【正文】 務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)依賴程度的日益加深，以及層出不窮的安全威脅，各行各業(yè)對(duì)網(wǎng)絡(luò)安全的重視程度也日漸加強(qiáng)。系統(tǒng)能夠幫助客戶更好地遵從等級(jí)保護(hù)的審計(jì)要求。 系統(tǒng)管理l系統(tǒng)具有豐富的自身配置管理功能，包括自身安全配置、系統(tǒng)運(yùn)行參數(shù)配置、審計(jì)資源配置等。告警可查詢，可導(dǎo)入導(dǎo)出。用戶可自定義查詢策略，基于日志時(shí)間、名稱、地址、端口、類型等各種條件進(jìn)行組合查詢，并可導(dǎo)出查詢結(jié)果。系統(tǒng)支持TB級(jí)的海量數(shù)據(jù)加密存儲(chǔ)，滿足合規(guī)與內(nèi)控條款的相關(guān)需求。通過(guò)日志轉(zhuǎn)發(fā)功能，可以實(shí)現(xiàn)日志采集器的分布式部署以及系統(tǒng)級(jí)聯(lián)部署。系統(tǒng)提供的范式化字段包括日志接收時(shí)間 、日志產(chǎn)生時(shí)間、日志持續(xù)時(shí)間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級(jí)、原始等級(jí)、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等。 資產(chǎn)管理系統(tǒng)提供資產(chǎn)管理功能，可以對(duì)網(wǎng)絡(luò)中的審計(jì)數(shù)據(jù)源資產(chǎn)進(jìn)行管理。作為長(zhǎng)期發(fā)展規(guī)劃，實(shí)現(xiàn)安全管理平臺(tái)是最終目標(biāo)。 豐富靈活的報(bào)表報(bào)告出具報(bào)表報(bào)告是安全審計(jì)系統(tǒng)的重要用途，LEADSECRS內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。審計(jì)員可以查看一段時(shí)間內(nèi)的主機(jī)流量排行、主機(jī)登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問(wèn)用戶排行，等等。與此同時(shí)，LEADSECRS將原始日志都原封不同的保存了下來(lái)，以備調(diào)查取證之用。） – 5個(gè)千兆電口，1個(gè)百兆電口，支持多端口采集– 1個(gè)Console口– 有效存儲(chǔ)容量2TB 1000– 2U標(biāo)準(zhǔn)機(jī)架式，帶冗余電源，專用千兆硬件平臺(tái)和安全操作系統(tǒng)– 日志審計(jì)性能可達(dá)平均6000EPS（約合每天240GB） – 4個(gè)千兆電口，支持多端口采集；可擴(kuò)展4個(gè)千兆采集口（電口/光口） – 1個(gè)Console口– 標(biāo)配采用Raid5，有效存儲(chǔ)容量3TB3 典型部署 單級(jí)部署如下圖所示，顯示了系統(tǒng)的一個(gè)單級(jí)部署場(chǎng)景。 產(chǎn)品型號(hào)規(guī)格LEADSECRS從產(chǎn)品形態(tài)上分為軟件型和硬件型。報(bào)表管理系統(tǒng)內(nèi)置了豐富的報(bào)表報(bào)告模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。日志采集器統(tǒng)一接入審計(jì)中心，實(shí)現(xiàn)集中化日志審計(jì)。l 業(yè)務(wù)層利用關(guān)聯(lián)分析引擎對(duì)采集的日志進(jìn)行分析，觸發(fā)規(guī)則，生成告警記錄；通過(guò)高性能海量數(shù)據(jù)存儲(chǔ)代理將日志進(jìn)行快速存儲(chǔ)；通過(guò)分布式查詢引擎實(shí)現(xiàn)日志查詢；通過(guò)日志聚合引擎實(shí)現(xiàn)日志抽取。l 日志采集器 日志采集器可以安裝并獨(dú)立運(yùn)行在一臺(tái)服務(wù)器上，實(shí)現(xiàn)對(duì)異構(gòu)審計(jì)數(shù)據(jù)源的日志采集，功能同審計(jì)中心的日志采集模塊，用以輔助審計(jì)中心解決特定日志采集的問(wèn)題，并可以實(shí)現(xiàn)分布式日志采集能力。LEADSECRS具有廣泛的應(yīng)用范圍和客戶群，在政府、電信、金融、電力、軍工等行業(yè)均有成功的應(yīng)用。 日志量巨大很多設(shè)備，尤其是網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志量十分巨大，單個(gè)防火墻每秒就可能產(chǎn)生上千條的日志信息，而全網(wǎng)的設(shè)備每天產(chǎn)生的日志量就更加可觀，可能數(shù)以百GB計(jì)。 日志審計(jì)面臨的挑戰(zhàn)當(dāng)前客戶在進(jìn)行日志審計(jì)的過(guò)程中幾乎都面臨著相似的挑戰(zhàn)。另一方面，從國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和規(guī)范的角度出發(fā)，日志審計(jì)已經(jīng)成為了滿足合規(guī)與內(nèi)控需求的必備功能，例如：l GB/T 222392008《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》對(duì)于二級(jí)以上信息系統(tǒng)，在網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等基本要求中明確要求進(jìn)行安全審計(jì)。密級(jí)：公開產(chǎn)品白皮書網(wǎng)御安全管理系統(tǒng)日志審計(jì)系統(tǒng)目 錄1 日志審計(jì)的需求與挑戰(zhàn) 1 日志審計(jì)需求分析 1 日志審計(jì)面臨的挑戰(zhàn) 2 如何應(yīng)對(duì)挑戰(zhàn) 22 產(chǎn)品綜述 3 產(chǎn)品簡(jiǎn)介 3 系統(tǒng)組成 3 系統(tǒng)結(jié)構(gòu) 4 產(chǎn)品功能規(guī)格 5 支持審計(jì)數(shù)據(jù)源 7 產(chǎn)品型號(hào)規(guī)格 8 軟件型規(guī)格 8 硬件型規(guī)格 93 典型部署 11 單級(jí)部署 11 級(jí)聯(lián)部署 114 產(chǎn)品特點(diǎn) 12 高性能的日志管理技術(shù)架構(gòu) 12 詳盡的日志范式化與日志分類 13 集中化的日志綜合審計(jì) 14 可視化日志審計(jì) 15 豐富靈活的報(bào)表報(bào)告 16 對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小 16 友好的用戶交互體驗(yàn) 16 完善的系統(tǒng)自身安全性保證 17 無(wú)縫向安全管理平臺(tái)擴(kuò)展 175 產(chǎn)品功能 19 綜合展示 19 資產(chǎn)管理 19 日志采集 19 日志范式化與分類 19 日志過(guò)濾與歸并 20 日志轉(zhuǎn)發(fā) 20 日志采集器管理 20 日志代理 20 日志存儲(chǔ) 20 日志實(shí)時(shí)監(jiān)視 21 日志統(tǒng)計(jì)分析 21 日志查詢 21 規(guī)則告警 21 報(bào)表管理 22 參考知識(shí)管理 22 用戶管理 22 系統(tǒng)管理l 226 產(chǎn)品價(jià)值 23 全生命周期日志管理 23 日常安全運(yùn)維工作的有力工具 23 遵照等級(jí)保護(hù)的審計(jì)要求 23 契合合規(guī)與內(nèi)控的審計(jì)要求 2524 / 271 日志審計(jì)的需求與挑戰(zhàn) 日志審計(jì)需求分析日志，是對(duì)IT系統(tǒng)在運(yùn)行過(guò)程中產(chǎn)生的事件的記錄。而他們進(jìn)行日志管理的首要原因是監(jiān)測(cè)與跟蹤可疑的行為，例如非授權(quán)訪問(wèn)、內(nèi)部信息泄露，等等。對(duì)重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進(jìn)行重點(diǎn)審計(jì)”。這迫使審計(jì)人員去了解每種設(shè)備類型的格式。LEADSECRS融合多種信息安全技術(shù)和管理理念，充分實(shí)現(xiàn)組織、管理、技術(shù)三個(gè)體系的合理調(diào)配，幫助用戶進(jìn)行基于日志的綜合審計(jì)和日志全生命周期管理，從而最大化的保障網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全機(jī)制的有效性。審計(jì)中心也可以匯聚來(lái)自日志采集器和日志代理的日志信息。l 日志采集層該層利用SYSLOG、SNMP、ODBC、OPSEC、文件等多種協(xié)議方式，從審計(jì)對(duì)象獲取日志，并對(duì)原始日志信息進(jìn)行范式化、分類、過(guò)濾、歸并，統(tǒng)一推送到業(yè)務(wù)層進(jìn)行分析、存儲(chǔ)。日志采集器系統(tǒng)提供可另外部署的日志采集器，每個(gè)采集器都能對(duì)日志進(jìn)行采集、范式化、過(guò)濾和歸并，實(shí)現(xiàn)分布式日志采集。日志關(guān)聯(lián)分析系統(tǒng)具備日志關(guān)聯(lián)分析功能。告警信息可查詢，可導(dǎo)入導(dǎo)出。只要獲得審計(jì)數(shù)據(jù)源的日志樣本以及通訊協(xié)議方式，編寫一份XML格式日志解析文件，導(dǎo)入系統(tǒng)，即可獲得對(duì)該審計(jì)數(shù)據(jù)源的日志采集能力，無(wú)需編碼。后同。網(wǎng)御星云的安全技術(shù)人員還對(duì)每種日志進(jìn)行了手工分類和分析工作，加入了日志類型字段，豐富了日志所蘊(yùn)含的信息量，讓枯燥的日志信息變的更可理解。系統(tǒng)提供了統(tǒng)計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計(jì)策略，從日志的多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示。審計(jì)員也可以對(duì)一段時(shí)間內(nèi)的日志進(jìn)行行為分析，通過(guò)生成一幅行為分析圖形象化地展示海量日志之間的關(guān)聯(lián)關(guān)系，從宏觀的角度來(lái)協(xié)助定位安全問(wèn)題。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個(gè)方面，如下表所示：日志采集– 日志采集器與審計(jì)中