BIT84网络信息系统安全体系综合审计系统.pptx
合集下载
BIT84网络信息系统安全体系综合审计系统.ppt
身 劳
心
► 展示层
安
● 展示层以多种报告报表的方式让用户能够从多个角度清楚的洞 人
察系统的运行情况,实现对审计系统的配置管理,实现综合审
强 我
计和报表展示。
强
共 同 发 展
综合审计体系结构
第三方审计产品 审计 产品 api/syslog/snmp
Ultr@AMS 集中身份管理系统
jdbc
URTR@AMS日志管理与审计系统
DB ULTR@AMS
syslog/ Jdbc/api
标准日志采集
日志审计
Api/jdbc
数据库嗅探硬件 流量审计
Api/jdbc
堡垒主机硬件 访问控制
居 利 思 义
身 劳 心 安
人 强 我 强
共 Syslog/snmp 同
发 展 网络嗅探硬件 流量审计
居 利 思 义
身 劳 心 安
产品功能
人 强 我 强
共
● 集中授权日志
同
● 访问控制日志
发 展
● 单点登录系统
● 堡垒主机日志
日志采集-全面的获取技术
1)面向文件型收集器,Filestream Collector,提供通用系统格式模
板库,支持自定义,配合通用文件采集Agent,部署分客户端安装 居
和外置模式
利 思
2)面向协议型收集器,Event Collector,提供常见协议的支持,如 义
共 同 发 展
产品功能—系统功能
► 日志采集
● 日志来源
● 数据标准化/过滤/归并/压制
► 日志审计
居 利
● 行为审计
思 义
● 关联分析审计
● 基于用户实体的行为审计
第九讲信息安全审计ppt课件
信息安全审计概述
天融信TA为用户提供的价值
“雪亮工程"是以区(县)、乡(镇) 、村( 社区) 三级综 治中心 为指挥 平台、 以综治 信息化 为支撑 、以网 格化管 理为基 础、以 公共安 全视频 监控联 网应用 为重点 的“群 众性治 安防控 工程” 。
信息安全审计概述
“雪亮工程"是以区(县)、乡(镇) 、村( 社区) 三级综 治中心 为指挥 平台、 以综治 信息化 为支撑 、以网 格化管 理为基 础、以 公共安 全视频 监控联 网应用 为重点 的“群 众性治 安防控 工程” 。
信息安全审计概述
信息安全审计的一般步骤
“雪亮工程"是以区(县)、乡(镇) 、村( 社区) 三级综 治中心 为指挥 平台、 以综治 信息化 为支撑 、以网 格化管 理为基 础、以 公共安 全视频 监控联 网应用 为重点 的“群 众性治 安防控 工程” 。
信息安全审计概述
安全审计系统的目标至少要包括以下几个方面:
“雪亮工程"是以区(县)、乡(镇) 、村( 社区) 三级综 治中心 为指挥 平台、 以综治 信息化 为支撑 、以网 格化管 理为基 础、以 公共安 全视频 监控联 网应用 为重点 的“群 众性治 安防控 工程” 。
信息安全审计体系结构
集中式安全审计系统体系结构
集中式体系结构采用集中的方法,收集并分析数据源,所有的数 据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎 及安全审计引擎的工作,而部署在各受监视系统上的外围设备只是简 单的数据采集设备,承担事件检测及数据采集引擎的作用。 随着分布式网络技术的广泛应用,集中式的审计体系结构越来越显示 出其缺陷,主要表现在: (1)由于事件信息的分析全部由中央处理机承担,势必造成CPU、I/O 以及网络通信的负担,而且中心计算机往往容易发生单点故障(如针 对中心分析系统的攻击)。另外,对现有的系统进行用户的增容(如 网络的扩展,通信数据量的加大)是很困难的。 (2)由于数据的集中存储,在大规模的分布式网络中,有可能因为单个 点的失败造成整个审计数据的不可用。 (3)集中式的体系结构,自适应能力差,不能根据环境变化自动更改配 置。通常,配置的改变和增加是通过编辑配置文件来实现的,往往需 要重新启动系统以使配置生效。 因此,集中式的体系结构已不能适应高度分布的网络环境。
天融信TA为用户提供的价值
“雪亮工程"是以区(县)、乡(镇) 、村( 社区) 三级综 治中心 为指挥 平台、 以综治 信息化 为支撑 、以网 格化管 理为基 础、以 公共安 全视频 监控联 网应用 为重点 的“群 众性治 安防控 工程” 。
信息安全审计概述
“雪亮工程"是以区(县)、乡(镇) 、村( 社区) 三级综 治中心 为指挥 平台、 以综治 信息化 为支撑 、以网 格化管 理为基 础、以 公共安 全视频 监控联 网应用 为重点 的“群 众性治 安防控 工程” 。
信息安全审计概述
信息安全审计的一般步骤
“雪亮工程"是以区(县)、乡(镇) 、村( 社区) 三级综 治中心 为指挥 平台、 以综治 信息化 为支撑 、以网 格化管 理为基 础、以 公共安 全视频 监控联 网应用 为重点 的“群 众性治 安防控 工程” 。
信息安全审计概述
安全审计系统的目标至少要包括以下几个方面:
“雪亮工程"是以区(县)、乡(镇) 、村( 社区) 三级综 治中心 为指挥 平台、 以综治 信息化 为支撑 、以网 格化管 理为基 础、以 公共安 全视频 监控联 网应用 为重点 的“群 众性治 安防控 工程” 。
信息安全审计体系结构
集中式安全审计系统体系结构
集中式体系结构采用集中的方法,收集并分析数据源,所有的数 据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎 及安全审计引擎的工作,而部署在各受监视系统上的外围设备只是简 单的数据采集设备,承担事件检测及数据采集引擎的作用。 随着分布式网络技术的广泛应用,集中式的审计体系结构越来越显示 出其缺陷,主要表现在: (1)由于事件信息的分析全部由中央处理机承担,势必造成CPU、I/O 以及网络通信的负担,而且中心计算机往往容易发生单点故障(如针 对中心分析系统的攻击)。另外,对现有的系统进行用户的增容(如 网络的扩展,通信数据量的加大)是很困难的。 (2)由于数据的集中存储,在大规模的分布式网络中,有可能因为单个 点的失败造成整个审计数据的不可用。 (3)集中式的体系结构,自适应能力差,不能根据环境变化自动更改配 置。通常,配置的改变和增加是通过编辑配置文件来实现的,往往需 要重新启动系统以使配置生效。 因此,集中式的体系结构已不能适应高度分布的网络环境。
网络安全--访问控制审计和备份(PPT49张)
登录计算机 访问文件系统 执行系统命令 系统管理 ……
用户登录
用户只有登录才能访问系统 用户身份识别
用户名/口令 智能卡 身份认证协议:PAP、CHAP、Kerberos、… ……
对用户的访问授权
根据用户帐户数据库中的信息对登录用户授权 存在多种访问控制方法,相应的授权和管理方法也不 同
小
消耗时间
执行频率 恢复过程
长
长 简单
中等
中等 简单
短
短 复杂
恢复
称为重载或重入,是指当磁盘损坏或系统 崩溃时,通过转储或卸载的备份重新安装 数据或系统的过程。 恢复技术依赖于备份技术;
备份需要维护多长时间?
需要维护多少份副本?
数据备份类型
完全备份
所有数据被复制到存储介质中。 只有从上一次完全备份之后改变的数据才需要 完整地存储。 仅仅复制那些在最后一次完全备份或增量备份 之后改变的数据。
差量备份
增量备份
不同数据备份类型对比
完全备份
存储空间 大
差量备份中等增源自备份访问控制访问控制
访问控制
为了安全目的,依据策略或权限机制,控制对 资源进行的不同授权访问 保障授权用户能获取所需资源 拒绝非授权用户的资源访问请求
身份认证是访问控制的前提条件 访问控制是应用系统不可缺少的重要部分 访问控制包含3个要素:主体、客体和控制 策略。
访问控制的相关概念
最终目标是保护系统中的信息安全
计算机系统安全技术
信息安全审计课件完整版
信息安全威胁分类:
威胁分类 国家安全威胁 共同威胁 局部威胁
攻击者 信息战士 情报机构 恐怖分子 商业间谍 犯罪团伙 社会型黑客 娱乐型黑客
攻击行为描述 主动攻击重要目标,制造混乱 搜集政治、军事、经济信息 破坏公共秩序,制造混乱 获取商业机密,占据竞争优势 进行报复,以实现经济目的 通过恐吓、挑衅,获取金钱和声望 不以经济利益为目的,喜欢挑战
• 了解密码学与密码学的主要技术 • 了解网络安全技术 • 理解信息系统安全的威胁
2.1 密码学
密码学的发展历史可划分为三个阶段: • 第一阶段——古代到1949年 • 第二阶段——1949年到1975年 • 第三阶段——1976年至今
专业术语:
• 密钥(Key):加密和解密算法通常是在一组密钥 (Key)控制下进行
• 明文:没有进行加密,能够直接代表原文含义的信息 • 密文:经过加密处理之后,隐藏原文含义的信息 • 加密(Encryption):将明文转换成密文的实施过程 • 解密(Decryption):将密文转换成明文的实施过程 • 加/解密算法:密码系统采用的加密方法和解密方法
密码学的传统模型:
网络安全使用密码学来辅助完成在传递敏感信 息的相关问题:
信息系统安全防范十项原则
(5)规范标准原则,信息系统要遵守统一的规范和标 准,确保互连通性和互操作性,实现各分系统的一致性 (6)全体参与原则,是全体相关人员的责任。安全管 理制度和措施得不到相关人员的切实执行,安全问题根 本无法解决 (7)技术与管理结合原则,信息系统安全涉及人员、 技术、操作、设备等因素,仅靠技术或仅靠管理都无法 保证安全,技术与管理必须有机结合
信息系统安全防范十项原则
(1)预防为主,在信息系统的规划、设计、采购、集 成和安装中要同步考虑信息安全问题,不可心存侥幸 (2)木桶原则,防范最常见的攻击,提高最薄弱点的 安全性能 (3)成熟技术原则,优先选用成熟的技术,谨慎使用 前沿技术,以便得到可靠的安全保证 (4)适度安全原则,绝对的安全实际上是没有的,要 正确处理安全需求与实际代价的关系
数据安全数据监控和审计系统ppt
数据安全数据监控和审计系统是一种用于监控和记录数据安全活动的系统,旨在发现任何潜在的安全威胁,并提供对网络和系统的安全审计功能。
它通过收集和分析数据,以识别任何可疑或恶意活动,从而帮助组织保护其敏感数据和系统。
什么是数据安全数据监控和审计系统
数据安全数据监控和审计系统的重要性
数据安全数据监控和审计系统对于组织来说非常重要,因为它可以帮助组织
事件响应与恢复
在遭遇数据安全事件时,数据安全数据监控和审计系统能够迅速响应,并采取适当的措施进行恢复,将数据损失降到最低。
自动化处理与分析
01
通过自动化处理和分析数据,数据安全数据监控和审计系统能够快速地检测和识别关键信息,提高数据处理效率。
提升数据处理效率
数据筛选与过滤
02
系统能够自动筛选和过滤大量数据,仅将重要信息呈现给分析人员,减轻人工筛选的负担,提高数据分析的准确性和效率。
02
安全性审计
系统能够对数据的访问权限、操作行为等进行安全性审计,发现并防止未经授权的访问和操作。
系统能够对重要数据进行加密存储,防止未经授权的访问和泄露。
数据加密
系统能够定期备份数据,并具备快速恢复数据的能力,确保数据的安全性和可用性。
数据备份与恢复
系统具备防病毒和防攻击功能,能够有效地防范恶意软件和网络攻击。
实时监控与分析
通过高效的数据存储和处理技术,处理和分析大规模数据,发现其中的模式和趋势,为决策提供支持。
高效的数据存储和处理
利用数据可视化技术,将监控和分析结果以直观的方式呈现给用户,提高数据的可读性和易用性。
数据可视化与交互式界面
大数据分析技术在数据监控中的应用
机器学习技术在数据审计中的应用
网络安全理论与技术安全审计PPT课件
在这个标准中对网络审计定义了一套完整的功能,有: 安全审计自动响应、安全审计数据生成、安全审计分 析、安全审计浏览、安全审计事件存储、安全审计事 件选择等。
6
安全审计自动响应
安全审计自动响应定义在被测事件指示出一个 潜在的安全攻击时作出的响应, 它是管理审计事件的需要,这些需要包括报警 或行动,例如包括实时报警的生成、违例进程 的终止、中断服务、用户帐号的失效等。 根据审计事件的不同系统将作出不同的响应。 其响应方式可作增加、删除、修改等操作。
网络安全审计包括识别、记录、存储、分析与安全相 关行为有关的信息。
1996 年六国七方签署了《信息技术安全评估通用准则》即 CC1.0。 1998 年美国、英国、加拿大、法国和德国共同签署 了【信息技术安全性评估通用准则2.0版】(即 CC2.0)。 1999 年成为国际标准 ISO/IEC 15408,我国于 2001 年等同 采用为 GB/T 18336。目前它已被广泛地用于评估一个系统的 安全性。
13
安全审计分析类型(续)
简单攻击试探:当发现一个系统事件与 一个表示对系统潜在攻击的签名事件匹 配时,应指示出此为一个潜在的攻击;
复杂攻击试探:当发现一个系统事件或 事迹序列与一个表示对系统潜在攻击的 签名事件匹配时,应指示出此为一个潜 在的攻击。
14
安全审计浏览
该功能要求审计系统能够使授权的用户有 效地浏览审计数据。包括:审计浏览、有限审 计浏览、可选审计浏览。 审计浏览 提供从审计记录中读取信息的服务; 有限审计浏览 要求除注册用户外,其他用户 不能读取信息; 可选审计信息 要求审计浏览工具根据相应的 判断标准选择需浏览的审计数据。
15
安全审计事件选择
系统能够维护、检查或修改审计事件的 集合,能够选择对哪些安全属性进行审 计,例如:与目标标识、用户标识、主 体标识、主机标识或事件类型有关的属 性。 系统管理员将能够有选择地在个人识别 的基础上审计任何一个用户或多个用的 动作。
6
安全审计自动响应
安全审计自动响应定义在被测事件指示出一个 潜在的安全攻击时作出的响应, 它是管理审计事件的需要,这些需要包括报警 或行动,例如包括实时报警的生成、违例进程 的终止、中断服务、用户帐号的失效等。 根据审计事件的不同系统将作出不同的响应。 其响应方式可作增加、删除、修改等操作。
网络安全审计包括识别、记录、存储、分析与安全相 关行为有关的信息。
1996 年六国七方签署了《信息技术安全评估通用准则》即 CC1.0。 1998 年美国、英国、加拿大、法国和德国共同签署 了【信息技术安全性评估通用准则2.0版】(即 CC2.0)。 1999 年成为国际标准 ISO/IEC 15408,我国于 2001 年等同 采用为 GB/T 18336。目前它已被广泛地用于评估一个系统的 安全性。
13
安全审计分析类型(续)
简单攻击试探:当发现一个系统事件与 一个表示对系统潜在攻击的签名事件匹 配时,应指示出此为一个潜在的攻击;
复杂攻击试探:当发现一个系统事件或 事迹序列与一个表示对系统潜在攻击的 签名事件匹配时,应指示出此为一个潜 在的攻击。
14
安全审计浏览
该功能要求审计系统能够使授权的用户有 效地浏览审计数据。包括:审计浏览、有限审 计浏览、可选审计浏览。 审计浏览 提供从审计记录中读取信息的服务; 有限审计浏览 要求除注册用户外,其他用户 不能读取信息; 可选审计信息 要求审计浏览工具根据相应的 判断标准选择需浏览的审计数据。
15
安全审计事件选择
系统能够维护、检查或修改审计事件的 集合,能够选择对哪些安全属性进行审 计,例如:与目标标识、用户标识、主 体标识、主机标识或事件类型有关的属 性。 系统管理员将能够有选择地在个人识别 的基础上审计任何一个用户或多个用的 动作。
信息系统审计PPT课件
H 项目管理
H1.项目管理 总计
硬件
软件
第三方
单位:万元人民币
内部支持
总计
16,000 1,963 2,430
42,525 2,487 2,442
17,780 0
1,444 196 297
8,505 20,700
1,216 3,230 7,146
145 145 145 2,284 3,725
48 3,274
➢ 管理方法 数据集中、业务集成、动态监控
➢ 分析决策 统计数据、分析趋势、发现规律
➢ 内部控制 业务流程重组、自动控制增加、舞弊手段
背景介绍
信息技术的积极面
作业效率的提高 信息渠道更加畅通 集中管理成为可能 数据的搜集和管理更加高效 信息的查询和分析更加容易 人为的差错大大减少 纸质介质的使用减少
总计
17,091 4,901 101
18,372
3,871 3,063 7,121
4,455 6,784
810 35,496
5,483 13,378
2,937
6,642 6,415
729 11,497
4,838 3,367 8,560
4,228 2,715
246 7,334
2,302 3,202 3,615
信息技术覆盖的业务领域
勘勘探探与与生生产产
炼工油程与技化术工 炼销油售与销市售场 天化然工气与与销管售道 天然气贸与易管道 工国程际技贸术易
服务
服务
机装械备制制造造 生生产产服服务务 社海会外服业务务 总矿部区业服务务
勘探与生产技术 炼油与化工运 数据管理系统 行系统
客户关系 管理系统
专 业
H1.项目管理 总计
硬件
软件
第三方
单位:万元人民币
内部支持
总计
16,000 1,963 2,430
42,525 2,487 2,442
17,780 0
1,444 196 297
8,505 20,700
1,216 3,230 7,146
145 145 145 2,284 3,725
48 3,274
➢ 管理方法 数据集中、业务集成、动态监控
➢ 分析决策 统计数据、分析趋势、发现规律
➢ 内部控制 业务流程重组、自动控制增加、舞弊手段
背景介绍
信息技术的积极面
作业效率的提高 信息渠道更加畅通 集中管理成为可能 数据的搜集和管理更加高效 信息的查询和分析更加容易 人为的差错大大减少 纸质介质的使用减少
总计
17,091 4,901 101
18,372
3,871 3,063 7,121
4,455 6,784
810 35,496
5,483 13,378
2,937
6,642 6,415
729 11,497
4,838 3,367 8,560
4,228 2,715
246 7,334
2,302 3,202 3,615
信息技术覆盖的业务领域
勘勘探探与与生生产产
炼工油程与技化术工 炼销油售与销市售场 天化然工气与与销管售道 天然气贸与易管道 工国程际技贸术易
服务
服务
机装械备制制造造 生生产产服服务务 社海会外服业务务 总矿部区业服务务
勘探与生产技术 炼油与化工运 数据管理系统 行系统
客户关系 管理系统
专 业
信息系统安全审计44页PPT
信息系统安全审计
26、机遇对于有准备的头脑有特别的 亲和力 。 27Байду номын сангаас自信是人格的核心。
28、目标的坚定是性格中最必要的力 量泉源 之一, 也是成 功的利 器之一 。没有 它,天 才也会 在矛盾 无定的 迷径中 ,徒劳 无功。- -查士 德斐尔 爵士。 29、困难就是机遇。--温斯顿.丘吉 尔。 30、我奋斗,所以我快乐。--格林斯 潘。
谢谢
11、越是没有本领的就越加自命不凡。——邓拓 12、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔·F·斯特利
26、机遇对于有准备的头脑有特别的 亲和力 。 27Байду номын сангаас自信是人格的核心。
28、目标的坚定是性格中最必要的力 量泉源 之一, 也是成 功的利 器之一 。没有 它,天 才也会 在矛盾 无定的 迷径中 ,徒劳 无功。- -查士 德斐尔 爵士。 29、困难就是机遇。--温斯顿.丘吉 尔。 30、我奋斗,所以我快乐。--格林斯 潘。
谢谢
11、越是没有本领的就越加自命不凡。——邓拓 12、越是无能的人,越喜欢挑剔别人的错儿。——爱尔兰 13、知人者智,自知者明。胜人者有力,自胜者强。——老子 14、意志坚强的人能把世界放在手中像泥块一样任意揉捏。——歌德 15、最具挑战性的挑战莫过于提升自我。——迈克尔·F·斯特利
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
产品功能—系统功能
► 日志采集 ● 日志来源 ● 数据标准化/过滤/归并/压制
► 日志审计 ● 行为审计 ● 关联分析审计 ● 基于用户实体的行为审计
► 实时监控 ● 事件响应 ● 操作阻断
► 审计报表 ► 系统管理
● 用户管理 ● 用户角色/权限管理 ● 对象管理 ● 采集调度管理 ● 数据备份管理 ● 系统日志管理 ● 系统分级管理
综合IT系统运维审计解决方案
居利思义 身劳心安 人强我强 共同发展
企业审计要求——SOX审计要求
居利思义 身劳心安 人强我强 共同发展
企业审计要求——SOX-AMS对主机/系统审计要求及满足
► 用户登录退出报告(302条款 (a)-(4)-(C)~ (D)) ► 用户登录失败报告(302条款 (a)-(4)-(C)~ (D)) ► 特定文件、目录访问报告 ► 系统开机/关机报告 ► 系统时间修改报告 ► 系统日志修改报告 ► 系统远程登录报告 ► 系统帐号管理操作跟踪 (302条款 (a)-(6)) ► 审计策略变更跟踪(302条款 (a)-(5)) ► 用户认证成功/失败报告 ► 应用访问报告(302条款 (a)-(5))
日志采集方式 标准日志采集(syslog) 标准日志采集(syslog) 日志采集客户端 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集接口(OPSEC LEA) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 标准日志采集(syslog) 获取日志文件 获取日志文件 获取日志文件 获取日志文件 日志API接口 标准日志采集(syslog) 获取日志文件
网络事件审计—数据库
居利思义 身劳心安 人强我强 共同发展
数据库事件
网络探针 数据库
访问源分析 用户登录 数据查询 数据修改 数据删除 数据定义 权限管理
设备支持列表
分类 主机系统
防火墙 入侵检测 网络设备
服务器
子类 Solaris AIX Windows Linux HP Unix Check Point Cisco PIX Netscreen 华为 CA(NIDS) ISS(HIDS) 华为 CISCO Juniper WebLogic WebSphere Apache Microsoft IIS Domino Sendmail Exchange
► 展示层 ● 展示层以多种报告报表的方式让用户能够从多个角度清楚的洞 察系统的运行情况,实现对审计系统的配置管理,实现综合审 计和报表展示。
综合审计体系结构
第三方审计产品 审计 产品 api/syslog/snmp
Ultr@AMS 集中身份管理系统
jdbc
URTR@AMS日志管理与审计系统
DB ULTR@AMS
居利思义 身劳心安 人强我强 共同发展
日志采集-审计日志来源
► 应用系统日志 ● 业务系统 ● 应用服务
► 标准日志 ● 系统日志文件 ● 安全设备 ● 网络设备
► 网络流量的日志 ● 网络嗅探
► 外部系统日志(4A) ● 集中用户管理日志 ● 集中认证日志 ● 集中授权日志 ● 访问控制日志 ● 单点登录系统 ● 堡垒主机日志
3)网络嗅探器,Network Sensor,通过旁路监听方式,网络协议还原 获取
4)数据库嗅探器,DB Sensor,通过旁路监听方式,数据库访问协议 还原获取
5)特殊探测器,Agent,为特殊目的一般安装在主机上的探测软件, 如针对UNIX主机操作、Windows系统Eventlog及其它操作运行信息
主机系统审计—安全设备
居利思义 身劳心安 人强我强 共同发展
安全设备
Syslog Snmp Trap
安全设备状态改变 安全设备配置修改 安全设备本身告警 安全设利思义 身劳心安 人强我强 共同发展
网络事件
网络探针
Telnet登入/登出过程 Telnet用户命令操作 Ftp登入/登出过程 Ftp用户命令操作 Ftp文件上传下载 Web访问
日志内容 系统日志 系统日志 Eventlog 系统日志 系统日志 管理日志/告警日志 管理日志/告警日志 管理日志/告警日志 管理日志/告警日志 告警日志 告警日志 管理日志 管理日志 管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志 系统使用日志/管理日志
syslog/ Jdbc/api
标准日志采集
日志审计
Api/jdbc
数据库嗅探硬件 流量审计
Api/jdbc
堡垒主机硬件 访问控制
Syslog/snmp
网络嗅探硬件 流量审计
居利思义 身劳心安 人强我强 共同发展
居利思义 身劳心安 人强我强 共同发展
产品功能
居利思义 身劳心安 人强我强 共同发展
指定文件及文件夹操作 外部端口使用 CPU/内存/硬盘使用情况 服务和进程运行跟踪 补丁信息 ……
主机系统审计—UNIX
居利思义 身劳心安 人强我强 共同发展
UNIX
Syslog
开关机 系统认证信息 口令猜测 帐户、组管理信息 关键配置文件错误 硬件告警、错误 内核错误信息 守护进程开启、关闭、错误
居利思义 身劳心安 人强我强 共同发展
产品体系结构
居利思义 身劳心安 人强我强 共同发展
产品结构说明
► 数据接口层 ● 数据接口层实现审计数据的采集及标准化,同时还可以完成与 其它日志系统的日志传输及结核。
► 核心业务层 ● 实现数据的综合分析和关联分析,生成各种审计报表。还提供 日志的维护管理,和用户的维护管理。
主机系统审计—windows
居利思义 身劳心安 人强我强 共同发展
Windows
API (无客户端)
Agent 系统日志
Agent 系统监控
开关机 系统登陆、注销 网络登陆 帐号增加、删除 用户属性更改(名称、权限、组等) 口令猜测 运行程序 策略更改(系统策略、审计策略等) 服务增加、删除、开启、关闭 服务异常关闭 服务器硬件异常 日志清除 审计访问对象 应用程序异常 时间更改、驱动更改
居利思义 身劳心安 人强我强 共同发展
日志采集-全面的获取技术
1)面向文件型收集器,Filestream Collector,提供通用系统格式模 板库,支持自定义,配合通用文件采集Agent,部署分客户端安装 和外置模式
2)面向协议型收集器,Event Collector,提供常见协议的支持,如 Syslog、Snmp Trap、Opsec Lea等,少量可AMS主机内置