志审计子系统能够支持对状态监控参数的设置,能够显示各组件状态以及支持组件异常信息告警。对于所有能监控的内容,包括审计结果中超过阀值的事件、审计系统自身组件的故障等,可以通过邮件、短信和控制台声光等手段及时发出告警信息。
非标准日志分析
在用户应用系统中有很多日志是一种非国际标准的日志格式,这种日志往往只能作为用户应用系统自身审计存在,而不能被纳入普通的日志分析平台中进行统一审计,但是风信子 日志审计子系统已经实现了对多种非标准日志格式的统一分析,并且可以提供FTP通用的文件传输方式收集日志文件。
自定义高危事件
风信子日志审计子系统为用户提供了简单的日志规则配置方式,只需要根据配置向导即可配置出不同类型的事件规则,其中规则级别分为普通、重要和高危等;本公司也可以根据用户需求的不同提供更多配置模板。
标准化审计
风信子日志审计子系统的审计格式完全符合公安部计算机信息系统安全产品质量监督检验中心【信息技术日志分析产品安全检验规范】;按照国际金融标准萨班斯法案(SOX)审计要求制定相关审计规则;具有符合电子信息规范的审计查询报表格式,能够灵活定制报表方案。
-
分布式审计架构设计
风信子日志审计子系统实现了根据用户灵活多变的网络环境,非常快捷、方便的分布式部署HYPlus-HS和HYPlus-AS,满足用户不同日志格式的同时审计需求,达到全面审计用户应用系统效果。
基于正则识别、逻辑分词技术的日志报文分析
风信子日志审计子系统采用了正则识别及逻辑分词技术,能有效地弹性识别多种不同格式的日志文件,并把文件中的日志记录的消息要素标准化输出,因此,通过同一平台可以处理不同格式的日志文件,从而降低了管理和维护的成本。
XML信息数据交换技术
风信子日志审计子系统的数据文件配置均采用了XML文件形式存储和表现,XML不仅提供了清晰的结构化的信息表现能力,同时作为一种流行的国际标准的信息数据交换形式,使得系统的数据及信息可以在不同平台及系统间自由交换,为与其它系统与平台进行有效整合提供了保障。
SSL+用户名/口令方式安全通讯
SSL(Secure SocketLayer)是网景(Netscape)公司设计的主要用于web的安全传输协议,后来该协议通过了国际电子信息委员会组织规范成了RFC标准协议,因此该协议也在各种网络应用层协议上广泛使用。风信子网络审计系统各产品组件之间采用了SSL加密通讯的方式传输,同时在组件服务器端增加了用户名认证方式的传输,既防止了数据被恶意监听、篡改,又防止了外部非法接入系统;保障了整个系统的输入输出数据的安全性。
-
中小型网络应用
对于中小型网络,需要收集日志的设备相对比较少,网络环境和应用都不是很复杂,主要的收集对象是中心端的主机、数据库、网络设备,日志量也比较小,部署一台采集器、一台审计服务器即可。
管理员只需要分超级、授权、审计三种即可。
监控中心系统也不必提供独立的硬件设备,可以与其他组件安装在一起。
需要监控的设备与日志采集器之间的通信,一定要保证所需要的端口正常开通。
根据具体情况,如果网络中日志数据量特别小,还可以将日志采集器与日志审计中心合成一台硬件设备。
大中型网络应用
对于大中型网络环境,由于主机、数据库、网络设备数量多,网络结构复杂,为了高效的收集日志信息,可以分布式部署日志采集器(探头)。
为了达到负载均衡的目的,可以按数据来源分布式部署,也可以按收集协议(Syslog、SNMP、代理等)进行分布式部署。
