日志综合分析与管理解决方案V1.1.doc

泰合中心
日志综合分析与管理系统
解决方案
北京启明星辰信息技术股份有限公司
Beijing Venus Information Tech. Inc.
200数据的集中管理。
日志管理格式标准化。
事前预警、事中监控和事后分析。
制订统一的日志行业标准。
对日志进行生命周期管理。
符合政策、法规的规范性要求。
方案设计
设计原则
为保证系统的有效运行，应遵循以下原则进行系统设计：
开放性。日志分析与管理系统应参考各种相关的台类系列解决方案（THS）之 日志综合分析与管理系统解决方案
5
可扩展性。日志分析与管理系统设计时具备良好的扩展性，方便以后可以以之为基础增加其它系统功能。
安全性。日志分析与管理系统涉及客户的敏感信息，在设计时充分考虑了所分析和管理数据的保密性、可用性、完整性的要求。
体系结构
体系结构图
系统概述
系统通过监测及采集信息系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，
泰合平台类系列解决方案（THS）之 日志综合分析与管理系统解决方案
5
以统一格式的日志形式进行集中存储和管理，同时保留原始的日志信息和日志格式，以便事后分析取证用，结合丰富的日志分析综合显示功能，实现对信息系统整体安全状况的全面管理。
系统专注于对局域网、广域网和互联网上各类系统、应用和设备的安全事件、用户行为、系统状态的实时采集、实时分析、异常报警、集中存储和进行事中监控、事后分析，同时也是支持分布式、跨平台的统一的日志综合分析与管理系统，可以对各类网络设备、安全设备、操作系统、WEB服务、中间件、数据库和其它应用进行全面的基于日志的安全审计。
方案实现功能
方案实现的功能用一句话总结就是，实现了日志的生命周期管理。
日志分析与管理系统实现了从原始日志（Raw Log）产生、到原始日志的采集（日志采集中心）、到日志综合分析处理和存储（综合分析与统一存储），以及最后的基于日志的管理与审计（综合显示中心）的整个生命周期管理。日志信息及其处理、统计的结果可以以图形、折线等丰富的表现形式进行展现。为了方便管理人员的集中管理，系统提供自管理模块，可以方便地管理用户、被管理的设备和权限以及自身健康状态监控等。
泰合平台类系列解决方案（THS）之 日志综合分析与管理系统解决方案
6
日志生命周期
日志数据源
系统采集的数据来源于网络系统中已经部署的已有的网络安全系统、主机系统和网络系统。如，防火墙/UTM、入侵检测系统、防病毒系统、网络审计系统、漏洞扫描系统、网络交换机、路由器、主机/服务器、数据库和应用服务器等。上述日志数据源具有不同的日志格式，如下图所示：
泰合平台类系列解决方案（THS）之 日志综合分析与管理系统解决方案
7
日志数据源格式
日志集中采集
系统通过多种采集方式实现对不同类型数据源的采集，支持的数据采集方式包括：
1、Syslog方式，支持SYSLOG协议的设备，如：防火墙、UNIX服务器等；
2、ODBC/JDBC方式，支持数据库联接的设备，如：启明星辰天镜漏洞扫描；
3、SNMP Trap方式，支持SNMP协议的设备，如：交换机、路由器、启明星辰天阗入侵检测等；
4、XML方式，支持HTTP协议的设备，如：Nessus漏洞扫描系统；
5、EventLog方式，支持Windows平台；
6、特定接口方式，对于不支持通用协议的设备，需要定制开发，如：某网闸隔离系统。
7、VIP（Venus Interface Protocol）方式，如启明星辰公司的天阗入侵检测系统。
日志收集之后进行范式化以统一日志格式。
泰合平台类系列解决方案（THS）之 日志综合分析与管理系统解决方案
8
网络设备的信息采集
系统目前通过使用Syslog协议采集CISCO、华为等主流网络交换机、路由器的日志信息，同时能够通过SNMP协议采集上述网络设备的状态信息。通过同样方式可快速提供对用户现有的3Com、北电网络设备的支持。
在实施过程中，只需在系统的信息管理服务器或采集器上部署Syslog服务代理，在被审计网络设备上指定Syslog服务代理的位置，即可对网络设备的日志信息进行采集。
安全设备的信息采集
系统能通过采用Syslog、SNMP Trap等协议采集主流安全设备的安全日志和安全事件报警信息，并能通过与第三方厂商的沟通与合作支持更多的安全设备。目前能够支持的安全设备种类包