SECFOXLASV5.0日志审计系统产品白皮书REV1WWW.CAPITEL.CC.doc

《SECFOXLASV5.0日志审计系统产品白皮书REV1WWW.CAPITEL.CC.doc》由会员分享，可在线阅读，更多相关《SECFOXLASV5.0日志审计系统产品白皮书REV1WWW.CAPITEL.CC.doc（28页珍藏版）》请在三一办公上搜索。

1、SecFox-LAS日志审计系统产品白皮书SecFoxLog Audit SystemProduct White PaperV5.0Revision 12009年3月保密申明本文档版权由网御神州有限公司所有。未经网御神州有限公司许可，任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部，并以任何形式传播。目录目录21SecFox安全管理概述32SecFox-LAS日志审计系统43产品特点63.1统一日志监控63.2全面的日志采集手段73.3丰富的日志类型支持83.4灵活的部署模式93.5遵照合规性要求的日志审计103.6日志归一化和实时关联分析113.7高性能日志采集分析与海量存储123.

2、8启发式事件追踪123.9可视化日志分析133.10快速响应和协同防御144产品简介164.1产品组成164.2功能列表174.3性能指标184.4部署方式184.4.1单一部署（Stand-alone）184.4.2主从部署（Master-Slave）204.4.3混合部署（Hybrid）204.5系统自身安全性保证214.6支持的产品215产品价值和优势245.1价值245.2优势246产品运用267关于网御神州281 SecFox安全管理概述SecFox是网御神州科技（北京）有限公司自主研发的新一代安全管理系统。网御神州科技（北京）有限公司作为一支长期在安全管理领域奋斗的高素质研发团队，

3、凭借对安全管理的深刻理解和在安全领域丰富的研发经验，厚积薄发，打造出了一套高起点、全方位、多层次，集网络管理、安全管理、运维管理三位于一体的统一管理系统。SecFox的安全管理理念是：首先，通过对客户IT资源中包括网络设备、安全设备、主机和应用在内的节点进行统一监控，保障IT资源的整体运行安全，及时发现网络和系统主机的故障和性能瓶颈；其次，通过实时获取IT资源中的各类安全信息，进行关联分析，实现IT资源的安全态势感知，对内部违规和外部入侵行为进行审计；然后，将IT资源的所有资产和威胁信息汇集到一起，通过决策分析获得可测量的安全风险，并借助标准化的运维流程支撑平台对IT资源实施有效的安全策略调整

4、。最后，整个监控、审计和决策过程都统一在一体化管理平台之下，构建起面向整体IT资源的全面可控安全管理体系。SecFox安全管理模型如下图所示。统一管理安全决策安全审计安全监控SecFox安全集中管理平台由安全监控、安全审计和安全决策三部分组成。本产品白皮书主要介绍的产品是隶属于安全审计的SecFox-LAS日志审计系统。2 SecFox-LAS日志审计系统当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击，也有来自于企业和组织内部的违规和泄漏。为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、

5、UTM，等等。这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。下表简要列举了部分相关法律法规对于日志审计的要求：法律法规相关条款与日志审计相关的主要内容信息系统安全等级化保护基本要求对于网络安全、主机安全和应用安

6、全部分从二级开始，到四级都明确要求进行日志审计。ISO27001:2005 4.3.3记录控制记录应建立并加以保持，以提供符合ISMS要求和有效运行的证据。企业内部控制基本规范第四十一条企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。（注：间接要求安全审计）商业银行内部控制指引第一百二十六条商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。银行业信息科技风险管理指引第二十五条对于所有计算机操作系统和系统软件的安全，在系统日志中记录不成功的登录、重要系统

7、文件的访问、对用户账户的修改等有关重要事项，手动或自动监控系统出现的任何异常事件，定期汇报监控情况。第二十六条对于所有信息系统的安全，以书面或者电子格式保存审计痕迹；要求用户管理员监控和审查未成功的登录和用户账户的修改。第二十七条银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。证券公司内部控制指引第一百一十七条证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能。证券公司信息系统日志应至少保存15年。互联网安全保护技术措施规定（公安部82号令）第八条记录、跟踪网络运行状态，监测、记录用户各种信息、网络安全事件等安全

8、审计功能。萨班斯（SOX）法案第404款公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。（注：在SOX中，信息系统日志审计系统及其审计结果是评判内控评价有效性的一个重要工具和佐证）尤其是国家信息系统等级保护制度的出台，明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。综上所述，企业和组织迫切需要一个全面的、面向企业和组织IT资源（信息系统保护环境）的、集中的安全审计平台及其系统，这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志，并进行存储、监控、审计、分析、报警、响应和报告。网御神州借助在

9、安全领域的长期积累，结合中国信息安全领域的特殊性，自主研制出了面向中国客户的安全日志审计平台SecFox-LAS（Log Audit System），真正满足了客户的安全审计需求。SecFox-LAS日志安全审计系统作为一个统一日志监控与审计平台，能够实时不间断地将企业和组织中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全网综合安全审计。如果客户网络中重要网络和业务系统无法产生日志，SecFox-LAS也能够通过部署硬件探测器的方式主动侦测网络中的协议通讯，并转化为日志，汇集到审计中心。SecFox-LAS能够实时地对采集到的

10、不同类型的信息进行归一化和实时关联分析，通过统一的控制台界面进行实时、可视化的呈现，协助安全管理人员迅速准确地识别安全事故，消除了管理员在多个控制台之间来回切换的烦恼，同时提高工作效率。SecFox-LAS能够实时采集NetFlow数据流，对一段时间内的网络流量或者网络连接数进行统计，并描绘趋势曲线。通过对某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，进而对异常流量和行为进行审计。对于集中存储起来的海量信息，SecFox-LAS可以让审计人员借助历史分析工具对日志进行深度挖掘、调查取证、证据保全。SecFox-LAS能够自动地或者在管理员人工干预的情况下对审计告警进行各种响应，并与包

11、括各种类型的交换机、路由器、防火墙、IDS、主机系统等在内的众多第三方设备和系统进行预定义的策略联动，实现安全审计的管理闭环。SecFox-LAS为客户提供了丰富的报表模板，使得用户能够从各个角度对企业和组织的安全状况进行审计，并自动、定期地产生报表。用户也能够自定义报表。3 产品特点SecFox-LAS日志审计系统的主要特点包括以下十个方面：1) 统一日志监控2) 全面的日志采集手段3) 丰富的日志类型支持4) 灵活的部署模式5) 遵照合规性要求的日志审计6) 日志归一化和实时关联分析7) 高性能日志采集分析和海量存储8) 启发式事件追踪9) 可视化日志分析10) 快速响应和协同防御3.1

12、统一日志监控SecFox-LAS将企业和组织的IT资源环境中部署的各类网络或安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警全部汇集起来，使得用户通过单一的管理控制台对IT环境的安全信息（日志）进行统一监控。统一安全监控给客户带来的直接收益就是态势感知（Situation Awareness）。通过态势感知，客户实现对全网综合安全的总体把控。态势感知的核心客户体验是SecFox特有的智能监控频道（SecMonitor Channel）：每个频道包括多个监控窗口，可以显示多方面的安全信息，窗口可以缩放、可以移动换位、可以更换布局、可以调台，显示管理员想看的内容。SecF

13、ox-LAS提供丰富的频道切换器，用户可以在不同的频道间切换。同时，用户也可以自定义频道。态势感知不是简单的信息堆积和罗列，这些信息是统一收集并归一化之后的信息，是用一种共同语言表达出来的。否则的话，不同的事件用各自的语言表达出来，意思各不相同，用户就会陷入管理的泥沼。借助SecFox-LAS的统一日志监控，用户不必时常在多个控制台软件之间来回切换、浪费宝贵的时间。与此同时，由于企业和组织的所有安全信息都汇聚到一起，使得用户可以全面掌控IT环境的安全状况，对安全威胁做出更加全面、准确的判断。借助SecFox-LAS，用户可以进行细致深入的安全日志查询、分析、审计，出具各种审计报表报告。3.2

14、全面的日志采集手段SecFox-LAS能够通过多种方式全面采集网络中各种设备、应用和系统的日志信息，确保用户能够收集并审计所有必需的日志信息，避免出现审计漏洞。同时，SecFox-LAS尽可能地使用被审计节点自身具备的日志外发协议，尽量不在被审计节点上安装任何代理，保障被审计节点的完整性，使得对被审计节点的影响最小化。SecFox-LAS支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA、内部私有TCP/ UDP等网络协议进行日志采集。针对能够产生日志，但是无法通过网络协议发送给SecFox-LAS的情形，系统为用户提供一个软件的通用日志采集器（Generi

15、c Log Collector，简称GLC，也称为事件传感器）。该日志采集器能够自动将指定的日志（文件或者数据库记录）发送到审计中心。例如，针对Windows操作系统日志、Norton的防病毒日志，等等。如果客户网络中无法采集日志，则可以在网络中部署一个硬件探测器 SecFox-LAS的硬件探测器是选配件，下同。设备主动的收集网络中的通讯信息，转化为日志，并传送给SecFox-LAS。例如，该硬件探测器可以旁路部署在数据库系统所在的交换机旁边，侦听并分析数据库访问操作的指令，并转化为操作日志送到SecFox-LAS审计中心。可见，SecFox-LAS中的日志已经超越了传统日志的概念，真正实现了

16、对全网IT资源的日志产生、收集、分析和审计。3.3 丰富的日志类型支持SecFox-LAS能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计。目前，SecFox-LAS能够审计的日志类型和内容如下表所示 产品支持的日志类型在不断更新，如需要最新的日志类型支持情况请向网御神州索取。：审计日志类型审计日志内容Windows操作系统l 账户登录日志l 账户管理日志l 目录服务访问日志l 审核登录日志l 对象访问日志l 审核策略更改日志l 特权使用日志l 详细跟踪日志l 审核系统日志l 文件操作

17、日志：指定目录下的文件/子目录修改、删除日志l 操作系统性能日志*NIX操作系统（Solaris、 HP-UX、Linux、 AIX等）l 账户登录注销日志l 服务启停日志l 帐户管理日志l su日志l MODEM活动日志l FTP会话l Web访问日志防火墙、VPN（网御神州、天融信、启明星辰、联想网御、东软、H3C、Cisco、Juniper、CheckPoint、Array等）l 安全规则日志：l IDS阻断日志l 连接阻断日志l 连接通过日志 l NAT日志l 代理日志l IDS日志l VPN日志l 用户认证日志l 内容过滤日志l 病毒过滤日志l 设备状态日志l HA日志l 设备性能日

18、志交换机/路由器（Cisco、华为、H3C、神州数码等）l 操作日志l 设备故障日志l 设备性能日志l 设备状态日志：例如端口开关，设备启动与停止，等等负载均衡、流控设备（F5等）l 操作日志l 设备状态日志l 系统日志入侵检测系统、入侵防御系统（网御神州、天融信、启明星辰、联想网御、H3C等）l 入侵告警日志l 系统规则库升级日志l 系统登录注销l 系统启停防病毒系统、防病毒网关（网御神州、McAfee、Norton、金山、江民、瑞星等）l 病毒日志l 攻击日志l 病毒扫描日志l 漏洞扫描日志l 防病毒系统配置变更日志l 病毒库升级日志l 系统启停l 系统登录注销WEB服务器（MS IIS、

19、Apache、Tomcat等）l 系统日志l 错误日志l 访问日志数据库系统（SQL Server、DB2、Informix、Sybase等）l 系统日志l 访问操作日志l 错误日志中间件系统（WebLogic、IBM WebSphere等）l 系统日志l 错误日志l 访问日志应用系统安全l 账户锁定日志l 登录失败日志l 连接阻断日志l 登录尝试日志l QQ使用日志l MSN使用日志l 常见网络病毒l 常见网络游戏l 常见P2P下载日志远程登录l FTP登录和注销日志l Telnet登录和注销日志通用日志l Syslog日志l Snmp trap日志l Netflow日志SecFox-LAS

20、目前支持国内外大部分主流的设备、系统品牌和型号，具体请参见4.6小节。3.4 灵活的部署模式SecFox-LAS的部署方式十分灵活，对网络环境的适应性极强，既能够支持单一的中小型网络，也支持跨区域、分级分层、物理/逻辑隔离的大规模网络。SecFox-LAS产品分为软件形态和硬件形态两种，用户可以根据自身需要选择。针对单一的网络，用户既可以购买软件版，也可以购买硬件版，只需要将系统以单一（Stand-alone）部署的模式安放在任何网络可达的位置即可，无需更改现有网络的任何拓扑结构。系统安装上线后，将网络中设备、应用和系统的日志发送目标地址指向审计中心即可。针对物理/逻辑隔离的网络环境，用户可以

21、选购具有多端口采集（Multi-Port Collection）功能的SecFox-LAS硬件型产品。例如，针对电子政务网络中典型的内外网隔离的情况，SecFox-LAS支持两个日志采集端口，分别采集内网和外网的日志信息，并借助权限管理功能，分别进行内网和外网的日志审计。同时，借助SecFox-LAS的事件关联分析引擎，还能够发现跨内外网的违规行为。再例如，SecFox-LAS支持同时采集多个VLAN中的设备、应用和系统的日志信息。针对跨区域、分级分层的大规模网络，SecFox-LAS支持主从式（Master-Slave）部署模式。首先，在不同的物理节点上部署多套SecFox-LAS系统；然后

22、，借助SecFox-LAS内置的级联功能，可以实现一对多的主从式连接，即多个从SecFox-LAS系统将指定的日志和告警汇集到主SecFox-LAS系统。通过主从式部署，实现了大规模网络尤其是跨广域网环境下的日志综合审计。最后，SecFox-LAS还支持混合（Hybrid）部署模式。如果客户网络中无法采集日志，则可以在网络中部署一个硬件探测器设备或者SecFox-NBA网络行为分析系统主动收集网络中的通讯信息，转化为日志，并传送给SecFox-LAS。例如，该硬件探测器或者SecFox-NBA网络行为分析系统采用旁路部署（共享Hub/交换机端口镜像/网络分接TAP）的方式放置在数据库系统所在的

23、交换机旁边，侦听并分析数据库访问操作的指令，并转化为操作日志送到SecFox-LAS管理中心。具体部署方式请参见4.4小节。3.5 遵照合规性要求的日志审计信息系统审计 有关信息系统（IS）审计的更详细内容请参见信息系统审计与控制协会（ISACA）的网站：www.isaca.org。是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。为了建立健全内控体系，国家、行业都颁布了一系列的法律法规，从美国的SOX方案，到国内针对电子政务、央企、银行、证券、基金、保险、上市公司的信息系统风险保障和内控的指引、条例和文件，以及最新颁布的

24、企业内部控制规范基本规范。所有这些法律法规都直接或者间接的指出了要将日志审计作为信息系统审计的基本技术手段。此外，信息系统安全等级化保护基本要求也对安全审计、尤其是日志审计做出了明确的要求：企业内部控制基本规范的第四十一条要求“企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制，保证信息系统安全稳定运行。”商业银行内部控制指引的第一百二十六条要求“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。银行业信息科技风险管理指引第二十一条明确要求商业银行信息科技部门要“定期向信息科技管

25、理委员会提交本银行信息安全评估报告”，“信息安全策略的制定应涉及合规性管理领域”。第二十七条指出“银行业应制定相关策略和流程，管理所有生产系统的日志，以支持有效的审核、安全取证分析和预防欺诈。”证券公司内部控制指引第一百一十七条要求“证券公司应保证信息系统日志的完备性，确保所有重大修改被完整地记录，确保开启审计留痕功能。证券公司信息系统日志应至少保存15年”。信息系统等级化保护基本要求的技术要求中，从第二级开始，针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在管理要求中，“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储；从第三级开始提出了“监控管理与安全管理中心”的控

26、制点要求。大量的审计实践表明，日志审计是信息系统审计最基本而且必要的技术手段，也是投入产出比最高的方式。SecFox-LAS特有的基于规则的审计引擎能够为各个行业客户制定出与上述要求相一致的实时/历史审计场景。3.6 日志归一化和实时关联分析SecFox-LAS收集企业和组织中的所有安全日志和告警信息，通过归一化和智能日志关联分析引擎，协助用户准确、快速地识别安全事故，从而及时做出响应。日志归一化是SecFox-LAS区别于传统安全日志审计系统的关键特征。SecFox-LAS将异构的日志变成系统可识别的统一的日志，屏蔽了不同厂商以及不同类型的产品之间的日志差异，使得日志关联分析成为可能；而传统

27、的日志审计系统仅针对原始日志的时间、源/目的IP地址等信息进行简单分解，其他主要内容则原封不动，全部存储在数据库中，仅仅提供普通的日志查询功能。更加地，SecFox-LAS在进行日志归一化的同时，还保留了原始日志记录，便于将来进行具有司法证据效力的调查取证分析。实时关联分析是SecFox-LAS的核心，也是该系统区别于传统安全日志审计系统的最关键特征。正是通过关联分析，将来自不同信息源的日志融合到一起，发掘出日志之间的关系，找到真正的外部入侵和内部违规。外部入侵和内部违规行为从来都不是单一的行为，都是有时序或者逻辑上的联系的，黑客的攻击和内部的违规操作往往是分为若干步骤的，每个步骤都会在不同的

28、设备和系统上留下蛛丝马迹，单看某个设备的日志可能无法发现问题，但是将所有这些信息合到一起，就可能发现其中的隐患，而这正是关联分析的目的所在。很重要地，关联分析必须是实时的，SecFox-LAS在采集和归一化日志后，一方面将日志存入数据库，另一方面同步地在内存中（In-Memory）进行实时关联分析。实时性确保了日志被及时审计，同时能够快速发现安全隐患。实时关联分析的核心是SecFox独有的基于安全监测、告警和响应技术（Security Monitor, Alert and Response Technology，简称SMARTTM）的事件关联分析引擎。在关联规则的驱动下，SMARTTM事件关联

29、分析引擎能够进行多种方式的事件关联，包括统计关联、时序关联、单事件关联、多事件关联、递归关联，等等。SecFox具有国内绝对领先的事件关联分析核心技术，申请了2项专利技术，拥有完全自主知识产权。3.7 高性能日志采集分析与海量存储SecFox-LAS可以将采集来的所有日志、事件和告警信息统一存储起来，建立一个企业和组织的集中日志存储系统，实现了国家标准和法律法规中对于日志存储的强制性要求，降低了日志分散存储的管理成本，提高了日志管理的可靠性，消除了本地日志存储情况下可能被抹掉的危险，也为日后出现安全事故的时候增加了一个追查取证的信息来源和依据。SecFox-LAS具有海量日志接收和存储的能力。

30、一台SecFox-LAS-R4系统接收的速率峰值能够达到30000条每秒，以平均每秒6000条的规模处理和关联分析日志，并能够在线存储 在线存储是指将数据放置于SecFox-LAS在线分析系统中，用户可以随时查询和分析这些数据。相对地，离线存储是指将数据压缩后放置于SecFox-LAS的归档系统中。多达10亿条日志记录，相当于管理约800G的数据量。加上系统的数据归档与离线存储功能，SecFox-LAS能够存储的数据量大小仅取决于服务器磁盘存储空间的大小。借助SecFox-LAS分布式部署的方案，日志存储性能还能提升。SecFox-LAS在进行数据管理的时候，对数据存储算法进行了充分优化，使得

31、使用小型数据库的情况下就达到了上述性能。此外，用户在使用本系统的时候，无需购买额外的数据库管理系统和许可，也不必花费专门的精力去维护数据库，这些都大大降低了用户的总拥有成本。SecFox-LAS提供多种日志存储策略，能够方便地进行日志备份和恢复。3.8 启发式事件追踪SecFox-LAS具备强大的事件追踪能力。借助事件关联分析技术和数据挖掘技术，系统具备启发式事件追踪（Heuristic Event Tracing）功能，用户可以对任何可疑事件进行追踪，帮助管理员一查到底，方便、快捷、高效。例如，用户根据统计图表显示的内容可以查看事件明细，对于明细记录可以进行事件定位，可以查看事件图，也可以对

32、某条事件中感兴趣的源IP地址、目的IP地址、或者目的端口进行相关性日志进行追溯和追踪。同时，该追踪过程可以递归进行下去，直到找到用户关心的日志。3.9 可视化日志分析事件可视化（Event Visualization）是指SecFox-LAS以图形化的方式将归一化和关联分析后的事件及其事件之间的关系形象展示出来的过程。事件可视化不是简单的柱图、饼图、曲线图等统计趋势图表的展示，必须反映出大量事件之间的相互作用关系。事件可视化是实时的，将安全管理和运维人员从繁重的事件查看工作中解脱出来，及时直观地进行事件调查，发现安全威胁。SecFox-LAS具备强大的事件可视化能力，变用户日常安全管理的认知为

33、感知。SecFox-LAS的安全事件可视化包括：1. iGPS事件全球定位系统（incident Global Position System）：在世界地图上实时定位源/目的IP地址的地理位置。系统内置世界地图，也支持通过Google Earth进行定位。2. AID主动事件图（Active Incident Diagram）：通过将数千条事件记录及其这些事件之间的关联关系变成一幅事件图，形象地展现出当前网络安全状态，一目了然。3. EBA事件行为分析（Event Behavior Analysis）：将一段时间内的事件按照不同的属性进行排列和连接，形象地展示在坐标轴上，让管理员一目了然的看到

34、事件所代表的用户（IP）行为。4. DRD动态雷达图（Dynamic Radar Diagram）：实时的将当前系统接收到的事件按照严重性和数量动态以时间切片的方式展现在雷达窗口中，让管理员及时了解当前阶段的安全态势。3.10 快速响应和协同防御SecFox-LAS在识别出安全事故后，能够自动或者用户手工的对威胁进行响应，采取安全对策，从而形成安全审计的闭环。SecFox-LAS由于可以综合分析来自防火墙、IDS、系统日志、网络等等一系列的信息，因而能够更为精确地定位安全威胁，使得实时自动阻止攻击变得更加可行。在发生告警后，SecFox-LAS可以通过电子邮件、SNMP Trap等方式对外发出

35、通告；能够执行预定义命令行程序，并将事件属性作为参数传递给该命令行程序。SecFox-LAS可通过与网络设备或安全设备共同协作来关闭威胁通信，以阻止正在进行的攻击。SecFox-LAS可以与众多第三方网络设备、安全设备进行联动。例如，在发现攻击后，阻断网络交换机的端口，或者更改防火墙和入侵检测系统的安全规则，阻止攻击的扩散和恶化。SecFox-LAS支持与市场上大部分安全设备和网络设备之间的策略联动。此外，通过SecFox-LAS与网御神州其他SecFox安全管理模块的综合使用，可以实现完整的从安全风险监控、分析到决策的安全管理流程的闭环。SecFox-LAS的响应方式包括带内响应和带外响应两

36、种。前面提到的是带内响应，即依靠现有的网络基础设施进行响应。带外响应则可以在网络已经出现运行中断的情况下发出重要的安全事件，及时提醒管理员，使得管理员通过收到的告警进行分析和快速响应。SecFox-LAS支持的典型带外响应方式包括短信告警等。4 产品简介4.1 产品组成SecFox-LAS产品包括管理（审计）中心和可选的日志采集器两个部分。产品采用B/S架构，管理员无需安装任何客户端软件，通过IE浏览器登录管理中心即可进行各种操作。其中，管理中心包括硬件和软件两种形态供用户选择。各部分的运行环境如下：n SecFox管理中心（软件型）平台支持的操作系统系统需求WindowsWindows 20

37、00 ServerWindows Server 2003系列Windows XP Professional-最低Pentium 4 2.93GHz CPU，推荐使用Intel Pentium Xeon 1.6GHz 以上CPU-至少2GB内存，推荐4GB内存-200GB磁盘空间 实际磁盘空间大小取决于需要存储的数据量或者在线存储的时间。LinuxRedhat Enterprise Linux 5-最低Pentium 4 2.93GHz CPU，推荐使用Intel Pentium Xeon 1.6GHz 以上CPU-至少2GB内存，推荐4GB内存-200GB磁盘空间 实际磁盘空间大小取决于需要存

38、储的数据量或者在线存储的时间。n SecFox管理中心（硬件型，可选）型号规格指标SecFox-LAS-R3-2U标准机架式，可扩展冗余电源-4核硬件架构、专用千兆硬件平台和安全操作系统-2个千兆电口，可扩展到4个千兆采集口（电口/光口）-采集事件性能峰值超过15000EPS，平均事件关联分析性能达到3000EPS-自带1.5TB热插拔硬盘，支持Raid，硬盘容量可以扩展SecFox-LAS-R4-2U标准机架式，可扩展冗余电源-8核硬件架构、专用千兆硬件平台和安全操作系统-2个千兆电口，可扩展到4个千兆采集口（电口/光口）-采集事件性能峰值超过30000EPS，平均事件关联分析性能达到600

39、0EPS-自带2.5TB热插拔硬盘，标配采用Raid5，有效容量2TB，硬盘容量可以扩展-支持外接存储，例如DAS、NAS、SAN等；支持光纤接口n 通用日志采集器（可选）通用日志采集器运行在安装了Windows系列操作系统的主机和服务器上。通用日志采集器能够主动的收集主机、服务器和应用系统产生的日志和告警信息，例如Microsoft Windows操作系统和主机防火墙日志，诺顿、瑞星的病毒日志，Oracle、SQL Server等数据库日志，Microsoft IIS、Apache等WEB服务器的日志，中间件系统日志，应用系统日志，Microsoft ISA等代理服务器日志，等等。n 硬件探

40、测器设备（可选）如果客户网络中无法采集日志，则可以在网络中部署硬件探测器设备主动的收集网络中的通讯信息，转化为日志，并传送给SecFox-LAS。SecFox-LAS提供多种硬件探测器设备 具体的探测器型号请参见SecFox-NBA网络行为审计系统系列产品的组成说明。供用户选择和组合。n Web控制台（仅需要安装浏览器即可，无需安装客户端）平台支持的操作系统系统需求WindowsMicrosoft Windows 2000 系列Microsoft Windows 2003系列Microsoft Windows XP系列-最低Pentium III 1.1GHz CPU-至少512MB内存-1G

41、磁盘空间-16位真彩，建议分辨率为1024768以上-Internet Explorer 7.0以上4.2 功能列表功能点说明管理范围能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库以及各种应用系统的日志、事件、告警等安全信息进行全面的审计智能监控频道智能监控频道为用户提供了一个从总体上把握企业和组织整体安全情况的界面。通过监控频道，用户可以快速导航到系统的各个功能界面，可以看到当前企业和组织的整体安全等级资产管理按照设备资产重要程度和管理域的方式组织设备资产，提供便捷的添加、修改、删除、查询与统计功能，便于安全管理和系统管理人员能方便地查找

42、所需设备资产的信息，并对资产关键度赋值事件采集和归一化通过 SNMP、Syslog、数据库、文件、NetFlow、OPSEC LEA、软件日志采集器、硬件探针等多种方式完成数据收集功能。收集后进行字段和安全等级的归一化处理，并保留原始日志事件监视、分析和响应监控管理人员可以通过事件分析对来自企业和组织所有的事件进行实时监视、查询、分析、历史分析和事件统计，从而快速识别安全事故。所有的事件分析都以场景的方式列举出来，管理人员可以方便的在各种分析场景之间快速切换，提高分析工作的效率。在识别出安全事故后，自动告警，监控管理人员能够及时进行响应处理，响应方式包括发送邮件、SNMP Trap、执行程序脚

43、本，等等趋势分析通过采集NetFlow数据流或者防火墙的网络流量日志，对最近一段时间的网络流量或者网络连接数进行统计，并描绘趋势曲线。通过某个IP地址的流量趋势分析获悉该IP地址的访问流量模型，并发现异常流量和行为事件追踪和可视化用户可以对关联事件进行追溯；可以通过事件调查工具对某条感兴趣的日志中的源IP地址、目的IP地址、或者目的端口进行相关性日志检索；可以对历史事件进行行为分析；可以对重要事件分配黑白名单。系统具备多种可视化功能将事件展示出来规则管理在事件关联分析引擎的驱动下，根据事件关联规则，针对来自企业和组织的海量事件进行关联分析，抽取出对于安全管理人员真正有用的安全信息，从而协助安全

44、管理人员快速识别安全事故报表管理提供丰富的报表管理功能。根据时间、数据类型等生成报表，提供打印、导出以及邮件送达等服务；直观地为管理员提供决策和分析的数据基础，帮助管理员掌握网络及业务系统的状况。报表可以保存为html、excel、文本、pdf等多种格式权限管理采用基于角色的权限管理机制，通过角色定义支持多用户访问。角色能够从设备和功能两个维度进行定义，从而达到对每一台设备、每一项功能进行操作的控制粒度系统配置系统自身的健康状况监控，以及对系统的各项配置工作其他用户使用模式无需安装客户端，使用IE浏览器访问管理中心部署方式可以独立部署，也可以级联部署4.3 性能指标l 优化配置 这里，优化配置

45、是指采用双Intel XEON4核CPU、4GB内存、无RAID的情况。如果用户采用更高性能的CPU、更大容量的内存和基于RAID的SAS硬盘，事件采集和处理性能还能够提升。下同。下日志实时接收能力峰值超过30000条/秒（EPS）l 优化配置下日志实时处理分析平均达到6000条/秒（EPS）l 事件存储量仅取决于系统所用存储空间大小l WEB控制台登录管理中心的用户最大并发连接数：50个l 日志采集器对于所在主机和服务器的CPU利用率占用值小于2%4.4 部署方式4.4.1 单一部署（Stand-alone）SecFox-LAS可应用于各种大中小型企事业单位和机构，其办公地点可能分布在许多地

46、方，他们的业务系统需要跨越不同的局域网段来部署。典型的，将SecFox-LAS管理中心服务器放置在网管中心或者安全中心，然后对被审计对象进行必要的配置，使得他们的日志信息能够发送到管理中心。管理员通过浏览器可以从任何位置登录管理中心服务器，进行各项操作，如下图所示：特别地，借助SecFox-LAS硬件型产品独有的多端口采集（Multi-Port Collection）技术，系统支持同时采集多个不同网段的日志信息。这种部署方式适用于物理或者逻辑隔离的多个网络，或者为了缩短网络中日志传输的路径、降低日志通讯的流量。4.4.2 主从部署（Master-Slave）对于大型、全国性的、分级的网络环境，

47、可以采用主从部署的方式，将多个SecFox-LAS管理分支统一接入到一个主SecFox-LAS管理中心。在这种模式下，各级SecFox-LAS管理中心的部署方式与单一部署方式基本相同。管理员只需要在下级管理中心配置将本级事件信息转发给上级管理中心的策略。4.4.3 混合部署（Hybrid）如果客户网络中无法采集日志，则可以在网络中部署一个硬件探测器设备或者SecFox-NBA网络行为分析系统主动收集网络中的通讯信息，转化为日志，并传送给SecFox-LAS管理中心。例如，用户要针对数据库系统进行日志审计，但是出于性能的考虑，无法开启数据库自身的日志记录，同时也不能在数据库服务器上安装代理。此时，用户可以将一个硬件探测器（或SecFox-