【正文】 審計數(shù)據(jù)源影響性分析– 以遠程日志采集為主，基本不必安裝在審計數(shù)據(jù)源上日志代理– 主要采取被動采集技術，不會對審計數(shù)據(jù)源發(fā)起主動連接，不影響審計數(shù)據(jù)源的現(xiàn)有安全機制網(wǎng)絡影響性分析– 系統(tǒng)部署無需修改網(wǎng)絡拓撲– 支持多端口日志采集和分布式日志采集器部署，可以就近分別采集多個網(wǎng)段的日志，減少日志流量的匯聚– 日志采集器在上傳日志的時候支持數(shù)據(jù)壓縮，降低網(wǎng)絡帶寬占用；支持定時上傳，可以避開網(wǎng)絡流量繁忙期 友好的用戶交互體驗，具備友好的用戶交互體驗。系統(tǒng)采用多窗口操作模式，各個功能界面之間可以快速切換，無需重復加載；界面支持換膚，每個用戶都可以選擇自己喜歡的界面皮膚。 完善的系統(tǒng)自身安全性保證LEADSECRS具備完善的自身安全性設計，保證系統(tǒng)自身的安全等級符合用戶的整體安全策略。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個方面，如下表所示：日志采集– 日志采集器與審計中心之間支持加密通訊– 日志采集器支持存儲轉發(fā)、斷點續(xù)傳日志存儲– 存儲原始日志– 日志加密混淆存儲，防止非法訪問和篡改– 單條日志不能修改、刪除– 支持日志定期備份系統(tǒng)訪問– 瀏覽器訪問支持HTTPS協(xié)議（私密性、完整性） – 采用基于角色的訪問控制機制 – 用戶身份三權分立，內(nèi)置系統(tǒng)管理員、審計管理員、用戶管理員– 支持雙因素認證 – 支持Radius、LDAP集成 無縫向安全管理平臺擴展日志審計系統(tǒng)主要功能是收集異構的安全日志，進行存儲、分析、告警和報告。作為長期發(fā)展規(guī)劃，實現(xiàn)安全管理平臺是最終目標。安全管理平臺不僅包括安全日志（事件）管理，還包括資產(chǎn)/業(yè)務管理、應用性能管理、安全風險管理、安全運維管理（工單流程、知識庫）和安全態(tài)勢感知等。LEADSECRS安全管理平臺采用與LEADSECRS完全相同的技術框架，因此，安全管理平臺建設可以在現(xiàn)有日志審計系統(tǒng)基礎架構上，通過熱插拔的方式實現(xiàn)安全管理的其他功能模塊，實現(xiàn)向安全管理平臺的無縫擴展。5 產(chǎn)品功能 綜合展示用戶登錄即可進入綜合展示首頁。通過首頁，能夠快速的導航到各個功能。用戶能夠通過儀表板從不同的方面對日志進行審計，可以在一個屏幕中看到不同設備類型、不同安全區(qū)域的實時日志流曲線、統(tǒng)計圖，以及網(wǎng)絡整體運行態(tài)勢、待處理告警信息等。用戶可以自定義儀表板，按需設計儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。用戶可以對展示界面進行換膚 。 資產(chǎn)管理系統(tǒng)提供資產(chǎn)管理功能，可以對網(wǎng)絡中的審計數(shù)據(jù)源資產(chǎn)進行管理。除基本資產(chǎn)信息外，系統(tǒng)提供靈活的資產(chǎn)分類功能，實現(xiàn)對資產(chǎn)的分類管理。系統(tǒng)提供基于拓撲的資產(chǎn)視圖，可以按圖形化拓撲模式顯示資產(chǎn)，并可編輯資產(chǎn)之間的網(wǎng)絡連接關系，通過資產(chǎn)視圖可直接查看該資產(chǎn)的日志及告警信息。系統(tǒng)能夠根據(jù)收到的日志的設備地址自動發(fā)現(xiàn)新的資產(chǎn)。 日志采集系統(tǒng)能夠采集各種不同廠商的安全設備、網(wǎng)絡設備、主機、操作系統(tǒng)、以及各種應用系統(tǒng)產(chǎn)生的日志，通過Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等協(xié)議進行采集。用戶僅需安裝部署審計中心，無需另裝采集器，即可實現(xiàn)對日志的采集工作。系統(tǒng)也支持通過日志采集器和日志代理的方式采集日志，完全取決于用戶的實際需要。 日志范式化與分類對于所有采集上來的日志，系統(tǒng)自動進行范式化處理，將各種廠商各種類型的日志格式轉換成系統(tǒng)一的格式。系統(tǒng)提供的范式化字段包括日志接收時間 、日志產(chǎn)生時間、日志持續(xù)時間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級、原始等級、原始類型、網(wǎng)絡協(xié)議、網(wǎng)絡應用協(xié)議、設備地址、設備名稱、設備類型等。在進行日志范式化的時候，系統(tǒng)對日志進行了信息補齊，加入了日志類型字段，對日志進行自動分類，為后續(xù)日志審計提供了便利條件。與此同時，系統(tǒng)將原始日志都原封不動保存了下來，以備調查取證之用。 日志過濾與歸并系統(tǒng)可以對采集到的日志進行基于策略的過濾和歸并，提升日志審計的效率。通過過濾操作，可以剔除掉無用的日志信息，降低日志噪音。通過歸并操作，可以把短時間內(nèi)滿足一定條件的多條日志合并成一條日志，減少日志的存儲量。日志過濾和合并策略可以用戶自定義，系統(tǒng)默認不進行過濾和合并。 日志轉發(fā)審計中心或者日志采集器都具備日志轉發(fā)功能，可以將收集到的日志轉發(fā)給指定的審計中心，或者第三方系統(tǒng)。通過日志轉發(fā)功能，可以實現(xiàn)日志采集器的分布式部署以及系統(tǒng)級聯(lián)部署。日志支持無條件轉發(fā)，也支持基于過濾規(guī)則的轉發(fā)。系統(tǒng)支持加密壓縮轉發(fā)，支持定時轉發(fā)，支持斷點續(xù)傳。 日志采集器管理系統(tǒng)能夠對所有外接的日志采集器進行統(tǒng)一管理。用戶可以對日志采集器進行登記、注銷，進行日志采集參數(shù)的配置，設定范式化、過濾、歸并、轉發(fā)的參數(shù)。 日志代理如果審計中心無法通過遠程方式主動或者被動地采集日志，那么系統(tǒng)提供了一個日志代理軟件包。用戶可以在被審計設備/系統(tǒng)上安裝日志代理，采集到日志后，發(fā)送給日志審計系統(tǒng)。 日志存儲系統(tǒng)將收集來的日志統(tǒng)一安全存儲和備份。系統(tǒng)支持TB級的海量數(shù)據(jù)加密存儲，滿足合規(guī)與內(nèi)控條款的相關需求。系統(tǒng)支持數(shù)據(jù)的自動或手動備份，備份數(shù)據(jù)可手工恢復，用作日志回查。 日志實時監(jiān)視系統(tǒng)提供了實時審計視圖，審計員可以根據(jù)內(nèi)置或者自定義的實時監(jiān)視策略，從日志的任意維度實時觀測安全事件的走向，并可以進行事件調查、鉆取，并進行事件行為分析和來源定位。審計員可以實時監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡設備、主機和應用的高危安全事件；可以實時監(jiān)視各個部門、各個安全域、各個業(yè)務系統(tǒng)的重點安全事件；可以實時監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對關鍵服務器的入侵攻擊事件；等等。對于實時監(jiān)視中的日志，用戶可以進行追蹤調查，進行源目標IP地址世界地圖定位，并可以以圖形化的方式展示日志之間的行為關系。 日志統(tǒng)計分析系統(tǒng)提供了統(tǒng)計視圖，審計員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計策略，從日志的多個維度實時進行安全事件統(tǒng)計分析，并以柱圖、餅圖、堆積圖等形式進行可視化的展示。審計員可以查看一段時間內(nèi)的主機流量排行、主機登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡設備故障排行、最多訪問用戶排行，等等。 日志查詢系統(tǒng)提供日志的查詢功能，便于從海量數(shù)據(jù)中獲取有用的日志信息。用戶可自定義查詢策略，基于日志時間、名稱、地址、端口、類型等各種條件進行組合查詢，并可導出查詢結果。系統(tǒng)還提供快速查詢和模糊查詢功能。 規(guī)則告警系統(tǒng)具備日志關聯(lián)分析功能。通過關聯(lián)分析規(guī)則，系統(tǒng)能夠對符合關聯(lián)規(guī)則條件的日志產(chǎn)生告警。系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達式的關聯(lián)規(guī)則，所有日志字段都可參與關聯(lián)。規(guī)則支持統(tǒng)計計數(shù)功能，可以對達到一定統(tǒng)計數(shù)量的日志進行告警。告警動作支持事件屬性重定義、彈出提示框、發(fā)送郵件、發(fā)送SNMP Trap、發(fā)送短信、執(zhí)行命令腳本、設備聯(lián)動、發(fā)送飛鴿傳書、發(fā)送MSN、發(fā)送Syslog等方式。對規(guī)則觸發(fā)的告警，系統(tǒng)提供快捷的處理流程，可記錄處理過程和處理結果。告警可查詢，可導