Logger技术建议书样本(L30G).doc

项目方案 项目背景 XXXXXX随着业务的发展，特别是XXXXXX的要求，XXXXXX设备托管进行安全评估，合格后，才能进行托管；同时随着网络流量带宽的不断增长，随之而来的各类违法等有害信息也乘虚而入，网络信息安全出现严峻形势。要求我们进行安全服务与评估，来保障我们的网络系统安全；同时，按照工信部及网监的要求，需要提高原有的管理和技术手段，对IDC及专线用户的网站内容安全进行自动监察，提前预防和应对政符监管部门的检查及及时发现IDC及专线IP地址上所有的域名，并且掌握每个域名的备案情况，以便采取及时有效的管理手段,本次招标项目先做出口日志分析设备。 项目方案介绍 项目方案设计原则 根据项目建设目标，XXXXXX日志分析系统项目要遵循以下几个原则： 长远性和性XXXXXX日志分析系统项目，要兼顾企业的目前状况与长远发展等因素，放眼未来，统筹规划，又要具有可付诸实施的现实可能性。性和性XXXXXX日志分析系统项目实施，要着眼全局，不能遗漏；同时又要突出重点，方案和计划具有较强的针对性。性和性XXXXXX日志分析系统项目，既要制定整体发展规划、安全建设纲要、安全总则等战略性指导文档，也要按照现阶段产品采购，提升亚运期间客户信息安全审计整体水平。 先进性和实用性相结合 XXXXXX日志分析系统项目实施，在战略和策略、目标和要求、规定和制度、产品和技术、人员和知识等各方面，既要有先进性，又要有实用性。 开放性和可靠性相结合 XXXXXX日志分析系统项目实施，应采用最新成熟的系统软硬件等技术和产品。其各项技术应保证具有开放性、可移植性和可扩展性，。XXXXXX日志分析系统系统建设，既要考虑采用的产品和技术在整体上具有完整性和一致性，又要尽量保护XXXX已有的软硬件投资，使得总体上具有更好经济性。 安全性和业务连续性相结合 XXXXXX日志分析系统建设必须保证系统安全性和业务连续性。系统在开发规范和接口规范必须符合XXXXXXXX有限相关安全规范和安全要求，系统建设必须考虑和其他系统之间的整合，确保相互间业务通信的连续性。 项目方案产品选型 序号 产品类别 产品选型 数量 1 日志收集器A类 Arcsight SmartConnectors 1 日志收集器B类 Arcsight FlexConnectors 1 2 日管分析系统产品 Arcsight Logger L30G 1 图表 1项目产品选型 产品部署图 图表 2 项目方案产品部署图 上图所示为为XXXXXX日志分析系统那个项目解决方案的产品部署图。通过在XXXXXX总部及各分支结构中分布式部署ArcSight的Connectors产品，这样能更好的发挥Connectors产品的技术特点，如安全事件采集的分时传输或带宽控制等。然后安全事件通过Connectors的采集、归并、过滤和标准化后，汇总分析后的日志数据保存到Arcsight Logger设备上，管理员就可以通过WEB方式进行查询与分析日志。 项目方案功能实现 日志采集 ArcSight 具有强大的安全事件收集功能，支持100%数据的数据捕获，支持海量安全事件数据处理，支持的安全事件格式包括SYSLOG，LEA, SYSLOG-NG，W3C和文件型安全事件在内的多种形式的安全事件格式。支持SYSLOG、SYSLOG-NG、SNMP TRAP、JDBC数据库连接等实时或定时采集协议。不需要在被管理主机上安装，不会对数据库主机造成影响。 支持长安全事件格式。自动识别安全事件源的安全事件格式，支持主动采集和被动接收两种采集方式。 ArcSight系统支持智能代理的集中部署和分布式部署，并可以定制代理，系统自动维护代理状态。这种模式，利用分布在网络的各处就可以收集到全网中需要管理的对象的安全事件数据在系统内的传输采用加密方式，保证数据的传输完整性和机密性。 内嵌时间服务器，提供设备之间时间校正服务，支持独有的5时间戳技术。日志的时间对日志分析非常重要，错误的时间会影响到日志分析的正确性。采用了独有的5时间戳技术，系统共维护了5个时间戳：源日志生成时间、日志采集器收到时间、管理服务器收到时间、数据库存储开始时间和完成时间。该技术使系统日志数据更具有可靠性证明，可满足对于采集到的海量的安全数据进行如下处理后发现相关的安全事件和安全问题。 归并和过滤 安全事件归并和过滤是可选用的功能，过滤用于丢弃从设备提取的原始安全事件信息中监控人员认为不重要的信息，从而减少轻微告警安全事件的干扰；归并是一种组合技术，将基于选定的时间值或安全事件数量，合并具有匹配字段值的多条安全事件。 具备安全事件归并和过滤技术具有如下好处： 减少对带宽的占用 减少对存储空间的占用 提高监控和处理的效率 ArcSight 在安全事件收集引擎和关联分析引擎上都具