网御星云日志审计系统产品白皮书V

密级：公幵

目录

1 日志审计的需求与挑战.......................

1.1日志审计需求分析.....................

1.2日志审计面临的挑战....................

1.3产如白皮书挑战........................

网御安全管理系

统-日志审计系统产品综

述

2.1产品简介..........................

2.2系统组成..........................

2.3系统结构..........................

2.4产品功能规格........................

2.5支持审计数据源........................ 2.6 产品型号规格.........................

261 软件型规格.......................

2.6.2 硬件型规格.......................

3典型部署...............................

3.1单级部署..........................

3.2级联部署..........................

4产品特点.............................

4.1高性能的日志管理技术架构..................

4.2详尽的日志范式化与日志分类.................

4.3集中化的日志综合审计...................

4.4可视化日志审计.......................

4.5丰富灵活的报表报告.....................

4.6对用户网络和业务影响最小..................

4.7友好的用户交互体验.....................

4.8完善的系统自身安全性保证..................

4.9无缝向安全管理平台扩展

5产品功能.............................

5.1综合展示..........................

5.2资产管理..........................

5.3日志米集..........................

5.4日志范式化与分类......................

5.5日志过滤与归并.......................

5.6日志转发..........................

5.7日志采集器管理.......................

5.8日志代理..........................

5.9日志存储..........................

5.10日志实时监视.......................

5.11日志统计分析.......................

5.12日志查询.........................

5.13规则告警.........................

5.14报表管理..........................

5.15参考知识管理........................

5.16用户管理..........................

5.17系统管理? ........................

6产品价值.............................

6.1全生命周期日志管理 .....................

6.2日常安全运维工作的有力工具 ..................

6.3遵照等级保护的审计要求 ................... 6.4契合合规与内控的审计要求 ...................

日志审计的需求与挑战

日志审计需求分析

日志，是对IT 系统在运行过程中产生的事件的记录。通过日志，IT 管理人员可以了解系统的运行状况。而通过对安全相关的日志的分析，IT 管理者可以检验信息系统安全机制的有效性，这就是安全日志审计，简称日志审计。而日志的产生、收集、审计分析和存储的全过程称作日志管理。

日志审计需求主要源自于两个方面的驱动力。

一方面，从企业和组织自身安全的需要出发，日志审计能够帮助用户获悉信息系统的安全运行状态，识别针对信息系统的攻击和入侵，以及来自内部的违规和信息泄露，能够为事后的问题分析和调查取证提供必要的信息。有研究指出，69%的攻击行为实际上都有日志留存，而根据国际着名的安全研究与教育组织SANS发布的《2011年度日志管理调查报

告》显示，在受访的747 个大中小规模的组织中，超过89%的组织都进行了日志管理。而他们进行日志管理的首要原因是监测与跟踪可疑的行为，例如非授权访问、内部信息泄露，等等。

另一方面，从国家法律法规、行业标准和规范的角度出发，日志审计已经成为了满足合规与内控需求的必备功能，例如：

GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要

求》对于二级以上信息系统，在网络安全、主机安全和应用安全等基本要求

中明确要求进行安全审计。而日志审计是符合这些要求的基本手段。

《互联网安全保护技术措施规定》（公安部82号令）第八条要求

具备“记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件

等安全审计功能”。

《商业银行内部控制指引》第一百二十六条指出“商业银行的网络设备、操

作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足

各类内部和外部审计的需要”。

《银行业信息科技风险管理指引》第第二十七条要求银行业应制

定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取

证分析和预防欺诈。

《保险公司信息系统安全管理指引（试行）》第四十四条要求“对主机系统

进行审计，妥善管理并及时分析处理审计记录。对重要用户行为、异常操作

和重要系统命令的使用等应进行重点审计”。

日志审计面临的挑战

当前客户在进行日志审计的过程中几乎都面临着相似的挑战。这其中

最主要的三个挑战是：日志分散、日志格式不统一、日志量巨大。

日志分散