——全面的日志收集、创新的日志解析、智能型关联分析、合规性的日志审计
产品概述
明御®综合日志审计平台(简称DAS-Logger)作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;明御®综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。
明御®综合日志审计平台旨在实现网络资产安全状况的统一管理,使企业的利益受损风险降低,广泛适用于政府、金融、运营商、公安、电力能源、税务、工商、社保、交通、卫生、教育、电子商务及各企事业单位等。
产品组成:
明御综合日志审计平台由采集器、通信服务器、关联引擎及平台管理器组成,
主要功能
全面日志采集:全面支持Syslog、SNMP、OPSec、XML、FTP及本地文件等协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其它网管平台等。
大规模安全存储:内置T级别存储设备,可以选配各种RAID级别进行数据冗余和安全保障。系统拥有多项自主知识产权的存储加密机制和查询机制,十分合适等保、密保等行业的应用要求。
智能关联分析:实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。
脆弱性管理:能够收集和管理来自各种Web漏洞扫描、主机漏洞扫描工具、网络漏洞扫描工具的产生的扫描结果,并实时和用户资产收到的攻击危险进行风险三维关联分析。
数据挖掘和数据预测:支持对历史日志数据进行数据挖掘分析,发现日志和事件间的潜在关联关系,并对挖掘结果进行可视化展示。系统自带多种数据统计预测算法,可以根据历史数据的规律对未来的数据发生情况进行有效预测。
可视化展示:实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。
分布式部署和管理:系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。
灵活的可扩展性:提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。
其他功能:支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。
产品优势
全面的智能收集功能:不断的连接检查和完整性检查以及可自定义的缓存功能,可确保平台接收到所有数据,并对传输链的各个环节进行监控;可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志,强大的数据压缩功能可节省昂贵的带宽。
标准化日志:各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)、安全视角的事件描述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。
创新的日志解析能力:解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等);日志解析性能与接入的日志设备数量无关。
先进的关联算法:标准化之上的关联规则,适应性强;实时的内存关联功能可确保获得高性能的处理能力,可定制性强,几乎可根据通用事件的任何字段进行关联;直观的规则语法,可以让用户根据自己情况进行灵活定制,内置重要的关联规则库,可以即装即用。
先进的数据挖掘功能:采取无训练集合的自动购物篮分析算法,从T级别历史日志数据中有效发现行为规律。
可维护性及可扩展性:系统具有对自身的维护配置功能,如:系统参数设置、系统日志管理等。 硬件系统采用模块结构,保证系统内存、CPU及储存容量的扩展;硬件配置的升级不会引起软件的修改和开发;每个组件都可以横向扩展,通过增加设备满足业务需求。
产品部署
明御®综合日志审计平台可以方便部署到现有网络环境中,只需网络能够到达平台即可实现信息资产日志的收集与处理。
典型案例
业务审计
业务审计是明御综合日志审计平台又一个应用场景,在多客户的业务环境里有成功的部署案例,通过在业务主机上安装轻量级的Agent,将业务日志实时的送到综合日志审计平台,真实的还原业务的访问过程,精准的分析业务流程的时延,基于多种维度统计用户的访问习惯,用户的终端类型、访问时间、地理区域及运营商接入情况。精准的识别基于业务逻辑的攻击行为,对不符合业务流程的访问行为进行提取。为客户提供一目了解的可视化的业务分析报表和业务攻击告警。
广州电子政务网
广州市电子政务网平台骨干网是一套由连新路节点、市委节点、市府、穗园节点和珠江新城节点五个核心节点组成的城域环网。电子政务网平台目前已连接100多个市一级预算单位和12个区、县级市信息化主管部门,广州市电子政务畅通工程(二期)光纤链路建设项目将大规模地扩大联网范围。
随着电子政务外网系统的IT运营支撑系统网络规模日渐庞大、业务系统数量增多,不断扩展的网络,使其结构日趋复杂,安全管理更加困难。同时由于各委办局和区县IT安全运维能力参差不齐,网站篡改和挂马事件时有发生。如何将分布在各地的IT系统、网络上的各类安全产品、重要网络设备和主机等IT资产生成的与安全有关的事件收集起来,集中预警、主动发现,进行自动化的风险管理是当前形势所急需解决的。
安恒信息为广州市电子政务外网互联网出口、12个区(县级市)政务外网汇聚节点和37个重点委办局主要网络设备、安全设备和重要信息系统提供监控、预警、通报、响应和追踪服务,同时对50个涉亚重点网站进行两轮安全渗透测试和漏洞检查服务,确保广州政府部门关键信息服务在面临各种威胁与攻击时仍然维持良好的运转,为亚运期间政务信息系统安全保驾护航。
项目实施后,保障了广州市电子政务外网系统在2010年亚运会期间安全稳定运行,提供了广州电子政务外网安全监控的长效技术支持手段,明确电子政务外网各项安全管理性要求,同时细化和完善各类安全事件应急响应流程和各应急场景库的增加,在安全监控试点项目基础上扩大项目范围和深化功能,不断满足广州整个电子政务外网的安全要求。
基于监控平台基础上进行扩容、功能完善和性能优化,提高了监控实效性和有效性,更好地满足监控服务实际运维的要求;
在监控平台基础上,对各关键功能组件(包括收集器、通信服务器模块、关联分析引擎等)进行调整和优化,提升了安全监控平台的处理性能;
建立了覆盖广州电子政务外网的安全事件监控平台,通过部署硬件事件收集器,实现对12个区县政务外网和37个市属委办局主要网络设备、安全设备和业务系统的安全事件整体监控、预警、通报、响应和追踪,建立了全市范围内安全事件的集中监控体系;
每天近4000万条的日志处理能力。
铁道部信息中心
铁道部电子支付平台等级保护4级审计项目采用了安恒综合日志审计系统。铁道部电子支付平台是国内少有的真正按照4级强制访问控制等级标准建造的信息系统,4级等级保护系统的审计工作涉及到访问控制标记保护、可信路径计算、隐蔽通道识别等高难度审计设计要求,安恒以出色的技术实力圆满的完成了此项目,成为真正国内拥有和理解4级等级保护审计技术的少数几家公司之一。
中国电信浙江省公司
中国电信浙江省公司(简称浙江电信)是中国电信华东地区最大的运营商,拥有千万级的用户和庞大的网络设备群。浙江电信选取安恒综合日志审计系统作为其综合业务审计系统。浙江电信选购日志审计设备近30台,数据库审计设备30余台,运维审计设备10余台,并搭配安恒Web应用防火墙、Web扫描平台等产品,形成了全面综合安全解决方案。
经过四期建设,安恒综合日志审计平台可以收集WEB访问日志、数据库访问日志、堡垒主机及VPN设备的日志,并根据安全规则进行关联分析。涉及浙江电信的30个业务系统,设备数百台。明御综合日志审计系统作为信息资产的综合性管理平台,通过对浙江电信网络设备、安全设备、主机和应用系统日志进行全面的标准化处理。为浙江电信及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保浙江电信业务的不间断运营安全;为浙江电信提供全维度、跨设备、细粒度的关联分析,为浙江电信提供真正可信赖的事件追责依据和业务运行的深度安全。系统同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助浙江电信全面审计信息系统整体安全状况。