精品文档密级：公开产品白皮书网御安全管理系统-日志审计系统目录1日志审计的需求与挑战 (1)1.1 日志审计需求分析 (1)1.2 日志审计面临的挑战 (2)1.3 如何应对挑战 (2)2产品综述 (3)2.1 产品简介 (3)2.2 系统组成 (3)2.3 系统结构 (4)2.4 产品功能规格 (5)2.5 支持审计数据源 (7)2.6 产品型号规格 (8)2.6.1软件型规格 (8)2.6.2硬件型规格 (8)3典型部署 (10)3.1 单级部署 (10)3.2 级联部署 (10)4产品特点 (11)4.1 高性能的日志管理技术架构 (11)4.2 详尽的日志范式化与日志分类 (12)4.3 集中化的日志综合审计 (13)4.4 可视化日志审计 (14)4.5 丰富灵活的报表报告 (14)4.6 对用户网络和业务影响最小 (14)4.7 友好的用户交互体验 (15)4.8 完善的系统自身安全性保证 (15)4.9 无缝向安全管理平台扩展 (16)5产品功能 (17)5.1 综合展示 (17)5.2 资产管理 (17)5.3 日志采集 (17)5.4 日志范式化与分类 (17)5.5 日志过滤与归并 (18)5.6 日志转发 (18)5.7 日志采集器管理 (18)5.8 日志代理 (18)5.9 日志存储 (18)5.10 日志实时监视 (18)5.11 日志统计分析 (19)5.12 日志查询 (19)5.13 规则告警 (19)5.14 报表管理 (19)5.15 参考知识管理 (20)5.16 用户管理 (20)5.17 系统管理 (20)6产品价值 (20)6.1 全生命周期日志管理 (20)6.2 日常安全运维工作的有力工具 (21)6.3 遵照等级保护的审计要求 (21)6.4 契合合规与内控的审计要求 (22)11.1 日志审计需求分析日志，是对IT系统在运行过程中产生的事件的记录。

通过日志，IT管理人员可以了解系统的运行状况。

而通过对安全相关的日志的分析，IT管理者可以检验信息系统安全机制的有效性，这就是安全日志审计，简称日志审计。

而日志的产生、收集、审计分析和存储的全过程称作日志管理。

日志审计需求主要源自于两个方面的驱动力。

一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。

有研究指出，69%的攻击行为实际上都有日志留存，而根据国际著名的安全研究与教育组织SANS发布的《2011年度日志管理调查报告》显示，在受访的747个大中小规模的组织中，超过89%的组织都进行了日志管理。

而他们进行日志管理的首要原因是监测与跟踪可疑的行为，例如非授权访问、内部信息泄露，等等。

另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能，例如：●GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》对于二级以上信息系统，在网络安全、主机安全和应用安全等基本要求中明确要求进行安全审计。

而日志审计是符合这些要求的基本手段。

●《互联网安全保护技术措施规定》（公安部82号令）第八条要求具备“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全审计功能”。

●《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。

日志应当能够满足各类内部和外部审计的需要”。

●《银行业信息科技风险管理指引》第第二十七条要求银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。

《保险公司信息系统安全管理指引（试行）》第四十四条要求“对主机系统进行审计，妥善管理并及时分析处理审计记录。

对重要用户行为、异常操作和重要系统命令的使用等应进行重点审计”。

1.2 日志审计面临的挑战当前客户在进行日志审计的过程中几乎都面临着相似的挑战。

这其中最主要的三个挑战是：日志分散、日志格式不统一、日志量巨大。

日志分散客户网络中信息系统相关的各种软硬件设备、安全防护设施都会产生日志。

并且这些设备都分散在网络的不同位置。

他们各自产生日志，并有各自的控制台进行日志查看，这对审计人员而言简直就是噩梦，根本没有精力去查看这么多控制台，更不要说分析其中的日志信息了。

日志格式不统一每种设备类型的日志格式都不相同，各有各的表达，即时是表达同一件事情，也都有各自的表达方式。

例如同样的登录失败信息，防火墙中的描述和主机操作系统中的描述格式就可能根本不相同。

这迫使审计人员去了解每种设备类型的格式。

日志量巨大很多设备，尤其是网络安全设备产生的日志量十分巨大，单个防火墙每秒就可能产生上千条的日志信息，而全网的设备每天产生的日志量就更加可观，可能数以百GB计。

审计员去查看这么多的日志根本不可能，即便是将它们存起来都是个问题。

1.3 如何应对挑战客户需要日志审计，更需要应对所面临的挑战。

客户需要从组织策略、处理流程和技术体系等多方面进行统筹考量，客户应该借助一个日志审计平台来为其审计工作提供技术支撑。

这个日志审计平台应该能够实现对客户分散的海量日志进行收集，对这些日志格式进行规范化统一描述，实现对日志的集中化存储、分析、审计和展示，并符合相关法规标准的符合性要求。

22.1 产品简介网御星云推出的网御安全管理系统V3.0-日志审计系统（以下简称LEADSEC-RS）是立足于公司十年信息安全积累的基础之上，基于客户需求的日志审计平台及日志管理解决方案。

日志审计系统能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

LEADSEC-RS融合多种信息安全技术和管理理念，充分实现组织、管理、技术三个体系的合理调配，帮助用户进行基于日志的综合审计和日志全生命周期管理，从而最大化的保障网络、主机和应用系统安全机制的有效性。

LEADSEC-RS具有广泛的应用范围和客户群，在政府、电信、金融、电力、军工等行业均有成功的应用。

2.2 系统组成LEADSEC-RS包括审计中心、日志采集器和日志代理三个部件。

日志采集器和日志代理实现对审计数据源（主机/服务器类、网络类和安全类等）的日志信息统一收集，然后上传给审计中心进行集中化存储、分析和审计。

同时，审计中心自身也可以直接收集审计数据源的日志信息。

●审计中心审计中心，即LEADSEC-RS的管理中心，是LEADSEC-RS的核心部件，实现了对日志的集中化存储、备份、查询、审计、告警、响应，以及出具报表报告。

用户的审计员通过浏览器即可登陆审计中心，进行各种审计操作。

审计中心内置日志采集功能，可以直接收集审计数据源的日志信息。

审计中心也可以汇聚来自日志采集器和日志代理的日志信息。

●日志采集器日志采集器可以安装并独立运行在一台服务器上，实现对异构审计数据源的日志采集，功能同审计中心的日志采集模块，用以辅助审计中心解决特定日志采集的问题，并可以实现分布式日志采集能力。

日志采集器收集的日志可以转发给审计中心。

●日志代理日志代理用于安装并运行在审计对象上，实现对审计对象的数据源采集和转发。

目前，日志代理支持Windows操作系统，主要用于采集Windows 操作系统及其服务与应用的日志。

日志代理收集的日志可以转发给日志采集器，或者直接转发给审计中心。

2.3 系统结构LEADSEC-RS采用组件式平台架构，实现了分层的逻辑架构，包括：审计数据源层、日志采集层、业务层和应用层。

如下图所示：●审计数据源层审计对象层是指审计数据源对象，包括各类型的网络设备、安全设备、数据库、应用系统、主机等能产生相关日志的设备和信息系统。

●日志采集层该层利用SYSLOG、SNMP、ODBC、OPSEC、文件等多种协议方式，从审计对象获取日志，并对原始日志信息进行范式化、分类、过滤、归并，统一推送到业务层进行分析、存储。

●业务层利用关联分析引擎对采集的日志进行分析，触发规则，生成告警记录；通过高性能海量数据存储代理将日志进行快速存储；通过分布式查询引擎实现日志查询；通过日志聚合引擎实现日志抽取。

应用层面向系统的使用者，提供一个图形化的显示界面，展现安全审计系统的各功能模块，提供综合展示、资产管理、日志审计、规则管理、告警管理、报表管理、权限管理、系统管理、知识维护等功能。

2.5 支持审计数据源目前，LEADSEC-RS支持的部分厂商设备类型如下表所示：对于目前暂不支持的审计数据源，LEADSEC-RS还提供了方便灵活的扩展机制。

只要获得审计数据源的日志样本以及通讯协议方式，编写一份XML格式日志解析文件，导入系统，即可获得对该审计数据源的日志采集能力，无需编码。

2.6 产品型号规格LEADSEC-RS从产品形态上分为软件型和硬件型。

2.6.1软件型规格LEADSEC-RS软件型是一套软件包，可以安装在独立的服务器上运行，系统所需运行环境如下：在双Intel至强4核CPU，24GB内存下，LEADSEC-RS的日志审计性能可达到平均9000EPS1。

2.6.2硬件型规格LEADSEC-RS硬件型有两种型号，分别是LEADSEC-RS500和LEADSEC-RS1000。

1平均EPS数值是指每日平均的EPS（Event Per Second）每秒事件数。

后同。

2该数值假设每条日志占用的综合存储空间为0.5KB。

综合存储空间是指日志范式化后占用的存储空间字节数，原始日志占用存储空间字节数，为日志建立索引所需的存储空间字节数，以及日志统计表存储空间字节数的总和。

后同。

33.1 单级部署如下图所示，显示了系统的一个单级部署场景。

Syslog 网络类FileSyslog网络类File网络类在这个单级部署场景中，审计中心可以直接采集审计数据源的日志，也可以通过外挂的日志采集器采集审计数据源的日志。

3.2 级联部署如下图所示，系统支持多级级联部署。

日志采集器日志采集器日志采集器日志采集器日志审计系统日志审计系统日志审计系统日志审计系统日志审计系统日志采集器总部日志审计系统分部日志审计系统分支机构日志采集器本部日志采集器本部日志采集器总部日志采集器总部日志采集器4 产品特点4.1 高性能的日志管理技术架构对了应对海量日志管理带来的挑战，LEADSEC-RS 采用了国内领先的高性能日志采集、分析与存储架构，从产品技术架构的层面，进行了系统性的设计，真正使得LEADSEC-RS 产品成为一款能够支撑持续海量日志管理的系统。