日志综合审计系统Part2应用背景日志管理现状日志种类多•网络设备:路由/交换/防火墙;•主机系统:Unix/Linux/Windows;•应用系统:OA/CRM/ERP/Web;•数据库:Oracle/Mssql/Sybase;日志数量大•单台防火墙的日志达百万/天;•管理的日志源头至少成百上千;日志格式乱•任意两种日志的格式都不一致;•日志数据没有统一的格式标准;日志分布广•任意系统/设备中都存在日志;•任何网络行为都要留存日志;种类多数量大格式乱分布广编号条款网络安全7
3:第三级基本要求/技术要求/网络安全/安全审计a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;c)应能够根据记录数据进行分析,并生成审计报表;d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等
3:第三级基本要求/技术要求/主机安全/安全审计a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户;b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等;d)应能够根据记录数据进行分析,并生成审计报表;e)应保护审计进程,避免受到未预期的中断;f)应保护审计记录,避免受到未预期的删除、修改或覆盖等
3:第三级基本要求/技术要求/应用安全/安全审计a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计;b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录;c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等;d)应提供对审计记录数据进行统计、查询、分析及生成审计报