【正文】 對(duì)重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進(jìn)行重點(diǎn)審計(jì)。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計(jì)的需要。 以GB/T 222392008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中對(duì)三級(jí)信息系統(tǒng)的安全審計(jì)要求為例，LEADSECRS能夠?qū)疽笾幸?guī)定的網(wǎng)絡(luò)及安全設(shè)備、主機(jī)、數(shù)據(jù)庫和應(yīng)用的日志進(jìn)行統(tǒng)一的采集和存儲(chǔ)，協(xié)助客戶對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行統(tǒng)計(jì)、查詢、分析，并生成審計(jì)報(bào)表。更具體地說，就是要持續(xù)監(jiān)測(cè)并識(shí)別針對(duì)網(wǎng)絡(luò)、主機(jī)、應(yīng)用、重要信息和人員資產(chǎn)性能故障、非法訪問控制、非法或不當(dāng)操作、惡意代碼、攻擊入侵、違規(guī)與信息泄露行為。 用戶管理系統(tǒng)提供三權(quán)分立設(shè)計(jì)，內(nèi)置系統(tǒng)管理員、用戶管理員和審計(jì)管理員。規(guī)則支持統(tǒng)計(jì)計(jì)數(shù)功能，可以對(duì)達(dá)到一定統(tǒng)計(jì)數(shù)量的日志進(jìn)行告警。 日志統(tǒng)計(jì)分析系統(tǒng)提供了統(tǒng)計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計(jì)策略，從日志的多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示。 日志代理如果審計(jì)中心無法通過遠(yuǎn)程方式主動(dòng)或者被動(dòng)地采集日志，那么系統(tǒng)提供了一個(gè)日志代理軟件包。通過歸并操作，可以把短時(shí)間內(nèi)滿足一定條件的多條日志合并成一條日志，減少日志的存儲(chǔ)量。用戶僅需安裝部署審計(jì)中心，無需另裝采集器，即可實(shí)現(xiàn)對(duì)日志的采集工作。用戶能夠通過儀表板從不同的方面對(duì)日志進(jìn)行審計(jì)，可以在一個(gè)屏幕中看到不同設(shè)備類型、不同安全區(qū)域的實(shí)時(shí)日志流曲線、統(tǒng)計(jì)圖，以及網(wǎng)絡(luò)整體運(yùn)行態(tài)勢(shì)、待處理告警信息等。系統(tǒng)采用多窗口操作模式，各個(gè)功能界面之間可以快速切換，無需重復(fù)加載；界面支持換膚，每個(gè)用戶都可以選擇自己喜歡的界面皮膚。用戶點(diǎn)擊拓?fù)涔?jié)點(diǎn)可以查詢?nèi)罩竞透婢畔⒃斍?。系統(tǒng)提供了實(shí)時(shí)審計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從日志的任意維度實(shí)時(shí)觀測(cè)安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來源定位。審計(jì)人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計(jì)工作效率。型號(hào)規(guī)格指標(biāo)LEADSECRS500– 2U標(biāo)準(zhǔn)機(jī)架式，專用硬件平臺(tái)和安全操作系統(tǒng)– 日志審計(jì)性能可達(dá)平均3000EPS（約合每天120GB 。系統(tǒng)具有系統(tǒng)自身運(yùn)行監(jiān)控與告警、系統(tǒng)日志記錄等功能。用戶可以自定義儀表板。日志統(tǒng)計(jì)分析系統(tǒng)提供了統(tǒng)計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計(jì)策略，從日志的多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示。日志過濾系統(tǒng)可以對(duì)采集到的日志進(jìn)行基于規(guī)則的過濾處理，去掉無意義的日志，消除日志噪聲。 系統(tǒng)結(jié)構(gòu)LEADSECRS采用組件式平臺(tái)架構(gòu)，實(shí)現(xiàn)了分層的邏輯架構(gòu)，包括：審計(jì)數(shù)據(jù)源層、日志采集層、業(yè)務(wù)層和應(yīng)用層。用戶的審計(jì)員通過瀏覽器即可登陸審計(jì)中心，進(jìn)行各種審計(jì)操作。2 產(chǎn)品綜述 產(chǎn)品簡(jiǎn)介（以下簡(jiǎn)稱LEADSECRS）是立足于公司十年信息安全積累的基礎(chǔ)之上，基于客戶需求的日志審計(jì)平臺(tái)及日志管理解決方案。 日志格式不統(tǒng)一每種設(shè)備類型的日志格式都不相同，各有各的表達(dá)，即時(shí)是表達(dá)同一件事情，也都有各自的表達(dá)方式。l 《銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引》 第第二十七條要求銀行業(yè)應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。一方面，從企業(yè)和組織自身安全的需要出發(fā)，日志審計(jì)能夠幫助用戶獲悉信息系統(tǒng)的安全運(yùn)行狀態(tài)，識(shí)別針對(duì)信息系統(tǒng)的攻擊和入侵，以及來自內(nèi)部的違規(guī)和信息泄露，能夠?yàn)槭潞蟮膯栴}分析和調(diào)查取證提供必要的信息。而通過對(duì)安全相關(guān)的日志的分析，IT管理者可以檢驗(yàn)信息系統(tǒng)安全機(jī)制的有效性，這就是安全日志審計(jì)，簡(jiǎn)稱日志審計(jì)。l 《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部82號(hào)令）第八條要求具備“記錄、跟蹤網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)測(cè)、記錄用戶各種信息、網(wǎng)絡(luò)安全事件等安全審計(jì)功能”。日志分散客戶網(wǎng)絡(luò)中信息系統(tǒng)相關(guān)的各種軟硬件設(shè)備、安全防護(hù)設(shè)施都會(huì)產(chǎn)生日志。 如何應(yīng)對(duì)挑戰(zhàn)客戶需要日志審計(jì)，更需要應(yīng)對(duì)所面臨的挑戰(zhàn)。日志采集器和日志代理實(shí)現(xiàn)對(duì)審計(jì)數(shù)據(jù)源（主機(jī)/服務(wù)器類、網(wǎng)絡(luò)類和安全類等）的日志信息統(tǒng)一收集，然后上傳給審計(jì)中心進(jìn)行集中化存儲(chǔ)、分析和審計(jì)。l 日志代理日志代理用于安裝并運(yùn)行在審計(jì)對(duì)象上，實(shí)現(xiàn)對(duì)審計(jì)對(duì)象的數(shù)據(jù)源采集和轉(zhuǎn)發(fā)。 產(chǎn)品功能規(guī)格功能項(xiàng)功能描述日志采集系統(tǒng)支持對(duì)包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備與系統(tǒng)、主機(jī)、中間件、數(shù)據(jù)庫、存儲(chǔ)、應(yīng)用和服務(wù)在內(nèi)的多種審計(jì)數(shù)據(jù)源的日志采集。日志代理統(tǒng)一接入審計(jì)中心或者日志采集器。日志存儲(chǔ)系統(tǒng)將收集來的日志統(tǒng)一安全存儲(chǔ)和備份。系統(tǒng)內(nèi)置報(bào)表編輯器，用戶可以自定義報(bào)表。后同。 級(jí)聯(lián)部署如下圖所示，系統(tǒng)支持多級(jí)級(jí)聯(lián)部署。 集中化的日志綜合審計(jì)LEADSECRS提供了強(qiáng)大的日志綜合審計(jì)功能，為不用層級(jí)的用戶提供了多視角、多層次的審計(jì)視圖。系統(tǒng)提供了規(guī)則關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)等分析方法，通過建立科學(xué)的分析模型，協(xié)助用戶對(duì)日志的分析深度與安全事件的識(shí)別準(zhǔn)確度得到進(jìn)一步的提升。系統(tǒng)還內(nèi)置了一套報(bào)表編輯器，用戶可以自行設(shè)計(jì)報(bào)表，包括報(bào)表的頁面版式、統(tǒng)計(jì)內(nèi)容、顯示風(fēng)格等。LEADSECRS安全管理平臺(tái)采用與LEADSECRS完全相同的技術(shù)框架，因此，安全管理平臺(tái)建設(shè)可以在現(xiàn)有日志審計(jì)系統(tǒng)基礎(chǔ)架構(gòu)上，通過熱插拔的方式實(shí)現(xiàn)安全管理的其他功能模塊，實(shí)現(xiàn)向安全管理平臺(tái)的無縫擴(kuò)展。系統(tǒng)提供基于拓?fù)涞馁Y產(chǎn)視圖，可以按圖形化拓?fù)淠Ｊ斤@示資產(chǎn)，并可編輯資產(chǎn)之間的網(wǎng)絡(luò)連接關(guān)系，通過資產(chǎn)視圖可直接查看該資產(chǎn)的日志及告警信息。與此同時(shí)，系統(tǒng)將原始日志都原封不動(dòng)保存了下來，以備調(diào)查取證之用。系統(tǒng)支持加密壓縮轉(zhuǎn)發(fā)，支持定時(shí)轉(zhuǎn)發(fā)，支持?jǐn)帱c(diǎn)續(xù)傳。 日志實(shí)時(shí)監(jiān)視系統(tǒng)提供了實(shí)時(shí)審計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從日志的任意維度實(shí)時(shí)觀測(cè)安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來源定位。 規(guī)則告警系統(tǒng)具備日志關(guān)聯(lián)分析功能。系統(tǒng)內(nèi)置報(bào)表生成調(diào)度器，可以定時(shí)自動(dòng)生成日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)，并支持以郵件等方式自動(dòng)投遞，支持以PDF、Excel、Word等格式導(dǎo)出，支持打印。6 產(chǎn)品價(jià)值 全生命周期日志管理借助LEADSECRS，客戶能夠?qū)崿F(xiàn)從日志產(chǎn)生、采集、綜合分析與審計(jì)、到日志存儲(chǔ)、備份整個(gè)日志生命周期管理。應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。法規(guī)要求相關(guān)條款與日志審計(jì)相關(guān)的主要內(nèi)容《企業(yè)內(nèi)部控制基本規(guī)范》 第四十一條 企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)信息系統(tǒng)的開發(fā)與維護(hù)、訪問與變更、數(shù)據(jù)輸入與輸出、文件存儲(chǔ)與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運(yùn)行。證券公司信息系統(tǒng)日志應(yīng)至少保存15年。實(shí)時(shí)合規(guī)管理的企業(yè)和組織往往都對(duì)其業(yè)務(wù)系統(tǒng)連續(xù)性有很高的要求，LEADSECRS在運(yùn)行的過程中采取了多種技術(shù)手段，確保對(duì)客戶現(xiàn)有業(yè)務(wù)系統(tǒng)及其網(wǎng)絡(luò)的影響程度降到最低，使得客戶在實(shí)現(xiàn)合規(guī)的同時(shí)，維持業(yè)務(wù)系統(tǒng)的現(xiàn)有服務(wù)水平。 第二十七條 銀行業(yè)應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。 契合合規(guī)與內(nèi)控的審計(jì)要求隨著客戶業(yè)