日志審計問題分析
《互聯(lián)網(wǎng)安全保護技術措施規(guī)定》,即公安部第82號令于2006年開始實行����。82號令第八條規(guī)定:(一)記錄并留存用戶注冊信息; (二)使用內(nèi)部網(wǎng)絡地址與互聯(lián)網(wǎng)網(wǎng)絡地址轉(zhuǎn)換方式為用戶提供接入服務的����,能夠記錄并留存用戶使用的互聯(lián)網(wǎng)網(wǎng)絡地址和內(nèi)部網(wǎng)絡地址對應關系;(三)記錄���、跟蹤網(wǎng)絡運行狀態(tài)����,監(jiān)測��、記錄網(wǎng)絡安全事件等安全審計功能。
隨著我們國家近幾年的發(fā)展��,重大事件不斷���,比如:有喜慶的奧運會��、國慶60周年�����、上海世博會�����、廣州亞運會等���;也有悲傷的314西藏暴亂事件、75新疆暴力犯罪事件……
在這樣的大背景下����,各地行政主管部門頻繁進行“網(wǎng)絡安全大檢查”,對是否具備一定網(wǎng)絡安全措施進行檢查評比��。檢查的具體內(nèi)容涉及��,是否有防火墻���?是否有網(wǎng)頁防篡改設備����?當然�,是否能符合82號令的日志審計屬于重點檢查。
日志審計解決方案
從對國家法規(guī)法令的遵守出發(fā)��,結合以下兩個關鍵點進行統(tǒng)一日志審計方案的設計:
1���、網(wǎng)絡運維分析所需的用戶�����、應用和流量的日志數(shù)據(jù)�。
2����、多臺設備架構下的網(wǎng)絡出口多種類型的日志數(shù)據(jù)。
統(tǒng)一日志審計解決方案通過整合各方網(wǎng)絡資源��,為IT管理者提供統(tǒng)一網(wǎng)絡監(jiān)管界面�,最終將IT復雜問題簡單化�����,提高IT工作效能��。
RG-elog配合ACE流控系列產(chǎn)品���,記錄基于URL、源IP�����、目的IP等信息��。在配置了SAM認證系統(tǒng)的情況下�����,可以同時顯示記錄的用戶信息��,包括用戶賬號�����、用戶名字�、用戶聯(lián)系方式等����,快速定位責任人����。
RG-elog配合NPE網(wǎng)絡出口引擎系列產(chǎn)品�、RG-WALL防火墻系列產(chǎn)品,記錄基于源IP����、源端口、NAT后源IP��、NAT后源端口���、目的IP和目的端口�。在配置了SAM認證系統(tǒng)的情況下��,可以同時顯示包括用戶賬號�����、用戶名字����、用戶聯(lián)系方式等�����,快速定位責任人�。
解決方案價值
◆ 統(tǒng)一管理維護用戶界面簡單易用
IT管理者通過網(wǎng)絡氣象圖可以全面掌控絡運行健康程度���。
◆ 一目了然的Top N用戶流量記錄
通過點擊網(wǎng)絡出口設備可以一目了然顯示網(wǎng)絡Top N的用戶流量/會話信息�,了解活躍用戶�����,輔助查找異常用戶��。
◆ 基于用戶的網(wǎng)絡訪問日志與分析
通過點擊具體用戶可以顯示該用戶的網(wǎng)絡訪問日志����,上報訪問的色情、暴力�����、反動等站點。
◆ 基于用戶的精細業(yè)務監(jiān)控與優(yōu)化
通過點擊具體用戶可以顯示該用戶的流量趨勢圖��,并且可以實時分析該用戶的具體應用業(yè)務程序�,點擊具體業(yè)務程序,可以實時了解該業(yè)務程序所占用的具體帶寬等���。
◆ 異常流量攻擊精準報警與預防
通過點擊具體用戶可以顯示該用戶的異常流量�,通過設置異常流量報警����,自動處理異常流量攻擊���,且提供該異常流量的處理建議��。
◆ 基于用戶的內(nèi)網(wǎng)攻擊記錄與分析
通過點擊具體用戶可以顯示該用戶的安全日志���,明確顯示哪個用戶,哪個IP����,哪個MAC,在交換機的哪個端口���,采用哪種攻擊方式�,攻擊了哪個用戶,哪個IP����,哪個MAC,在交換機的哪個端口��,攻擊了多少次���,首次發(fā)生的時間�����,最后一次發(fā)生的時間�����,且提供該安全事件的處理建議�����。
