日志审计英文解释

您好，很高兴为您解答。

日志审计系统的需求分析

日志很早就有，日志对于信息安全的重要性也早已众所周知，但是对日志的真正重视却是最近几年的事情。

当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击，也有来自于企业和组织内部的违规和泄漏。

为了不断应对新的安全挑战，企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM，等等。这些安全系统都仅仅防堵来自某个方面的安全威胁，形成了一个个安全防御孤岛，无法产生协同效应。更为严重地，这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件，安全管理人员面对这些数量巨大、彼此割裂的安全信息，操作着各种产品自身的控制台界面和告警窗口，显得束手无策，工作效率极低，难以发现真正的安全隐患。

另一方面，企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求，也对当前日志审计提出了严峻的挑战。下表简要列举了部分相关法律法规对于日志审计的要求:

尤其是国家信息系统等级保护制度的出台，明确要求二级以上的信息系统必须对网络、主机和应用进行安全审计。

综上所述，企业和组织迫切需要一个全面的、面向企业和组织IT资源（信息系统保护环境）的、集中的安全审计平台及其系统，这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志，并进行存储、监控、审计、分析、报警、响应和报告。

日志审计系统的基本组成：

对于一个日志审计系统，从功能组成上至少应该包括信息采集、信息分析、信息存储、信息展示四个基本功能：

1)   日志采集功能：系统能够通过某种技术手段获取需要审计的日志信息。对于该功能，关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度（细致程度）。

2)   日志分析功能：是指对于采集上来的信息进行分析、审计。这是日志审计系统的核心，审计效果好坏直接由此体现出来。在实现信息分析的技术上，简单的技术可以是基于数据库的信息查询和比较；复杂的技术则包括实时关联分析引擎技术，采用基于规则的审计、基于统计的审计、基于时序的审计，以及基于人工智能的审计算法，等等。

3)   日志存储功能：对于采集到原始信息，以及审计后的信息都要进行保存，备查，并可以作为取证的依据。在该功能的实现上，关键点包括海量信息存储技术、以及审计信息安全保护技术。

4)   信息展示功能：包括审计结果展示界面、统计分析报表功能、告警响应功能、设备联动功能，等等。这部分功能是审计效果的最直接体现，审计结果的可视化能力和告警响应的方式、手段都是该功能的关键。

日志审计系统的选型指南：

那么，我们如何选择一款合适的日志审计系统呢？评价一款日志审计系统需要关注哪些方面呢？笔者认为至少应该从以下几个方面来考虑：

1、  由于一款综合性的日志审计系统必须能够收集网络中异构设备的日志，因此日志收集的手段应要丰富，建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志，支持从Log文件或者数据库中获取日志。

2、  日志收集的性能也是要考虑的。一般来说，如果网络中的日志量非常大，对日志系统的性能要求也就比较高，如果因为性能的问题造成日志大量丢失的话，就完全起不到审计的作用的了。目前，国际上评价一款日志审计产品的最重要指标叫做“事件数每秒”，英文是Event per Second，即EPS，表明系统每秒种能够收集的日志条数，通常以每条日志0.5K～1K字节数为基准。一般而言，EPS数值越高，表明系统性能越好。

3、  应提供精确的查询手段，不同类型日志信息的格式差异非常大，日志审计系统对日志进行收集后，应进行一定的处理，例如对日志的格式进行统一，这样不同厂家的日志可以放在一起做统计分析和审计，必须注意的是，统一格式不能把原始日志破坏，否则日志的法律效力就大大折扣了。

4、  要让收集的日志发挥更强的安全审计的作用，有一定技术水平的管理员会希望获得对日志进行关联分析的工具，能主动挖掘隐藏在大量日志中的安全问题。因此，有这方面需求的用户可以重点考查产品的实时关联分析能力。

5、  应提供大容量的存储管理方法，用户的日志数据量是非常庞大的，如果没有好的管理手段，不仅审计查询困难，占用过多的存储空间对用户的投资也是浪费。

6、  日志系统存储的冗余非常重要，如果集中收集的日志数据因硬件或系统损坏而丢失，损失就大了，如果选购的是软件的日志审计系统，用户在配备服务器的时候一定要保证存储的冗余，如使用RAID5，或专用的存储设备，如果选购的是硬件的日志审计系统，就必须考查硬件的冗余，防止出现问题。

7、  应提供多样化的实时告警手段，发现安全问题应及时告警，还要提供自定义报表的功能，能让用户做出符合自身需求的报表。

以上是笔者针对日志审计系统的选型提出的几个建议，但在实际中，还有一些其他的问题需要考虑，像厂商的支持服务能力、产品案例的应用等等，这里就不一一列举了。

总之，信息安全基础设施的日趋复杂，使得我们已经从简单的日志管理时代迈入了系统性的日志综合审计时代，日志对于网络与信息安全的价值和作用必将越发重要。

如若满意，请点击右侧【采纳答案】，如若还有问题，请点击【追问】希望我的回答对您有所帮助，望采纳！                                                                                                                            ~ O(∩_∩)O~

EAD简介2008年07月10日 星期四 17:21EAD简介 目前企业网内部防御系统一般以信息端点为单位，每个人自行安装防病毒软件，自己进行杀毒和病毒库更新，这样不但管理分散、效率低，同时也存在安全隐患（如人们常常不能及时地为各种软件打补丁或升级）。 EAD（Endpoint Admission Defense，端点准入防御）是基于CAMS平台的安全防御解决方案，它改变了传统的防御思路，通过集中部署，从端点接入控制入手，实现对用户终端的安全状态评估和访问权限的动态控制，从而加强了网络终端的主动防御能力，控制病毒、蠕虫的蔓延。 EAD解决方案实现了安全客户端、防病毒客户端、安全联动设备（如路由器）、Portal服务器以及第三方服务器（如系统补丁服务器、病毒库等）的联动，其主要功能如下： l 检查用户终端的安全状态和防御能力。用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。EAD通过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时配合身份认证技术确保接入终端的合法性与安全性。 l 隔离“危险”和“易感染”终端。在EAD方案中，系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。 l 强制修复系统补丁、升级防病毒软件。当不符合安全策略的用户终端被限制到“隔离区”以后，EAD可以自动提醒用户进行软件补丁或最新病毒库的升级，或配合防病毒服务器/补丁服务器，帮助用户完成自动升级操作。完成修复并达到安全策略的要求以后，用户终端将被取消隔离，可以正常访问网络。 l 管理与监控。EAD提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时EAD可以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置，监控用户终端的安全事件等。 路由器EAD方案结合了Portal认证方式。由于Portal协议只支持对HTTP请求报文的强制认证，无法实现与EAD安全客户端的联动，也就无法实现在接入认证的基础上附加安全认证的功能。因此，必须对现有Portal协议进行扩展，修改后的Portal协议称为Portal+协议。 4.1.1 EAD典型组网应用 图4-1 EAD结合Portal认证典型组网应用 上面各个设备的基本功能如下： 1. 安全客户端 安全客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括： l 提供Portal认证，可以与路由器配合实现端点准入控制。 l 检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时与防病毒客户端协同检查用户终端的防病毒软件版本、病毒库版本以及病毒查杀信息。 l 安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行。 l 实时监控系统安全状态，并将安全事件定时上报到安全策略服务器。 2. 安全联动设备 安全联动设备这里指路由器，其功能如下： l 强制接入网络的终端用户进行身份认证和安全状态评估。 l 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后，可以限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 3. 安全策略服务器 安全策略服务器是EAD方案中的管理与控制中心，功能如下： l 安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括终端用户安全状态评估标准、终端修复方式以及是否对终端用户进行隔离等。 l 用户管理。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。 l 安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户进行隔离或开放，向用户下发安全策略。 l 日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控整个网络的安全状态提供依据。 4. 客户端管理代理 客户端与安全策略服务器之间通过客户端管理代理进行通信。 5. RADIUS服务器 完成对终端用户的身份认证。 6. Portal服务器 完成Portal认证，EAD要求Portal服务器必须支持Portal+协议。 & 说明： 在以上组网应用中要求安全策略服务器、RADIUS服务器统一由CAMS平台提供，Portal服务器由CAMS Portal业务组件提供。 7. 第三方服务器 在EAD方案中，第三方服务器是用于终端用户进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，当用户终端的系统补丁不能满足安全要求时，可以通过补丁服务器进行补丁下载和升级。 4.1.2 EAD基本流程 在EAD解决方案下，用户的认证过程可以分为两个阶段：身份认证阶段和安全认证阶段。 1. 身份认证阶段 本阶段主要是通过Portal+协议实现AAA RADIUS认证，即通过用户名和密码来确定用户是否合法。身份认证通过后，用户处在隔离区，只能访问受控资源。具体认证流程如下： (1) 未认证的客户端发送IP报文到路由器； (2) 路由器检查到该流量为未通过认证的源IP地址发出的，则向客户端发送强制认证请求报文，该报文中指定了Portal服务器的IP地址和端口号； (3) 客户端收到强制认证请求后，获取用户名、密码，向Portal服务器发起认证请求； (4) Portal服务器收到认证请求后，与RADIUS服务器交互完成AAA认证，此过程与Portal协议下的认证过程一致。 2. 安全认证阶段 安全策略服务器根据安全客户端上报的用户的安全状态进行评估，只有符合企业安全标准的终端用户才能正常访问网络；否则，只能访问隔离区内的受控网络资源。具体认证流程如下： (1) AAA认证成功后，安全策略服务器将客户端管理代理的IP地址、端口号及“隔离ACL”等信息下发给路由器，路由器根据此ACL将用户设置在“隔离区”内； (2) 路由器通知Portal服务器用户AAA认证成功，同时将客户端管理代理的IP地址、端口号发给Portal服务器； (3) Portal服务器通知安全客户端AAA认证成功，同时将客户端管理代理的IP地址、端口号发送给安全客户端； (4) 安全客户端通过客户端管理代理与安全策略服务器进行交互，进行病毒补丁检查、修复、安全认证等功能。 (5) 安全认证通过后，安全策略服务器将“安全ACL”下发给路由器，重设用户的访问权限，解除隔离。 此时，安全认证流程完成，用户可以正常上网。 4.2 EAD配置 4.2.1 配置准备 完成AAA及RADIUS的相关配置。 4.2.2 EAD配置过程 表4-1 EAD配置过程 配置步骤 命令 说明 进入系统视图 system-view - 设置Portal服务类型为plus portal service-type plus 必选 缺省为normal 配置Portal服务器 portal server server-name { ip ip-address | key key-string | port port | url url-string } * 必选 缺省情况下，无Portal服务器；当配置一个Portal服务器时，key-string缺省为huawei；port缺省为50100；url-string缺省为ip-address的字符串方式 配置Portal的运行方式 portal method { direct | redhcp } 可选 缺省情况下，Portal运行方式为直接认证方式（direct）。对于跨三层设备支持Portal认证的应用只能配置direct方式 配置认证网段 portal auth-network network-address net-mask interface interface-type interface-num 必选 配置资源名称 portal resource resource-name 可选 缺省为huawei 配置受控资源IP地址 portal update-resource ip ip-address [ mask mask ] 必选 一般将软件补丁服务器、病毒库、安全客户端管理代理配置为受控资源 配置受控资源ID portal update-resource-id number 必选 应与安全策略服务器上配置的“隔离ACL”保持一致 配置非受控资源ID portal all-resource-id number 必选 应与安全策略服务器上配置的“安全ACL”保持一致 进入接口视图 interface interface-type interface-number 必选 配置IP地址 ip address ip-address mask 必选 配置连接CAMS的接口的IP地址 portal upload-ip ip-address 必选 该命令必须在使能Portal认证的接口上配置 在接口上使能Portal认证 portal server-name 必选 退回到系统视图 quit - 进入RADIUS方案视图 radius scheme radius-scheme-name 必选 配置服务器类型为portal server-type portal 必选 配置安全策略服务器的IP地址 security-policy-server ip-address 可选 显示Portal的配置信息和统计信息 display portal [ acm statistics | auth-network [ auth-interface interface-type interface-num ] | free-user | free-ip | interface [ interface-type interface-num ] | server [server-name ] | | server statistics | tcp-cheap statistics| update-resource ] 在任意视图下执行 & 说明： l 请注意务必在完成Portal+相关配置后，再启动Portal认证。 l 免认证用户不会被隔离，免费IP地址对应的设备也不会进入隔离区。 l 如果RADIUS、Portal及安全策略服务器都安装在一台设备上，security-policy-server命令可以不配置；如果安全策略服务器与RADIUS、Portal服务器分开安装的话，必须通过security-policy-server命令配置安全策略服务器的IP地址。 l Portal直接认证或二次地址分配认证均可，但不能设置为Portal快速认证

卓豪ManageEngine EventLog Analyzer专业的SIEM日志管理解决方案，可以对任何人类可读日志进行采集分析，十分高效