下载文档原格式
LogSec金融行业营业厅终端安全解决方案一、方案背景在金融行业,ATM自动柜员机、金融自助服务终端等设备(以下统称金融终端)为人们提供了便捷,现在大家不必去银行柜台就能进行现金交易。
用户使用这些设备可以对资金进行敏感操作,当然其中的脆弱环节也引来了大量黑客的觊觎。
在过去的许多年里,黑客已经发现了多种入侵金融终端的方式,其中不乏暗中进行读卡扫描等物理攻击。
同时,他们也在试图探索新的方法来破解金融终端软件。
Trend Micro公司的安全专家们在2016年11月已经发现了一种新型ATM恶意软件,这种被称为Alice的攻击机制旨在针对各类自助式服务ATM设备中的安全保护功能。
它最大的特点就是不同于其它ATM恶意软件,不具备数据窃取功能,亦不可通过ATM数字键盘进行控制,Alice利用的是原有安全机制清空和实机操作进行资金取现。
本方案适用于ATM机,以及各类金融自助服务终端。
针对各种渗透金融终端的奇技淫巧,为管理人员提供抵御黑客攻击的最佳解决方案。
二、金融终端所面临的安全威胁随着金融终端个体的增加,它们更加容易遭到不怀好意的人觊觎。
同时,许多金融终端仍在使用windows xp,众所周知它们是非常容易被黑的。
正因为微软不再对它们进行支持,故而许多ATM机供应商会采用一些安全解决方案来减轻攻击和漏洞带来的威胁。
这些安全解决方案会限制金融终端应用,让它们运行在非常严格的环境下,系统后台只能运行非常有限的服务。
例如:Mcafee Solidcore和Phoenix Vista ATM。
Mcafee Solidcore:运行在ATM机操作系统上,用于限制那些未授权的可执行文件。
这个解决方案适用于白名单策略,比如那些应用、进程和服务。
Phoenix Vista ATM:该解决方案集成入了ATM应用。
应用会检查文件的完整性,任何对系统相关的重要文件的篡改都会导致系统关闭。
以上解决方案虽然能在一定程度上实现对系统权限、系统操作的管控,但由于这些保护程序都是工作在应用层,黑客还是可以通过一些手段突破防护,例如:非授权访问者可以在金融终端上插入USB设备,通过它去引导系统,虽然大多数安全解决方案会在引导时接管系统,但只需要在系统引导的时候按住“Shift”键不放开。
H3C综合日志审计平台技术白皮书1.系统简介近年来,国内外相继发生的“棱镜门”、域名系统遭攻击、国外情报机构的网络攻击工具曝光、勒索病毒爆发、大规模用户信息泄漏等问题,以及信息通信诈骗等问题不断给我们敲响警钟。
日志是对网络信息系统在运行过程中产生的事件的记录。
通过日志,信息安全人员可以了解系统的运行状况。
通过对安全相关的日志的分析,信息安全人员可以检验信息系统安全机制的有效性。
日志审计需求主要源自于两个方面的驱动力。
一方面,从企业和组织自身安全的需要出发,日志审计能够帮助用户获悉信息系统的安全运行状态,识别针对信息系统的攻击和入侵,另一方面,识别来自内部的违规和信息泄露,能够为事后的问题分析和调查取证提供必要的信息。
综合日志审计平台的需求H3C 综合日志审计平台能够通过主被动结合的手段,实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统等产生的海量日志信息,并将这些信息汇集到审计中心,进行集中化存储、备份、查询、审计、告警、响应,并出具丰富的报表报告,获悉全网的整体安全运行态势,实现全生命周期的日志管理。
H3C 综合日志审计平台功能2.系统架构H3C 综合日志审计平台通过收集来自企业和组织信息系统资源中各种设备和应用的安全日志,可结合云端的威胁情报,对海量安全日志进行统计分析和关联分析,协助用户准确、快速地识别安全事故,从而及时做出响应。
该架构可划分为四个层次,数据采集层、数据处理层、数据分析层和业务表示层。
(1)数据采集层主要利用SYSLOG、ODBC、TCP/UDP、FTP等多种协议方式,采集包括网络设备、安全设备、主机、中间件、数据库在内的多种审计数据源的日志。
(2)数据处理层由于不同数据源对网络安全事件的定义通常具有不同的格式,还需要通过范式处理将数据归一化为统一格式,然后进行去除冗余及噪声数据。
同时实现对海量安全日志的快速检索。
(3)数据分析层通过统计分析引擎和关联分析引擎,通过融合、归并和关联底层多个安全设备提供的安全日志,并对网络中安全事件进行预警。
LogBase日志管理综合审计系统使用手册杭州思福迪信息技术有限公司SAFETYBASEINFOTECHCO.LTD2011.07版权声明版权所有2005-2011,杭州思福迪信息技术有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属杭州思福迪信息技术有限公司所有,受到有关产权及版权法保护。
任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息SafetybaseLogAuditSystem、Logbase等是杭州思福迪信息技术有限公司的商标。
目录前言欢迎使用杭州思福迪信息有限公司竭诚为您提供的新一代网络安全产品——思福迪日志管理综合审计系统随着互联网的飞速发展,客户对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。
网络安全是动态的,对已经建立的系统,如果没有实时的、集中的、可视化审计,就不能有效/及时的评估系统究竟是不是安全的,并及时发现安全隐患,所以网络安全需要集中的审计系统。
如果不能将在同一网络中多个相同或者不同厂商的产品实现技术上互操作,实现集中的审计,就无法发挥有效的安全性,就无法有效管理。
安全审计系统就可以满足这些要求,对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效。
该产品是一款分布式,跨平台的网络日志管理审计系统,通过对网络设备、服务器、数据库、应用服务等通用计算机软硬件系统以及各种特定业务系统在运行过程中产生的日志、状态、操作等信息的采集,在实时分析的基础上,监测并发现各种异常事件,准确发出实时告警。
审计系统同时提供对存储的历史日志数据进行数据挖掘和关联分析,通过可视化的界面和报表向管理人员提供准确、详尽的统计分析数据和异常分析报告,协助管理人员及时发现安全漏洞,采取有效措施,提高整个计算机应用系统的安全等级。
信息安全设备技术参数
为进一步加强信息安全管理,提高我院信息安全保障能力,结合信息系统进行信息安全等级保护测评要求,需要采购一批信息安全设备项目,该项目包含:综合日志审计平台、主机安全及管理系统、态势感知平台、数据库审计与风险控制系统、网闸、IT智能监控软件、防火墙和准入系统。
一、采购内容:
二、配置要求:
三、其他
1.交付时间:
1.1、交付工期:合同签定后2个月内安装调试完成。
1.2、交付地点:医院指定地点。
1.3、实施进度:按照医院进度要求完成安装和调试,如在规定的时间内由于卖方的原因不能完成实施,投标方应承担由此给用户造成的损失。
1.4、实施标准:符合我国国家有关技术规范要求和技术标准。
1.5、实施过程中发生的费用由投标方负责。
2.售后服务:
2.1、投标方应在投标文件中说明在保修期内提供的服务计划,维护范围包括(包括但不限于)软、硬件安装,调试、维修,接口、集成等内容。
2.2、在系统的服务期内,投标方应确保系统的正常使用。
在接到用户服务要求后应立即做出回应,并在承诺的服务时间内实施服务。
2.3、投标人有良好的售后服务能力,需提供全年7天24小时服务(电话、远程或现场),并在接到招标人通知后15分钟内电话响应并2小时内到达客户现场。
项目验收合格后,每年不低于4次的例行维护及巡检。
3.培训要求:
3、1、中标人负责所供设备、软件的安装、调试及上线,招标单位予以配合。
设备、软件的安装、调试所需的工具、仪表及安装材料等应由投标人自行解决。
4、2、培训:根据医院的情况制定相关培训方案,所有的培训费用必须计入投标总价。
H3C SecCenter CSAP-SA-AK系列综合日志审计系统用户FAQCopyright © 2019 新华三技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目录1硬件类FAQ (1)1.1 硬件简介 (1)2售前FAQ (2)2.1 什么是综合日志审计? (2)2.2 为什么各类IT设备自身都有审计日志,还需要我们的什么产品? (2)2.3 综合日志审计平台能做什么? (2)3售后FAQ (2)3.1 日志采集范围: (2)3.2 端口可达的情况下,SSH远程连接失败? (3)3.3 Web页面无法访问 (3)3.4 Windows Agent安装失败 (3)3.5 Windows Agent配置无法保存 (4)3.6 Windows日志源无日志 (4)3.7 Syslog日志源无日志 (4)3.8 日志查询显示other和未知事件 (4)3.9 日志查询收集的日志之前可以解析,突然出现不能解析的情况 (5)3.10 网卡模块 (5)3.11 Windows XP和Winserver 2003系统安装完Agent后,系统日志采集列表处显示空白或显示不全 (5)3.12 设备关机重启 (6)3.13 设备WMI采集不到日志 (6)3.14 设备导入授权后资产数和剩余资产数显示不变 (6)3.15 设置了自动转存路径,但是在转存路径下无文件 (6)3.16 告警通知、日志导出、内部审计日志导出、ping工具、日志监测功能不生效 (7)3.17 设备插上或拔出插卡未初始化,导致网络>网络设置,修改设备地址功能不生效 (7)3.18 配置完过滤规则后,过滤功能不生效 (7)3.19 点击日志还原,日志还原功能不生效 (7)3.20 设备已导入正式授权,再导入之前临时的授权文件,License会更新 (7)3.21 设备同时配置主备DNS,当主DNS生效时,备DNS不生效 (8)3.22 日志审计系统通过snmptrap接收日志,当前交换机、数据库审计等设备可以接收到日志,但日志不解析,ACG等设备无法接收到日志 (8)3.23 设置session会话超时时间,修改后,会自动退出到登录界面 (8)3.24 系统内存总量、磁盘总量显示不准确,无法读出磁盘使用量 (8)3.25 分析目录下部分图表的横坐标IP地址及应用名称显示不全 (9)3.26 Web页面无法恢复出厂设置 (9)3.27 通过监控平台IMC等设备监控到的cpu和内存与日志审计平台页面显示的cpu和内存值存在偏差 (9)3.28 设备面板口接口坏掉一个或多个,初始化后会导致接口顺序混乱 (9)3.29 设备面板口接口坏掉一个或多个,初始化后会导致接口顺序混乱 (9)本文档介绍H3C SecCenter CSAP-SA综合日志审计平台的用户常见问题及解答。
明御®综合日志审计平台
产品概述
明御®综合日志审计平台(简称DAS-Logger)作为信息系统的综合性管理平台,通过对客户网络设备、安全设备、主机和应用系统日志进行全面的标准化处理,及时发现各种安全威胁、异常行为事件,为管理人员提供全局的视角,确保客户业务的不间断运营安全;明御®综合日志审计平台通过基于国际标准化的关联分析引擎,为客户提供全维度、跨设备、细粒度的关联分析,透过事件的表象真实地还原事件背后的信息,为客户提供真正可信赖的事件追责依据和业务运行的深度安全。
同时提供集中化的统一管理平台,将所有的日志信息收集到平台中,实现信息资产的统一管理、监控资产的运行状况,协助用户全面审计信息系统整体安全状况。
明御®综合日志审计平台旨在实现网络资产安全状况的统一管理,使企业的利益受损风险降低,广泛适用于政府、金融、运营商、公安、电力能源、税务、工商、社保、交通、卫生、教育、电子商务及各企事业单位等。
产品组成
明御综合日志审计平台由采集器、通信服务器、关联引擎及平台管理器组成,
1
杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
主要功能
∙采集器:全面支持Syslog、SNMP日志协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。
实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合,同时可将收集的日志通过转发功能转发到其它网管平台等。
∙通信服务器:实现采集器与平台间的通信,将格式统一后的日志直接写入数据库并且同时提交给关联分析模块进行分析处理。
通信服务器可以接收多个采集器的日志;在平台尚未支持统一日志格式时,能够根据要求,将定义的统一日志转换为所需要的日志格式。
∙关联引擎:实现全维度、跨设备、细粒度关联分析,内置众多的关联规则,支持网络安全攻防检测、合规性检测,客户可轻松实现各资产间的关联分析。
∙平台管理器:实现所监控的信息资产的实时监控、信息资产与客户管理、解析规则与关联规则的定义与分发、日志信息的统计与报表、海量日志的存储与快速检索以及平台的管理。
通过各种事件的归一化处理,实现高性能的海量事件存储和检索优化功能,提供高速的事件检索能力、事后的合规性统计分析处理,可对数据进行二次挖掘分析。
∙集中配置管理:系统支持分布式部署,可以在中心平台进行各种管理规则,各种配置策略自动分发,支持远程自动升级等,极大的降低了分布式部署的难度,提高了可管理性。
∙灵活的可扩展性:提供多种定制接口,实现强大的二次开发能力,及与第三方平台对接和扩展的能力。
∙其他功能:支持各种网络部署需要,包括日志聚合、日志过滤、事件过滤、日志转发、特殊日志格式支持(如单报文多事件)等。
2
杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
产品优势
∙全面的智能收集功能:不断的连接检查和完整性检查以及可自定义的缓存功能,可确保平台接收到所有数据,并对传输链的各个环节进行监控;可配置过滤和聚合功能可以消除无关数据,并且合并重复的设备日志,强大的数据压缩功能可节省昂贵的带宽。
∙标准化日志:各种安全事件日志(攻击、入侵、异常)、各种行为事件日志(内控、违规)、各种弱点扫描日志(弱点、漏洞)、各种状态监控日志(可用性、性能、状态)、安全视角的事件描述:事件目标对象归类、事件行为归类、事件特征归类、事件结果归类、攻击分类、检测设备归类。
∙创新的日志解析能力:解析规则激活,仅当接收到对应的日志后,规则才会被激活,同时支持未识别日志水印处理,采用多级解析功能和动态规划算法,实现灵活的未解析日志事件处理,同时支持多种解析方法(如正则表达式、分隔符、MIB信息映射配置等);日志解析性能与接入的日志设备数量无关。
∙先进的关联算法:标准化之上的关联规则,适应性强;实时的内存关联功能可确保获得高性能的处理能力,可定制性强,几乎可根据通用事件的任何字段进行关联;直观的规则语法,可以让用户根据自己情况进行灵活定制,内置重要的关联规则库,可以即装即用。
∙可维护性及可扩展性:系统具有对自身的维护配置功能,如:系统参数设置、系统日志管理等。
硬件系统采用模块结构,保证系统内存、CPU及储存容量的扩展;硬件配置的升级不会引起软件的修改和开发;
每个组件都可以横向扩展,通过增加设备满足业务需求。
产品部署
明御综合日志审计平台可以方便部署到现有网络环境中,只需网络能够到达平台即可实现信息资产日志的收集与处理。
简单部署
3
杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
多级部署
产品规格:
4
杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
部分客户案例:
广州亚运会(安保)全市50个区县委办局监控审计平台
中国电信北京研究院(某省级电信IDC中心机房安全监控平台)
浙江省经信委(全省重要电子政务、电子商务网站和系统监测审计平台)
浙江省烟草专卖局(全省各地市专卖局订烟系统安全监测平台)
浙江电信(省中心全业务系统审计平台)
……
典型案例分析:
5
杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********
为强力保障2010亚运期间广州市电子政务网络信息安全和重要信息系统的稳定运行,在广州市电子政务网络试点监控平台的基础上,进一步完善信息安全监控平台性能,扩大监控范围,为广州市电子政务外网互联网出口、12个区(县级市)政务外网汇聚节点和37个重点委办局主要网络设备、安全设备和重要信息系统提供监控、预警、通报、响应和追踪服务,同时对50个涉亚重点网站进行两轮安全渗透测试和漏洞检查服务,依托安恒信息专业技能和丰富运维经验的团队和人才资源,全面监测广州电子政务外网系统的安全状况,深入分析、掌握全市电子政务关键信息基础设施所面临的风险,确保广州政府部门关键信息服务在面临各种威胁与攻击时仍然维持良好的运转,为亚运期间政务信息系统安全保驾护航。
项目实施效果及意义
部署数量:50个区县委办局;
处理能力:每天亿条的日志处理能力;
接入厂商:Cisco、H3C、Juniper、Radware、IBM、allot、Netpower、安恒、安氏、天融信、飞塔、华为,中兴,北电,方正,联想,联想网御,绿盟,启明星辰,三零盛安,金诺网安,蓝盾,网捷,网神,冰盾,趋势,上海天存等;
接入资产类型:路由器、网络防火墙、交换机、负载均衡、VPN、流量控制、IDS、IPS、WAF、数据库审计、服务器、防病毒软件、防毒墙、防篡改软件等。
6
杭州总部电话:+86-0571-********、28860099 传真:+86-0571-********。
