工控安全

日志审计与分析系统

日志审计与分析系统是北京南北恒达科技有限公司自主研发的一款专业的信息安全审计类产品，通过采集系统中的系统安全事件、用户访问行为、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总及综合分析功能，实现对网络整体安全状况的全面审计。

日志审计与分析系统能够实时采集企业和组织中各种不同厂商的安全设备、网络设备、主机、操作系统、以及各种应用系统产生的日志、事件、报警等信息，并将数据信息汇集到展示平台，进行集中存储、展现、查询和审计。

通过日志审计与分析系统的部署，一方面可以集中收集、长时间存放所有的记录日志，避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生。

另一方面，日志审计与分析系统强大的日志审计能力可以为企业管理人员提供日志实时监控、高效检索、审计报表等日志审计手段，从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成，大大减少信息部门的工作量。

同时，各种安全产品及设备的日志数据通常杂乱无序，无法体现它们之间的相互关系。日志审计与分析系统为解决这些问题建立起一个信息交换、信息存储、信息处理的平台，通过该平台，可以对各类产品的日志、事件进行统一管理、分析。它适用于对日志管理要求较高的政企、运营商、金融机构及一些大中型企业。

系统框架图：

主要功能

日志审计与分析系统主要由审计中心、日志采集器和日志代理三个部件组成。日志采集器和日志代理实现对审计数据源（主机/服务器类、网络类和安全类等）的日志信息统一收集，然后上传给审计中心进行集中化存储、分析和审计：

审计中心

审计中心即日志审计与分析系统的管理中心，是日志审计与分析系统的核心部件，实现了对日志的集中化存储、备份、查询、审计、告警、响应，以及出具报表报告。用户的审计员通过浏览器即可登陆审计中心，进行各种审计操作。

审计中心内置日志采集功能，可以直接收集审计数据源的日志信息。审计中心也可以汇聚来自日志采集器和日志代理的日志信息。

日志采集器

通过部署日志审计与分析系统采集器专用设备，实现对异构审计数据源的日志采集，功能同审计中心的日志采集模块，用以辅助审计中心解决特定日志采集的问题，并可以实现分布式日志采集能力。日志采集器收集的日志可以转发给审计中心。

事件查询

用户可自定义查询策略，基于资源类型、事件类型、事件名称、时间级别、来源地址、目的地址等信息进行组成查询，并支持模糊查询。

原始日志

用户可自定义查询策略，基于资源类型、日志级别、应用名称、设备地址、及时间段等信息进行组合查询，并支持模糊查询。

告警管理

日志审计与分析系统在日志分析引擎的驱动下，根据告警规则，针对来自企业和组织的海量事件进行实时分析，抽取出对于安全管理人员真正有用的安全信息，从而协助安全管理人员快速识别安全事件，进行日志审计。日志审计与分析系统告警规则具有如下特性：

规则分为系统预定义规则和用户自定义规则两大类

用户在制定规则的时候，既可以设定审计的触发条件，也可以设定触发审计后的自动响应动作

修订告警规则无需重启系统或者某个模块，规则一旦被应用立即生效

在审计出安全事件并告警后，监控管理人员能够及时进行响应处理（发送邮件、SNMP Trap、执行程序脚本，等等）。

关联分析

系统具备日志关联分析功能。系统提供了可视化的规则编辑器，用户可以定义基于逻辑表达式的关联规则，所有日志字段都可参与关联。规则支持统计计数功能，可以对达到一定统计数量的日志进行告警。

系统通过脚本方式能够对指定时间范围内的历史日志进行相关性分析，发现历史日志中存在的入侵与违规。

资产管理

系统能够对审计数据源以资产的形式进行统一的维护，能够以列表或者拓扑的方式查看资产清单和详细信息，可以查看每个审计数据源的日志和告警信息。

用户可通过手动方式添加资产信息（资产名称、资产IP、设备类别、设备类型、采集器）,从而进行资产的日志采集解析。

日志转发配置完成，系统支持自动获取录入资产信息。

统计分析

系统提供实例统计视图，用户可以根据内置或者自定义统计分析策略，从事件的多个维度实时进行安全事件统计分析，并以柱状图、饼图等形式进行可视化展示。

报表管理

系统内置了丰富的报表报告模板，包括操作系统统计报表、安全设备统计报表、网络设备统计报表、数据库统计报表、应用统计报表等，用户可以根据需要生成不同的报表；用户可以自定义报表。

知识库管理

为企事业单位搭建海量知识集中存储，实现统一的漏洞库、预警发布操作、安全公告、漏洞库升级等。

授权管理

采用基于角色的权限管理机制，通过角色定义支持多用户访问。角色能够从设备和功能两个维度进行定义，从而达到对每一台设备、每一项功能进行操作的控制粒度。

采集器管理

采集引擎是日志审计与分析系统提供的、用于安装在企业和组织网络中的目标主机或中介主机上的应用程序。通过通用采集引擎，日志审计与分析系统可以主动地采集目标主机上的日志，在管理中心实现日志审计。

产品形态

及时快捷升级功能

漏洞扫描系统利用程序内置的产品升级模块，可以通过网络或者本地数据包，对漏洞库、软件进行在线升级、本地升级、定时升级。

每周至少升级一次，确保系统可以及时准确的检测到最新公布的漏洞，确保信息系统的安全。

应用部署：

单一部署

单一的部署环境在不改变原有的网络基础之上，旁路方式接入到网络当中，并且LSLA3000只需要一个网口接口做管理及采集日志，节省网络交换的端口资源。

分布式部署

分布式部署做到各个分支机构的日志汇总到总部统一展示、分析，并且部署方式同样采用旁路方式，不会对网络造成安全风险。