网御星云日志审计系统产品白皮书-V1.0.docxVIP

密级：公开产品白皮书网御安全管理系统-日志审计系统目录1日志审计的需求与挑战11.1日志审计需求分析11.2日志审计面临的挑战21.3如何应对挑战22产品综述32.1产品简介32.2系统组成32.3系统结构42.4产品功能规格52.5支持审计数据源72.6产品型号规格82.6.1软件型规格82.6.2硬件型规格93典型部署113.1单级部署113.2级联部署114产品特点124.1高性能的日志管理技术架构124.2详尽的日志范式化与日志分类134.3集中化的日志综合审计144.4可视化日志审计154.5丰富灵活的报表报告164.6对用户网络和业务影响最小164.7友好的用户交互体验164.8完善的系统自身安全性保证174.9无缝向安全管理平台扩展175产品功能195.1综合展示195.2资产管理195.3日志采集195.4日志范式化与分类195.5日志过滤与归并205.6日志转发205.7日志采集器管理205.8日志代理205.9日志存储205.10日志实时监视215.11日志统计分析215.12日志查询215.13规则告警215.14报表管理225.15参考知识管理225.16用户管理225.17系统管理?226产品价值236.1全生命周期日志管理236.2日常安全运维工作的有力工具236.3遵照等级保护的审计要求236.4契合合规与内控的审计要求25日志审计的需求与挑战日志审计需求分析日志，是对IT系统在运行过程中产生的事件的记录。通过日志，IT管理人员可以了解系统的运行状况。而通过对安全相关的日志的分析，IT管理者可以检验信息系统安全机制的有效性，这就是安全日志审计，简称日志审计。而日志的产生、收集、审计分析和存储的全过程称作日志管理。日志审计需求主要源自于两个方面的驱动力。一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。有研究指出，69%的攻击行为实际上都有日志留存，而根据国际著名的安全研究与教育组织SANS发布的《2011年度日志管理调查报告》显示，在受访的747个大中小规模的组织中，超过89%的组织都进行了日志管理。而他们进行日志管理的首要原因是监测与跟踪可疑的行为，例如非授权访问、内部信息泄露，等等。另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能，例如：GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统，在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。而日志审计是符合这些要求的基本手段。《互联网安全保护技术措施规定》（公安部82号令）第八条要求具备“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能”。《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。《银行业信息科技风险管理指引》第第二十七条要求银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。《保险公司信息系统安全管理指引（试行）》第四十四条要求“对主机系统进行审计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计”。日志审计面临的挑战当前客户在进行日志审计的过程中几乎都面临着相似的挑战。这其中最主要的三个挑战是：日志分散、日志格式不统一、日志量巨大。日志分散客户网络中信息系统相关的各种软硬件设备、安全防护设施都会产生日志。并且这些设备都分散在网络的不同位置。他们各自产生日志，并有各自的控制台进行日志查看，这对审计人员而言简直就是噩梦，根本没有精力去查看这么多控制台，更不要说分析其中的日志信息了。日志格式不统一每种设备类型的日志格式都不相同，各有各的表达，即时是表达同一件事情，也都有各自的表达方式。例如同样的登录失败信息，防火墙中的描述和主机操作系统中的描述格式就可能根本不相同。这迫使审计人员去了解每种设备类型的格式。日志量巨大很多设备，尤其是网络安全设备产生的日志量十分巨大，单个防火墙每秒就可能产生上千条的日志信息，而全网的设备每天产生的日志量就更加可观，可能数以百GB计。审计员去查看这么多的日志根本不可能，即便是将它们存起来都是个问题。如何应对挑战客户需要日志审计，更需要应对所面临的挑战。客户需要从组织策略、处理流程和技术体系等多方面进行统筹考量，客户应该借助一个日志审计平台来为其审计工作提供技术支撑。这个日志审计平台应该能够实现对客户分散的海量日志进行收集，对这些日志格式进行规范化统