LogBase日志管理综合审计系统
使用手册杭州思福迪信息技术有限公司
SAFETYBASEINFOTECHCO.LTD
2011.07
版权声明
版权所有2005-2011,杭州思福迪信息技术有限公司
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息
SafetybaseLogAuditSystem、Logbase等是杭州思福迪信息技术有限公司的商标。
目录
前言
欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统
随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患,所以网络安全需要集中的审计系统。如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。安全审计系统就可以满足这些要求,对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。
该产品是一款分布式,跨平台的网络日志管理审计系统,通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集,在实时分析的基础上,监测并发现各种异常事件,准确发出实时告警。审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。
二、安装方法
2.1准备工作
在安装LOGBASE之前,请打开LOGBASE的随机配件盒,查看配件清单,核对LOGBASE配件是否完整。
除配件盒内物品外,还需要进行以下准备工作:
IP地址——请在网络中给LOGBASE预留1个管理IP地址。
临时计算机——配置LOGBASE需要一台临时管理用计算机,LOGBASE配置时可以通过串口连接;
超级终端软件——能够连接串口的终端软件(比如Windows的超级终端软件、Putty、SecureCRT等);
浏览器——请确定计算机系统已安装IE浏览器(建议使用IE7.0以上版本);
2.2接入网络
请将LOGBASE按如图2.1所示的拓扑结构方式接入网络,此图考虑的是通常情况,在具体应用时,请根据自己网络的拓扑结构加以调整。
图2.1LOGBASE的网络接入拓扑结构图
接入网络时,请注意以下几点:
●使用网络直连线连接交换机和LOGBASE的LAN1口。
●将LOGBASE接入网络后请立即修改其网络配置,适应所在网络。
LOGBASE的网络设置默认如表2:
IP
MASK
默认网关
三、LOGBASE串口配置
下面以Windows自带的超级终端软件为例,详细介绍实际连接过程:(1)设置端口属性,如图3.1所示:
图3.1超级终端连接端口设置窗口
(2)点击【确定】后按回车键,出现提示符login:这时输入控制台管理员的用户名和密码(默认菜单用户名:admin,默认密码:safetybase),如图3.2所示:
3.2配置菜单用户登录
登录成功后,如图3.3所示:
3.3登录成功显示配置菜单
(3)成功登录后,可以看到配置菜单如图3.3所示:
1、Setsystemnetworkparameter:配置相关网卡参数;
2、Setsystemdefaultgateway:配置默认网关参数;
3、SetDeviceSerial:配置设备串口号;
4、SetDeviceConsoleAdminPassword设置串口菜单管理密码;
5、SetDeviceConsoleShellPassword设置串口命令行管理密码;
6、SetWebAdminPassword;设置Web管理员密码;
7、SetLogServer1Parameter;设置日志服务器1参数;
8、SetLogServer2Parameter;设置日志服务器2参数;
0、Exit:退出配置菜单;
(4)选择【1】,回车;如图3.4所示:
图3.4网络接口配置列表
选择相应网卡(如a),配置网络参数,如图3.5所示:
图3.5网卡参数配置
(5)选择【DeviceIPAddress】,回车;配置【1-2】项输入为LOGBASE 系统预留的管理IP地址、子网掩码,选择【3】保持配置即可;选择【0】返回上级菜单;
(6)在上级菜单中(如图3.4),选择【b】、【c】…【i】配置ETH1、ETH2…ETH8的网络参数,配置内容同ETH0:选择【3】保持配置即可;选择【0】返回上级菜单;
图3.6串口配置主菜单
(7)串口配置主菜单中选择【2】,SetSystemdefaultgateway:设置设备默认网关地址;回车;如图3.7所示:
图3.7设备网关配置界面
(8)串口配置主菜单中选择【3】,SetDeviceSerial:配置设备串口号;回车;如图3.8所示:
图3.8设备串口号配置界面
(9)选择【Getoriginalserialnumber】,回车;即可获取该设备的串口序列号信息,将该序列号发送给生产厂家,申请相应的激活号码,然后选择【Inputcheckserialnumber】,输入激活号码完成设备注册,重启设备。
设备序列号注册工作,通常在设备出厂时已经完成。因此,在设备安装时不需要用户自行配置此项。
(10)串口配置主菜单中选择【SetDeviceConsoleAdminPassword】设置串口菜单管理密码;如图3.9所示:
图3.9串口菜单登录密码配置
(11)首先输入旧的密码,并连续两次输入新的密码,完成串口菜单登录密码的修改。
为了确认设备安全,请用户及时更新串口登录密码。
(12)串口配置主菜单中选择【SetDeviceConsoleShellPassword】设置串口命令行模式管理密码;如图3.10所示:
图3.10串口命令行模式登录密码配置
(13)首先输入旧的密码,并连续两次输入新的密码,完成串口命令行模式登录密码的修改。
为了确认设备安全,请用户及时更新串口命令行模式登录密码。(14)串口配置主菜单中选择【SetWebAdminPassword】初始化WEB管理界面登录密码;如图3.11所示:
图3.11初始化WEB管理密码
在用户忘记Web管理界面登录密码后,可通过该选项对Web密码进行初始化配置。
(15)串口配置主菜单中选择【SetLogServer1Parameter】,回车;配置日志服务器参数。选择发送方法、输入服务器IP并保存配置。如图(3.12)所示:
图3.12日志服务器配置界面
系统提供两种日志发送方法(LOGBASE:LOGBASE专用日志格式、SYSLOG:标准SYSLOG协议日志格式)将日志发送到其它的日志服务器;系统同时支持两个日志服务器的配置。
四、系统管理
4.1登录LOGBASE
打开IE浏览器,输入LOGBASE地址,(如https,以LOGBASE 管理员角色登录,默认用户名:admin;密码:safetybase;
如图4.1所示,点击【登录系统】:
图4.1登录界面
请及时修改系统默认密码。密码连续输入错误三次,登录页面会自动关闭;登录成功后10分钟未进行任何操作,系统会超时退出;
4.2系统用户
选择导航条上【系统管理】—>【系统用户】;查看当前系统用户列表,并可执行【添加】或【删除】系统用户操作:如图4.2所示
图4.2系统用户
点击【添加】,产生一个新的系统用户:输入新用户的基本信息、赋予功能权限和隶属组;如图4.3所示
系统管理员可根据用户的岗位职权来分配相应用户帐号的功能权限,保障LOGBASE审计系统的安全及用户网络信息的安全。用户添加入用户组后,此用户将自动继承用户组的所有日志权限;
图4.3添加系统用户
图4.4配置用户功能权限
密码长度建议8位以上的字母、数字、大小写、特殊字符;对功能权限设置应该规范,系统用户与管理员用户的权限设置必须权限分明。以防止越权行为;
4.3系统组
选择导航条上【系统管理】—>【用户组】;可查看并添加/删除用户组;
如图4.5所示:
图4.5系统用户组
添加系统用户组只需添加组名及组描述,组名具有唯一性;对系统用户组的权限管理请见后节【组日志权限管理】中的介绍;
选择导航条上【系统管理】—>【主机组】;可查看并添加/删除主机组;
如图4.6所示:
图4.6主机组列表
在主机组列表页面上,点击【添加】,新增主机组名,并勾选主机至主机组,如图4.7所示:
图4.7:添加主机组
:用户在主机组列表中,可以批量导入主机及主机组信息。点击【主机配置】可以新增主机信息。【主机配置】内容同【实时审计】—>【监控总图】—>【主机监控】里的【主机配置】一致;
4.4当前用户
选择导航条上【系统管理】—>【当前用户】、【修改密码】;针对当前用户的基本内容及密码进行修改等;如图4.8所示:
图4.8修改本用户信息
图4.9:修改用户密码
点击【恢复】,可放弃修改内容,恢复原用户信息;拥有【系统用户】功能权限的帐号可以在【系统用户】列表中修改其它所有用户的详细信息、功能权限、隶属组、密码等信息。
初始化时,应该立即修改审计系统默认系统配置,以安全的保证系统管理员的唯一性;以上操作适用与当前登录的所有用户;
安全性考虑密码长度建议8位以上的字母、数字、大小写、特殊字符;
系统用户必须从管理制度上保障;以确保系统的安全性;
4.5日志权限
选择导航条上【系统管理】—>【日志权限】;可分别针对用户或用户组进行日志管理权限的配置,如图4.10所示:
图4.10用户日志权限管理
此系统用户列表只显示未加入【系统用户组】的系统用户,已添加入【系统用户组】的系统用户的日志权限不能独立管理,只能继承所属组的日志权限。详情请参见下节【组权限】;系统用户移出用户组后,将恢复默认日志权限。若直接删除用户组,组中的用户仍保持原有的日志权限,直到该用户加入其它用户组,继承新的日志权限;
点击【修改】,操作所选定帐号的日志权限管理,如图4.11所示:
图4.11修改用户日志权限
针对所有日志类型,都可选择【全部允许】、【全部限制】及【部分允许】,若选择【全部允许】、【全部限制】相应【操作】功能为灰色不可用。
【全部允许】指此用户可以操作此类日志的所有功能(实时、综合、查询);
【全部限制】指此用户将看不到此类日志的任何信息、更无法审计;
【部分允许】指根据条件来限制此用户可操作某些发生地址IP 的此类日志;
若选择【部分允许】,点击相应【操作】,如图4.12所示:
图4.12设置【部分允许】权限
勾选【允许部分IP】,可以选择输入单个IP或IP段;保存设置后,此用户将只能操作这段IP内的此类日志内容;勾选【限制部分IP】同理推之;
选择导航条上【日志权限】—>【组权限】如图4.13所示:
图4.13组权限管理
组日志权限管理操作同用户日志权限管理操作,【组权限】中的权限设置,组内的所有用户会完全继承该组的日志权限。系统用户移出用户组后,将恢复默认日志权限。若直接删除用户组,组中的用户仍保持原有组的日志权限,直到该用户加入其它用户组,继承新的日志权限;
点击相关组的【修改】操作,执行组日志权限管理。如图4.14所示:
图4.14修改组日志权限
组日志权限管理操作方法同用户日志权限管理,详细操作方法请参见上节【用户日志权限管理】操作说明;
4.6告警接口
选择导航条上【系统管理】—>【告警接口】,如图4.15所示:
图(1)邮件告警接口
图(2)SNMP告警接口
图4.15告警接口
LOGBASE默认提供三种告警接口:邮件告警、SNMP告警、SYSLOG告警;配置成功后,系统会自动将用户自定义的告警日志信息通过邮件或其它两种方式发送给用户。有关告警日志配置的内容,请参见【规则定义】章节;
4.7系统设置
选择导航条上【系统管理】—>【系统设置】,配置管理【日志显示】、【超时设置】、【配置管理】、【认证方式】等内容。
选择【日志显示】,如图4.16所示:
图4.16日志显示列管理
管理员可在此选择设置所有日志类型的日志字段显示,在此勾选的字段会在【实时审计】栏的日志列表中呈现出来。当作一种类型的日志查询时,字段同此处设置的一致,但做多种类型日志的多重查询时,显示出的日志列表将取不同类型日志的相同的字段。
选择您需要修改显示列的日志类型,点击【设置】日志字段显示,
如图4.17所示:
图4.17:设置日志显示列
管理员可在此勾选日志的显示字段,点击确定后,将在【实时审计】
—>【最新日志】中更改日志的显示字段为管理员勾选的字段。选择【超时设置】,如图4.18所示:
图4.18:页面超时设置
在超时时间设置中输入等待时间即可。如果在设定时间内管理页面没有任何动作,系统将超时退出,返回登录页面。
选择【配置管理】,如图4.19所示:
图4.19系统配置管理
可以将系统配置文件选择导出到本地计算机上或者将本地计算机上的配置文件导入到LOGBASE上。
选择【认证方式】,如图4.20所示:
图4.20系统认证方式
系统支持本地认证和Radius认证两种方式。默认选择是本地认证方式,如果需要第三方Radius服务器认证,如图4.21所示:
图4.21Radius认证配置
4.8设备管理
选择导航条上【系统管理】—>【设备管理】,如图4.22所示:
图4.22启停设备
用户可以在页面上重启设备或者关闭设备。
选择导航条上【系统管理】—>【时间同步】,如图4.23所示:
图4.23配置系统时间同步
可以通过此功能与外部时间服务器进行同步,点击【立即同步】立即与时间同步服务器同步。
点击【同步配置】,可配置同步时间服务器,如图4.24所示:
图4.24时间服务器配置
填写时间同步服务器IP地址,设置同步间隔时间,点击确定保存配置。
五、数据管理
5.1数据备份
选择导航条上【数据管理】—>【数据备份】—>【日志备份】,如图5.1所示:
图5.1日志备份
管理员可自主选择日志类型、时间范围来备份日志数据,并可以选择备份、备份并删除或直接删除日志数据。故使用此项功能权限的管理员需谨慎。备份任务完成后可下载,或者选择删除这个备份任务。
日志备份功能是备份文本形式的日志,文件备份功能是备份动态显示操作的回放文件。
5.2数据恢复
选择导航条上【数据管理】—>【数据恢复】—>【日志恢复】,如图5.2所示:
图5.2日志恢复
日志恢复是将日志备份文件重新加载到LOGBASE审计系统中;
文件恢复是将【文件备份】的文件重新加载到LOGBASE审计系统中。
5.3归档设置
选择导航条上【数据管理】—>【归档设置】—>【归档策略】,如图5.3所示:
图5.3数据归档配置
归档策略功能是当磁盘存储空间达到触发条件后,自动处理日志文件。可选择的处理方式为:自动丢弃、本地保存、FTP上传、SFTP上传。触发条件在【磁盘配额】中设置。若不设置,默认为当磁盘存储空间达到100%时出发归档机制。
若不设置归档策略,默认策略为自动丢弃。一旦磁盘存储
空间达到100%之后,将会自动覆盖时间最早的日志。
选择左侧导航栏上的【磁盘配额】如图5.4所示:
图5.4磁盘配额
用户可以通过磁盘配额设置每种协议日志的磁盘存储空间。选择左侧导航栏上的【存储周期】如图5.5所示:
图5.5:存储周期配置
存储周期也是自动归档的周期。如设定存储周期为100天,那么100天前的数据就会被归档,以选定的归档方式进行处理。用户可以选择是否清除已经归档的在线数据。
六、对象管理
6.1自定义日志
选择导航条上【对象管理】—>【自定义日志】—>【日志列表】,如图6.1所示:
图6.1自定义日志服务管理
添加、删除自定义服务类型;点击相应序号,可查看相关已有自定义服务的配置;自定义日志的添加接口并没有在管理页面上,如有需要,请联系厂商售后工程师。
6.2日志导入导出
选择导航条上【对象管理】—>【自定义日志】—>【日志导出】,如图6.2所示:
图6.2导出自定义日志配置
管理员可勾选需要导出的自定义服务类型,并导出保存在PC 中。
点击【日志导入】,可以选择需要导入的自定义日志的文件,并可以选择是否要覆盖主机中相同ID的服务配置,如图6.3所示:图6.3导入自定义日志配置
6.3探测器配置
选择导航条上【对象管理】—>【探测器配置】—>【DEFAULT】;可看到探测器列表及模块列表,修改或删除已有探测器、添加新的探测器及相应的模块。如图6.4所示:
图6.4探测器配置
每个探测器有不同的模块列表,在删除探测器时,此探测器下的所有模块会同时全部删除;
当您需要安装软件探测器来采集日志时,必须先配置好相
应探测器和模块;
点击【添加】新探测器,如图6.5所示:
图6.5添加探测器
LOGBASE探测器包括硬件探测器和软件探测器两类;每个
探测器需配置唯一的编号(ID)。安装的各类探测器需与探测器配置(ID、密码)保持一致才能保证连接;
CPU、MEM项表示探测器的性能达到某个阀值,系统会自动产生告警日志信息;优先级项表示该探测器的优先级别;
配置完成新的探测器后,继续配置相应模块;如图6.6所示:
图6.6添加探测器模块
请选择这个探测器所要采集的日志类型;一个探测器中可以添加多个模块,同一种模块类型只能添加一个。如何采集字段信息可在【自定义服务管理】中配置;
请正确输入采集的日志的绝对路径,否则日志信息将无法
成功被此探测器采集;采集时间间隔默认为5秒;若停用此模块,相应日志将不再采集,探测器仍有效;
选择导航条上【对象管理】—>【探测器配置】—>【Syslog自定义】,将配置的自定义日志类型使用SYSLOG协议采集。如图6.7所示:
图6.7SYSLOG自定义采集日志
选择导航条上【对象管理】—>【探测器配置】—>【Syslog预定义】,将使用预定义SYSLOG日志分割手法采集网络设备的日志。如图6.8所示:
图6.8:syslog预定义采集
系统新增了主流安全及网络设备的syslog日志预定义功能,该功能把这些日志类型定义预置在设备中;目前支持的日志类型有:TOPSEC日志、ARRAY日志、IPS日志、CISCO2821日志、JUNIPER日志、思科FWSM日志、SSL日志、安氏FW日志等。
选择导航条上【对象管理】—>【探测器配置】—>【流量探测器】,对流量型探测器的规则进行配置管理。如图6.9所示:
图6.9:流量型探测器配置
规则加载:选择停用或启用,这里的规则指的是这个页面的相关配置规则;选择启用后相对应的规则生效;否则探测器不能工作;
SYSLOG操作分割:该功能只有当开启sendlogserverparameter参数为syslog方式时才有意义;LogBase探测器目前支持两种方式往主机发送日志分别是slas和syslog;启用该功能后,当发送信息过长时可以自动进行分割成几条日志进行发送;
规则阻断:启用该功能需要在网口参数中设置网卡标识,如
eth1;启用该功能后设备会往该网卡发送reset包以达到中断当前连接的目的;
特定服务器:该功能一般用作存在中间件时的数据库操作;在此场景下,数据库操作连接处于长连接状态,即用户登录后并不退出;需要在此处填写数据库服务器地址,若有多个数据库服务器地址则用回车分开;
模块加载:该功能指定探测器采集的协议,以及协议对应的端口号,选择启用或停用来启用或停用对应协议的日志采集功能;若存在多个端口则用逗号分开;如图6.10所示:
图6.10探测器采集模块加载
协议配置:
TELNET配置:该功能指定登录提示符,常用的提示符信息已经预置在该配置中;当遇到特殊提示符,且不在配置列表中时,需要在这里手工将提示符信息添加到末行(默认配置不要更改,注意这里的配置对空格,制表符敏感)
HTTP配置:用以配置协议相关参数用来标识网页邮件和网页附件日志,一般就用默认设置,不需要更改
UDP配置:这里输入IP地址列表,以回车分隔;用以统计镜像口中UDP目标地址udpflow信息;如图6.11所示:
图6.11协议配置
七、规则定义
7.1配置管理
选择导航条上【实时规则】—>【配置管理】,如图7.1所示:
图7.1实时分析规则
用户可在此增加、删除、修改实时分析规则;
规则定义通过多重条件匹配,根据用户关注点对海量日志进行筛选、定义、告警或者丢弃;
规则定义可将采集到的日志类型分成原始、重要、告警、丢弃四类;
实时分析规则可包含两层规则定义,第一层规则下可添加子类规则;
点击【规则编号】可查看、修改现有规则条件;
点击【增加新规则】,如图7.2所示:
图7.2增加新规则
增加新规则:
输入易识别的<规则编号>、<名称>、<描述>信息;
规则条件可选择所有服务列表并相应的服务字段来定义;
通过勾选<增加条件>可添加无穷层级规则条件匹配;
新规则定义应优先定义大类规则,如:数据库类、SYSLOG 类、网络行为类、系统日志类等;然后在此大类下增加子类规则进行细分;
告警日志规则定义:
若此规则定义为产生告警,则需输入告警消息、选择告警等级、事件分类、攻击手段、告警接受组(已添加系统用户组)以及短信和邮件告警(已配置好告警接口);
设置规则条件:需要注意逻辑关系以及运算顺序(括号的操
作),以保证规则正常的被使用;丢弃规则拥有最高优先级;子类规则应该是对上层规则的细化,脱离了上层规则是无效的;
审计管理信息系统解决方案
一、企业目前在审计管理上面临的问题 随着集团型企业的不断发展,内部审计已成为现代企业管理的重要组成部分,对完善企业内部自我约束机制,深化企业改革,建立现代企业制度作出了巨大贡献。但是,目前很多企业的内部审计从机构设置、工作重点、审计范围、规范管理等方面还存在一些问题,主要表如下: 资源压力,效率低下 目前,大多数集团型企业面临多种审计需求,工作量巨大,审计工作面临多组织、多地域问题,难以组织协调,无法兴盛统一的资源和计划管理。 标准、方法不一致 集团型企业分子公司、分支机构审计方式不统一,存在一个组织,多种方法的问题。审计标准不统一,风险难以被有效控制。业务的不断变化,而审计业务没有创新和改变,难以应对变化。 审计能力不能持续提升 审计过程中,不能有效地获取、积累、沉淀知识,各组织审计知识不能有效共享,导致审计人员能力不能得到很好的提升。 审计绩效及监督体制不完善 企业没有有效的审计绩效考核方案,审计发现问题后,没有有效的监督整改机制。 风险意识薄弱
审计方式以事后审计为主,大多为“补救式”管理,审计质量提升不明显,导致没有有效的进行风险预警。 二、审计管理信息系统的概述 北京慧点科技开发有限公司(以下简称:慧点科技)的审计管理信息系统,为集团型企业的审计部门借助信息化手段,助力内部审计业务和管理全面提升提供了保障。慧点科技的审计管理信息系统可以帮助审计部门更好地履行内部审计职能,并且在实施审计项目、进行审计管理的过程中,对相关的审计业务操作与各类管理信息进行过程留痕,使客户能够更加方便的对审计过程中的各类信息进行统计分析,实现审计知识的积累,为审计项目实施和审计工作流程管理提供支持工具。 慧点审计管理信息系统按照集团型企业审计工作特点量身定制,建立了审计计划管理、审计资源管理、审计作业管理、审计业务分析等功能模块,功能和整合能力达到国际领先水平,不仅实现了集团型企业信息化的跨越式发展,为审计业务发展所需要的“治理结构”、“人力资源”、“工作实务”、“绩效评估及质量保证”、“技术”、“沟通和汇报”、“知识管理”等七个要素的发展提供了技术支撑。 三、审计管理信息系统架构说明 慧点管理信息系统分为多个层次,包括信息门户与展现层、业务系统应用层、应用支撑与工具层、基础设施层等4个层面,身份和授权管理贯穿于各个层面, 如下图所示:
审计管理系统 一般人员操作手册
目录 第一章检查设置 (3) 第二章阅文 (9) 第一节待阅公文 (9) 第二节已阅公文 (11) 第二节免读公文 (12) 第二章办文 (14) 第一节待办公文 (14) 第二节已办公文 (18) 第三节个人流转查询 (19) 第四节已办结公文 (20) 第三章起草公文 (22) 第一节起草行政公文 (22) 第二节起草业务公文 (23) 第四章计划项目 (26) 第一节项目执行 (26) 第二节本人察看项目 (29) 第三节浏览被审计单位信息 (30) 第四节 AO现场审计实施软件与计划项目管理交互的相关设置 (31) 第五节使用AO自动建立项目 (32) 第六节使用AO打包 (39) 第五章个人设置 (47) 第一节个人文件夹设置 (47) 第二节惯用语设置 (48) 第三节密码修改 (49) 第四节委托办办理 (50) 第六章信息类信息浏览 (52) 第一节浏览专家经验 (52) 第二节浏览法律法规库(暂无,正在申请中) (53) 第三节审计文献 (53) 第四节信息 (55)
第一章检查设置 检查IE版本方法 1.点击IE工具栏中“帮助(H)”中“关于Internet Explorer”,如下图: 2.察看版本,版本为6.0…….即可达到本系统所需标准 第一节检查OFFICE版本方法 1.在计算机上找到Office图标,如下图的Office Word图标,双击或者右键“打开”
2.点击“帮助(H)”中的“关于Microsoft Word” 3.察看版本,建议使用Office2000以上的版本,如下所示为Office2003: 第二节设置“信任站点”方法
XXXX 日志审计管理规定
文件修订履历 变化状态:新建,增加,修改,删除
目录 1目的 (4) 2适用范围 (4) 3职责 (4) 4术语和定义 (4) 5内容 (4) 6附则 (5)
XXXX 日志审计管理规定 1目的 为保证单位主要的网络设备、服务器和应用系统的操作和允许日志都能得到完整和准确的收集,规范日志管理,便于日后管理与分析,特制订本管理规定。 2适用范围 XXXX(以下简称“XXXX”)的主要设备:常见操作系统的系统日志;路由器,交换机日志;常见服务器日志(如FTP、WEB服务器)单位的主要应用系统的操作日志。 3职责 安全管理员、审计管理员应按照本规定做好日志审计管理工作。 4术语和定义 安全审计:按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。 5内容 5.1日志收集 1、日志收集的范围应包括:主要的网络设备,包括路由器,交换机等设备;主要的安全设备,包括防火墙、IPS、IDS;主要的服务器和主要的应用系统。 2、日志收集的内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。 3、收集日志的记录内容应包括系统的用户的登录成功失败的信息:日期、时间、类型、源和目的地址、协议类型、危险程度等信息。 4、存储日志的位置应有足够的空间,防止生成日志过多对日志的覆盖,限制有权限可以查看日志的账户。 5.2日志分析管理 1、网络管理员、系统管理员和应用系统管理员应每天查看日志记录,并对日志记录进行分析。
2、网络管理员、系统管理员对所分析的日志,若发现异常情况,应对系统进行检查,确认是否有入侵事件并上报。 3、安全管理员应每月对所分析的日志进行总结,以报表的形式对所分析的日志直观体现。 4、安全管理员、审计管理员应定期查看审计系统是否正常。 5、安全管理员应定期对产生的日志进行备份处理。 5.3日志安全防护 1、应保证只有安全管理员和审计管理员才可以查看日志,或是授权日志安全管理对日志进行操作。 2、管理人员应具有所要审计日志的内容和日志记录的内容进行修改的权利,但仅限于对审计的优化,而不是简化。 3、管理人员应对日志存放的空间进行限制,设定访问权限。 4、管理人员应对日志进行备份处理后,具有对日志存档、删除和清空的权利。6附则 1.本制度由IT中心、信息安全部负责制定、修订和解释。 2.本制度自发布之日起实施。
日志审计系统招标需求 一、供应商资质要求 1. 供应商应具有两名中国信息安全测评中心认证的注册信息安全工程师(出具社保证明和证书复印件,中标后提供原件);二、产品需求 1. 基本要求 1)产品获得公安部计算机信息系统安全产品销售许可证以及公安部信息安全产品检测中心出具产品检验报告。所提供的产品检验报告须符合《信息安全技术日志分析产品检验规范》,并提供完整的检测报告复印件(行标三级); 2)产品获得国家保密科技测评中心检测并获得涉密信息系统产品检测证书,需符合《涉及国家秘密的信息系统安全监控与审计产品技术要 求》,并提供完整的检测报告复印件; 3)产品取得软件著作权登记证书; 4)原厂商通过ISO27001 信息安全体系国际认证; 5)原厂商通过ISO9001 2008质量管理体系认证; 2. 硬件规格 1)4 个千兆电口,1 个con sole 口;内存:16GB,磁盘:2T*2 raidl; 双电源;产品采用CF卡启动;内存可扩展至32GB;单个磁盘可扩展至4T(4 个盘位);支持HBA 卡扩展;网口可扩展(4 电4光、8电、8光、2万兆光)
支持审计 >=1000 个日志源; 每秒日志解析能力 >=8000 条; 峰值处 理能力 >=12000 。 日志收集 支持 Syslog 、 SNMP Trap 、OPSec 、FTP 协议日志收集; 支持使用代理(Agent )方式提取日志并收集; 支持目前主流的网络安 全设备、交换设备、路由设备、操作 系统、应用系统等; 支持的设备厂家包括但不限于: Cisco (思科),Juniper,联想网 御/网御神州,F5,华为,H3C ,微软,绿盟,飞塔(fortinet ), Foundry ,天融信,启明星辰,天网,趋势,东软,CheckPoint , Hillsto ne (山石),安恒,BEA , ape,戴尔(dell ), EMC ,天 存,Symante (赛门铁克),IBM ,citrix (思杰),WINDOWS 系统日 志,Linux/UNIX syslog 、IIS 、Apache 等; 支持常见的虚拟机环境 日志收集, 包括 Xen 、VMWare 、Hyper-V 等。 工作模式 独立完成审计日志采集,不依赖于设备或系统自身的日志系 统; 审计工作不影响被审计对象的性能、 稳定性或日常管理流程; 审计结果 存储于独立存储空间; 自身用户管理与设备或主机的管理、使用、权限 无关联; 提供全中文 WEB 管理界面, 无需安装任意客户端软件或插件 2) 3. 1) 2) 3) 4) 5) 4. 1) 2) 3) 4) 5)
宏源证券审计管理信息系统 项目文档 用户手册
Revision History 1.1. 2.第一章.概述 1.1.简介 本手册是专门为《宏源证券审计管理信息系统》(以下简称《审计管理系统》)的用户学习如何使用该系统而编写的。它详细介绍了系统的各个模块的功能、导航方式、内置的角色-权限对应关系以及一些常用的使用注意事项等,尤其适合对本系统新用户的培训工作,也方便后期使用过程中的功能查找。 《审计管理系统》采用浏览器/服务器的模式开发。用户计算机上只需安装有普通的浏览器(推荐IE6及其以上版本或Firefox3.0及其以上版本)即可正常使用本系统的所有功能。
1.2.预期的读者和阅读建议 本手册的主要读者群体可分为:业务职员,领导,管理员。 其中各类读者的阅读重点又有所不同: 业务职员:专注于自身业务模块的使用方法,重点阅读业务填报和信息检索。 领导:专注于对公司整体运营的把握,重点阅读各个模块中的视图、跟踪、统计等部分,以及各业务的审批流程。 管理员:专注于管理各模块的参数设置以及用户权限设置等,重点阅读系统管理。 1.3.系统安全说明 本系统严格按照“用户-角色-权限”逐级分配的模式进行管理,安全可靠。 不同用户会拥有不同的角色,不同的角色又会有不同的权限。访问不同的模块需要有不同权限,若用户所具有的角色并不具有某模块的访问或编辑权限时,此用户无法访问或编辑相应的模块。 用户的角色以及角色的权限由系统管理员进行分配。 1.4.名称术语诠释
2. 第二章.用户手册 2.1. 登录与界面介绍 先介绍本系统的登录方式与界面的布局设置。 登录 用户首先在浏览器的地址栏中输入本系统的登录网址,即可进入系统登录界面。 如下图所示,我们以一个一般用户李四(用户名:lisi )登录为例,输入用户名和密码,单击“登录”按 钮。通过系统对用户身份的认证后,即可进入系统。 注意:若输入登录信息错误,系统会有关于错误信息的提示,如下图: 象。一个用户可以被赋予一个或多个角色,不同的角色会分配有不同的权限。 用户 泛指所有直接使用本系统的用户。每个用户都在系统中有一 个登录帐户,该帐户由公司系统导入;每个用户都有所属的岗位,不同岗位赋有不同的角色,而不同的角色就会有不同的权限。
审计部管理信息系统—— 项目概要 The document was prepared on January 2, 2021
项目概要 项目名称:审计管理信息系统 1. 项目背景 全行审计系统拥有八个审计分部、38个总审计室和123个审计办事处,审计人员3300余名,每年完成审计项目近4000个。但是,长期以来,审计工作成果包括审计底稿、审计中发现的问题、审计报告等一直都以纸介质形式分散保存在各级审计机构,对于审计项目、审计人员、审计机构的管理也没有相应科技手段的支持,不利于审计整体优势的发挥、审计成果的有效再利用。为改变这种局面,我部提出开发“审计管理信息系统”。目前,我部正在会同信息技术管理部进行该项目可行性研究工作,计划明年3月份进入项目的正式立项与开发实施。 2. 项目目标 加强审计工作信息化管理,充分利用现代科技手段,实现全行审计人员、审计机构、审计项目、审计成果等信息的综合管理和利用。 3. 需求概述 系统功能需求覆盖了大部分审计日常管理业务和部分现场审计业务,系统主要包括七个子功能:底稿及问题台帐录入、审计机构
管理、审计人员管理、审计项目管理、审计成果管理、查询及分析、系统管理。 4. 与相关系统关系 无。 5. 设备配置概述 初步计划,38个一级分行各安装一台PC服务器,总行两台PC服务器。 6. 投资概算 资本性支出-固定资产:750万,费用230万。 7. 项目计划概述 可行性研究阶段:年月日完成可行性研究报告,进行专家论证,申请立项。 系统开发阶段年月日完成系统开发。 系统测试阶段:年月日完成系统测试。 系统试运行阶段:年月日完成试运行及推广。 系统验收阶段:年月日完成验收。
中国铁塔审计系统用户操作手册
变更记录
〖手册目标〗 通过阅读该用户手册,用户能够了解系统的整体结构,学会使用系统。 〖阅读对象〗 本文档适用于系统的使用人员和系统的维护人员使用。 〖手册构成〗 本手册基本上由四部分组成: 第1章,“审计准备”。 第2章,“审计实施”。 第3章,“审计报告”。 第4章,“系统管理”。 〖手册约定〗 本手册遵循以下约定: 所有标题均使用黑体字。 如果标题后跟有“〖条件〗”字样,说明该标题下正文所要求的内容是在一定条件下必须的。 【注意】的意思是请读者注意那些需要注意的事项。 【警告】的意思是请读者千万注意某些事项,否则将造成严重错误。 备注:操作手册中使用的截图数据均为测试数据。
目录 第1章首页视图 (1) 1.1我的工作 (1) 1.1.1我的待办 (1) 1.1.2我的已办 (1) 1.1.3我的待阅 (1) 1.1.4我的已阅 (2) 1.2首页介绍 (2) 1.1.5首页介绍 (2) 第2章审计准备 (3) 2.1PMS项目送审 (3) 2.1.1功能说明 (3) 2.1.2操作描述 (4) 2.1.3约束和限制 (6) 2.2审计项目起草 (7) 2.2.1功能说明 (7) 2.2.2操作描述 (7) 2.2.3约束和限制 (10) 2.3审计项目查询 (10) 2.3.1功能说明 (10) 2.3.2操作描述 (10) 2.3.3约束和限制 (11) 第3章审计实施 (11) 3.1任务办理 (11) 3.1.1功能说明 (11) 3.1.2操作描述 (12) 3.1.3约束和限制 (19) 3.2工程查询 (22)
企业为了日常的正常运作,通常会采用多种系统。各系统各司其职,发挥着不同的作用,并且无法替代,共同构成了企业的防护墙,保证企业各个项目的稳定。日志审计系统就是企业常用的系统之一,日志审计系统的作用尤为重要,且具有一定的优势。 日志审计系统是专业日志审计产品。日志审计系统能够实时不间断地采集汇聚企业中不同厂商不同种类的网络设备、主机、操作系统、用户业务系统的日志信息,协助用户进行分析及合规审计,及时、有效的发现异常事件及审计违规。 日志审计系统提供了众多基于日志分析的强大功能,如日志的集中采集、分析挖掘、合规审计、实时监控及告警等,系统配备了全球IP归属及地理位置信息数据,为事件的分析、溯源提供了有力支撑,日志审计系统能够同时满足企业实际运维分析需求及审计合规需求,是企业日常信息工作的重要支撑平台。 产品功能
完整日志采集 支持对各种主流日志进行采集,同时支持对非主流日志的定制化采集。也可将日志转发到铱迅信息其他产品或第三方系统处理。 资产管理便捷 自动发现企业网络中的设备,可便捷的定义所关注的设备为资产,从而进行持续的管理。管理能够以视图化方式进行,便于以用户视角或业务系统视角来管理资产。 事件挖掘分析 支持对海量原始日志的分析挖掘,发现异常安全问题;通过可视化、易操作的安全策略定制,能够有效提炼、还原出各种异常事件场景,从而为一线安全人员的实际运维工作提供一个强大的安全分析平台。 审计与报表 系统支持自定义审计对象、审计策略,从而满足不同行业用户日志审计合规的需求。系统内置了各类实用的安全审计模板,如等级保护、萨班斯(SOX)、资产常见分类模板等,方便用户直接使用或参考定制。系统能够自动定期将各类安全事件及审计情况的报告以报表发送的方式告知相关人员。 实时监控 支持实时滚动展示当前接收到的日志,显示内容可根据需要来定制过滤。通过实时监控能够有效发现当前未知的安全威胁态势,其提供的日志导出功能便于发现可疑行为的日志特征,进而在事件挖掘分析模块追溯潜在的安全威胁源头。 告警监控
审计管理系统(OA)常见使用问题解答 (2006-5-18) Ⅰ.审计人员 1)问:点击公文标题后,页面显示“正在打开公文”,然后一会就消失了, 没有反应是什么原因? 答:可能本地电脑上安装了“上网助手”之类的工具,把弹出的公文窗口阻止了,请关闭该工具,重试。 2)问:审计管理系统无法打开公文,总是弹出错误提示窗口 “Error?number?…”请问遇到这类问题怎么解决? 答: 这种情况需要注意下列原因: (1)客户端IE浏览器的设置是否正确; (2)windows操作系统登录的用户不能为中文,否则有可能导致无法正常打开公文; (3)建议使用office 2000版本, 查看本机是否存在一些上网助手。3)问:为什么在公文办理时,点击打开一个Word文件(或接着再打开另 外一个本地Word文件),Word的菜单项或工具栏内容少了很多? 答:是因为审计管理系统在使用Word时,对其进行了二次开发以便各种控制需要,把部分不允许使用的功能禁止了。但不对正常的使用产生影响,如在没有打开OA系统内的公文时打开了Word程序,则菜单和工具栏都恢复了原样。在极个别情况下,如果没有恢复,请咨询热线电话,服务人员会很快协助解决此问题。 4)问:公文处理单上的各个区域与公文有什么关系? 答:公文处理单的区域与公文的各类要素是一一对应的,公文程序通过读取处理单上的各个区域内容,在公文套模版的时候把公文各要素(公文标题、发文字号等)填充到正文的相应位置,所以处理单上正文不应该包括公文各基本要素,而只需要正文内容,否则在套模版的时候就会有重复项。
5)问:当某公文不想阅读时,怎么让其不再在待阅列表中出现? 答:在待阅公文界面中有个控件按钮“免读”,选择某个待阅公文,点击免读即可。 6)问:在出差期间,需要本人办理的公文怎么处理? 答:有两种方法:个人办文权限转移和通过委托部门文书管理员 (1)个人办文权限转移 选择“办文权限转移”,选择被委托人和委托开始时间以及委托结束时间,点击“保存”完成个人授权。点击“高级”会弹出如下页面,可以在整个机关选择被委托人员,选择人员后点击“保存”来完成办文权限转移。 提示:委托办理功能的范围为本人所在的部门。 (2)部门文书管理员 以部门文书管理员的身份登录系统,在审计管理区—〉部门文书管理—〉办文权限转移?,出现本部门所有人员列表:选择委托人和被委托人,填写委托开始时间和委托结束时间,然后点击“保存”来完成部门内人员办文权限的转移。 7)问:待阅公文很多,如何让其分类保存? 答:待阅公文(列表)是已入库公文中,由机关文书分发给你的必需看的文件集合。每个用户在公文管理中都有一个“个人文件夹”,用户根据个人需要在个人文件夹中新建类别组,在已阅公文界面中,选择某个公文点击复制,然后选择要把该公文放在哪个分组里即可,以后可以按照个人分类进行查找已阅过的公文。 8)问:为什么公文列表中点击标题后,不能打开相应公文,同时弹出对话 框错误信息? 答:一般情况下先确认是否满足如下条件:? (1)操作系统登录时,登录名不能是中文字,必须是英文或拼音,且最好有密码。如果是中文名称,需要新建一个英文用户,建议以后就用此新建的用户登录。 (2)在“internet选项”中,确认“受信任站点”和“安全站点”的列表中是否有您的OA系统的域名或IP。
L o g B a s e日志管理综合审计系统 技术白皮书 杭州思福迪信息技术有限公司 SAFETYBASE INFOTECH CO.LTD
版权说明 ? 版权所有2005-2010,杭州思福迪信息技术有限公司 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。 商标信息 Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标,受商标法保护。
目录 第一章概述 (4) 1.1 信息安全审计的必要性 (4) 1.2 信息安全审计目标 (5) 第二章 LogBase产品介绍 (6) 2.1 产品概述 (6) 2.2 体系结构 (7) 第三章 LogBase功能介绍 (8) 第四章 LogBase产品特性 (10) 4.1 全面的日志采集能力 (10) 4.2 可靠的安全保障能力 (10) 4.3 专用的日志专家规则库 (10) 4.4 灵活开放的查询条件 (11) 4.5 高效的事件定位能力 (11) 4.6 安全的旁路审计模式 (11) 4.7 良好的扩展性设计 (12) 4.8 丰富的合规性报表 (12) 第五章典型部署 (13) 第六章产品规格与指标 (14) 6.1 审计主机规格指标 (14) 6.2 硬件探测器性能指标 (15)
第一章概述 1.1 信息安全审计的必要性 随着政府、企事业单位等各类组织的信息化程度不断提高,对信息系统的依赖程度也随之增加,如何保障信息系统安全是所有单位都十分关注的一个问题。当前,大部分组织都已对信息安全系统进行了基本的安全防护,如实施防火墙、入侵检测系统、防病毒系统等。然而,信息系统维护过程中依然还面临着诸多的困难及风险,如: ?系统运维风险:由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行,服务中断。这些异常行为往往会事先在系统及各类日志中有所反映,如果缺乏有效的日志审计手段,就无法及时发现这些安全隐患。 ?网络资源滥用:大部分企业对员工的上网行为都不进行直接控制,因此员工不适当或滥用公司网络资源的行为时有发生,如进行BT下载、观看在线电影、网上聊天以及访问非法网站的相关行为等等,这不仅是对公司管理制度的挑战,更使企业在国家相关法律法规的符合性上存在隐患,也容易造成企业资料泄密等后果。 ?应用及数据风险:企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息安全风险,包括用户非授权访问、管理员误操作、黑客恶意破坏等等,必须实行有效的安全审计手段。 ?安全事件定位风险:由于目前的应用系统往往都是相互关联的,一个故障现象,往往要对数台甚至数十台网络设备及主机的日志进行综合分析才能确定真正的故障原因,缺乏有效的统一安全事件审计平台可能导致无法及时进行故障定位甚至错误定位,此外恶意破坏者获得系统权限后可以清理安全日志,从而导致无法正确定位安全日志。 此外,SOX法案、公安部82号令、等级保护等各类法律法规均对日志、行为审计有明确的要求,确保关键信息系统在可控、可审计状态下运行。
基于审计管理系统下的审计自动化管理创新 基于审计管理系统下的审计自动化管理创新 基于审计管理系统下的审计自动化管理创新 摘要:近年来,随着审计信息化发展的客观需求日益迫切,审计机关对风控管理、机关事务管理、项目管理等方面越来越重视,不仅需要有相关的制度文件作支撑,更需要相关考核体系强化执行,但这些管理过程大部分处于手工状态,导致工作效率低下、执行过程混乱。本文结合审计工作实际,提出了一种在现有金审工程审计管理系统(AO20xx)下,通过添加相关模块,实现审计机关全过程管理数字化的一种构想。 一、当前基层审计机关管理现状 近年来,各级审计机关加大了制度化、规范化建设进程,出台了一系列制度措施,加强机关精细化管理和考核,然而,由于大多数工作处于手工操作的状态,诸如审计项目质量管理、绩效考核管理、机关事务管理、干部人事管理等在实际工作中的管理效率并不高,效果也未全部显现。 (一)项目质量控制情况 审计项目作为我国审计机关开展审计工作的主要模式,其项目管理水平的高低直接影响审计工作的成败。目前各级审计机关依托审计署审计管理系统(OA)中的审计项目管理已基本实现审计项目计划、组织管理、项目执行等阶段和作业模式的数字化管理,但从项目全过程跟踪管理的角度来说,项目执行情况综合分析、审计审理事后处理机制、风险预防、项目跟踪整改、项目资源调配等方面仍采用人工作业模式,更有很多项目在上报优秀项目时才按照相关评选标准对程序进行规范,对资料进行修改、补充,而对于不需上报的项目是否达到基本标准,是否算合格项目没人去探究,这在一定程度上降低了审计管理执行的效率,同时对于项目管理过程中的质量也较难控制。 (二)绩效考核管理情况 对于审计机关的发展而言,核心资源是审计人员,审计人员的能力直接关系到审计及各项工作的质量,而审计人员的能力需要通过不断地学习、培训、实践来提高,在金审一期、二期的审计信息化建设中,未将审计人员能力培养和审计人员项目管理执行的绩效考评纳入数字化审计建设重点,目前唯一涉及审计人员能力培养的模拟审计实验室在全国范围内应用案例较少,投资规模较大,一般适用于省级平台建设,并不适用基层审计机关审计队伍的建设需求,在对审计人员的绩效评估方面,基层审计机关还在通过传统方式,由评选人员在考核时集中进行考核打分,这样就可能存在遗漏和分值不准,相关人员在得到得分排名后要求增加分数现象,给考核机构造成了工作不便,同时也可能造成大家认为考核不公平的想法,亟需通过建立一套人员能力考核评价指标体系,将考核指标植入后自动进行评价。
明御?综合日志审计平台 产品概述 明御?综合日志审计平台(简称DAS-Logger)作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;明御?综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。 明御?综合日志审计平台旨在实现网络资产安全状况的统一管理,使企业的利益受损风险降低,广泛适用于政府、金融、运营商、公安、电力能源、税务、工商、社保、交通、卫生、教育、电子商务及各企事业单位等。 产品组成 明御综合日志审计平台由采集器、通信服务器、关联引擎及平台管理器组成, 1 杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
主要功能 ?采集器:全面支持Syslog、SNMP日志协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其它网管平台等。 ?通信服务器:实现采集器与平台间的通信,将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理。通信服务器可以接收多个采集器的日志;在平台尚未支持统一日志格式时,能够根据要求,将定义的统一日志转换为所需要的日志格式。 ?关联引擎:实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。 ?平台管理器:实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。 ?集中配置管理:系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。 ?灵活的可扩展性:提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。 ?其他功能:支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。 2 杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
审计使用手册
金审工程审计管理系统操作手册—一般人员操作手册 审计管理系统 一般人员操作手册 第2页共63页
目录 第一章检查设置 (5) 第二章阅文 (12) 第一节待阅公文 (12) 第二节已阅公文 (14) 第二节免读公文 15 第二章办文 (17) 第一节待办公文 (17) 第二节已办公文 (20) 第三节个人流转查询 (21) 第四节已办结公文 (21) 第三章起草公文 (23) 第一节起草行政公文 23 第二节起草业务公文 (24) 第四章计划项目 (27) 第一节项目执行 (27) 第二节本人察看项目 (29) 第三节浏览被审计单位信息 (30) 第四节AO现场审计实施软件与计划项目管理交
互的相关设置 (31) 第五节使用AO自动建立项目 (32) 第六节使用AO打包 (38) 第五章个人设置 (45) 第一节个人文件夹设置 45 第二节惯用语设置 46 第三节密码修改 47 第四节委托办办理 (47) 第六章信息类信息浏览 (48) 第一节浏览专家经验 49 第二节浏览法律法规库(暂无,正在申请中)错误!未定义书签。 第三节审计文献 49 第四节信息 51
第一章检查设置 检查IE版本方法 1.点击IE工具栏中“帮助(H)”中“关于Internet Explorer”,如下图: 2.察看版本,版本为6.0…….即可达到本系统所需标准 第一节检查OFFICE版本方法 1.在计算机上找到Office图标,如下图的Office Word图标,双击或者右
键“打开” 2.点击“帮助(H)”中的“关于Microsoft Word” 3.察看版本,建议使用Office2000以上的版本,如下所示为Office2003:
点击文章中飘蓝词可直接进入官网查看 日志审计与分析系统 日志审计与分析系统可以了解系统的运行状况,安全状况,甚至是运营的状况。如何选择一款合适的日志审计与分析系统呢?评价一款日志审计与分析系统需要关注哪些方面呢?小编今天给大家介绍一下选择日志审计与分析系统应该从几个方面来考虑。 南京风城云码软件公司(简称:风城云码)南京风城云码软件技术有限公司是获得国家工信部认定的“双软”企业,具有专业的软件开发与生产资质。多年来专业从事IT运维监控产品及大数据平台下网络安全审计产品研发。开发团队主要由留学归国软件开发人员及管理专家领衔组成,聚集了一批软件专家、技术专家和行业专家,依托海外技术优势,使开发的软件产品在技术创新及应用领域始终保持在领域上向前发展。 由于一款综合性的日志审计与分析系统要能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。 日志收集的性能也是要考虑的。一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。目前,国际上评价一款日志审计产品的重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒种能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。一般而言,EPS数值越高,表明系统性能越好。 日志审计与分析系统应提供准确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,要注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大大折扣了。 日志审计与分析系统要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。因此,有这方面需求的用户可以考查产品的实时关联分析能力。
《审计信息管理系统》使用说明 第一章概述 欢迎使用《审计信息管理系统》,本文介绍《审计信息管理系统》的使用方法。本系统是针对XXX市审计局日常行政办公、信息管理和设计的应用系统,充分考虑了XXX市审计局的办公内容、行文流程、组织结构等相关内容,给用户提供丰富、完整、方便的功能,正确处理企业日常工作中的各种常规事务,如收文、发文、信息管理、信访管理、档案管理等,通过对各种办公过程的流程化分析、图形表示、自动控制行文流转过程,提高办公效率,保证日常工作高效、规范的进行,实现无纸化办公。 本系统主要以审计项目的实施与管理为核心,同时提供人事管理和各科室之间的信息交换功能,方便领导和各科室成员迅速掌握当前工作的内容和工作进度。 本系统使用了高度安全的Lotus Notes/Domino R5作为开发平台,能适应用户在不同环境和条件下的需求,有着极为可靠的安全性。本系统有广泛的适用性。它是标准的工作流办公自动化软件,稍加改进即可与其他企事业单位自身组织机构相配置,用户单位无需更改现有组织机构,可快速部署整个系统,迅速从中获得效率提升。 第二章主界面 一、启动审计信息管理系统 办公自动化系统的启动,操作员单击[开始]→[程序]→[Lotus 应用程序]→[Lotus Notes],系统会出现一对话框(如图2-1),输入正确的口令,系统就会进入审计信息管理系统主界面。 图2-1
如果操作员要选择其它的人员的ID(即以其他人员的身份登录,前提是直到其他人员的密码),操作员可单击[取消],系统会弹出(如图2-2)的对话框,操作员从中挑选需要的ID,再输入正确的口令,系统就以他的身份进入审计信息管理系统主界面。 图2-2 二、主界面的操作 打开Lotus Notes,《审计信息管理系统》的主界面(如图2-3)自动作为缺省首页出现。主界面上有8个标题,分别是打开以下8个功能模块的链接:人事管理、文件审批、审批进度、审计档案、综合查询、流转定稿、电子邮件和文档模板。 图2-3 退出办公自动化系统,用户只需单[退出]即可。
1.1 1.2审计管理系统功能简介 审计管理系统由审计署机关辅助办公系统升级、改造而成。它是一个为审计机关提供领导决策支持、公文流转办理、审计业务管理、信息资源共享、机关事务处理等五个功能于一体的协同工作平台,用以加强审计业务工作的决策、组织、指导和管理,并构建用于支撑审计业务的基础资源数据库,是金审工程一期应用系统建设的一项重要成果。 审计管理系统采用组件化技术及B/S结构和C/S结构相结合的方式开发,以B/S结构为主,部分功能复杂并且用户面较小的软件采用C/S结构。利用中间件的强大功能,基于金审工程应用平台支持,具有动态可重构、扩展能力强的特点。除特殊岗位外的一般用户只需要通过浏览器使用系统,用户界面统一,操作简单,易于掌握。 在征求地方审计机关意见基础上,供地方审计机关本地化部署的审计管理系统地方版和1拖N版功能分区调整为四个: ●个人办公:提供公文阅办流转、业务信息的管理功能。 ●待办工作:集中提示当前用户当前需要办理的工作。 ●信息资源:共享审计业务信息、学习材料和文献等。 ●应用设置:有关业务管理工作非常用的基础配置工作。 1.3审计管理系统在地方审计机关的本地化部署 为了发挥国家基本建设投资的效益,审计署领导决定,将金审工程建设的应用系统推广到地方审计机关使用。审计署信息办除将现场审计实施软件发放地方审计机关推广使用外,又在审计管理系统的基础上,研制了审计管理系统地方版和1拖N版,以供各级地方审计机关有选择地进行本地化部署。 审计管理系统地方版是审计署为适应地方审计机关,特别是省级审计机关,加强审计管理、提高信息技术应用水平、节省信息化建设资金的需要,在金审工程一期投资所建审计管理系统的基础上建设的应用系统,是金审工程一期应用系统建设的一项重要成果。地方版依托国家电子政务网络平台、公共通信网络平台或局域网网络环境,在单一的硬件平台上部署系统,提供给本审计机关及同城或
目录 1.1网络部署模式 (3) 1.1.1旁路部署模式 (3) 1.2系统启动、登录 (3) 1.3系统操作界面介绍 (4) 1.4系统操作模式 (5) 1.4.1面向功能的操作模式 (5) 1.4.2面向审计对象的操作模式 (7) 1.5审计对象管理 (8) 1.5.1机器组管理 (8) 1.5.2机器管理 (13) 1.6管理策略 (15) 1.6.1控制策略 (15) 1.7审计日志查询 (23) 1.7.1行为审计 (24) 1.7.2内容审计 (30) 1.7.3现场观察 (32) 1.8网络中使用路由器的改造方法 (34) 1.9设备使用注意事项 (35) 网络安全审计系统基本功能简介
1.1网络部署模式 1.1.1旁路部署模式 网络安全审计系统旁路基本部署示意图 1.2系统启动、登录 网络安全审计系统采用B/S模式进行管理,用户在网络中任何一台机器都可以通过网页浏览器登录系统: 第一步:打开局域网内任意机器的IE浏览器,输入HTTPS://系统IP地址,出现以下安全警报界面,选择“是”进入系统登录界面:
说明:如果不知道系统IP地址,请咨询系统的安装人员。 第二步:选择界面显示的语言(简体中文/繁体中文/English)、输入用户名、密码以及校验码;(系统默认用户名admin密码123456) 第三步:点击“登录”按钮进入系统主界面,或点击“重置”按钮清除当前输入框中所有数据重新录入进行登录; 注意: 1.在登录时系统主窗口采用弹出式,因此请您务必检查是否有IE插件限制了弹出窗口; 2.网络安全审计系统出厂时的用户名是admin,密码是123456。为了安全起见,请在首次登录时 通过“个性设置->我的帐号->密码修改”功能,修改默认密码。 1.3系统操作界面介绍 为了便于说明,本手册将系统操作界面分成四个部分,通常页面的上部为系统名称和快捷按钮区,页面的左侧为导航菜单区,右侧为数据显示区,其中数据显示区的上部为查询区,中间为信息显示区。除中间的数据显示区外,其它各个区都可以选择隐藏。用户可以在导航菜单栏选择不同的系统操作模式,另外,数据显示区采用OUTLOOK风格,当用户在数据显示区点击数据列表中的记录,列表下方将实时显示该记录的详情,在数据显示区上方为数据查询区,用户可以通过设置具体查询条件以便在数据列表中只显示特定的记录;
XXXX 日志审计管理规定 文件修订履历
删除,变化状态:新建,增加,修改. 目录 1目的 (4) 2适用范围 (4) 3职责 (4) 4术语和定义 (4) 5内容 (4) 6附则 (5) XXXX
日志审计管理规定 1目的 为保证单位主要的网络设备、服务器和应用系统的操作和允许日志都能得到完整和准确的收集,规范日志管理,便于日后管理与分析,特制订本管理规定。 2适用范围 见操作系统的系统日志;路由器,”)的主要设备:常(以下简称“XXXXXXXX交换机日志;常见服务器日志(如、WEB服务器)单位的主要应用系统的操作FTP 日志。 3职责 安全管理员、审计管理员应按照本规定做好日志审计管理工作。 4术语和定义 安全审计:按确定规则的要求,对与安全相关的事件进行审计,以日志方式记录必要信息,并作出相应处理的安全机制。 5内容 5.1日志收集 1、日志收集的范围应包括:主要的网络设备,包括路由器,交换机等设备;主要的安全设备,包括防火墙、IPS、IDS;主要的服务器和主要的应用系统。 2、日志收集的内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。 3、收集日志的记录内容应包括系统的用户的登录成功失败的信息:日期、时间、类型、源和目的地址、协议类型、危险程度等信息。 4、存储日志的位置应有足够的空间,防止生成日志过多对日志的覆盖,限制有权限可以查看日志的账户。 日志分析管理5.2. 1、网络管理员、系统管理员和应用系统管理员应每天查看日志记录,并对日志记录进行分析。 2、网络管理员、系统管理员对所分析的日志,若发现异常情况,应对系统进行检查,确认是否有入侵事件并上报。 3、安全管理员应每月对所分析的日志进行总结,以报表的形式对所分析的日志直观体现。 4、安全管理员、审计管理员应定期查看审计系统是否正常。 5、安全管理员应定期对产生的日志进行备份处理。 5.3日志安全防护 1、应保证只有安全管理员和审计管理员才可以查看日志,或是授权日志安全管
需求分析: 随着政府、企事业单位等各类组织的信息化程度不断提高,对信息系统的依赖程度也随之增加,如何保障信息系统安全是所有单位都十分关注的一个问题。当前,大部分组织都已对信息安全系统进行了基本的安全防护,如实施防火墙、入侵检测系统、防病毒系统等。然而,信息系统维护过程中依然还面临着诸多的困难及风险: ◆操作系统、硬件、应用程序等故障或配置错误导致系统异常运行,服务中断。这些异常 行为只会在系统及各类日志中有所反映,没有统一的日志审计手段,无法及时发现安全事故。 ◆大部分企业对员工的上网行为都不进行直接控制,因此员工不适当或滥用公司网络资源 的行为时有发生,如下载、看在线电影、网上聊天以及访问非法网站的行为等等,这不仅影响工作,更使企业在国家相关法律法规的符合性上存在隐患,也容易造成企业资料泄密等后果。 ◆企业中各类应用系统在对外服务的同时将面临各种用户访问行为造成的信息安全风险, 缺少对用户非授权访问、管理员误操作、黑客恶意破坏等等的行为审计。 ◆由于目前的应用系统往往都是相互关联的,一个故障现象,往往要对数台甚至数十台网 络设备及主机的日志进行综合分析才能确定真正的故障原因,缺乏有效的统一安全事件审计平台可能导致无法及时进行故障定位甚至错误定位,此外,恶意破坏者获得系统权限后可以清理安全日志,从而导致无法正确定位安全日志。 ◆企业内部控制基本规范、SOX法案、公安部82号令、等级保护等各类法律法规均对日 志、行为审计有明确的要求,确保关键信息系统在可控、可审计状态下运行。 解决方案: 晟为日志审计系统是专业信息安全审计产品,基于嵌入式64位Linux系统,由日志采集模块、事件检索模块、审计报表模块、综合管理模块组成。采用B/S架构,管理员通过HTTPS方式对主机进行管理。系统提供智能化的日志生命周期管理模型,集日志数据采集、实时动态分析、安全存储管理、历史事件检索、综合审计报告功能于一体,帮助用户快速、有效地完成信息系统安全审计工作。 晟为日志管理综合审计系统通过基于日志内容深度分析的日志专家规则库,对采集到的日志数据进行实时动态分析,将网络非法访问、数据违规操作、系统进程异常、设备故障敏感信息、等高危安全事件,从海量日志数据中提取出来,并通过桌面屏幕、邮件、短信、SYSLOG、SNMP等方式通知管理员及时处理。