网络信息安全
构建可信、可控、可管、可用、可靠、可视的网络安全防护体系
| 风险挑战 | ||
| 海量繁杂-日志无法有效管理 日志来源不仅包括安全设备及各个系统,还包括各类传感器和移动客户端,每天产生巨大的日志量,且不同的日志格式纷繁复杂,无法进行统一管理。 | 信息孤岛-日志无法关联 各个设备独立分散、各自为政,日志无法进行关联以找到其中的关联共性。 | 大量误报-关键告警淹没 从各个设备上接收到的告警日志多种多样,其中不乏大量误报,致使关键告警被淹没。 |
| 多种界面-高成本低效率 排查安全事件时,需要登录一台台设备进行日志的查看与排错,多个界面的操作使得排查效率低,成本高,难以发现真正的安全威胁。 |
| 政策法规 | |||
| 网络安全法、等保政策合规必备 网络安全基础建设的关键一环,满足合规需求的必备产品,全面适配多款国产CPU及操作系统,响应国家信创战略 | |||
| 政策法规 | 法律法规 | 相关条款 | 与日志审计相关的主要内容 |
| 《中华人民共和国网络安全法》 | 第二十一条(三) | 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; | |
| 《信息系统安全等级保护基本要求》 | 对于网络安全、主机安全和应用安全部分 | 二级以上信息系统,在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计; | |
| 关键信息基础设施网络安全保护基本要求》 | 7.5.3 安全审计 | 运营者应加强网络审计措施,监测、记录系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于12个月。 | |
| 十四五规划 | 强调了“安全”的重要性,并提出“实现重要产业、基础设施、战略资源、重大科技等关键领域安全可控 | ||
| 金融条例 | 《商业银行内部控制指引》 | 第一百二十六条 | 商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。 |
| 《银行业信息科技风险管理指引》 | 第二十五条 | 对于所有计算机操作系统和系统软件的安全,在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。 | |
| 第二十六条 | 对于所有信息系统的安全,以书面或者电子格式保存审计痕迹;要求用户管理员监控和审查未成功的登录和用户账户的修改。 | ||
| 第二十七条 | 银行业应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。 | ||
| 《证券公司内部控制指引》 | 第一百一十七条 | 证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录确保开启审计留痕功能。证券公司信息系统日志应至少保存15年。 | |
| 《保险公司信息系统安全管理指引(试行)》 | 第三十一条 | (要求)形成网络接入日志并定期审计。 | |
| 第四十三条 | 根据内部控制与审计的要求,保存信息系统相关日志,并采取适当措施确保日志内容不被删除、修改或覆盖。 | ||
| 第四十四条 | 对主机系统进行审计,妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计。 | ||
| 行业标准 | IS027001:2005 | 4.3.3记录控制 | 记录应建立并加以保持,以提供符合ISMS要求和有效运行的证据。 |
| 《企业内部控制基本规范》 | 第四十一条 | 企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制,保证信息系统安全稳定运行。(注:间接要求安全审计) | |
| 《企业内部控制应用指引》 | 第六条 | 对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。企业应当在信息系统中设置操作日志功能,确保操作的可审计性。 | |
| 《互联网安全保护技术措施规定》(公安部82号令) | 第八条 | 记录、跟踪网络运行状态,监测、记录用户各种信息、网络安全事件等安全审计功能。 | |
| 产品功能 | ||
| 脆弱性管理 能够收集和管理来自各种Web漏洞扫描、主机漏洞扫描、网络漏洞扫描工具产生的扫描结果,并实时和用户资产收到的攻击危险进行风险三维关联分析。 | 可视化展示 实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索及平台的管理。通过各种事件的归一化处理,实现高效能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。 | 分布式部署和管理 系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。 |
| 灵活的可拓展性 提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。 | 其他功能 支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。 | |
| 产品优势 | ||
| 全面的智能收集功能 不断的连接检查和完整性检查以及可自定义的缓存功能,可确保平台接收到所有数据,并对传输链的各个环节进行监控,可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志,强大的数据压缩功能可节省昂贵的带宽。 | 标准化日志 各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志 (弱点、漏洞)、各种状态监控日志(可用性、性能、状态)、安全视角的事件描述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。 | 创新的日志解析能力 系统采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,内置正则、JSON、Grok、分隔符等丰富化的解析规则。创造性地融入思维导图模式,将解析规则图形化,支持拖动排序的形式编辑规则,所见即所得。此外,为保证用户更好地掌握解析性能运行的健康度,系统支持实时展示解析耗时、成功次数和失败次数等信息,性能展现一目了然。同样,用户可批量禁用末使用到的解析规则,释放珍贵的CPU资源,提升解析效率。 |
| 先进的关联算法 标准化之上的关联规则,适应性强,实时的内存关联功能可确保获得高性能的处理能力,可定制性强,几乎可根据通用事件的任何字段进行关联,直观的规则语法,可以让用户根据自己情况进行灵活定制,内置重要的关联规则库,可以即装即用。 | 先进的数据挖掘功能 采取无训练集合的自动购物篮分析算法,从T级别历史日志数据中有效发现行为规律。 | 可维护性及可护展性 系统具有对自身的维护配置功能,如:系统参数设置、系统日志管理等。硬件系统采用模块结构,保证系统内存、CPU及储存容量的扩展;硬件配置的升级不会引起软件的修改和开发,每个组件都可以横向扩展,通过增加设备满足业务需求。 |
| 典型案例 | ||
| 广州电子政务网 | 铁道部信息中心 | 北京大学 |
| 中国中央电视台 | 江苏省公安厅 | 贵州省公安厅 |
| 中国移动 | 中国联通 | 中国电信 |
| 国家电网 | 中国农业发展银行 | 国家开发银行 |
| 安恒明御综合日志审计平台 版本:V3.0 | ||||
| 基本硬件模块 | 产品规格 | 许可说明 | 产品说明 | 适用用户类型 |
| DAS-LOG-200 | 1U | 20个日志源 | 4个工作口,2个管理口,1个console口 内存:8GB,磁盘:1T*1 EPS:2000/秒(峰值:4000/秒) 单电源、CF卡启动 可扩展项:单个磁盘可扩展至4T(仅有1个盘位) | 小型企业版 |
| DAS-LOG-500 (主推型号) | 2U | 100个日志源 | 4个工作口,2个管理口,1个console口 内存:8GB,磁盘:1T*1 EPS:4000/秒(峰值:5000/秒) 双电源、CF卡启动 可扩展项:单个磁盘可扩展至2T(2个盘位),支持HBA卡扩展 网口可扩展至10个(4电、4光) | 中小型企业版 |
| DAS-LOG-1000 (主推型号) | 2U | 200个日志源 | 4个工作管理口,1个console口 内存:16GB,磁盘:2T*2 raid1 EPS:9000/秒(峰值:12000/秒) 双电源、CF卡启动 可扩展项:内存可扩展至32GB 单个磁盘可扩展至4T(4个盘位),支持HBA卡扩展 网口可扩展至10个(4电4光、8电、8光、2万兆光) | 中型企业版 |