日志审计系统解决方案

需求分析

• 合规需求

    根据各行业的相关要求，应满足等级保护中对于网络设备、服务器、数据库等日志的审计要求，应能够按照等级保护相关规定进行建设。

    对于上市的各类企事业单位，应按照《企业内部控制基本规范》相关技术要求，建立日志审计防护机制。

• 技术需求

    集中日志审计机制，对现有网络环境中的所有网络设备、系统、安全产品的日志进行集中采集、监控和管理。 

    统一日志解析机制，能够通过技术的手段，提供统一的日志分析功能，将不同类型、格式的日志进行范式化和归并，采用字段分割、知识库等方式对日志进行解析，为管理员提供可视化、易管理的分析界面。

    日志关联分析机制，按照事件类型分类、时间、帐号、资产多角度的关联分析，基于特征的匹配。基于事件的频率、频度进行统计分析。

• 管理需求

    备安全事件告警制度，当发生安全事件时，管理员需及时获知，以便快速的恢复和处理，减小因安全事故所带来的损失。

解决方案

    通过日志审计系统的建设，为用户提供一个统一日志收集、呈现、分析的安全日志管理平台，能够及时进行安全事件的有效告警，实现管理与技术的相互结合，并且满足相关法律法规中对日志审计的要求，从而到达企业合规的要求。具体技术目标如下：

• 实现对各种网络设备、安全设备、操作系统的日志进行收集，标准化、分类和统一存储。

• 对采集到的各类日志进行集中审计，达到降低安全风险，减少安全事件所带来的影响

• 对各种日志进行实时审计分析，发现违规行为，并能进行告警响应。

• 对审计信息进行统计分析，提供日志审计报告报表。

• 不对日志采集源对象的性能和安全产生影响

方案价值

• 完善内部安全风险管理体系

• 提高工作效率，更加快速准确的识别安全告警，发现违规行为，进行应急响应

• 发生安全问题，事后调查有据可循。

• 通过持续有效的安全事件分析识别安全事故、策略冲突、欺诈行为和操作行为

• 通过安全事件分析有助于进行审计和取证分析、支持内部调查、建立基线，以及进行安全运行趋势预测，确保企业和组织的业务的持续性和可靠性

• 通过设备和系统的日志以及安全事件的统一存储，符合企业和组织的需要，符合国家和行业的法律法规

• 自动产生各种分析报表和报告，随时掌控整个企业和组织的安全状况

• 对于企业和组织，领导层：随时可以全局掌握企业和组织的安全总体状况，为领导层进行安全建设决策提供依据

• 全生命周期日志管理

    借助日志审计与分析系统，实现从日志产生、采集、综合分析与审计、到日志存储、备份整个日志生命周期管理。通过集中化的日志管理系统，协助客户解决网络中日志分散、种类繁多、数量巨大的问题，提升安全运营效率。

• 日常安全运维工作的有力工具

    对于日常安全运维而言，核心的工作内容就是对IT网络进行持续监测，确保网络、主机、安全系统等重要信息系统的运行安全。更具体地说，就是要持续监测并识别针对网络、主机、安全设备等重要信息系统的性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。

    借助日志审计系统，客户能够统一收集来自网络中IT资产的日志信息，通过分析日志中的安全事件，识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵，以及违规与信息泄露等行为，协助客户运维人员进行安全监视、问题快速定位、审计追踪、调查取证、应急处置、生成各类报表报告，成为客户日常安全运维和监控的有力工具。

• 符合等级保护的审计要求

    建恒日志审计与分析系统在设计之初就充分考虑的国家制定的信息系统等级保护制度中对于安全审计的技术要求。系统能够帮助客户更好地遵从等级保护的审计要求。