XX大学日志审计解决方案.pdfVIP

1 XX 大学安全审计现状 XX大学是一所以海洋和水产学科为特色，包括理学、工学、农学、医 （药） 学、经济学、管理学、文学、法学、教育学、历史学、艺术学 等学科门类较为 齐全的教育部直属重点综合性大学，是国家 “985工程”和 “211工程”重点建 设高校之一，是国务院学位委员会首批批准的具有博士、硕士、学士学位授予权 的单位。校训是海纳百川，取则行远。 XX大学网络信息中心依托完善的网络资源、强大的技术能力和多年为学校 进行网络服务所积累的丰富运营经验，成功地为XX大学提供了信息化解决方案。 随着网络中心业务量的不断发展、壮大， 为应对： 1. 不断增长的基础设施信息量 2. 不断增长的业务数量 3. 不断提高的事件处理时限需求 4. 网络事件事后查询需求 5. 网络事件统计分析需求 网络中心计划利用日志审计系统 整合内部分散的基础设施信息资源，提升基础 设施日志的收集、关联能力。 2 网神SecFox-LAS 日志审计解决方案 针对XX大学对日志审计的需求，网神结合自己在安全审计与管理领域深厚 的技术积累和丰富的行业领域知识积累，设计了一套综合日志安全审计解决方案。 2.1实现目标 1、海量日志数据的集中审计管理。 采集信息系统IT基础设施日志信息，规范日志信息格式，实现海量日志数 据的标准化集中存储，同时保存日志信息的原始数据，规避日志信息被非法删除 而带来的安全事故处置工作无法追查取证的风险；加强海量日志数据集中管理， 特别历史日志数据的管理。 2、系统运行风险及时报警与报表管理 基于标准化的日志数据进行关联分析，及时发现信息系统IT基础设施运行 过程中存在的安全隐患，并根据策略进行及时报警，为运维人员主动保障系统安 全运行工作提供有效的技术支撑；实现安全隐患的报表管理，更好地支持系统运 行安全管理工作。 3、为落实有关法律法规提供技术支撑 利用安全审计结果可以评估国家法规和行业监管中有关安全管理和审计规 定的落实情况，发现存在的问题，为完善网络信息安全管理和审计提供依据，持 续改进，进一步提高安全管理和审计水平。 4、落实业务数据审计 通过审计系统能及时发现业务数据访问中的违规行为，并能进行有效的监控， 对违规行为进行追查。 2.2平台选型 根据对日志审计需求和实现目标的分析，建议选用网神的网神SecFox-LAS 日志审计系统， SecFox-LAS 日志审计系统具有成熟和完整的体系架构，在日志 收集、日志分析、数据挖掘和符合性管理等关键技术领域处于业界领先的位置。 SecFox-LAS 日志审计系统提供了对大多数主流设备、操作系统和应用系统 日志格式的支持，不支持的设备可通过系统提供的功能定制开发。 2.3系统自身安全性设计 作为安全审计类产品，日志审计系统自身具备完善的安全性保证，包括：  系统内部的各个组件之间通信都支持加密传输，例如浏览器访问管理中 HTTPS GLC 心支持 、通用日志采集器 （ ）与管理中心之间采用加密压缩 协议进行传输、多级管理中心之间采用加密协议进行传输，等等，保证 网络通讯的机密性。  系统对采集到的日志都进行了加密存储，保证数据的完整性和机密性。  系统具备自身运行健康状态监视功能，存储的数据支持自动备份和恢复， 保证系统的可用性。  硬件型产品，底层的操作系统是安全操作系统。 2.4性能和存储空间 本项目中日志审计系统按所有设备产生的总事件量平均按500 条/秒，每条 日志0.8KB 为标准计算，所有设备每天的总日志条数为4320 万条，总日志量约 为35G。 系统设计支持在线存储和离线存储两种方式对数据进行存储。 在线存储按一个月计算，需要大约1T 的空间，加上索引和系统自身的空间， 大约需1.5T 的存储空间。 离线存储是压缩存储，压缩比为10：1，根据审计要求，原始信息及审计结 果需保留6个月-1年，按最长1年计算大约也需要1.5T 的空间。 所以日志审计系统的有效存储容量最少在线存储空间加上离线存储空间，是 3T。 事件存储解决方案，事件在做存储时使用的解决方案是将每天所有的事件原 始消息和事件解析后的结果存放在一个事件表中，这个表每天会