2022年網(wǎng)御安全管理系統(tǒng)-日志審計(jì)系統(tǒng)產(chǎn)品白皮書

1、密級(jí)：公開產(chǎn)品白皮書網(wǎng)御安全管理系統(tǒng)-日志審計(jì)系統(tǒng)目 錄 TOC o 1-3 h z u HYPERLINK l _Toc353901018 1日志審計(jì)的需求與挑戰(zhàn) PAGEREF _Toc353901018 h 1 HYPERLINK l _Toc353901019 1.1日志審計(jì)需求分析 PAGEREF _Toc353901019 h 1 HYPERLINK l _Toc353901020 1.2日志審計(jì)面臨的挑戰(zhàn) PAGEREF _Toc353901020 h 2 HYPERLINK l _Toc353901021 1.3如何應(yīng)對(duì)挑戰(zhàn) PAGEREF _Toc353901021 h 2

2、HYPERLINK l _Toc353901022 2產(chǎn)品綜述 PAGEREF _Toc353901022 h 3 HYPERLINK l _Toc353901023 2.1產(chǎn)品簡(jiǎn)介 PAGEREF _Toc353901023 h 3 HYPERLINK l _Toc353901024 2.2系統(tǒng)組成 PAGEREF _Toc353901024 h 3 HYPERLINK l _Toc353901025 2.3系統(tǒng)結(jié)構(gòu) PAGEREF _Toc353901025 h 4 HYPERLINK l _Toc353901026 2.4產(chǎn)品功能規(guī)格 PAGEREF _Toc353901026 h 5

3、HYPERLINK l _Toc353901027 2.5支持審計(jì)數(shù)據(jù)源 PAGEREF _Toc353901027 h 7 HYPERLINK l _Toc353901028 2.6產(chǎn)品型號(hào)規(guī)格 PAGEREF _Toc353901028 h 8 HYPERLINK l _Toc353901029 2.6.1軟件型規(guī)格 PAGEREF _Toc353901029 h 8 HYPERLINK l _Toc353901030 2.6.2硬件型規(guī)格 PAGEREF _Toc353901030 h 9 HYPERLINK l _Toc353901031 3典型部署 PAGEREF _Toc35390

4、1031 h 11 HYPERLINK l _Toc353901032 3.1單級(jí)部署 PAGEREF _Toc353901032 h 11 HYPERLINK l _Toc353901033 3.2級(jí)聯(lián)部署 PAGEREF _Toc353901033 h 11 HYPERLINK l _Toc353901034 4產(chǎn)品特點(diǎn) PAGEREF _Toc353901034 h 12 HYPERLINK l _Toc353901035 4.1高性能的日志管理技術(shù)架構(gòu) PAGEREF _Toc353901035 h 12 HYPERLINK l _Toc353901036 4.2詳盡的日志范式化與日志

5、分類 PAGEREF _Toc353901036 h 13 HYPERLINK l _Toc353901037 4.3集中化的日志綜合審計(jì) PAGEREF _Toc353901037 h 14 HYPERLINK l _Toc353901038 4.4可視化日志審計(jì) PAGEREF _Toc353901038 h 15 HYPERLINK l _Toc353901039 4.5豐富靈活的報(bào)表報(bào)告 PAGEREF _Toc353901039 h 16 HYPERLINK l _Toc353901040 4.6對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小 PAGEREF _Toc353901040 h 16 HYPE

6、RLINK l _Toc353901041 4.7友好的用戶交互體驗(yàn) PAGEREF _Toc353901041 h 16 HYPERLINK l _Toc353901042 4.8完善的系統(tǒng)自身安全性保證 PAGEREF _Toc353901042 h 17 HYPERLINK l _Toc353901043 4.9無(wú)縫向安全管理平臺(tái)擴(kuò)展 PAGEREF _Toc353901043 h 17 HYPERLINK l _Toc353901044 5產(chǎn)品功能 PAGEREF _Toc353901044 h 19 HYPERLINK l _Toc353901045 5.1綜合展示 PAGEREF

7、_Toc353901045 h 19 HYPERLINK l _Toc353901046 5.2資產(chǎn)管理 PAGEREF _Toc353901046 h 19 HYPERLINK l _Toc353901047 5.3日志采集 PAGEREF _Toc353901047 h 19 HYPERLINK l _Toc353901048 5.4日志范式化與分類 PAGEREF _Toc353901048 h 19 HYPERLINK l _Toc353901049 5.5日志過(guò)濾與歸并 PAGEREF _Toc353901049 h 20 HYPERLINK l _Toc353901050 5.6日

8、志轉(zhuǎn)發(fā) PAGEREF _Toc353901050 h 20 HYPERLINK l _Toc353901051 5.7日志采集器管理 PAGEREF _Toc353901051 h 20 HYPERLINK l _Toc353901052 5.8日志代理 PAGEREF _Toc353901052 h 20 HYPERLINK l _Toc353901053 5.9日志存儲(chǔ) PAGEREF _Toc353901053 h 20 HYPERLINK l _Toc353901054 5.10日志實(shí)時(shí)監(jiān)視 PAGEREF _Toc353901054 h 21 HYPERLINK l _Toc353

9、901055 5.11日志統(tǒng)計(jì)分析 PAGEREF _Toc353901055 h 21 HYPERLINK l _Toc353901056 5.12日志查詢 PAGEREF _Toc353901056 h 21 HYPERLINK l _Toc353901057 5.13規(guī)則告警 PAGEREF _Toc353901057 h 21 HYPERLINK l _Toc353901058 5.14報(bào)表管理 PAGEREF _Toc353901058 h 22 HYPERLINK l _Toc353901059 5.15參考知識(shí)管理 PAGEREF _Toc353901059 h 22 HYPER

10、LINK l _Toc353901060 5.16用戶管理 PAGEREF _Toc353901060 h 22 HYPERLINK l _Toc353901061 5.17系統(tǒng)管理 PAGEREF _Toc353901061 h 22 HYPERLINK l _Toc353901062 6產(chǎn)品價(jià)值 PAGEREF _Toc353901062 h 23 HYPERLINK l _Toc353901063 6.1全生命周期日志管理 PAGEREF _Toc353901063 h 23 HYPERLINK l _Toc353901064 6.2日常安全運(yùn)維工作的有力工具 PAGEREF _Toc3

11、53901064 h 23 HYPERLINK l _Toc353901065 6.3遵照等級(jí)保護(hù)的審計(jì)要求 PAGEREF _Toc353901065 h 23 HYPERLINK l _Toc353901066 6.4契合合規(guī)與內(nèi)控的審計(jì)要求 PAGEREF _Toc353901066 h 25日志審計(jì)的需求與挑戰(zhàn)日志審計(jì)需求分析日志，是對(duì)IT系統(tǒng)在運(yùn)行過(guò)程中產(chǎn)生的事件的記錄。通過(guò)日志，IT管理人員可以了解系統(tǒng)的運(yùn)行狀況。而通過(guò)對(duì)安全相關(guān)的日志的分析，IT管理者可以檢驗(yàn)信息系統(tǒng)安全機(jī)制的有效性，這就是安全日志審計(jì)，簡(jiǎn)稱日志審計(jì)。而日志的產(chǎn)生、收集、審計(jì)分析和存儲(chǔ)的全過(guò)程稱作日志管理。日志審

12、計(jì)需求主要源自于兩個(gè)方面的驅(qū)動(dòng)力。一方面，從企業(yè)和組織自身安全的需要出發(fā)，日志審計(jì)能夠幫助用戶獲悉信息系統(tǒng)的安全運(yùn)行狀態(tài)，識(shí)別針對(duì)信息系統(tǒng)的攻擊和入侵，以及來(lái)自內(nèi)部的違規(guī)和信息泄露，能夠?yàn)槭潞蟮膯?wèn)題分析和調(diào)查取證提供必要的信息。有研究指出，69%的攻擊行為實(shí)際上都有日志留存，而根據(jù)國(guó)際著名的安全研究與教育組織SANS發(fā)布的2011年度日志管理調(diào)查報(bào)告顯示，在受訪的747個(gè)大中小規(guī)模的組織中，超過(guò)89%的組織都進(jìn)行了日志管理。而他們進(jìn)行日志管理的首要原因是監(jiān)測(cè)與跟蹤可疑的行為，例如非授權(quán)訪問(wèn)、內(nèi)部信息泄露，等等。另一方面，從國(guó)家法律法規(guī)、行業(yè)標(biāo)準(zhǔn)和規(guī)范的角度出發(fā)，日志審計(jì)已經(jīng)成為了滿足合規(guī)與內(nèi)控

13、需求的必備功能，例如：GB/T 22239-2008信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求對(duì)于二級(jí)以上信息系統(tǒng)，在網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等基本要求中明確要求進(jìn)行安全審計(jì)。而日志審計(jì)是符合這些要求的基本手段。互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定（公安部82號(hào)令）第八條要求具備“記錄、跟蹤網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)測(cè)、記錄用戶各種信息、網(wǎng)絡(luò)安全事件等安全審計(jì)功能”。商業(yè)銀行內(nèi)部控制指引第一百二十六條指出“商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計(jì)的需要”。銀行業(yè)信息科技風(fēng)險(xiǎn)管理指引 第第二十七條要求銀行業(yè)應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的

14、日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。 保險(xiǎn)公司信息系統(tǒng)安全管理指引（試行）第四十四條要求“對(duì)主機(jī)系統(tǒng)進(jìn)行審計(jì)，妥善管理并及時(shí)分析處理審計(jì)記錄。對(duì)重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進(jìn)行重點(diǎn)審計(jì)”。 日志審計(jì)面臨的挑戰(zhàn)當(dāng)前客戶在進(jìn)行日志審計(jì)的過(guò)程中幾乎都面臨著相似的挑戰(zhàn)。這其中最主要的三個(gè)挑戰(zhàn)是：日志分散、日志格式不統(tǒng)一、日志量巨大。日志分散客戶網(wǎng)絡(luò)中信息系統(tǒng)相關(guān)的各種軟硬件設(shè)備、安全防護(hù)設(shè)施都會(huì)產(chǎn)生日志。并且這些設(shè)備都分散在網(wǎng)絡(luò)的不同位置。他們各自產(chǎn)生日志，并有各自的控制臺(tái)進(jìn)行日志查看，這對(duì)審計(jì)人員而言簡(jiǎn)直就是噩夢(mèng)，根本沒(méi)有精力去查看這么多控制臺(tái)，更不要說(shuō)分析其中的日志信

15、息了。 日志格式不統(tǒng)一每種設(shè)備類型的日志格式都不相同，各有各的表達(dá)，即時(shí)是表達(dá)同一件事情，也都有各自的表達(dá)方式。例如同樣的登錄失敗信息，防火墻中的描述和主機(jī)操作系統(tǒng)中的描述格式就可能根本不相同。這迫使審計(jì)人員去了解每種設(shè)備類型的格式。 日志量巨大很多設(shè)備，尤其是網(wǎng)絡(luò)安全設(shè)備產(chǎn)生的日志量十分巨大，單個(gè)防火墻每秒就可能產(chǎn)生上千條的日志信息，而全網(wǎng)的設(shè)備每天產(chǎn)生的日志量就更加可觀，可能數(shù)以百GB計(jì)。審計(jì)員去查看這么多的日志根本不可能，即便是將它們存起來(lái)都是個(gè)問(wèn)題。如何應(yīng)對(duì)挑戰(zhàn)客戶需要日志審計(jì)，更需要應(yīng)對(duì)所面臨的挑戰(zhàn)?？蛻粜枰獜慕M織策略、處理流程和技術(shù)體系等多方面進(jìn)行統(tǒng)籌考量，客戶應(yīng)該借助一個(gè)日志審計(jì)

16、平臺(tái)來(lái)為其審計(jì)工作提供技術(shù)支撐。這個(gè)日志審計(jì)平臺(tái)應(yīng)該能夠?qū)崿F(xiàn)對(duì)客戶分散的海量日志進(jìn)行收集，對(duì)這些日志格式進(jìn)行規(guī)范化統(tǒng)一描述，實(shí)現(xiàn)對(duì)日志的集中化存儲(chǔ)、分析、審計(jì)和展示，并符合相關(guān)法規(guī)標(biāo)準(zhǔn)的符合性要求。產(chǎn)品綜述產(chǎn)品簡(jiǎn)介網(wǎng)御星云推出的網(wǎng)御安全管理系統(tǒng)V3.0-日志審計(jì)系統(tǒng)（以下簡(jiǎn)稱LEADSEC-RS）是立足于公司十年信息安全積累的基礎(chǔ)之上，基于客戶需求的日志審計(jì)平臺(tái)及日志管理解決方案。日志審計(jì)系統(tǒng)能夠通過(guò)主被動(dòng)結(jié)合的手段，實(shí)時(shí)不間斷地采集用戶網(wǎng)絡(luò)中各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的海量日志信息，并將這些信息匯集到審計(jì)中心，進(jìn)行集中化存儲(chǔ)、備份、查詢、審計(jì)、告警

17、、響應(yīng)，并出具豐富的報(bào)表報(bào)告，獲悉全網(wǎng)的整體安全運(yùn)行態(tài)勢(shì)，實(shí)現(xiàn)全生命周期的日志管理。LEADSEC-RS融合多種信息安全技術(shù)和管理理念，充分實(shí)現(xiàn)組織、管理、技術(shù)三個(gè)體系的合理調(diào)配，幫助用戶進(jìn)行基于日志的綜合審計(jì)和日志全生命周期管理，從而最大化的保障網(wǎng)絡(luò)、主機(jī)和應(yīng)用系統(tǒng)安全機(jī)制的有效性。LEADSEC-RS具有廣泛的應(yīng)用范圍和客戶群，在政府、電信、金融、電力、軍工等行業(yè)均有成功的應(yīng)用。系統(tǒng)組成LEADSEC-RS包括審計(jì)中心、日志采集器和日志代理三個(gè)部件。日志采集器和日志代理實(shí)現(xiàn)對(duì)審計(jì)數(shù)據(jù)源（主機(jī)/服務(wù)器類、網(wǎng)絡(luò)類和安全類等）的日志信息統(tǒng)一收集，然后上傳給審計(jì)中心進(jìn)行集中化存儲(chǔ)、分析和審計(jì)。同時(shí)

18、，審計(jì)中心自身也可以直接收集審計(jì)數(shù)據(jù)源的日志信息。審計(jì)中心 審計(jì)中心，即LEADSEC-RS的管理中心，是LEADSEC-RS的核心部件，實(shí)現(xiàn)了對(duì)日志的集中化存儲(chǔ)、備份、查詢、審計(jì)、告警、響應(yīng)，以及出具報(bào)表報(bào)告。用戶的審計(jì)員通過(guò)瀏覽器即可登陸審計(jì)中心，進(jìn)行各種審計(jì)操作。審計(jì)中心內(nèi)置日志采集功能，可以直接收集審計(jì)數(shù)據(jù)源的日志信息。審計(jì)中心也可以匯聚來(lái)自日志采集器和日志代理的日志信息。日志采集器 日志采集器可以安裝并獨(dú)立運(yùn)行在一臺(tái)服務(wù)器上，實(shí)現(xiàn)對(duì)異構(gòu)審計(jì)數(shù)據(jù)源的日志采集，功能同審計(jì)中心的日志采集模塊，用以輔助審計(jì)中心解決特定日志采集的問(wèn)題，并可以實(shí)現(xiàn)分布式日志采集能力。日志采集器收集的日志可以轉(zhuǎn)發(fā)

19、給審計(jì)中心。日志代理日志代理用于安裝并運(yùn)行在審計(jì)對(duì)象上，實(shí)現(xiàn)對(duì)審計(jì)對(duì)象的數(shù)據(jù)源采集和轉(zhuǎn)發(fā)。目前，日志代理支持Windows操作系統(tǒng)，主要用于采集Windows 操作系統(tǒng)及其服務(wù)與應(yīng)用的日志。日志代理收集的日志可以轉(zhuǎn)發(fā)給日志采集器，或者直接轉(zhuǎn)發(fā)給審計(jì)中心。系統(tǒng)結(jié)構(gòu)LEADSEC-RS采用組件式平臺(tái)架構(gòu)，實(shí)現(xiàn)了分層的邏輯架構(gòu)，包括：審計(jì)數(shù)據(jù)源層、日志采集層、業(yè)務(wù)層和應(yīng)用層。如下圖所示：審計(jì)數(shù)據(jù)源層審計(jì)對(duì)象層是指審計(jì)數(shù)據(jù)源對(duì)象，包括各類型的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、主機(jī)等能產(chǎn)生相關(guān)日志的設(shè)備和信息系統(tǒng)。日志采集層該層利用SYSLOG、SNMP、ODBC、OPSEC、文件等多種協(xié)議方式，從

20、審計(jì)對(duì)象獲取日志，并對(duì)原始日志信息進(jìn)行范式化、分類、過(guò)濾、歸并，統(tǒng)一推送到業(yè)務(wù)層進(jìn)行分析、存儲(chǔ)。業(yè)務(wù)層利用關(guān)聯(lián)分析引擎對(duì)采集的日志進(jìn)行分析，觸發(fā)規(guī)則，生成告警記錄；通過(guò)高性能海量數(shù)據(jù)存儲(chǔ)代理將日志進(jìn)行快速存儲(chǔ)；通過(guò)分布式查詢引擎實(shí)現(xiàn)日志查詢；通過(guò)日志聚合引擎實(shí)現(xiàn)日志抽取。應(yīng)用層面向系統(tǒng)的使用者，提供一個(gè)圖形化的顯示界面，展現(xiàn)安全審計(jì)系統(tǒng)的各功能模塊，提供綜合展示、資產(chǎn)管理、日志審計(jì)、規(guī)則管理、告警管理、報(bào)表管理、權(quán)限管理、系統(tǒng)管理、知識(shí)維護(hù)等功能。產(chǎn)品功能規(guī)格功能項(xiàng)功能描述日志采集系統(tǒng)支持對(duì)包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備與系統(tǒng)、主機(jī)、中間件、數(shù)據(jù)庫(kù)、存儲(chǔ)、應(yīng)用和服務(wù)在內(nèi)的多種審計(jì)數(shù)據(jù)源的日志采集。系統(tǒng)

21、支持以Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI/Win RPC、Shell腳本、VIP、Web Service等協(xié)議進(jìn)行日志采集。日志范式化系統(tǒng)自動(dòng)對(duì)所有采集到的日志進(jìn)行范式化處理，對(duì)不同日志格式進(jìn)行統(tǒng)一描述，并進(jìn)行日志分類，增加日志類型。日志過(guò)濾系統(tǒng)可以對(duì)采集到的日志進(jìn)行基于規(guī)則的過(guò)濾處理，去掉無(wú)意義的日志，消除日志噪聲。日志歸并系統(tǒng)可以對(duì)采集到的日志進(jìn)行基于規(guī)則的歸并處理，將相同的日志內(nèi)容進(jìn)行合并，并記錄事件條數(shù)，提升日志質(zhì)量。日志采集器系統(tǒng)提供可另外部署的日志采集器，每個(gè)采集器都能對(duì)日志進(jìn)行采集、范式化、過(guò)濾和歸并，實(shí)現(xiàn)分布式日志采集

22、。日志采集器統(tǒng)一接入審計(jì)中心，實(shí)現(xiàn)集中化日志審計(jì)。日志代理系統(tǒng)提供可另外部署的日志代理，安裝并運(yùn)行在審計(jì)對(duì)象上，實(shí)現(xiàn)對(duì)審計(jì)對(duì)象的日志采集和轉(zhuǎn)發(fā)。日志代理統(tǒng)一接入審計(jì)中心或者日志采集器。審計(jì)數(shù)據(jù)源管理系統(tǒng)能夠?qū)徲?jì)數(shù)據(jù)源以資產(chǎn)的形式進(jìn)行統(tǒng)一的維護(hù)，能夠以列表或者拓?fù)涞姆绞讲榭促Y產(chǎn)清單和詳細(xì)信息，可以查看每個(gè)審計(jì)數(shù)據(jù)源的日志和告警信息。日志實(shí)時(shí)監(jiān)視系統(tǒng)提供了實(shí)時(shí)審計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從日志的任意維度實(shí)時(shí)觀測(cè)安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來(lái)源定位。日志統(tǒng)計(jì)分析系統(tǒng)提供了統(tǒng)計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計(jì)策略，從日志的多個(gè)維度實(shí)

23、時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示。日志查詢用戶可自定義查詢策略，基于日志時(shí)間、名稱、地址、端口、類型等各種條件進(jìn)行組合查詢，并可導(dǎo)出查詢結(jié)果。日志關(guān)聯(lián)分析系統(tǒng)具備日志關(guān)聯(lián)分析功能。系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式的關(guān)聯(lián)規(guī)則，所有日志字段都可參與關(guān)聯(lián)。規(guī)則支持統(tǒng)計(jì)計(jì)數(shù)功能，可以對(duì)達(dá)到一定統(tǒng)計(jì)數(shù)量的日志進(jìn)行告警。日志存儲(chǔ)系統(tǒng)將收集來(lái)的日志統(tǒng)一安全存儲(chǔ)和備份。系統(tǒng)支持?jǐn)?shù)據(jù)的自動(dòng)或手動(dòng)備份，備份數(shù)據(jù)可手工恢復(fù)，用作日志回查。綜合展示系統(tǒng)的綜合展示功能為不用層級(jí)的用戶提供了多視角、多層次的審計(jì)儀表板。用戶可以自定義儀表板。告警管理系統(tǒng)支持事件屬

24、性重定義、彈出提示框、發(fā)送郵件、發(fā)送SNMP Trap、發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動(dòng)、發(fā)送飛鴿傳書、發(fā)送MSN、發(fā)送Syslog等告警方式。告警信息可查詢，可導(dǎo)入導(dǎo)出。報(bào)表管理系統(tǒng)內(nèi)置了豐富的報(bào)表報(bào)告模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。報(bào)表可以調(diào)度生成。系統(tǒng)內(nèi)置報(bào)表編輯器，用戶可以自定義報(bào)表。用戶管理系統(tǒng)采用基于角色的權(quán)限管理機(jī)制，提供三權(quán)分立設(shè)計(jì)，內(nèi)置系統(tǒng)管理員、用戶管理員和審計(jì)管理員。系統(tǒng)管理系統(tǒng)具有豐富的自身配置管理功能，包括自身安全配置、系統(tǒng)運(yùn)行參數(shù)配置、審計(jì)資源配置等。系統(tǒng)具有系統(tǒng)自身運(yùn)行監(jiān)控與告警、系統(tǒng)日志記錄等功能。支持審計(jì)數(shù)據(jù)源目

25、前，LEADSEC-RS支持的部分廠商設(shè)備類型如下表所示：設(shè)備類型廠商或產(chǎn)品交換機(jī)Cisco、Extreme、Juniper、博科、華為、H3C、神州數(shù)碼、銳捷 路由器Cisco、Extreme、Juniper、華為、H3C、神州數(shù)碼、銳捷 防火墻 /UTM/USG 網(wǎng)御星云、Cisco、Juniper Netscreen、飛塔、Checkpoint、Nokia、Bluecoat、天融信、東軟、方正科技、網(wǎng)御神州、億陽(yáng)信通、中科網(wǎng)威、中網(wǎng)、阿姆瑞特、衛(wèi)士通、H3C、迪普、山石 VPN 網(wǎng)御星云、天融信、Array、Juniper 網(wǎng)閘網(wǎng)御星云、國(guó)保金泰、鴻瑞、南瑞 IDS/IPS/IDP 網(wǎng)御

26、星云、Cisco、McAfee、IBM、Snort、Tipping Point、綠盟、東軟、H3C、天融信、安氏、三零盛安、網(wǎng)御神州、理工先河 防病毒Symantec、TrendMicro、McAfee、瑞星、金山、江民、冠群金辰 Anti-DDoS網(wǎng)御星云、綠盟 WAF 啟明星辰、Imperva、綠盟、中創(chuàng)InfoGuard 負(fù)載均衡設(shè)備F5、信安世紀(jì) 安全審計(jì)系統(tǒng) 啟明星辰、復(fù)旦光華、漢邦、格爾、中軟、三零盛安 操作系統(tǒng) IBM AIX 、HP-UX 、Microsoft Windows、SUN Solaris、Linux及其變種 數(shù)據(jù)庫(kù)Oracle、SQL Server、DB2、MySQ

27、L、Informix、Sybase、國(guó)產(chǎn)數(shù)據(jù)庫(kù) 中間件Weblogic、WebShpere、JBoss、Apache、Tomcat、Domino網(wǎng)管系統(tǒng)HP OpenView NNM、IBM NetCool、CiscoWorks存儲(chǔ)系統(tǒng)HP、IBM、EMC、VERITA業(yè)務(wù)系統(tǒng)各種用戶自有的業(yè)務(wù)系統(tǒng)（需要定制）其它 任意Syslog日志源、SNMP Trap日志源 對(duì)于目前暫不支持的審計(jì)數(shù)據(jù)源，LEADSEC-RS還提供了方便靈活的擴(kuò)展機(jī)制。只要獲得審計(jì)數(shù)據(jù)源的日志樣本以及通訊協(xié)議方式，編寫一份XML格式日志解析文件，導(dǎo)入系統(tǒng)，即可獲得對(duì)該審計(jì)數(shù)據(jù)源的日志采集能力，無(wú)需編碼。產(chǎn)品型號(hào)規(guī)格LEA

28、DSEC-RS從產(chǎn)品形態(tài)上分為軟件型和硬件型。軟件型規(guī)格LEADSEC-RS軟件型是一套軟件包，可以安裝在獨(dú)立的服務(wù)器上運(yùn)行，系統(tǒng)所需運(yùn)行環(huán)境如下：平臺(tái)支持的操作系統(tǒng)系統(tǒng)需求WindowsWindows Server 2003Windows XP ProfessionalWindows 7Windows 2008 Server最低Intel酷睿雙核CPU，推薦使用Intel 至強(qiáng)4核以上CPU至少2GB內(nèi)存，推薦4GB以上內(nèi)存500GB以上磁盤空間LinuxRedhat Enterprise Linux4Redhat Enterprise Linux5CentOS最低Intel酷睿雙核CPU，

29、推薦使用Intel 至強(qiáng)4核以上CPU至少2GB內(nèi)存，推薦4GB以上內(nèi)存500GB以上磁盤空間在雙Intel至強(qiáng)4核CPU，24GB內(nèi)存下，LEADSEC-RS的日志審計(jì)性能可達(dá)到平均9000EPS 平均EPS數(shù)值是指每日平均的EPS（Event Per Second）每秒事件數(shù)。后同。硬件型規(guī)格LEADSEC-RS硬件型有兩種型號(hào)，分別是LEADSEC-RS500和LEADSEC-RS1000。型號(hào)規(guī)格指標(biāo)LEADSEC-RS5002U標(biāo)準(zhǔn)機(jī)架式，專用硬件平臺(tái)和安全操作系統(tǒng)日志審計(jì)性能可達(dá)平均3000EPS（約合每天120GB 該數(shù)值假設(shè)每條日志占用的綜合存儲(chǔ)空間為0.5KB。綜合存儲(chǔ)空間是

30、指日志范式化后占用的存儲(chǔ)空間字節(jié)數(shù)，原始日志占用存儲(chǔ)空間字節(jié)數(shù)，為日志建立索引所需的存儲(chǔ)空間字節(jié)數(shù)，以及日志統(tǒng)計(jì)表存儲(chǔ)空間字節(jié)數(shù)的總和。后同。） 5個(gè)千兆電口，1個(gè)百兆電口，支持多端口采集1個(gè)Console口有效存儲(chǔ)容量2TB 10002U標(biāo)準(zhǔn)機(jī)架式，帶冗余電源，專用千兆硬件平臺(tái)和安全操作系統(tǒng)日志審計(jì)性能可達(dá)平均6000EPS（約合每天240GB） 4個(gè)千兆電口，支持多端口采集；可擴(kuò)展4個(gè)千兆采集口（電口/光口） 1個(gè)Console口標(biāo)配采用Raid5，有效存儲(chǔ)容量3TB典型部署單級(jí)部署如下圖所示，顯示了系統(tǒng)的一個(gè)單級(jí)部署場(chǎng)景。在這個(gè)單級(jí)部署場(chǎng)景中，審計(jì)中心可以直接采集審計(jì)數(shù)據(jù)源的日志，也可以

31、通過(guò)外掛的日志采集器采集審計(jì)數(shù)據(jù)源的日志。級(jí)聯(lián)部署如下圖所示，系統(tǒng)支持多級(jí)級(jí)聯(lián)部署。產(chǎn)品特點(diǎn)高性能的日志管理技術(shù)架構(gòu)對(duì)了應(yīng)對(duì)海量日志管理帶來(lái)的挑戰(zhàn)，LEADSEC-RS采用了國(guó)內(nèi)領(lǐng)先的高性能日志采集、分析與存儲(chǔ)架構(gòu)，從產(chǎn)品技術(shù)架構(gòu)的層面，進(jìn)行了系統(tǒng)性的設(shè)計(jì)，真正使得LEADSEC-RS產(chǎn)品成為一款能夠支撐持續(xù)海量日志管理的系統(tǒng)。LEADSEC-RS采取了多種高性能設(shè)計(jì)使得系統(tǒng)在日志采集、分析和存儲(chǔ)三個(gè)方面獲得了本質(zhì)的性能提升，如下表所示：關(guān)鍵點(diǎn)采用的先進(jìn)技術(shù)達(dá)到的技術(shù)效果用戶價(jià)值和作用日志采集異步通訊、高速緩存、日志范式化流水線技術(shù)能夠?qū)Ａ慨悩?gòu)日志進(jìn)行持續(xù)不斷地高速采集能夠采集網(wǎng)絡(luò)中大規(guī)模審

32、計(jì)對(duì)象的日志日志存儲(chǔ)高速日志存儲(chǔ)、分布式數(shù)據(jù)存儲(chǔ)技術(shù)TB級(jí)日志存儲(chǔ)存儲(chǔ)長(zhǎng)時(shí)間的日志信息，滿足合規(guī)的要求日志分析實(shí)時(shí)分析內(nèi)存實(shí)時(shí)計(jì)算、復(fù)雜事件處理（Complex Event Process，簡(jiǎn)稱CEP）技術(shù)實(shí)時(shí)地對(duì)日志進(jìn)行監(jiān)視和關(guān)聯(lián)分析及時(shí)發(fā)現(xiàn)安全異常，快速關(guān)聯(lián)出安全隱患查詢分析全文檢索、分布式查詢技術(shù)能夠快速的從TB級(jí)的日志信息中返回查詢結(jié)果快速?gòu)暮Ａ咳罩局羞M(jìn)行定點(diǎn)查詢統(tǒng)計(jì)分析數(shù)據(jù)抽取、數(shù)據(jù)摘要等技術(shù)能夠?qū)崿F(xiàn)對(duì)TB級(jí)日志的快速報(bào)表生成快速生成各類安全日?qǐng)?bào)、周報(bào)、月報(bào)等詳盡的日志范式化與日志分類LEADSEC-RS對(duì)收集的各種日志進(jìn)行范式化處理，將各種不同表達(dá)方式的日志轉(zhuǎn)換成統(tǒng)一的描述形式。審

33、計(jì)人員不必再去熟悉不同廠商不同的日志信息，從而大大提升審計(jì)工作效率。系統(tǒng)提供的范式化字段包括日志接收時(shí)間 、日志產(chǎn)生時(shí)間、日志持續(xù)時(shí)間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級(jí)、原始等級(jí)、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱、設(shè)備類型等，數(shù)量超過(guò)50個(gè)，使范式化后的日志詳盡而易讀，更能滿足復(fù)雜的多維度統(tǒng)計(jì)分析和審計(jì)要求。網(wǎng)御星云的安全技術(shù)人員還對(duì)每種日志進(jìn)行了手工分類和分析工作，加入了日志類型字段，豐富了日志所蘊(yùn)含的信息量，讓枯燥的日志信息變的更可理解。與此同時(shí)，LEADSEC-RS將原始日志都原封不同的保存

34、了下來(lái)，以備調(diào)查取證之用。審計(jì)員也可以直接對(duì)原始日志進(jìn)行模糊查詢。集中化的日志綜合審計(jì)LEADSEC-RS提供了強(qiáng)大的日志綜合審計(jì)功能，為不用層級(jí)的用戶提供了多視角、多層次的審計(jì)視圖。系統(tǒng)首先為用戶提供了全局監(jiān)視儀表板，可以在一個(gè)屏幕中看到不同設(shè)備類型、不同安全區(qū)域的實(shí)時(shí)日志流曲線、統(tǒng)計(jì)圖，以及網(wǎng)絡(luò)整體運(yùn)行態(tài)勢(shì)、待處理告警信息等。用戶可以自定義儀表板，按需設(shè)計(jì)儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。系統(tǒng)提供了實(shí)時(shí)審計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從日志的任意維度實(shí)時(shí)觀測(cè)安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來(lái)源定位。審計(jì)員可

35、以實(shí)時(shí)監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用的高危安全事件；可以實(shí)時(shí)監(jiān)視各個(gè)部門、各個(gè)安全域、各個(gè)業(yè)務(wù)系統(tǒng)的重點(diǎn)安全事件；可以實(shí)時(shí)監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對(duì)關(guān)鍵服務(wù)器的入侵攻擊事件；等等。系統(tǒng)提供了統(tǒng)計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的統(tǒng)計(jì)策略，從日志的多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示。審計(jì)員可以查看一段時(shí)間內(nèi)的主機(jī)流量排行、主機(jī)登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問(wèn)用戶排行，等等。系統(tǒng)提供了日志查詢功能，用戶可以制定查詢策略，針對(duì)歸一化后的日志或者原始日志進(jìn)行綜合條件查詢和模糊查詢。系統(tǒng)提供了規(guī)則關(guān)

36、聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)等分析方法，通過(guò)建立科學(xué)的分析模型，協(xié)助用戶對(duì)日志的分析深度與安全事件的識(shí)別準(zhǔn)確度得到進(jìn)一步的提升?？梢暬罩緦徲?jì)LEADSEC-RS為用戶提供了豐富的可視化審計(jì)視圖，充分提升審計(jì)效率。系統(tǒng)可以為用戶展示一幅審計(jì)數(shù)據(jù)源的拓?fù)鋱D，反映審計(jì)數(shù)據(jù)源的網(wǎng)絡(luò)拓?fù)潢P(guān)系，并且在拓?fù)涔?jié)點(diǎn)上標(biāo)注出每個(gè)審計(jì)數(shù)據(jù)源的日志量和告警事件量。用戶點(diǎn)擊拓?fù)涔?jié)點(diǎn)可以查詢?nèi)罩竞透婢畔⒃斍?。針?duì)安全日志，用戶可以對(duì)其源目的IP地址進(jìn)行追蹤，并在世界地圖上標(biāo)注出來(lái)。審計(jì)員也可以對(duì)一段時(shí)間內(nèi)的日志進(jìn)行行為分析，通過(guò)生成一幅行為分析圖形象化地展示海量日志之間的關(guān)聯(lián)關(guān)系，從宏觀的角度來(lái)協(xié)助定位安全問(wèn)題。豐富靈活的報(bào)表報(bào)告出

37、具報(bào)表報(bào)告是安全審計(jì)系統(tǒng)的重要用途，LEADSEC-RS內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。系統(tǒng)內(nèi)置報(bào)表生成調(diào)度器，可以定時(shí)自動(dòng)生成日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)，并支持以郵件等方式自動(dòng)投遞，支持以PDF、Excel、Word等格式導(dǎo)出，支持打印。系統(tǒng)還內(nèi)置了一套報(bào)表編輯器，用戶可以自行設(shè)計(jì)報(bào)表，包括報(bào)表的頁(yè)面版式、統(tǒng)計(jì)內(nèi)容、顯示風(fēng)格等。對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)影響最小LEADSEC-RS在實(shí)現(xiàn)對(duì)用戶網(wǎng)絡(luò)中的IT設(shè)施進(jìn)行集中日志審計(jì)的同時(shí)，采取多種技術(shù)手段，力求對(duì)用戶網(wǎng)絡(luò)和業(yè)務(wù)的影響最小化。審計(jì)數(shù)據(jù)源影響性分析以遠(yuǎn)程日志采集為主，基本不必安裝在

38、審計(jì)數(shù)據(jù)源上日志代理主要采取被動(dòng)采集技術(shù)，不會(huì)對(duì)審計(jì)數(shù)據(jù)源發(fā)起主動(dòng)連接，不影響審計(jì)數(shù)據(jù)源的現(xiàn)有安全機(jī)制網(wǎng)絡(luò)影響性分析系統(tǒng)部署無(wú)需修改網(wǎng)絡(luò)拓?fù)渲С侄喽丝谌罩静杉头植际饺罩静杉鞑渴穑梢跃徒謩e采集多個(gè)網(wǎng)段的日志，減少日志流量的匯聚日志采集器在上傳日志的時(shí)候支持?jǐn)?shù)據(jù)壓縮，降低網(wǎng)絡(luò)帶寬占用；支持定時(shí)上傳，可以避開網(wǎng)絡(luò)流量繁忙期友好的用戶交互體驗(yàn)LEADSEC-RS的用戶界面采用了WEB2.0風(fēng)格，具備友好的用戶交互體驗(yàn)。系統(tǒng)采用多窗口操作模式，各個(gè)功能界面之間可以快速切換，無(wú)需重復(fù)加載；界面支持換膚，每個(gè)用戶都可以選擇自己喜歡的界面皮膚。完善的系統(tǒng)自身安全性保證LEADSEC-RS具備完善的自身

39、安全性設(shè)計(jì)，保證系統(tǒng)自身的安全等級(jí)符合用戶的整體安全策略。系統(tǒng)的自身安全性保證主要體現(xiàn)在三個(gè)方面，如下表所示：日志采集日志采集器與審計(jì)中心之間支持加密通訊日志采集器支持存儲(chǔ)轉(zhuǎn)發(fā)、斷點(diǎn)續(xù)傳日志存儲(chǔ)存儲(chǔ)原始日志日志加密混淆存儲(chǔ)，防止非法訪問(wèn)和篡改單條日志不能修改、刪除支持日志定期備份系統(tǒng)訪問(wèn)瀏覽器訪問(wèn)支持HTTPS協(xié)議（私密性、完整性） 采用基于角色的訪問(wèn)控制機(jī)制 用戶身份三權(quán)分立，內(nèi)置系統(tǒng)管理員、審計(jì)管理員、用戶管理員支持雙因素認(rèn)證 支持Radius、LDAP集成無(wú)縫向安全管理平臺(tái)擴(kuò)展日志審計(jì)系統(tǒng)主要功能是收集異構(gòu)的安全日志，進(jìn)行存儲(chǔ)、分析、告警和報(bào)告。作為長(zhǎng)期發(fā)展規(guī)劃，實(shí)現(xiàn)安全管理平臺(tái)是最終目

40、標(biāo)。安全管理平臺(tái)不僅包括安全日志（事件）管理，還包括資產(chǎn)/業(yè)務(wù)管理、應(yīng)用性能管理、安全風(fēng)險(xiǎn)管理、安全運(yùn)維管理（工單流程、知識(shí)庫(kù)）和安全態(tài)勢(shì)感知等。LEADSEC-RS安全管理平臺(tái)采用與LEADSEC-RS完全相同的技術(shù)框架，因此，安全管理平臺(tái)建設(shè)可以在現(xiàn)有日志審計(jì)系統(tǒng)基礎(chǔ)架構(gòu)上，通過(guò)熱插拔的方式實(shí)現(xiàn)安全管理的其他功能模塊，實(shí)現(xiàn)向安全管理平臺(tái)的無(wú)縫擴(kuò)展。產(chǎn)品功能綜合展示用戶登錄即可進(jìn)入綜合展示首頁(yè)。通過(guò)首頁(yè)，能夠快速的導(dǎo)航到各個(gè)功能。用戶能夠通過(guò)儀表板從不同的方面對(duì)日志進(jìn)行審計(jì)，可以在一個(gè)屏幕中看到不同設(shè)備類型、不同安全區(qū)域的實(shí)時(shí)日志流曲線、統(tǒng)計(jì)圖，以及網(wǎng)絡(luò)整體運(yùn)行態(tài)勢(shì)、待處理告警信息等。用戶可

41、以自定義儀表板，按需設(shè)計(jì)儀表板顯示的內(nèi)容和布局，可以為不同角色的用戶建立不同維度的儀表板。用戶可以對(duì)展示界面進(jìn)行換膚 。資產(chǎn)管理系統(tǒng)提供資產(chǎn)管理功能，可以對(duì)網(wǎng)絡(luò)中的審計(jì)數(shù)據(jù)源資產(chǎn)進(jìn)行管理。除基本資產(chǎn)信息外，系統(tǒng)提供靈活的資產(chǎn)分類功能，實(shí)現(xiàn)對(duì)資產(chǎn)的分類管理。系統(tǒng)提供基于拓?fù)涞馁Y產(chǎn)視圖，可以按圖形化拓?fù)淠Ｊ斤@示資產(chǎn)，并可編輯資產(chǎn)之間的網(wǎng)絡(luò)連接關(guān)系，通過(guò)資產(chǎn)視圖可直接查看該資產(chǎn)的日志及告警信息。系統(tǒng)能夠根據(jù)收到的日志的設(shè)備地址自動(dòng)發(fā)現(xiàn)新的資產(chǎn)。日志采集系統(tǒng)能夠采集各種不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)、以及各種應(yīng)用系統(tǒng)產(chǎn)生的日志，通過(guò)Syslog、SNMP Trap、FTP、OPSEC L

42、EA、NETBIOS、ODBC、WMI、Shell腳本、VIP、Web Service等協(xié)議進(jìn)行采集。用戶僅需安裝部署審計(jì)中心，無(wú)需另裝采集器，即可實(shí)現(xiàn)對(duì)日志的采集工作。系統(tǒng)也支持通過(guò)日志采集器和日志代理的方式采集日志，完全取決于用戶的實(shí)際需要。日志范式化與分類對(duì)于所有采集上來(lái)的日志，系統(tǒng)自動(dòng)進(jìn)行范式化處理，將各種廠商各種類型的日志格式轉(zhuǎn)換成系統(tǒng)一的格式。系統(tǒng)提供的范式化字段包括日志接收時(shí)間 、日志產(chǎn)生時(shí)間、日志持續(xù)時(shí)間、用戶名稱、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名稱、摘要、等級(jí)、原始等級(jí)、原始類型、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)應(yīng)用協(xié)議、設(shè)備地址、設(shè)備名稱

43、、設(shè)備類型等。在進(jìn)行日志范式化的時(shí)候，系統(tǒng)對(duì)日志進(jìn)行了信息補(bǔ)齊，加入了日志類型字段，對(duì)日志進(jìn)行自動(dòng)分類，為后續(xù)日志審計(jì)提供了便利條件。與此同時(shí)，系統(tǒng)將原始日志都原封不動(dòng)保存了下來(lái)，以備調(diào)查取證之用。日志過(guò)濾與歸并系統(tǒng)可以對(duì)采集到的日志進(jìn)行基于策略的過(guò)濾和歸并，提升日志審計(jì)的效率。通過(guò)過(guò)濾操作，可以剔除掉無(wú)用的日志信息，降低日志噪音。通過(guò)歸并操作，可以把短時(shí)間內(nèi)滿足一定條件的多條日志合并成一條日志，減少日志的存儲(chǔ)量。日志過(guò)濾和合并策略可以用戶自定義，系統(tǒng)默認(rèn)不進(jìn)行過(guò)濾和合并。日志轉(zhuǎn)發(fā)審計(jì)中心或者日志采集器都具備日志轉(zhuǎn)發(fā)功能，可以將收集到的日志轉(zhuǎn)發(fā)給指定的審計(jì)中心，或者第三方系統(tǒng)。通過(guò)日志轉(zhuǎn)發(fā)功能

44、，可以實(shí)現(xiàn)日志采集器的分布式部署以及系統(tǒng)級(jí)聯(lián)部署。日志支持無(wú)條件轉(zhuǎn)發(fā)，也支持基于過(guò)濾規(guī)則的轉(zhuǎn)發(fā)。系統(tǒng)支持加密壓縮轉(zhuǎn)發(fā)，支持定時(shí)轉(zhuǎn)發(fā)，支持?jǐn)帱c(diǎn)續(xù)傳。日志采集器管理系統(tǒng)能夠?qū)λ型饨拥娜罩静杉鬟M(jìn)行統(tǒng)一管理。用戶可以對(duì)日志采集器進(jìn)行登記、注銷，進(jìn)行日志采集參數(shù)的配置，設(shè)定范式化、過(guò)濾、歸并、轉(zhuǎn)發(fā)的參數(shù)。日志代理如果審計(jì)中心無(wú)法通過(guò)遠(yuǎn)程方式主動(dòng)或者被動(dòng)地采集日志，那么系統(tǒng)提供了一個(gè)日志代理軟件包。用戶可以在被審計(jì)設(shè)備/系統(tǒng)上安裝日志代理，采集到日志后，發(fā)送給日志審計(jì)系統(tǒng)。日志存儲(chǔ)系統(tǒng)將收集來(lái)的日志統(tǒng)一安全存儲(chǔ)和備份。系統(tǒng)支持TB級(jí)的海量數(shù)據(jù)加密存儲(chǔ)，滿足合規(guī)與內(nèi)控條款的相關(guān)需求。系統(tǒng)支持?jǐn)?shù)據(jù)的自動(dòng)或

45、手動(dòng)備份，備份數(shù)據(jù)可手工恢復(fù)，用作日志回查。日志實(shí)時(shí)監(jiān)視系統(tǒng)提供了實(shí)時(shí)審計(jì)視圖，審計(jì)員可以根據(jù)內(nèi)置或者自定義的實(shí)時(shí)監(jiān)視策略，從日志的任意維度實(shí)時(shí)觀測(cè)安全事件的走向，并可以進(jìn)行事件調(diào)查、鉆取，并進(jìn)行事件行為分析和來(lái)源定位。審計(jì)員可以實(shí)時(shí)監(jiān)視防火墻、IDS、防病毒、網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用的高危安全事件；可以實(shí)時(shí)監(jiān)視各個(gè)部門、各個(gè)安全域、各個(gè)業(yè)務(wù)系統(tǒng)的重點(diǎn)安全事件；可以實(shí)時(shí)監(jiān)視全網(wǎng)的違規(guī)登錄事件、配置變更事件、針對(duì)關(guān)鍵服務(wù)器的入侵攻擊事件；等等。對(duì)于實(shí)時(shí)監(jiān)視中的日志，用戶可以進(jìn)行追蹤調(diào)查，進(jìn)行源目標(biāo)IP地址世界地圖定位，并可以以圖形化的方式展示日志之間的行為關(guān)系。日志統(tǒng)計(jì)分析系統(tǒng)提供了統(tǒng)計(jì)視圖，審計(jì)員

46、可以根據(jù)內(nèi)置或者自定義的統(tǒng)計(jì)策略，從日志的多個(gè)維度實(shí)時(shí)進(jìn)行安全事件統(tǒng)計(jì)分析，并以柱圖、餅圖、堆積圖等形式進(jìn)行可視化的展示。審計(jì)員可以查看一段時(shí)間內(nèi)的主機(jī)流量排行、主機(jī)登錄失敗次數(shù)排行、活躍病毒排行、網(wǎng)絡(luò)設(shè)備故障排行、最多訪問(wèn)用戶排行，等等。日志查詢系統(tǒng)提供日志的查詢功能，便于從海量數(shù)據(jù)中獲取有用的日志信息。用戶可自定義查詢策略，基于日志時(shí)間、名稱、地址、端口、類型等各種條件進(jìn)行組合查詢，并可導(dǎo)出查詢結(jié)果。系統(tǒng)還提供快速查詢和模糊查詢功能。規(guī)則告警系統(tǒng)具備日志關(guān)聯(lián)分析功能。通過(guò)關(guān)聯(lián)分析規(guī)則，系統(tǒng)能夠?qū)Ψ详P(guān)聯(lián)規(guī)則條件的日志產(chǎn)生告警。系統(tǒng)提供了可視化的規(guī)則編輯器，用戶可以定義基于邏輯表達(dá)式的關(guān)聯(lián)規(guī)

47、則，所有日志字段都可參與關(guān)聯(lián)。規(guī)則支持統(tǒng)計(jì)計(jì)數(shù)功能，可以對(duì)達(dá)到一定統(tǒng)計(jì)數(shù)量的日志進(jìn)行告警。告警動(dòng)作支持事件屬性重定義、彈出提示框、發(fā)送郵件、發(fā)送SNMP Trap、發(fā)送短信、執(zhí)行命令腳本、設(shè)備聯(lián)動(dòng)、發(fā)送飛鴿傳書、發(fā)送MSN、發(fā)送Syslog等方式。對(duì)規(guī)則觸發(fā)的告警，系統(tǒng)提供快捷的處理流程，可記錄處理過(guò)程和處理結(jié)果。告警可查詢，可導(dǎo)入導(dǎo)出。報(bào)表管理LEADSEC-RS內(nèi)置了豐富的報(bào)表模板，包括統(tǒng)計(jì)報(bào)表、明細(xì)報(bào)表、綜合審計(jì)報(bào)告，審計(jì)人員可以根據(jù)需要生成不同的報(bào)表。系統(tǒng)內(nèi)置報(bào)表生成調(diào)度器，可以定時(shí)自動(dòng)生成日?qǐng)?bào)、周報(bào)、月報(bào)、季報(bào)、年報(bào)，并支持以郵件等方式自動(dòng)投遞，支持以PDF、Excel、Word等格

48、式導(dǎo)出，支持打印。系統(tǒng)還內(nèi)置了一套報(bào)表編輯器，用戶可以自行設(shè)計(jì)報(bào)表，包括報(bào)表的頁(yè)面版式、統(tǒng)計(jì)內(nèi)容、顯示風(fēng)格等。參考知識(shí)管理系統(tǒng)內(nèi)置日志字典表，記錄了主流設(shè)備和系統(tǒng)的日志ID的原始含義和描述信息，方便審計(jì)人員在進(jìn)行日志審計(jì)的時(shí)候進(jìn)行參考。用戶管理系統(tǒng)提供三權(quán)分立設(shè)計(jì)，內(nèi)置系統(tǒng)管理員、用戶管理員和審計(jì)管理員。系統(tǒng)提供用戶集中管理的功能，對(duì)用戶可以訪問(wèn)的資源進(jìn)行細(xì)致的權(quán)限劃分，具備安全可靠的分級(jí)及分類用戶管理功能，支持用戶的身份認(rèn)證、授權(quán)、用戶口令修改等功能。不同的操作員具有功能操作權(quán)限。 系統(tǒng)管理系統(tǒng)具有豐富的自身配置管理功能，包括自身安全配置、系統(tǒng)運(yùn)行參數(shù)配置、審計(jì)資源配置等。系統(tǒng)具有系統(tǒng)自身運(yùn)

49、行監(jiān)控與告警、系統(tǒng)日志記錄等功能。產(chǎn)品價(jià)值全生命周期日志管理借助LEADSEC-RS，客戶能夠?qū)崿F(xiàn)從日志產(chǎn)生、采集、綜合分析與審計(jì)、到日志存儲(chǔ)、備份整個(gè)日志生命周期管理。通過(guò)集中化的日志管理系統(tǒng)，協(xié)助客戶解決網(wǎng)絡(luò)中日志分散、種類繁多、數(shù)量巨大的問(wèn)題，提升安全運(yùn)營(yíng)效率。日常安全運(yùn)維工作的有力工具對(duì)于日常安全運(yùn)維而言，核心的工作內(nèi)容就是對(duì)IT網(wǎng)絡(luò)進(jìn)行持續(xù)監(jiān)測(cè)，確保網(wǎng)絡(luò)、主機(jī)、應(yīng)用、重要信息和人員資產(chǎn)的安全。更具體地說(shuō)，就是要持續(xù)監(jiān)測(cè)并識(shí)別針對(duì)網(wǎng)絡(luò)、主機(jī)、應(yīng)用、重要信息和人員資產(chǎn)性能故障、非法訪問(wèn)控制、非法或不當(dāng)操作、惡意代碼、攻擊入侵、違規(guī)與信息泄露行為。借助LEADSEC-RS，客戶能夠統(tǒng)一收集

50、來(lái)自網(wǎng)絡(luò)中IT資產(chǎn)的日志信息，通過(guò)分析日志中的安全事件，識(shí)別各類性能故障、非法訪問(wèn)控制、不當(dāng)操作、惡意代碼、攻擊入侵，以及違規(guī)與信息泄露等行為，協(xié)助客戶安全運(yùn)維人員進(jìn)行安全監(jiān)視、審計(jì)追蹤、調(diào)查取證、應(yīng)急處置、生成各類報(bào)表報(bào)告，成為客戶日常安全運(yùn)維的有力工具。遵照等級(jí)保護(hù)的審計(jì)要求LEADSEC-RS在設(shè)計(jì)之初就充分考慮的國(guó)家制定的信息系統(tǒng)等級(jí)保護(hù)制度中對(duì)于安全審計(jì)的技術(shù)要求。系統(tǒng)能夠幫助客戶更好地遵從等級(jí)保護(hù)的審計(jì)要求。項(xiàng)目等級(jí)保護(hù)第三級(jí)安全審計(jì)具體要求7.1 技術(shù)要求 7.1.2 網(wǎng)絡(luò)安全 安全審計(jì)（G3） a) 應(yīng)對(duì)網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄； b) 審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息； c)應(yīng)能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表； d) 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，避免受到未預(yù)期的刪除、修改或覆蓋等。 7.1.3 主機(jī)安全 安全審計(jì)（G3） a) 審計(jì)范圍應(yīng)覆蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫(kù)