LogBase 日志综合审计系统  思福迪信息技术有限公司 Part 1 公司简介 公司简介 思福迪（ Safety ）成立于 2005 年 2 月是国内第一家专业从事信息系统 运行安全管理产品与服务的信息安全厂商，拥有业界领先的安全审计和运维 安全管理产品系列，销售和服务网络覆盖华东、华北、华中和西北等主要省 市。 Part 2 应用背景 日志管理现状 日志种类多 数量大 种类多 格式乱 分布广 • • • • 网络设备：路由 / 交换 / 防火墙； 主机系统： Unix/Linux/Windows ； 应用系统： OA/CRM/ERP/Web ； 数据库： Oracle/Mssql/Sybase ； 日志数量大 • 单台防火墙的日志达百万 / 天； • 管理的日志源头至少成百上千； 日志格式乱 • 任意两种日志的格式都不一致； • 日志数据没有统一的格式标准； 日志分布广 • 任意系统 / 设备中都存在日志； • 任何网络行为都要留存日志； 国家等保合规性要求 编号 网络安全 7.1.2.3 ： 第三级基本要求 / 技术要求 / 网络安 全 / 安全审计 主机安全 7.1.3.3 ： 第三级基本要求 / 技术要求 / 主机安 全 / 安全审计 条款 a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息； c) d) 应能够根据记录数据进行分析，并生成审计报表； 应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。 a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 ； c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； d) 应能够根据记录数据进行分析，并生成审计报表； e) f) 应保护审计进程，避免受到未预期的中断； 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 a) 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； 7.1.4.3 ： 第三级基本要求 / 技术要求 / 应用安 全 / 安全审计 b) 应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录； c) d) 审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等； 应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。 安全管理制度 a) 对系统进行维护时，详细记录操作日志，包括重要的日常操作、运行维护记录、参数的设置和修改等内容 ，严禁进行未经授权的操作； 应定期对运行日志和审计数据进行分析，以便及时发现异常行为； 建立网络安全管理制度，根据需要对网络日志保存时间作出规定； 指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作； 应在安全审计报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验 教训，制定防止再次发生的补救措施，过程形成的所有日志记录均应安全保存； 应用安全 7.2.5.6/7.2.5.7/7.2.5.12 ： 第三级基本要求 / 管理要求 / 系统运 维管理 / 系统安全管理 b) c) d) e) Part 3 产品介绍 日志审计功能 日志采集 支持所有日志类型采 集， Windows 、 Linux 、交换机、数据 库及应用日志等。 日志检索 通过日志中的关键字段快速检索定位 审计报表 根据用户情况周期生成报表，分析运行 状态及安全事件 实时分析 根据策略实时分析告警，实时告知用户服 务器运行状态。 关联分析 连续多次密码错误即判断为暴力破解， 通知管理员 安全存储 日志统一集中安全存储， 防止日志被 删与丢失 部署方式 Part 4 功能介绍 产品架构 采集中心 实时分析引擎 告警 存储中心 备份 综合分析中心 报表 管理接口 采集方式 01 Syslog 系统日志 通过 Syslog 协议方式采集 Windows server 2000-2012 各系统版本 RedHat 、 Debian 、 HP-UX 、 Solaris 、 FreeBSD 、 SCOUNIX 等 Cisco 、 HUAWEI 、 H3C 、 Juniper 、 F5 、 Radware 等网络安全设 备 02 网络流量日志 通过交换机网络镜像方式采集 Oracle 、 Mssql 、 Mysql 、 DB2 、 Sybase 各大类数 据库 http 、 telnet 、 ftp 、 smtp 、 p2p 等明文数据 03 应用系统日志 通过 FTP 方式定时采集 Web 应用服务器、中间件系统、 OA 办公系统、 CRM 管理系统、行业专用业务系统等 审计报表 明细型、统计型报告 满足合规性审计要求 Part 5 产品优势 产品优势 自研海量日志存储系统，千万级别日志量 5 秒内查询完成 全面的日志采集采集能力，能够采集所有日志类型 内置大量专家级日志规则，日志规则支持自定义配置 嵌入式 Linux 系统，安全性保障，保护数据安全 良好的扩展性，支持分布式部署，多点采集 Part 6 应用收益 应用收益 集中统一管理 日志留痕防篡改 无需登录每个系统 即可统一查询管理所有日志 保障日志数据安全 防篡改防删除设计 实时动态分析 根据日志等级与信息内容自定义规则 实时告警通知管理员，及时发现问题与故障 安全合规 满足二级等保与行业合规需求 快速检索定位 根据日志关键字段快速检索定位 还原问题与故障缘由 综合报表分析报告 自定义报表，统计分析日志信息 了解运维安全势态，发现安全隐患 Thanks