本帖最后由 山东_朱文鑫 于 2021-5-23 21:37 编辑
新人大白,我又来咯,今天就说说新产品SIP-Logger日志分析管理系统革新背景
对于一般的组织或企业,信息安全防护不可避免地是从防毒/杀毒、防火墙等基础系统或设备开始的,但是随着信息技术的发展和国内外网络安全形势的日益严峻,信息安全防护已经不再仅仅满足于单一的防病毒、防火墙。
随着各类组织、企业对信息系统的应用不断深入。为了在复杂网络环境下应付各类安全情况(如黑客的攻击、内部员工的有意或无意地进行越权或违规操作),企业部署了大量的、不同种类、形态各异的信息安全产品:
为了监控黑客的攻击控制,部署了各种入侵检测或入侵防御设备;
为了防范内部员工的非法接入行为,部署了网终端管理、网络准入等系统;
为了防止数据的非法泄露或重要数据被修改,部署了防泄漏系统等系统。
等等
这些专用安全设备或系统每日会产生各种日志,组织或企业日常业务系统、主机系统、网络设备等也会产生很多和安全相关的日志,这引起了如下的问题:
它们格式差异巨大,没有统一标准;
它们数量巨大,用户无法进行重点分析;
难以挖掘各类日志之间的关联关系。
由于各种系统、应用、安全设备、网络设备等日志多样繁杂,给日志审计的工作带来了巨大的人力消耗,所以企业必然需要部署集中的日志审计系统。通过建设日志审计系统,企业能够集中采集各类系统中的安全事件、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息,经过规范化、过滤、归并和分析等处理流程后,可以以统一格式的日志形式进行集中存储和管理。
在此基础上,对日志进行实时的事件分析和审计分析、从而进行实时的事件监控和异常事件告警,最终实现对各类网络设备、安全设备、操作系统、服务器、数据库和其它应用进行全面的日志安全审计。
我们使用日志审计类设备无非的主要原因就是等保测评的要求常见的也就是等保三级,那我们就来看看等保三级测评的基本要求: 第三级网络安全等级保护基本要求 | | | | | | a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计 | b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 | c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等 | d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析 | | | a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要的安全事件进行审计; | b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 | c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等 | | | | d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求 |
并且国家对于网络设备的日志留存也是有着明确的规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保护网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改
老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!! |