日志综合分析与管理解决方案V11.doc

文档管理 文档信息 分发控制 版本控制 12 日志管理现状及面临的挑战 日志管理现状 面临的挑战 23 日志分析与管理的需求 34 方案设计 设计原则 体系结构 系统概述 方案实现功能 日志数据源 日志集中采集 日志存储 告警监控 基于日志的审计 方案功能特色 支持海量数据存储 多样化的报表 丰富的分析功能 支持通用日志采集 灵活扩充新设备 日志日常维护 资产管理 用户管理 系统管理l 145 实施与部署 146 方案成效 15文档管理文档信息文档名称泰合平台类系列解决方案(THS)之-、写文档作者2泰合中心审核文档审核者版本控制时间版本说明修改人日志管理现状及面临的挑战日志管理现状目前大多数企业,特别是大型企业、机构对于异构、海量日志数据没有很好的管理办法,结果往往是:日志采集效率低不能完全捕获,数据格式不统一,缺少标准化的技术手段。人员要求高系统管理人员面对浩如烟海的日志信息,首先面临的一个问题是如此浩大的工作量是人工所无法完成的,另外,要求系统管理人员能够理解日志信息的内涵,对管理人员的要求很高。各自为战,缺乏关联性不同的系统管理员分管不同的信息系统,难免出现各自为政的局面,但是事故发生前的一系列事件之间却存在紧密的联系,二者之间的矛盾导致事故难于处理。人力投入高,处理效果差海量日志数据需要系统管理人员手工维护和管理,导致分析时间长,关键时刻很难发现问题。面临的挑战大型企业的网络规模庞大、系统复杂,其中包含各种网络设备、服务器、工作站、业务系统等。同时安全领域也逐步发展成复杂和多样的子领域,例如访问控制、入侵检测、身份认证等等。这些安全子系统通常在各个业务系统中独立建立,随着大规模安全设施的部署,管理成本不断飞速上升,同时对这些安全基础设施产品和它们产生的日志信息的管理成为日益突出的问题。海量日志信息企业中存在的各种IT设备提供大量的安全信息,特别是安全系统,例如入侵检测系统、防火墙和漏洞扫描系统等。这些数量庞大的信息使得管理员疲于应付,容易忽略一些重要但是数量较少的告警。海量日志信息是现代企业安全管理和审计面临的主要挑战之一。孤立的安全信息相对独立的IT设备产生了相对孤立的日志信息。企业缺乏智能的关联分析方法,分析多个日志信息之间的联系,揭示安全信息的本质。例如什么样的安全事件是真正的安全事件,它是否真正影响到业务系统的运行等。缺少标准的数据格式另一个日志管理的障碍是计算机、防火墙、路由器、交换机,服务器和其他设备都有它们自己记录事件的格式,甚至同一厂家的不同服务器也会不同。Windows服务器有庞大的用户群,它就提供了几种不同格式的日志数据。日志分析与管理的需求通过对日志分析与管理(以下简称“系统”)的现状和面临的挑战,不难得到日志分析管理的需求:海量日志数据的集中管理。日志管理格式标准化。事前预警、事中监控和事后分析。制订统一的日志行业标准。对日志进行生命周期管理。符合政策、法规的规范性要求。方案设计设计原则为保证系统的有效运行,应遵循以下原则进行系统设计:开放性。日志分析与管理系统应参考各种相关的国际标准和安全标准。可扩展性。日志分析与管理系统设计时具备良好的扩展性,方便以后可以以之为基础增加其它系统功能。安全性。日志分析与管理系统涉及客户的敏感信息,在设计时充分考虑了所分析和管理数据的保密性、可用性、完整性的要求。体系结构体系结构图系统概述系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,同时保留原始的日志信息和日志格式,以便事后分析取证用,结合丰富的日志分析综合显示功能,实现对信息系统整体安全状况的全面管理。系统专注于对局域网、广域网和互联网上各类系统、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和进行事中监控、事后分析,同时也是支持分布式、跨平台的统一的日志综合分析与管理系统,可以对各类网络设备、安全设备、