第一章 安全审计面临的问题
安全审计是对信息系统的各种事件及行为进行实时检测、信息采集、分析并针对特定事件及行为采取相应的响应动作。同时,应对采集到的事件及行为进行存储,供事后分析、查询、取证。安全审计所针对的对象可以是主机、服务器、网络设备、安全设备、数据库、应用系统等。
通过安全审计,能够帮助企业及时发现内部或外部用户的违规操作,信息系统的各种异常状况,提高企业对这些异常事件的响应速度。同时,安全审计系统集中式地对企业内的各种事件、行为日志进行存储,可以帮助企业完成各种合规性审计、内部控制方面的工作。
随着信息安全越来越受到企业的重视,安全产品的大量部署,以及企业网络的逐步扩展及设备的增加、信息系统复杂程度的增加、各类网络应用的普遍开展,传统的安全审计方法越来越暴露出其局限性:
审计范围单一
传统的审计产品大多只针对某一种设备、某一厂家的产品进行审计,范围单一,无法满足企业对多种系统、设备进行集中审计的要求。企业需要购买多种不同的审计产品才能完成对企业内多厂家、多品种设备的安全审计需求。而每种审计产品均有一套独立的管理控制台,大大增加了审计人员、系统管理人员的工作量。
缺乏日志追踪手段
传统的审计产品大多只完成了日志的采集、存储。对于采集到的海量日志,往往只能根据其提供的报表来进行一些固定模式的简单分析。用户无法通过对海量事件进行逐步向下追踪(drill down)来定位问题。
审计过程效率低下
传统的审计产品往往局限于对诸如主机操作系统日志的收集和简单分析,依靠审计人员、系统管理人员通过大量的手工工作在不同系统中进行分析、查询来完成审计工作。要将不同系统的日志进行关联起来分析更是难上加难,效率极为低下。对于规模较大的企业网络,这种手工审计过程甚至变成了无法实现的任务。
缺乏关联分析
传统的审计产品缺乏对不同主机系统、网络设备、安全设备、应用系统、数据库系统的审计日志进行关联分析、综合审计的能力。而这对于一个部署了多种设备的企业网络来说,是必不可少的一个功能,能够帮助企业及时发现内部或外部人员潜在的违规行为。
缺乏完善的数据保存机制
具有单一审计功能的产品大多不具备完善的数据存储、备份机制。数据备份、维护等工作需要系统管理员通过手工操作数据库来完成,增加了系统使用的难度,对系统维护人员具有较高的专业知识要求。而企业级的集中审计系统将面对企业内各种设备所产生的审计日志,每天的日志量可能达到百万甚至千万,再依靠用户手工来操作数据库已变得不现实了。
缺少集中、统一的审计平台
企业为了满足对不同厂家、不同类型的设备进行审计,往往需要部署多个专门的审计产品,各审计产品相互独立,各自为政,缺乏互通能力。审计人员和系统管理人员需要熟悉多个产品的界面和使用方法。缺少一个集中统一的审计平台,通过同一个图形界面完成对多种设备的安全审计。
缺少灵活的实时审计告警机制
实时审计告警机制能够帮助用户及时了解各种潜在危害的发生情况,使得用户有时间迅速针对正在发生的危害行为采取措施,缩短响应时间,防止或减少企业遭受由此带来的损失。而传统的审计产品往往将重点放在事后的日志分析与审计上,也就错过了挽回损失的最佳时机。
缺少对用户行为的捕获
安全事故越来越多地被证明是由来自内部的误用、滥用造成的,特别是现代企业extranet使用日益广泛和企业及其供应商合作日益紧密的今天,如何从合法的授权使用中发现非法的行为,成为企业安全管理的关键。大多数的审计系统都不具备捕捉合法用户行为的功能,也就无法从其中审计出某些非法的行为。一些审计产品采用网络抓包的方式,虽然能够记录一些明文协议的内容,如telnet,但对加密通道却无能为力,如ssh。
缺少内置的审计流程
审计是一个过程,是需要多个角色参与的工作流程,而绝大多数审计产品都没有提供对审计流程的支持。一个符合企业要求的审计流程能够更好地帮助审计人员完成审计工作,也使得审计工作更容易正规化、制度化。
帐号与人员的对应
审计工作的目标是审核企业内部或外部的用户在企业网络内的各种行为是否符合企业的规范,最终的审计结果应该能够反应到具体的用户身上。而绝大多数的审计系统都只是简单地将审计结果归结到某个帐号身上,而这个帐号代表哪个用户需要审计人员人工去判断。
可扩展性差
由于企业网络的发展、安全意识的增强,各种新型号的网络设备、安全设备会部署到网络中去;企业的业务发展会导致部署新的网络应用,这都要求现有的审计系统能够以最小的代价来支持对这些新设备、系统的安全审计,从而保护企业在审计系统上的投资。而传统的审计系统往往具有较差的可扩展性,支持新设备的代价将会非常大,有时甚至是无法做到的。
基于浏览器的用户界面
随着web技术的发展,新的审计系统都应采用基于浏览器的B/S架构,而不是传统的C/S架构,以减少部署、使用、维护系统的代价。传统的审计产品大多数使用C/S架构,在使用和维护上有诸多的不方便;另外一些产品同时提供了B/S和C/S的使用方式,但B/S方式基本只能作一些数据查询、报表查看等工作,各审计代理、引擎的配置工作则需要使用C/S工具来完成,仍然不够方便、灵活。
缺少对合规性审计要求的支持
关于加强企业内部控制的各种要求越来越多地出现在我们眼前,特别是对于在美国上市的公司来说,萨班斯法案的合规性要求已成为一种强制性要求。多数审计产品还没有对这些合规性审计要求的支持,无法有效地帮助用户来完成合规性审计,导致合规性工作投入大、效率低,持续合规性难度大。
第二章 领信安全事件审计系统
产品描述
领信SEM系统(Security Event Management System)采用分布式的体系架构、基于B/S的工作界面,从各异构的事件源进行审计事件的采集,集中后完成实时关联分析、实时监控、告警响应、存储、事后分析与追踪等审计工作,力求解决当前安全审计所面临的问题。
1. SEM是整合了审核流程的集中式安全审计系统
SEM系统实时收集各种主机、网络设备、安全设备、数据库系统、应用软件系统的审计日志,以及telnet、ssh连接的操作命令。在分布式收集的基础上,基于审计策略集中进行实时审计和分析,并自动进行告警响应。系统还内置了审计事件的审核流程,供用户对审计事件进行审核、处理。
2. SEM是一个历史日志分析追踪系统
SEM系统将收集到的所有日志信息集中存储在日志数据库中,并定期自动对日志进行各种维度的统计分析和数据挖掘,在此基础上向用户提供了一个综合日志分析系统,用户可由此完成对海量事件的信息挖掘与问题定位。
3. SEM是一个事后取证系统
SEM系统的日志数据库中存储了所有设备、系统的日志以及用户操作命令,辅助以完善的数据备份机制,可作为事后取证的重要数据来源与参考。用户可通过SEM系统的组合查询与追踪功能进行问题定位与取证。
4. SEM是一个合规性辅助系统
SEM系统能够记录对信息系统的各种访问行为,并进行永久保存。根据萨班斯法案的要求,SEM系统设计了多种用户行为审计的功能,并能够基于人员而不是帐号进行行为审计。系统还提供了多种合规性审计的统计分析报表。用户可以利用SEM系统迅速达到萨班斯合规性审计的要求,并且能够持续地保持这种合规性。
SEM体系结构
领信SEM系统完全采用分布式的多层体系结构进行设计,最大限度地考虑了系统的扩展性要求。
整个系统由四层分布式组件构成:驻留主机的采集程序、标准化处理层、核心处理层、Web和应用服务器:
1. 驻留主机的采集程序
采集程序部署在被采集主机上,完成对本机的操作系统日志、应用系统日志进行主动收集。领信SEM系统对于一些无法从外部获取其审计信息的主机,采用在被采集主机上部署采集程序的方式来主动获取日志信息。这些审计信息将通过Syslog协议或TCP Socket方式传送回标准化处理层。
采集程序目前支持Windows平台的采集程序,Unix平台的采集脚本。
2. 标准化处理层
标准化处理层负责接收各种设备、主机、应用系统的原始审计信息,完成这些信息的标准化工作,转化后的标准日志信息将会在本处理层进行一次过滤,过滤掉的日志将直接被丢弃,未被过滤掉的标准日志将被发送至核心处理层进行进一步处理。
同时,标准化处理层还可以捕获基于telnet、ssh的操作命令,作为用户行为审计的数据来源。
日志的标准化工作由各个专门的Agent来完成,每个Agent由一套XML格式定义的解析脚本来驱动,完成对特定设备的原始日志的解析。通过为Agent指定不同的解析脚本,即可对不同的设备日志进行解析。
目前领信已经定义了大量的设备解析脚本,用户可以方便地根据自身需求对脚本进行修改。领信也可以快速针对某个设备进行定制开发。
标准化处理层的日志接收方式包括:Syslog、SNMP Trap、TCP Socket、OPSEC、FlatFile、ODBC、JDBC、控制台标准输出等方式。
3. 核心处理层
核心处理层接收由标准化处理层转发的标准日志,对这些日志进行过滤、归并、实时分析,并提供对各种审计事件的实时响应。同时,核心处理层还完成所有日志的入库存储、数据预统计、数据备份等工作。
4. Web应用服务器
这是与用户交互的接口层,完全基于B/S架构实现。用户只需使用浏览器即可完成SEM系统所有的管理、配置、分析、审计工作。
SEM系统以上四层结构中,每一层又由多个组件组成,这些组件通过协同工作,共同完成安全审计的各项功能:
1. Windows采集程序
Windows采集程序部署在被采集的Windows主机上,用于收集操作系统的EventLog、IIS以及其他运行于Windows平台的应用系统的审计日志。这些日志将通过Syslog协议发送给标准处理层的领信Syslog服务器。
2. Unix采集脚本
Unix采集脚本部署在Unix类主机上,用于收集Apache、WebSphere等运行于Unix平台的应用系统的审计日志。标准处理层的Agent将通过TCP Socket接口来获取这些日志信息。
3. 领信Syslog服务器
领信Syslog服务器是一个高效的Syslog及SNMP Trap(v1、v2)服务器,用于接收标准Syslog协议或SNMP Trap(v1、v2)协议的数据包。
4. Unix访问控制网关
Unix访问控制网关是一个telnet、ssh的访问控制网关,用于记录通过网关的telnet、ssh通道上的所有内容,以此记录所有的用户操作,并将收集到的操作信息传递给Agent进行用户行为分析和审计。
在此模式下,用户不能直接登录目标服务器,而必须首先登录访问控制网关,再由网关登录至目标服务器。
该组件是SEM系统的可选组件。
5. Agent和AgentManager
Agent负责接收各种设备的原始日志信息,并根据解析脚本完成原始日志的标准化工作。同时,还可以对这些事件进行过滤,去除各种无用信息。AgentManager负责管理位于相同机器上的所有事件收集Agent,并将Agent收集到的标准日志信息传递给核心引擎。
6. 核心引擎
核心引擎收集各AgentManager发送来的已标准化的原始事件,对这些事件进行过滤、归并,随后将处理后的原始事件以及归并后产生的归并事件保存至SEM数据库。同时,核心引擎还负责将这些原始事件转发给审计引擎、关联引擎,进行实时审计与关联分析。核心引擎也将过滤后的原始事件发送给应用服务器,提供用户通过Web页面实时查看原始事件的功能。
7. 审计引擎
审计引擎根据审计策略对原始事件进行实时审计分析,并完成各种审计响应动作。如果选择了“产生审计事件”的响应方式,审计引擎可以将产生的审计事件写入SEM数据库。
该组件是SEM系统的可选组件。
8. 关联引擎
关联引擎根据关联规则对原始事件进行实时关联分析,并完成各种关联响应动作。如果选择了“产生关联事件”的响应方式,关联引擎可以将产生的关联事件写入SEM数据库,并同时发送给应用服务器,以进行实时查看。
该组件是SEM系统的可选组件。
9. SEM数据库
SEM数据库用于保存所有组件的配置信息,已收集的原始事件,系统产生的审计事件、归并、关联事件及其它统计信息,并定期对原始事件进行统计,以生成统计数据。系统将定期对数据库内的原始事件数据、统计数据进行备份和删除操作,以保证数据库的长期正常运行。
10. 数据处理任务
数据处理任务定期自动完成各种维度的数据预处理工作,同时,按照数据存储策略进行数据备份管理。
11. Web及应用服务器
应用服务器提供了通过浏览器管理、配置SEM组件,查看实时事件,分析历史事件的功能。是用户与SEM系统的接口,用户通过IE浏览器即可对系统进行访问。
12. 状态监控服务器
状态监控服务器用于监控SEM系统所有组件的工作状态,并负责向用户发送组件异常告警信息,用户也可通过Web页面查看各组件的当前状态。
SEM功能特性
1. 事件收集
SEM系统支持通过ODBC、JDBC、本地文件、标准控制台输出、Syslog、SNMP Trap、SOCKET连接等方式来获取各种设备、系统的审计信息。
2. 事件标准化
Agent依据其指定的解析脚本对接收到的原始事件进行解析,映射至SEM系统标准事件的每个属性字段,以完成标准化的工作。用户通过web页面为Agent指定特定的解析脚本。
每种设备都有一个与之对应的设备解析脚本,领信目前已支持对大量主流设备的事件解析。这个清单还在不断增加中。
3. 事件分类
SEM的标准事件对原始事件所属设备、事件本身从不同分析维度进行了分类,提供了19种设备类型,8种日志分类以及更为精确的日志详细分类,6种关联对象分类以及详细分类。Agent将对接收到的每一条原始事件进行分类和详细分类的映射,保证SEM核心分析、处理的粒度与正确性。
4. 事件过滤
支持在Agent上对事件进行第一次过滤,核心处理层收到标准事件后,还可以进行事件的第二次过滤。经过过滤,可减少大量审计无关事件对系统的影响。用户可通过web页面定义Agent或核心引擎的过滤规则,下发后即可进行过滤。
5. 海量事件归并
系统能够对收到的海量事件按照可定义的归并规则进行归并。对已归并的原始事件,可通过归并规则进行有选择地丢弃,以达到减少重复事件量的目的。通过归并规则,用户可指定过滤条件,归并字段,归并时间段以及归并数量。系统可根据指定的归并字段对事件进行时间和数量上的归并,进而产生归并事件。
6. 实时审计
提供基于审计策略的实时审计,以发现各种特定的用户或系统行为,达到对IT系统进行审计的目的。系统内置了多种审计策略模板,供用户快速定制各种审计策略。同时也提供了灵活友好的审计策略定义界面帮助用户进行审计策略的定义。当系统发现符合审计策略的行为时,将产生相关的审计事件,并使用指定的告警方式进行告警响应。系统根据萨班斯法案的要求,内置了一组针对用户行为的审计策略模板,供用户快速实施萨班斯合规性审计。
7. 事件存储
系统核心模块将各种处理过的标准事件、归并产生的归并事件、实时审计产生的审计事件、关联分析产生的关联事件保存至SEM数据库中,并定期对原始事件数据、各种统计数据进行备份,按用户指定的策略删除历史数据。
8. 事件审核
系统内置了对审计事件的审核处理流程,供审计人员方便、快捷地完成审计工作。SEM系统产生的审计事件都会关联一个审核人员和复核人员,每条审计事件都需经过审核、复核的过程,且系统自动维护审核、复核信息。
9. 关联分析
提供基于关联规则的关联分析,以达到减少各种误报、漏报的目的。系统内置了针对多种常见攻击行为的关联规则,并提供灵活的关联规则语法供用户定制开发关联规则。
10. 告警响应
系统针对审计事件、关联事件,都提供了定义告警响应方式的接口。用户可在审计策略或关联规则中指定一种或多种告警响应,包括:发送邮件、发送syslog、执行一个外部程序等。
11. 设备事件追踪与分析
系统对每个设备的事件进行了粒度到1小时的统计预处理,可根据这些统计信息进行逐层深入的向下追踪(drill down),通过逐步缩小范围进行可疑行为的定位。
12. 灵活的事件查询机制
系统提供了简单查询、高级查询两种不同层次的查询手段,供用户对历史事件进行组合查询,同时还提供了基于查询结果的进一步查询机制,以帮助审计人员、系统管理人员逐步缩小范围,确定问题。历史事件追踪是事后取证的一个重要技术手段。
13. 系统自我监控
SEM系统提供自我监控的功能,系统定时检查所有模块的健康状态以及SEM数据库表空间的使用情况。用户通过系统web页面可观察到当前系统所有模块的运行状态以及数据库表空间的使用情况。对于监控到的异常情况,可通过Email方式通知多个系统内或系统外的用户。
14. 自身审计记录
系统能够记录用户对于SEM系统本身的所有历史操作以及系统自身的运行日志,用户可通过web页面对这些记录进行查看和审计。
15. 人员帐号关系映射
SEM系统提供了组织内的人员与各种帐号的对应关系映射,能够按照人员的视图进行审计。审计人员、系统管理人员通过定义人员帐号的对应关系,系统即可自动地完成按人员审计的工作,真正做到了以人为本。
16. 丰富的统计分析报表
SEM系统目前提供了六大类报表:综合审计报表、日志分析报表、安全事件统计报表、设备信息统计报表、系统信息统计报表、系统月报表。这些报表从不同角度对各种审计日志进行统计分析,并以图表结合的方式呈现给用户。用户通过web页面即可实时查看这些报表,也可将在线报表下载至本地的pdf、word或excel文件,供存档及历史分析。
其中特别提供了符合萨班斯合规性审计要求的审计报表,如管理员登录失败审计报表、用户登录成功审计报表、用户登录失败审计报表、su失败审计报表等。
系统安全月报通过综合分析本月的各种各种安全日志,给出一份能够全面反应企业在这一个月内的安全状况的分析报表。
第三章 领信SEM方案的优势
领信SEM系统是一种分布式、跨平台的信息安全审计系统,它通过对网络设备、安全产品、服务器主机、数据库、 Web 服务等通用应用服务系统在运行过程中产生的日志、消息、状态等信息的实时采集以及收集管理员对主机的操作日志,在实时分析的基础上,发现各种异常行为并发出实时告警,并提供对存储的历史日志数据进行追踪分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高安全等级。
多维度的日志追踪与分析能力
系统通过内部的统计过程对海量数据进行多个维度的统计分析,统计粒度精确到1小时。这就为用户提供了从多个角度对事件进行追踪的功能。通过这种方式,用户能够迅速地从大量事件中筛选出感兴趣的事件,进行问题的定位。同时,系统也提供了丰富的、人性化的组合查询功能,辅助用户完成事件定位工作。
海量日志的集中处理能力
系统支持对各种设备、系统审计日志的分布式收集,对集中后的海量日志进行关联分析与审计,并对这些日志进行集中存储。系统内部对数据存储结构、数据处理算法、数据统计方法都进行了优化处理,保证了在每天存储上千万条事件的情况下,系统的响应时间仍不会出现明显的下降。
灵活的日志收集方式
采用分布式的日志收集方式,可以灵活地进行采集服务器的扩展,以适应更多设备、系统的接入。具有很好的扩展性。同时,对原始事件的标准化分析工作由自行开发的解析脚本完成,便于针对特定设备进行快速定制开发,对各种企业环境具有很好的适应能力。
安全事件的全面解析
系统采用自主开发的脚本语言编写XML格式的解析脚本来进行设备审计日志的全面精确解析,具有最强的适应性和解析能力。同时,脚本语言的特点决定了能够迅速为新设备开发出解析脚本,而无需对现有系统进行任何升级。
集中式的安全审计平台
将分布于各系统、设备内的日志集中收集至审计平台,再进行关联分析和审计,为审计人员、系统管理人员提供了一个统一的审计工具,减少人、财、物的投入,降低了综合审计成本。
审计对象全面
主要审计对象涵盖了从网络设备、主机,到数据库、网络应用服务、业务应用系统访问等信息系统中的各个层面,支持对操作系统、数据库系统、应用系统、远程访问行为的日志采集和分析,并支持对用户特定业务系统的定制采集和分析。
审计功能先进
系统采用了先进的关联分析技术,能够将不同来源的日志进行综合关联分析,发现一些潜在的异常行为,并能够减少安全设备的误报现象。
审计过程的实时性
系统提供基于策略的实时审计功能,能够实时地监控内网用户的操作行为。区别于传统审计系统只能进行日志收集与事后取证,满足了内控和合规性审计的需求。
基于策略的审计
基于定制的审计策略进行审计,具有最大的灵活性。系统提供了多种策略模板以及策略模板组,针对各种日常审计行为给出了预定义的策略模板,方便用户快速制定审计策略。
审计流程的支持
系统还内置了针对审计事件处理的审核流程,能帮助用户快速完成审计事件的处理。
以人员审计为核心的审计视角
系统维护了被审计人员与各主机、系统的帐号对应关系,按照组织内的人员进行安全审计。超越了传统审计产品根据帐号进行审计、分析、产生报表的过程。极大地方便了审计人员对系统的使用。
加密通道的行为审计
系统通过配套的Unix访问控制网关设备可以捕获用户在ssh加密连接上对目标系统所做的所有操作,并在此基础上对用户的行为进行审计。
命令级审计
系统能够对用户的操作命令进行记录,做到了对用户行为的细粒度审计,极大地方便了管理人员的内部控制工作。
强大的审计报表功能
系统在对收集的日志进行详尽分析及统计的基础上,提供了丰富的报表。用户能够从多个角度对审计日志审计进行分析,系统不仅提供了各种统计图表、还提供了日志变化趋势的分析图表,直观地反应了审计日志的分布状况。
灵活安全的管理模式
系统基于B/S架构,管理员在任意一台客户机上就可以通过浏览器实现对系统的监测、查询、集中管理和配置工作。系统内所有组件之间都通过SSL加密通道进行通信,保证了系统自身的安全性。
审计信息的及时响应
根据用户定义的审计策略,基于邮件、Syslog、SNMP trap、短信、外部程序等方式对审计事件进行实时响应。
萨班斯合规性审计的支持
从审计策略、审核流程、综合审计报表等多方面对萨班斯法案的合规性审计要求进行支持,是业界为数不多的萨班斯审计产品。 |
|
|
电 话: |
86-010-82119889 |
移动电话: |
|
传 真: |
86-- |
地 址: |
北京市海淀区北三环西路43号青云国际研发中心3层 |
邮 编: |
100086 |
| 联 系 人: |
张大伟 |
公司主页: |
 |
|
 |
|
|
|
|
中国最权威的军事工业信息平台
联系信息
