泰合TSOC-SA日志审计系统架构介绍

泰合中心日志综合分析与管理系统解决方案北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.2008年10月目录1文档管理 (1)1.1文档信息 (1)1.2分发控制 (1)1.3版本控制 (1)2日志管理现状及面临的挑战 (2)2.1日志管理现状 (2)2.2面临的挑战 (2)3日志分析与管理的需求 (3)4方案设计 (3)4.1设计原则 (3)4.2体系结构 (4)4.3系统概述 (4)4.4方案实现功能 (5)4.4.1日志数据源 (6)4.4.2日志集中采集 (7)4.4.3日志存储 (10)4.4.4告警监控 (11)4.4.5基于日志的审计 (11)4.5方案功能特色 (12)4.5.1支持海量数据存储 (12)4.5.2多样化的报表 (12)4.5.3丰富的分析功能 (13)4.5.4支持通用日志采集 (13)4.5.5灵活扩充新设备 (13)4.5.6日志日常维护 (13)4.5.7用户管理 (13)4.5.8系统管理 (14)5实施与部署 (14)6方案成效 (14)1文档管理1.1文档信息1.2分发控制1.3版本控制2日志管理现状及面临的挑战2.1日志管理现状目前大多数企业，特别是大型企业、机构对于异构、海量日志数据没有很好的管理办法，结果往往是：➢日志采集效率低不能完全捕获，数据格式不统一，缺少标准化的技术手段。

➢人员要求高系统管理人员面对浩如烟海的日志信息，首先面临的一个问题是如此浩大的工作量是人工所无法完成的，另外，要求系统管理人员能够理解日志信息的内涵，对管理人员的要求很高。

➢各自为战，缺乏关联性不同的系统管理员分管不同的信息系统，难免出现各自为政的局面，但是事故发生前的一系列事件之间却存在紧密的联系，二者之间的矛盾导致事故难于处理。

➢人力投入高，处理效果差海量日志数据需要系统管理人员手工维护和管理，导致分析时间长，关键时刻很难发现问题。

日志审计解决方案一、背景介绍随着信息技术的发展和应用的普及，各类企业和组织面临着日益增长的数据量和复杂的信息系统环境。

为了确保信息系统的安全性和合规性，日志审计成为了一项重要的任务。

日志审计可以帮助企业和组织监控和分析其信息系统的活动记录，以发现潜在的安全威胁、追踪异常行为、满足合规要求以及支持事后调查等。

二、日志审计的意义1. 安全威胁检测：通过对日志进行审计，可以发现并及时应对潜在的安全威胁，如未经授权的访问、异常登录行为等。

2. 异常行为追踪：日志审计可以记录和分析用户的操作行为，帮助企业和组织追踪和识别异常行为，如非法操作、数据篡改等。

3. 合规性要求满足：许多行业和法规要求企业和组织对其信息系统进行日志审计，以确保其合规性，如金融行业的PCI DSS、医疗行业的HIPAA等。

4. 事后调查支持：当发生安全事件或违规行为时，日志审计可以提供关键的证据和线索，帮助进行事后调查和取证。

三、日志审计解决方案的关键组成部分1. 日志收集：通过在关键系统和设备上部署日志收集器，实时收集和存储系统产生的日志数据。

收集的日志数据可以包括操作系统日志、应用程序日志、网络设备日志等。

2. 日志存储：将收集到的日志数据存储在安全可靠的存储介质上，确保其完整性和可审计性。

可以采用传统的关系型数据库或专门的日志管理系统进行存储。

3. 日志分析：对存储的日志数据进行分析和挖掘，以发现异常行为和安全威胁。

可以使用各种分析工具和技术，如规则引擎、机器学习算法等。

4. 报告和告警：根据分析结果生成详细的报告和告警，以便管理员和安全团队及时了解系统的安全状况和发现潜在的威胁。

5. 审计日志管理：对日志数据进行管理和维护，包括日志的保留期限、备份策略、访问权限控制等，以确保其完整性和可审计性。

6. 可视化和查询：通过直观的可视化界面和强大的查询功能，管理员和安全团队可以方便地查看和分析日志数据，快速定位和解决问题。

四、日志审计解决方案的实施步骤1. 需求分析：与企业和组织的相关部门和人员沟通，了解其日志审计需求和合规要求，明确解决方案的目标和范围。

H3C综合日志审计平台技术白皮书1.系统简介近年来，国内外相继发生的“棱镜门”、域名系统遭攻击、国外情报机构的网络攻击工具曝光、勒索病毒爆发、大规模用户信息泄漏等问题，以及信息通信诈骗等问题不断给我们敲响警钟。

日志是对网络信息系统在运行过程中产生的事件的记录。

通过日志，信息安全人员可以了解系统的运行状况。

通过对安全相关的日志的分析，信息安全人员可以检验信息系统安全机制的有效性。

日志审计需求主要源自于两个方面的驱动力。

一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，另一方面，识别来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。

综合日志审计平台的需求H3C 综合日志审计平台能够通过主被动结合的手段，实时不间断地采集用户网络中各种不同厂商的安全设备、网络设备、主机、操作系统等产生的海量日志信息，并将这些信息汇集到审计中心，进行集中化存储、备份、查询、审计、告警、响应，并出具丰富的报表报告，获悉全网的整体安全运行态势，实现全生命周期的日志管理。

H3C 综合日志审计平台功能2.系统架构H3C 综合日志审计平台通过收集来自企业和组织信息系统资源中各种设备和应用的安全日志，可结合云端的威胁情报，对海量安全日志进行统计分析和关联分析，协助用户准确、快速地识别安全事故，从而及时做出响应。

该架构可划分为四个层次，数据采集层、数据处理层、数据分析层和业务表示层。

（1）数据采集层主要利用SYSLOG、ODBC、TCP/UDP、FTP等多种协议方式，采集包括网络设备、安全设备、主机、中间件、数据库在内的多种审计数据源的日志。

（2）数据处理层由于不同数据源对网络安全事件的定义通常具有不同的格式，还需要通过范式处理将数据归一化为统一格式，然后进行去除冗余及噪声数据。

同时实现对海量安全日志的快速检索。

（3）数据分析层通过统计分析引擎和关联分析引擎，通过融合、归并和关联底层多个安全设备提供的安全日志，并对网络中安全事件进行预警。

启明星辰泰合信息安全运营中心介绍（108万）启明星辰TSOC采用成熟的浏览器/服务器/数据库架构，由“五个中心、五个功能模块”组成。

五个中心为漏洞评估中心、网络管理中心、事件/流量监控中心、安全预警与风险管理中心以及响应管理中心。

五个功能模块为资产管理、策略配置管理、自身系统维护管理、用户管理、安全知识管理。

启明星辰TSOC综合在一个平台上实现了信息采集、分析处理、风险评估、综合展示、响应管理、流程规范等网络安全管理需具备的所有功能。

主要功能如下：1. 资产管理管理网络综合安全运行管理系统所管辖的设备和系统对象。

它将TSOC其所辖IP设备资产信息登记入库，并可与现有资产管理软件实现信息双向交互，可自动发现管理域里的新增资产，并按照ISO13335标准对资产的CIA属性（保密性、可用性、完整性）进行评估。

2. 事件管理事件管理处理事件收集、事件整合和事件可视化三方面工作。

事件管理功能首先要完成对事件的采集与处理。

它通过代理（Agent）和事件采集器的部署，在所管理的骨干网络、不同的承载业务网及其相关支撑网络和系统上的不同安全信息采集点(防病毒控制台、入侵检测系统控制台、漏洞扫描管理控制台、身份认证服务器和防火墙等)获取事件日志信息，并通过安全通讯方式上传到安全运营中心中的安全管理服务器进行处理。

在事件收集的过程中，事件管理功能还将完成事件的整合工作，包括聚并、过滤、范式化，从而实现了全网的安全事件的高效集中处理。

事件管理功能本身支持大多数被管理设备的日志采集，对于一些尚未支持的设备，可通过通用代理技术（UA）支持，确保事件的广泛采集。

在事件统一采集与整合的基础上，泰合安全运营中心提供多种形式的事件分析与展示，将事件可视化，包括实时事件列表、统计图表、事件仪表盘等。

此外，还能够基于各种条件进行事件的关联分析、查询、备份、维护，并生成报表。

3. 综合分析、风险评估和预警综合分析是泰合安全运营中心的核心模块，其接收来自安全事件监控中心的事件，依据资产管理和脆弱性管理中心的脆弱性评估结果进行综合的事件协同关联分析，并基于资产（CIA属性）进行综合风险评估分析，形成统一的5级风险级别，并按照风险优先级针对各个业务区域和具体事件产生预警，参照安全知识库的信息，并依据安全策略管理平台的策略驱动响应管理中心进行响应处理。

日志审计解决方案一、概述日志审计是指对系统、应用程序或网络设备产生的日志进行收集、分析和监控的过程。

通过对日志进行审计，可以帮助企业发现潜在的安全威胁、检测异常行为、追踪用户活动等，从而提高系统的安全性和合规性。

本文将介绍一种日志审计解决方案，包括其架构、功能和部署方式。

二、架构该日志审计解决方案的架构包括以下几个关键组件：1. 日志收集器：负责收集各个系统、应用程序或网络设备产生的日志，并将其发送到中央日志存储系统。

2. 中央日志存储系统：用于存储和管理收集到的日志数据，可以采用关系型数据库或分布式文件系统。

3. 日志分析引擎：对存储在中央日志存储系统中的日志数据进行分析和监控，通过定义规则和模式来检测异常行为。

4. 可视化界面：提供用户友好的界面，用于展示分析结果、生成报表和配置审计规则。

三、功能该日志审计解决方案具有以下主要功能：1. 日志收集：支持多种日志格式和协议，可以灵活地收集各类系统、应用程序或网络设备产生的日志。

2. 日志存储：提供高效的日志存储和管理机制，支持数据压缩和索引，以便快速检索和分析。

3. 日志分析：通过定义规则和模式，对日志数据进行实时分析和监控，检测异常行为、发现安全威胁。

4. 可视化报表：生成各种报表和图表，展示审计结果和统计信息，帮助用户全面了解系统的安全状况。

5. 告警机制：支持配置告警规则，当检测到异常行为时，及时发送告警通知，帮助用户及时采取措施。

6. 审计日志管理：对审计过程中产生的日志进行管理和归档，确保日志的完整性和可追溯性。

四、部署方式该日志审计解决方案可以根据实际需求选择不同的部署方式：1. 集中式部署：将日志收集器、中央日志存储系统、日志分析引擎和可视化界面部署在同一台服务器上，适用于规模较小的企业。

2. 分布式部署：将日志收集器部署在各个系统、应用程序或网络设备上，将中央日志存储系统、日志分析引擎和可视化界面部署在不同的服务器上，适用于规模较大的企业。

L o g B a s e日志管理综合审计系统技术白皮书杭州思福迪信息技术有限公司SAFETYBASE INFOTECH CO.LTD版权说明© 版权所有2005-2010，杭州思福迪信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属杭州思福迪信息技术有限公司所有，受到有关产权及版权法保护。

任何个人、机构未经杭州思福迪信息技术有限公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。

商标信息Safetybase、LogBase均是杭州思福迪信息技术有限公司注册商标，受商标法保护。

目录第一章概述 (4)1.1 信息安全审计的必要性 (4)1.2 信息安全审计目标 (5)第二章 LogBase产品介绍 (6)2.1 产品概述 (6)2.2 体系结构 (7)第三章 LogBase功能介绍 (8)第四章 LogBase产品特性 (10)5.1 全面的日志采集能力 (10)5.2 可靠的安全保障能力 (10)5.3 专用的日志专家规则库 (10)5.4 灵活开放的查询条件 (11)5.5 高效的事件定位能力 (11)5.6 安全的旁路审计模式 (11)5.7 良好的扩展性设计 (12)5.8 丰富的合规性报表 (12)第五章典型部署 (13)第六章产品规格与指标 (14)6.1 审计主机规格指标 (14)6.2 硬件探测器性能指标 (15)第一章概述1.1 信息安全审计的必要性随着政府、企事业单位等各类组织的信息化程度不断提高，对信息系统的依赖程度也随之增加，如何保障信息系统安全是所有单位都十分关注的一个问题。

当前，大部分组织都已对信息安全系统进行了基本的安全防护，如实施防火墙、入侵检测系统、防病毒系统等。

然而，信息系统维护过程中依然还面临着诸多的困难及风险，如：✓系统运维风险：由于操作系统、硬件、应用程序等故障或配置错误导致系统异常运行，服务中断。

泰合信息安全运营中心系统（T S O C）XXXX项目解决方案建议书模板北京启明星辰信息技术股份有限公司Beijing Venus Information Tech. Inc.二零一二年五月目录泰合信息安全运营中心系统（TSOC）.......................... XXXX项目解决方案建议书模板................................ 1安全管理中心总体方案...................................遵循的标准.......................................遵循的国际国内标准和规范......................参考的企业标准、规范和指南....................平台总体方案体系架构.............................功能体系架构..................................平台软件架构.................................. 2平台的功能特点.........................................系统平台WEB门户入口界面.........................资产与业务域管理.................................资产管理......................................业务域管理....................................漏洞信息采集与脆弱性管理.........................漏洞信息采集..................................脆弱性管理....................................事件/业务安全监控管理............................事件采集与整合................................事件/业务安全可视化监控.......................宏观趋势分析.....................................综合关联分析.....................................规则关联分析..................................统计关联分析..................................漏洞关联分析.................................. 流量分析模型..................................... 基线管理......................................... 安全策略管理..................................... 网元管理功能.....................................拓扑监控......................................网元状态监控..................................TCP端口监控...................................数据库监控.................................... 工作流管理....................................... 设备控制管理..................................... 多级管理......................................... 风险监控与管理...................................事件风险监控..................................资产风险监控..................................安全域风险监控................................实时风险监控.................................. 安全预警管理..................................... 安全策略文档管理.................................安全信息知识库管理...............................综合显示与报表报告...............................安全响应管理.....................................用户管理.........................................系统健康管理..................................... 3典型应用...............................................系统部署.........................................多级部署.........................................日常管理......................................... 4方案特点与效果展示.....................................面向业务的资产与风险管理.........................安全事件和漏洞监控...............................多种响应方式.....................................多种关联分析方法.................................网元状态监控.....................................拓扑与GIS展示...................................丰富的知识库..................................... 1安全管理中心总体方案北京启明星辰信息技术股份有限公司泰合信息安全运营中心系统解决方案（以下简称“安全管理中心”）以实用性和可扩展性为设计指导思想，将安全管理员从复杂的设备配置和海量日志信息中解脱出来，把精力专注于发现和处理各种重要安全事件；同时又将各自独立的安全设备组成为一个有机的整体，通过基于资产管理的事件关联分析和管理，及时发现安全风险、安全事件和业务安全隐患，并结合安全策略和安全知识的管理，提供多种安全响应机制，从而使得客户能够实时掌控网络的安全态势。

审计日志设计架构
审计日志设计架构通常包含以下几个关键组件：
1. 审计日志生成器：负责收集和记录系统中的各种操作日志。

可以是独立的日志生成模块，也可以由应用程序内置的日志框架实现。

2. 日志存储引擎：用于存储生成的日志数据。

可以使用传统的关系型数据库，也可以采用分布式存储系统或日志管理工具。

存储引擎应具备高可用性和可扩展性。

3. 日志传输管道：负责将生成的日志数据传输到存储引擎。

可以使用网络传输协议（如HTTP、TCP/IP）或消息队列等方式实现。

4. 日志索引和查询服务：用于对存储的日志数据进行索引和查询。

可以使用全文索引引擎、NoSQL数据库或专门的查询引擎实现。

5. 可视化和报告工具：用于分析和展示日志数据。

可以通过图表、报表或仪表盘等形式，提供实时监控、告警和报告功能。

6. 安全和权限控制：设计审计日志时要考虑安全性和权限控制机制，确保只有授权的用户可以访问和修改审计日志数据。

7. 事件触发和通知：为了及时响应和处理异常事件，应设计能够触发预定义的事件，并通过通知方式实时通知相关人员。

总体上，审计日志的设计架构应考虑可靠性、可扩展性、实时性和可查询性，并结合具体应用场景和系统要求进行定制化设计。