安全管理

当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。


         为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、网闸,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT计算环境及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。


         另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。尤其是国家信息系统等级保护制度的出台,明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。


         综上所述,企业和组织迫切需要一个全面的、面向企业和组织IT计算环境的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织计算环境中各种设备和应用的安全日志,并进行存储、监控、分析、报警、响应和报告。

 

详细资料下载:

 

 

安全日志审计——企业全网综合安全审计解决之道


        SecFox-LAS(Log Analysis & Audit System)日志安全审计系统作为一个统一日志监控与审计平台,能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库、中间件、用户业务系统的日志、警报等信息汇集到审计中心,实现全网综合安全审计。


        SecFox-LAS能够实时地对采集到的不同类型的信息进行归一化和实时关联分析,通过统一的制台界面进行实时、可视化的呈现,协助安全管理人员迅速准确地识别安全事故,消除了管理员在多个控制台之间来回切换的烦恼,同时提高工作效率。


        SecFox-LAS能够实时采集NetFlow数据流,对一段时间内的网络流量或者网络连接数进行统计,并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型,进而对异常流量和行为进行审计。
对于集中存储起来的海量信息,SecFox-LAS可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。


        SecFox-LAS能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应,并与包括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动,实现安全审计的管理闭环。
SecFox-LAS为客户提供了丰富的报表模板,使得用户能够从各个角度对企业和组织的安全状况进行审计,并自动、定期地产生报表。用户也能够自定义报表。

 

统一日志监控


         SecFox-LAS将企业和组织的IT计算环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来,使得用户通过单一的管理控制台对IT计算环境的安全信息(日志)进行统一监控。
         借助SecFox-LAS的统一日志监控,用户不必时常在多个控制台软件之间来回切换、浪费宝贵的时间。与此同时,由于企业和组织的所有安全信息都汇聚到一起,使得用户可以全面掌控IT计算环境的安全状况,对安全威胁做出更加准确的判断。


日志归一化与实时关联分析


        SecFox-LAS收集并归一化企业和组织中的所有安全日志和告警信息,然后通过智能事件关联分析引擎,帮助安全管理员实时进行日志分析,迅速识别安全事故,从而及时做出响应。


         日志归一化和实时关联分析是SecFox-LAS的核心,也是该系统区别于传统安全日志审计系统的最关键特征。SecFox-LAS具有国内绝对领先的事件关联分析核心技术,申请了4项专利技术,拥有完全自主知识产权。


        SecFox-LAS为用户内置了大量的实时分析场景,从设备类型、操作系统类型、应用类型、日志等级、性能、协议等不同角度为用户提供了全面监视IT网络安全的工具。

集中日志存储


         SecFox-LAS可以将采集来的所有日志、事件和告警信息统一存储起来,建立一个企业和组织的集中日志存储系统,实现了国家标准和法律法规中对于日志存储的强制性要求,降低了日志分散存储的管理成本,提高了日志管理的可靠性,消除了本地日志存储情况下可能被抹掉的危险,也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。


灵活的部署方式


        SecFox-LAS的部署方式十分灵活,对网络环境的适应性极强,既能够支持单一的中小型网络,也支持跨区域、分级分层、物理/逻辑隔离的大规模网络。产品分为软件形态和硬件形态两种,用户可以根据自身需要选择。系统采用旁路部署,对现有网络结构不做任何改动,支持多端口日志采集,支持通过硬件探针采集日志,支持级联部署。

        SecFox-LAS尽可能地使用被审计节点自身具备的日志外发协议,尽量不在被审计节点上安装任何代理,保障被审计节点的完整性,使得对被审计节点的影响最小化。SecFox-LAS支持通过Syslog、SNMP Trap、NetFlow、   ODBC/JDBC、OPSEC LEA、内部私有TCP/UDP等网络协议,以直接、或者借助软件日志采集器和硬件网络探针的方式收集日志信息。


可视化日志分析


         SecFox-LAS具备强大的事件可视化能力,变用户日常安全管理的认知为感知。事件可视化不是简单的柱图、饼图、曲线图等统计趋势图表的展示,必须反映出大量事件之间的相互作用关系。SecFox-LAS的可视化功能包括:


1)事件全球定位系统
2)主动事件图
3)事件行为分析
4)动态雷达图
5)主页定制视图
6)统计分析图


快速响应


        SecFox-LAS在识别出安全事故后,能够自动或者用户手工的对威胁进行响应,采取安全对策,从而形成安全审计的闭环。


        SecFox-LAS由于可以综合分析来自防火墙、IDS、系统日志、网络等等一系列的信息,因而能够更为精确地定位安全威胁,使得实时自动阻止攻击变得更加可行。


         在发生告警后,SecFox-LAS可以通过电子邮件、SNMP Trap等方式对外发出通告;能够执行预定义命令行程序,并将事件属性作为参数传递给该命令行程序。

         SecFox-LAS可通过与网络设备或安全设备共同协作来关闭威胁通信,以阻止正在进行的攻击。SecFox-LAS可以与众多第三方网络设备、安全设备进行联动。


报表报告


         SecFox-LAS生成的报表图文并茂,报表可以按组管理,可以对报表生成进行日程规划,提供打印、导出以及邮件送达等服务,并根据计划归档报告,归档之后发送邮件通知。报告可用PDF、HTML、Excel、CSV或RTF等格式存档。用户可以自定义报表。报表满足各种合规性要求。

 

SecFox-LAS产品包括管理(审计)中心和可选的日志采集器两个部分。产品采用B/S架构,管理员无需安装任何客户端软件,通过IE浏览器登录管理中心即可进行各种操作。其中,管理中心包括硬件和软件两种形态供用户选择。

SecFox管理中心(软件型)

平台
支持的操作系统
系统需求
Windows
Windows 2000 Server
Windows Server 2003系列
Windows XP Professional
-最低Pentium 4 2.93GHz CPU,推荐使用Intel Pentium Xeon 1.6GHz 以上CPU
-至少2GB内存,推荐4GB内存
-200GB磁盘空间
Linux
Redhat Enterprise Linux 5
-最低Pentium 4 2.93GHz CPU,推荐使用Intel Pentium Xeon 1.6GHz 以上CPU
-至少2GB内存,推荐4GB内存
-200GB磁盘空间

 SecFox管理中心(硬件型,可选)

型号
规格指标
SecFox-LAS-R31
专用千兆多核硬件平台和安全操作系统,性能指标:事件采集峰值15000EPS,事件关联分析3000EPS,热插拔硬盘总容量2TB,可选RAID5,支持外接存储设备。外观:标准2U机架式。2个10/100/1000M Base-T电口(RJ45)(1个管理口,1个采集口),可以扩展6个千兆采集口(电口/光口)。单电源,可以扩展冗余电源。包括了25个信息收集节点许可。
SecFox-LAS-R41
专用千兆多核硬件平台和安全操作系统,性能指标:事件采集峰值30000EPS,事件关联分析6000EPS,热插拔硬盘总容量3TB,采用RAID5(有效磁盘容量2TB),支持外接存储设备。外观:标准2U机架式。2个10/100/1000M Base-T电口(RJ45)(1个管理口,1个采集口),可以扩展6个千兆采集口(电口/光口)。单电源,可以扩展冗余电源。包括了25个信息收集节点许可。

通用日志采集器(可选)

通用日志采集器运行在安装了Windows系列操作系统的主机和服务器上。
通用日志采集器能够主动的收集主机、服务器和应用系统产生的日志和告警信息,例如Microsoft Windows操作系统和主机防火墙日志,诺顿、瑞星的病毒日志,Oracle、SQL Server等数据库日志,Microsoft IIS、Apache、Tomcat、Websphere、Tuxedo等WEB服务器的日志,中间件系统日志,应用系统日志,Microsoft ISA等代理服务器日志,等等。

硬件探测器设备(可选)

如果客户网络中无法采集日志,则可以在网络中部署硬件探测器设备主动的收集网络中的通讯信息,转化为日志,并传送给SecFox-LAS。SecFox-LAS提供多种硬件探测器设备 供用户选择和组合。

Web控制台(仅需要安装浏览器即可,无需安装客户端)

平台
支持的操作系统
系统需求
Windows
Microsoft Windows 2000 系列
Microsoft Windows 2003系列
Microsoft Windows XP系列
-最低Pentium III 1.1GHz CPU
-至少512MB内存
-1G磁盘空间
-16位真彩,建议分辨率为1024×768以上
-Internet Explorer 7.0以上

网神SecFox-LAS日志审计系统是业界最优秀、事件采集最全面、日志解析最清晰、关联分析最准确最灵活、性能高效的合规性日志审计系统,连续五年蝉联CCID国内安全管理(SOC)市场第一。

产品特点:
 事件采集效率高,采集速率达30000EPS,0丢包率
 日志解析精细化,事件等级定义明确,事件含义一目了然;
 根据最佳实践,针对尖端客户,进行合规性审计
 业界专业化的SOC团队,专业的交付能力,4项产品高端专利
 专支持下一代网络新技术:支持IPv6
 客户范围覆盖广,政府、金融、军队、企业、医疗、教育……

客户收益:
●完全自主开发,针对中国客户需求和管理习惯
●强调全网以业务为主线的整体安全审计
●统一安全审计平台,扩展性强,适应未来发展的需求
●区别于普通日志审计的4大特点


1、强调实时分析与审计
        普通日志审计的都是基于数据库的查询审计,SecFox-LAS是内存中审计,速度快、效率高、更准确、更实时
         SecFox-LAS具有丰富的审计场景,并且可以自由定制
2、强调整体审计
3、具有异常流量审计功能:对NetFlow数据流的分析和审计
4、超强的事件采集能力:最高达到30000+ EPS(事件每秒)