返回
tivoli security information and event manager方案建议书

tivoli security information and event manager方案建议书

ID:10910408

大小:1000.27 KB

页数:19页

时间:2018-07-08

tivoli security information and event manager方案建议书_第1页
tivoli security information and event manager方案建议书_第2页
tivoli security information and event manager方案建议书_第3页
tivoli security information and event manager方案建议书_第4页
tivoli security information and event manager方案建议书_第5页
资源描述:

《tivoli security information and event manager方案建议书》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、TivoliSecurityInformationandEventManager方案介绍IBM中国公司2010年11月第19页共19页目录1.需求分析32.IBM解决方案-TivoliSecurityInformationandEventManager4l功能一:采集安全日志和安全事件5l功能二:日志和事件的格式标准化7l功能三:基于策略对安全日志违规情况进行自动判定10l功能四:报告和展现113.AIX平台审计功能的实现13lAIX审计实现步骤13l审计调查174.系统部署19第19页共19页需求分析IT系统的合规管理日益成为

2、IT运维的重要工作。一方面是由于很多IT系统在经过多年的建设之后,其安全管理、规范管理变得滞后,所以要求补上这一课;另一方面则是由于国家、行业、社会都对规范管理、合规管理提出了具体的要求,使其成为日常工作的一个考核指标。由此,IT系统的审计管理作为合规管理的重要组成部分,将帮助企业建立高效、规范的合规管理的重要工具。在现有庞大的IT系统中,包括多种的网络设备、安全产品、服务器、操作系统、数据库以及应用系统等。如何了解这些系统有哪些访问行为,如何了解系统有哪些违规操作,单靠几个技术人员的手工操作是完全无力承担的。而为了应付内、外审

3、计部门对IT系统越来越高的审计要求,更为了能够提高自身对系统访问使用的了解能力,就需要一个集中的、自动化的、可自定义规则并主动判断的、高效的系统来帮助其解决这个难题。IBM拥有完整的IT合规管理解决方案和经验丰富的技术团队。本次项目将根据现有IT系统状况、管理技术人员现状、内外审计要求等诸如因素来帮助建立IT系统访问审计平台,逐步建立起IT审计系统以及相关的流程和规范。第19页共19页IBM解决方案-TivoliSecurityInformationandEventManager为了实现对系统使用的访问审计,简单的数据获取是远远

4、不够的,在这里,我们不如先考虑以下几个问题,l系统访问审计数据如何得到?l得到的访问审计数据是否权威?l访问审计数据的产生是否会对IT系统本身产生影响?l访问审计数据如何集中?l访问审计数据是否原样保存?l访问审计数据分析方法的原理?l访问审计数据的分析策略是否可以扩展?l访问审计数据的自动处理能力是否满足要求?l访问审计数据是否提供查询能力以便于在需要时寻找特定的记录?l访问审计数据的统计报告是否满足企业内外审的要求?l当出现违规事件时,企业的处理流程是什么?系统的审计是一个结合审计管理软件和审计配置管理的工作,一般需要经历以

5、下几个步骤:在产品实现部分,IBM提供了专门的系统访问审计产品TivoliSecurity第19页共19页InformationandEventManagerManager(简称:TSIEM)。TSIEM是专门用于收集用户访问日志,并且提供用户访问行为审计的平台,TSIEM通过集中收集、分析所有的安全日志,给管理者提供了一个集中的用户行为视图,从而便于安全官员或者审计人员及时了解用户的违规操作或者高危行为,同时提供全面的审计报告。TSIEM可以实现以下主要的功能:l自动汇聚各种系统的安全日志l自动翻译各种安全日志,提炼用户行为动

6、作l定义用户违规行为及其危害级别l基于审计分析策略为每个用户行为自动赋予对应的安全级别l给出日志收集连续性视图、违规情况汇总视图l为遵守规章制度提供全面报告l功能一:采集安全日志和安全事件TSIEM的Collection部件专职收集所需的安全日志,并将原始日志存储到中心的存储库中。可靠、可用于证明的原始日志收集是整个审计服务的基础。TSIEM提供内置的检测机制来保证日志收集的连续性,并可及时为中断的日志收集告警,为日志信息传输提供了安全加密通道,并且为日志存储提供了高度的压缩机制。日志存储在TSIEM服务器的日志容器中直到该日志

7、被迁移或者归档。考虑到系统或者应用中的安全日志往往分散在多个不同的文件中,所以TSIEM提供的是基于BatchCollect的机制来收集某一时间内所产生的全部安全日志。BatchCollect可以基于时间,也可以基于手工触发方式。第19页共19页TSIEM支持以下的收集协议:lLogslSysloglSNMPlNetBIOSlODBClExternalAPIslSSH对于操作系统,TSIEM一般基于两种机制收集安全日志,一种是在被收集对象上安装TSIEM客户端软件,另外一种则是基于SSH访问协议来远程收集目标对象的安全日志。现在

8、,TSIEM可以从数百个设备中收集现成的事件和日志数据,此外,你还可以添加对可定制设备和内部应用的支持。如下图为常用的审计日志收集示意图:AIX基于TSIEM客户端软件来实现,包括操作系统、数据库审计日志;而HP-UX则基于SSH来实现,包括操作系统和数据库访问

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。