深信服日志审计系统（LAS）技术方案 V3.0.4-201909修订.docVIP

深信服日志审计系统LAS技术方案 深信服日志审计系统 LAS-1000 V3.0技术方案 深信服科技股份有限公司 2019年7月30日 版权声明 深信服科技股份有限公司版权所有，并保留对本文档及本声明的最终解释权和修改权。 本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明外，其著作权或其它相关权利均属于深信服科技股份有限公司。未经深信服科技股份有限公司书面同意，任何人不得以任何方式或形式对本文档内的任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。 免责条款 本文档仅用于为最终用户提供信息，其内容如有更改，恕不另行通知。 深信服科技股份有限公司在编写本文档的时候已尽最大努力保证其内容准确可靠，但深信服科技股份有限公司不对本文档中的遗漏、不准确、或错误导致的损失和损害承担责任。 信息反馈 如果您有任何宝贵意见，请反馈至： 地 址：深圳市南山区学苑大道1001号南山智园A1栋 邮 编：518055 电 话：0755 传 真：0755您也可以访问深信服科技网站： 获得最新技术和产品和方案信息。 - PAGE \* ROMAN - PAGE \* ROMAN II - 目 录 TOC \o 1-3 \h \z \u 1 概述 1 2 需求分析 1 2.1 法规标准要求 1 2.1.1 等级保护 1 2.1.2 网络安全法 2 2.2 信息安全管理的需要 2 2.3 安全技术保障体系建设的需要 2 3 解决方案 3 3.1 设计目标 3 3.2 设计理念 4 3.3 设计依据 4 3.4 系统架构 4 3.5 系统性能 5 3.6 系统功能 5 3.6.1 采集管理 5 3.6.2 攻击检测 5 3.6.3 数据识别（标准化） 6 3.6.4 过滤和归并 6 3.6.5 实时监控 6 3.6.6 会话审计 6 3.6.7 事件分析 8 3.6.8 审计管理 8 3.6.9 告警监控 8 3.6.10 资产管理 9 4 部署实施 9 4.1 部署模式 9 4.2 工作原理 10 4.3 实施过程 11 4.3.1 调研阶段 11 4.3.2 接入阶段 12 4.3.3 分析阶段 13 4.3.4 运营阶段 13 4.4 运维管理 13 4.4.1 系统保障 13 4.4.2 数据保障 14 4.4.3 新设备接入 14 5 方案优势 15 5.1 全面的采集能力 15 5.2 精准的溯源定位 15 5.3 高效的实时分析 15 5.4 强大的检索查询 15 5.5 丰富的策略模型 16 5.6 丰富的合规模板 16 5.7 灵活的部署方式 16 5.8 简便易用的界面风格 16 5.9 灵活通用的系统设计 16 6 客户案例 16 6.1 访问控制审计 16 6.2 网络安全检查 17 6.3 等保相关 17 7 售后服务 17 深信服日志审计系统LAS技术方案 深信服日志审计系统LAS技术方案 PAGE 6 PAGE 6 概述 由于各种系统、应用、安全设备、网络设备等日志多样繁杂，给日志审计的工作带来了巨大的人力消耗，所以企业必然需要部署集中的日志审计系统。通过建设日志审计系统，企业能够集中采集各类系统中的安全事件、用户访问记录、系统运行日志、系统运行状态、网络存取日志等各类信息，经过规范化、过滤、归并和分析等处理流程后，可以以统一格式的日志形式进行集中存储和管理。 在此基础上，对日志进行实时的事件分析和审计分析、从而进行实时的事件监控和异常事件告警，最终实现对各类网络设备、安全设备、操作系统、服务器、数据库和其它应用进行全面的日志安全审计。 需求分析 法规标准要求 等级保护 第三级网络安全等级保护基本要求 分类 安全控制点 要求项 安全通用要求-安全区域边界 安全审计 a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计 b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息 c)应对审