网络安全管理系统集中日志审计子系统的设计与测试的综述报告.docxVIP

网络安全管理系统集中日志审计子系统的设计与测试的综述报告

网络安全管理系统（SecurityInformationandEventManagement，以下简称SIEM）集中日志审计子系统是现代网络安全系统的重要组成部分，它能够集中管理、收集和处理网络中各种设备的安全事件和日志信息，并提供多种方式对这些信息进行分析和查询。

一、集中日志审计子系统的设计

（一）核心功能模块

集中日志审计子系统的核心功能模块包括：

1.日志收集：收集来自各种网络设备、服务器、系统和应用程序的事件和日志信息。

2.日志分析：对收集到的日志信息进行分析，识别安全事件，报告和警告对其进行有效的响应。

3.安全事件响应：提供用户自定义的安全事件响应机制，包括自动响应，提醒和用户交互响应。

4.报表和分析：生成日志信息的报表和数据分析。

（二）设计实现

集中日志审计子系统的设计实现需要考虑以下几个因素：

1.数据收集：需要考虑支持的协议和设备/应用程序类型。常见的支持协议有syslog、SNMP、WMI、WindowsEventLog。

2.存储和检索：需要考虑存储和检索大量数据的方式。可采用数据库作为存储和索引的后端支持。

3.实时分析：需要考虑支持实时的事件报告和即时警告。

4.基于规则的事件解析：需要解析各种日志格式并基于规则进行事件解析和合并。

5.安全事件响应：需要根据事件情况特定的响应机制，包括自动关闭，警告和用户交互响应等。

6.GUI：需要提供用户友好的GUI，支持管理、分析和查询事件。

（三）工作原理

集中日志审计子系统通过与设备或者应用程序集成，实现日志的收集和传送，将其存储到数据库中，并进行查询分析，识别安全事件或者异常情况。管理者可以使用GUI界面进行分析、查询和警报等操作。

二、测试验收

（一）测试环境

1.硬件环境：CPU4核，内存32GB，存储2TB以上

2.软件环境：CentOS7.x或RedHat7.x

3.应用环境：Java运行环境、MySQL数据库、SIEM集中日志审计子系统、日志源（通过syslog、SNMP、WMI、WindowsEventLog等方式发送日志至SIEM中心）

（二）测试范围

1.日志收集：对网络中的不同设备的日志进行了收集，并检查是否能够全部收集到日志。

2.日志分析：对收集到的日志进行分析，包括基于规则和机器学习算法的事件解析。检查是否能够准确识别不同类型的事件和异常情况。

3.安全事件响应：检查是否能够响应各种安全事件和异常情况，并根据用户的设置进行自动响应或者提醒。

4.报表和分析：对获取到的日志信息进行数据统计和分析，并生成业务相关的报表。

（三）测试结果

集中日志审计子系统通过测试，成功地实现了日志收集、分析和安全事件响应等核心功能。其能够满足以下需求：

1.多种协议和设备/应用程序类型的支持。

2.通过GUI进行遍历和查询日志事件。

3.丰富的日志事件分析、报告和警报机制。

4.可定制的安全事件响应机制。

5.可扩展性高。

因此，集中日志审计子系统是一个高效、可靠和易于使用的网络安全管理系统子系统，能够帮助企业和机构轻松地对其网络安全进行监控和管理。