神州泰岳

产品介绍

企业综合安全审计系统(Ultra-ESA)是一款集网络流量分析、日志分析、事件分析、用户认证和网络行为授权的安全审计产品。该系统的出现满足了企业客户内部数据审计和监控的需求,系统以保护客户重要数据安全为中心,包括关键业务数据、财务数据、商业资料等等机密信息,通过堡垒主机、网络数据流和日志三种途径采集、监控和记录企业工作人员操作这些重要数据的行为和后果,记录非企业授权人员企图操作这些重要数据的行为并进行实时的处理。根据这些行为的审计和分析,构建可控的企业内部数据安全,为完善企业内部相关安全制度提供强有力的保障。

优势特点

产品功能

适用场景

经典案例

神州泰岳

完善的分级审计流程

通过分级审计功能,保障审计任务处理的确定性、及时性,实现审计职责明确化、审计工作常态化、审计体系层次化;

强大丰富的报表支撑

提供完善的报表管理功能,满足企业内部需求以及SOX法案审核等要求,同时针对企业的内部需求,提供报表定制模板,不需进行二次开发,即可由用户灵活的定义所需的报表。

全面的审计支持能力

支持加密访问行为、字符、图形、录像等多种审计能力,支持字符会话及录像进行在线回放;

强大缜密的审计模型

支持基于5W1H审计模型的关键字分析、统计分析、关联分析、业务基线及场景模型的审计,内置丰富的审计分析策略,并支持审计分析策略灵活自定义;

强大的数据处理性能

海量数据的分布式存储与计算,采用Kafka+ElasticSearch+Hadoop+Spark的大数据处理框架,实现海量数据的全文检索、分布式存储和分析计算;

全面的数据收集范围

支持Syslog、TCP/UDP、FTP/SFTP、File、JDBC/ODBC、SNMP、Agent等多种采集协议,覆盖主机、数据库、中间件、网络设备、安全设备、业务系统、网元、网络流量以及传统SIEM产品等众多异构数据源,实现异构数据的全面采集与归一化标准化处理;

强大缜密的审计关联

强大缜密的审计关联,为企业提供基于自然人的行为安全审计管理,配合灵活的报表报告管理,满足企业合规性的管理

快速的告警响应控制

对系统中发现的异常和安全事件告警,能迅速地通过邮件、短信、工单或者SYSLOG协议进行派发或转发处置,提升企业风险及故障告警响应及处置效率。

审计报表定制

基于日志和策略结果,实现明细、统计类报表自定义,支持丰富的报表格式,提供报表订阅功能,真正满足用户的报表需求。

多维审计分析

从审计主体、审计客体、审计动作几个维度进行异常和违规行为分析,采用大数据技术与传统审计方法结合的先进思路,实现关键字分析、统计分析、关联分析以及基于业务基线、场景模型的审计。系统内置丰富的审计分析策略,包括帐号管理、授权管理、认证登录、敏感数据操作、系统关键操作、绕行、业务异常流量七大类审计分析策略。

海量数据检索

面对数T级的巨量日志,采用分布式全文检索技术实现日志的精确查询定位和模糊匹配,提供丰富的查询方式,包括关键字、短语、通配符、逻辑运算符、字段值完全匹配、字段值模糊匹配、字段数值范围、简单正则表达式等;同时支持查询模版,支持查询结果导出。

异构数据处理

采用SparkStreaming实时计算框架,流式处理原始日志,并结合Regular Expression技术实现各种异构数据的解析,整个ETL过程高效灵活且无需任何定制开发工作。数据处理的主要功能包括日志标准化、业务属性补全、数据标签标注、数据质量管理、数据存储管理以及元数据管理。

全面数据采集

支持采集数据源管理、采集探针管理、采集任务管理,通过一系列采集、过滤、转发、写入的规则配置,实现全网异构数据源的接入和日志价值过滤清洗。包括Windows、Linux、Unix、Solaris、AIX的系统日志、应用程序日志、安全日志;DNS日志、DHCP日志、服务器主机性能、网络连接状态等;中间件、数据库以及各类应用系统业务日志。

敏感数据访问行为审计

通过敏感数据字典或者敏感数据发现功能,实现企业敏感数据的访问审计。提供敏感数据分布视图,直观展示敏感数据在各节点的存储分布情况;提供敏感数据访问视图,综合呈现访问敏感数据的操作行为;提供敏感数据访问渠道视图,展示敏感数据访问渠道或方法;提供敏感数据流转视图,展示敏感数据生命周期中的流转过程。

内网业务系统审计

针对业务系统的网络流量进行协议分析,还原访问行为,包括:源地址、访问者、目标URL、访问内容等,结合应用系统日志进行多维关联分析,针对违规访问、恶意访问等进行集中告警;并结合企业大屏系统对业务系统访问状态等进行可视化呈现,兼容企业已有SOC/SIEM等系统实现安全事件集中处置。

数据库访问行为审计

通过数据库堡垒及数据库嗅探器配合实现,对个人用户的数据库访问及操作进行上行下行审计,堡垒主机记录通过堡垒主机进行的数据库操作,嗅探器抓取绕过堡垒的数据库操作,通过二者配合,实现SQL语句级别的审计,对用户操作过程进行完整的会话回放(图形化操作为屏幕录像),能够对用户非法SQL命令操作以及敏感表操作进行实时阻断,支持SQL操作命令及数据库表的黑白名单管理,支持主流数据库如:Oracle、Sybase、SQL Server、Informix等。

运维操作行为审计

主要通过堡垒主机实现,由堡垒主机提供Telnet/SSH/FTP/SFTP/RDP/X-Windows协议支持,配合网络策略配置,使所有对主机的维护操作必须经过堡垒主机,堡垒主机记录用户的操作行为以及操作回显,实现用户整个操作过程的全记录,能够对用户操作过程进行完整的会话回放、录像播放,能够对用户非法操作进行实时阻断,支持指令级的黑白名单管理等。

经典案例

中国移动天津公司内网安全综合审计

合作背景

为了保障天津移动公司信息资产的可用性、完整性和保密性,天津移动根据中国移动集团要求,并结合自身实际情况,有针对性的对企业网进行了“网络层—系统层---应用层---数据层”的自下而上的信息安全建设,建立了事前预防、事中控制、事后审计的安全防护机制,并取得了良好的项目效果。

审计系统的建设旨在规范员工日常的操作行为,规范天津移动客户信息、生产数据、经营分析及内部管理数据的开发生产、运维和使用的流程,建设合规的安全运营支撑体系,确保信息系统核心资产和数据的安全性。

  

客户价值

审计系统作为天津移动企业网安全建设的重要组成部分,采集、分析处理网络系统、主机系统、数据库系统、应用系统的操作日志,并对各类人员访问业务支撑系统敏感数据及执行关键操作等行为进行真实、全面的记录,并通过有效的审计分析手段,检查并发现业务支撑系统中各种异常、违规行为,提供可用于法律问责的相关证据。

技术方案

天津移动企业网安全审计系统满足天津移动2010—2011年安全审计业务需求,对天津移动业务支撑系统所有相关人员和信息资产进行管理:

人员:天津移动系统建设人员、系统管理人员、系统使用人员、系统开发人员、系统维护人员

资产:BOSS、BI、BOMC、CRM、4A等业务系统所涉及的网络系统、主机系统、数据库系统、应用系统以及核心数据

项目建设主要内容包括:

1、高危操作行为审计
主机系统:系统承载的关键文件的修改、删除、复制等行为;
数据库系统:关键数据表的查询、插入、修改及删除等;
应用系统:用户数据的查看、复制、下载、修改、关键业务参数配置的修改等;
各系统共性的高危操作:用户越权访问、用户权限升级、更改口令、多次错误登录、审计策略更改等其他异常事件。

2、操作行为分析
根据操作日志生成用户操作行为,依据模型能进行准确的异常行为检测;
支持对不规则或频繁出现的事件进行统计分析、过滤和事件聚合等,同时提供自定义匹配模式查询功能;
操作行为分析中具备安全事件的关联能力,要能够将来自不同设备的海量日志关联到准确的操作行为,并能对特定安全事件实现还原;

3、日常行为审计
针对4A系统的主账号认证审计、各类系统(网络系统、主机系统、数据库系统、应用系统)单点登录审计;
针对在4A系统中帐号的创建、修改、删除等行为的审计;
针对通过4A系统操作各类资源的审计;
针对普通用户使用程序账号登录业务系统行为的审计。