日志審計(jì)系統(tǒng)參數(shù)

日志審計(jì)系統(tǒng)參數(shù)（★為必須滿(mǎn)足的參數(shù)，若不滿(mǎn)足廢標(biāo)處理，要求所有★必須提供截圖，如發(fā)現(xiàn)功能造假招標(biāo)方有權(quán)取消資格并追究責(zé)任）日志審計(jì)系統(tǒng)指標(biāo)項(xiàng)功能描述整體概述系統(tǒng)要求標(biāo)準(zhǔn)機(jī)架式硬件設(shè)備，支持50個(gè)米集源，日志處理速率＜=1000EPS，日志容量：2億條，無(wú)需在被采集目標(biāo)系統(tǒng)上安裝任何軟件；產(chǎn)品功能的實(shí)現(xiàn)無(wú)需額外增加服務(wù)器等設(shè)備。采用B/S架構(gòu)操作方式，無(wú)需安裝客戶(hù)端軟件。安全性要求通過(guò)SSL加密對(duì)數(shù)據(jù)傳輸?shù)冗M(jìn)行處理；采用B/S架構(gòu)，HTTPS訪問(wèn)；部署支持集中和分布式部署；米用B/S架構(gòu)操作方式，無(wú)需安裝客戶(hù)端軟件?！镏С植杉鲾U(kuò)展部署。資產(chǎn)管理資產(chǎn)管理資產(chǎn)管理：可以添加、修改、刪除資產(chǎn)；對(duì)資產(chǎn)的基本屬性進(jìn)行維護(hù)；資產(chǎn)可以增加自定義屬性。資產(chǎn)支持組織管理、網(wǎng)絡(luò)管理★系統(tǒng)支持對(duì)IP對(duì)象的自動(dòng)發(fā)現(xiàn)功能;對(duì)自動(dòng)發(fā)現(xiàn)的設(shè)備可以轉(zhuǎn)資產(chǎn)或刪除，提供功能證明?！锸录鞒烫幚?支持對(duì)事件的處理流程管理，對(duì)事件處理進(jìn)行任務(wù)分配，對(duì)事件處理流程進(jìn)行監(jiān)控，事件流程處理完成后進(jìn)行入庫(kù)。日志采集采集對(duì)象系統(tǒng)滿(mǎn)足設(shè)備的信息采集要求，主要包括：安全設(shè)備：?jiǎn)⒚鱓AF防火墻、綠盟IDS、華為防火墻、Juniper防火墻、天融信防火墻等；操作系統(tǒng)：Linux、Windows、Windowserver、Uinx等操作系統(tǒng)；數(shù)據(jù)庫(kù)：Oracle、MySQL、SQLServer等；應(yīng)用系統(tǒng)：如Apache、Tomcat、IIS、weblogic等；網(wǎng)絡(luò)設(shè)備：主流的路由器、交換機(jī)、負(fù)載均衡等網(wǎng)絡(luò)設(shè)備等，如Cisco、華為、juniper等。采集接口系統(tǒng)需支持Syslog、Syslogng、SNMPTrap、文件、WMI、FTP、數(shù)據(jù)庫(kù)等協(xié)議采集日志；★被采設(shè)備無(wú)需安裝任何代理；

日志米集器可實(shí)時(shí)或按設(shè)定的時(shí)間將指定的日志送到審計(jì)中心；日志采集器在將日志送往審計(jì)中心的時(shí)候，可以制定傳送策略，僅傳送符合條件的日志；審計(jì)中心可以支持多個(gè)日志采集器。標(biāo)準(zhǔn)化對(duì)日志格式進(jìn)行標(biāo)準(zhǔn)化操作時(shí)，將不破壞原始日志內(nèi)容。系統(tǒng)從不同設(shè)備或系統(tǒng)中所獲得的各類(lèi)日志、事件中抽取相關(guān)片段準(zhǔn)確和完整地映射至安全事件的標(biāo)準(zhǔn)字段對(duì)安全事件重新定級(jí)。能根據(jù)統(tǒng)一的安全策略，按照安全設(shè)備識(shí)別名、事件類(lèi)別、事件級(jí)別等所有可能的條件及各種條件的組合對(duì)事件嚴(yán)重級(jí)別進(jìn)行重定義系統(tǒng)能夠?qū)?biāo)準(zhǔn)格式的事件寫(xiě)入存儲(chǔ)設(shè)備系統(tǒng)的標(biāo)準(zhǔn)化策略具備良好的可擴(kuò)展性，可通過(guò)配置文件或界面實(shí)現(xiàn)管理功能日志處理過(guò)濾系統(tǒng)既可以完全收集米集對(duì)象上的日志信息，也支持在安全事件收集引擎上設(shè)置過(guò)濾條件，可過(guò)濾出無(wú)關(guān)安全事件，滿(mǎn)足根據(jù)實(shí)際業(yè)務(wù)需求減少采集對(duì)象發(fā)送到核心服務(wù)器的安全事件數(shù)，從而減少對(duì)網(wǎng)絡(luò)帶寬和數(shù)據(jù)庫(kù)存儲(chǔ)空間地占用。系統(tǒng)需可在關(guān)聯(lián)分析引擎上設(shè)置過(guò)濾條件，可以過(guò)濾掉該類(lèi)型的安全事件的實(shí)時(shí)顯示，而該安全事件仍需要保存到安全事件數(shù)據(jù)庫(kù)中。既要給管理員的實(shí)時(shí)監(jiān)控提供了方便，又要在以后需要的時(shí)候查看分析這些安全事件數(shù)據(jù)。歸并系統(tǒng)需具有歸并技術(shù)，安全事件收集代理會(huì)在一段時(shí)間內(nèi)比較收到的安全事件，如果安全事件相同，則只需發(fā)送一條安全事件，該安全事件應(yīng)包括安全事件詳情及該安全事件發(fā)生的次數(shù)，這樣可以減少安全事件通信量；對(duì)單位時(shí)間內(nèi)發(fā)生的大量安全事件，按照維護(hù)要求和實(shí)際管理情況，對(duì)指定安全設(shè)備進(jìn)行告警安全事件歸并；可以通過(guò)安全事件嚴(yán)重程度級(jí)別、安全事件類(lèi)別、安全事件標(biāo)題等安全事件屬性進(jìn)行歸并。日志分析日志查詢(xún)支持根據(jù)設(shè)備類(lèi)型，按日期展示日志的接入情況，包含不同級(jí)別日志數(shù)量統(tǒng)計(jì)；支持簡(jiǎn)單易用的日志查詢(xún)普通模式，根據(jù)系統(tǒng)預(yù)置的查詢(xún)條件，根據(jù)用戶(hù)需求查詢(xún)對(duì)應(yīng)的日志，并且支持查詢(xún)條件的保存，供后續(xù)快捷使用；★支持更加精確的專(zhuān)家模式查詢(xún)，根據(jù)頁(yè)面的指導(dǎo)提示，通過(guò)組合查詢(xún)表達(dá)式完成精確查詢(xún)。關(guān)聯(lián)策略為了挖掘不同類(lèi)型、來(lái)源于不同設(shè)備或系統(tǒng)的日志或安全事件之間可能存在的關(guān)聯(lián)關(guān)系，系統(tǒng)提供了仔皿方式的關(guān)聯(lián)規(guī)則設(shè)置功能，關(guān)聯(lián)的類(lèi)型包括基于規(guī)則和基于統(tǒng)計(jì)的。支持基于因果式的狀態(tài)關(guān)聯(lián)分析

關(guān)聯(lián)事件3.★支持基于異常統(tǒng)計(jì)模型的檢查分析功能，如：識(shí)別異常的流量攻擊等，提供功能證明若日志滿(mǎn)足系統(tǒng)內(nèi)置或用戶(hù)定義的關(guān)聯(lián)策略，將產(chǎn)生關(guān)聯(lián)事件；關(guān)聯(lián)事件管理可以統(tǒng)一監(jiān)控事件的命中情況，包括來(lái)源的設(shè)備、事件類(lèi)型、最近命中時(shí)間以及命中總次數(shù)等。日志審計(jì)審計(jì)事件審計(jì)策略支持顯示審計(jì)事件分類(lèi)統(tǒng)計(jì)列表，根據(jù)審計(jì)策略名稱(chēng)、審計(jì)事件類(lèi)型、被審計(jì)人員、目標(biāo)設(shè)備地址四個(gè)維度展現(xiàn)。通過(guò)事件總數(shù)查看具體的審計(jì)事件，并可以查看產(chǎn)生該審計(jì)事件的原始事件的詳細(xì)內(nèi)容和歸并數(shù)量。支持導(dǎo)出PDF、WORD、EXCEL、CSV報(bào)告。支持自定義審g略。提供可視化方式進(jìn)行策略制定。支持從審g略模板直接創(chuàng)建策略。支持策略的導(dǎo)入導(dǎo)出?？赏ㄟ^(guò)事件的任意字段制定規(guī)則創(chuàng)建策略。審g略命中后可以定義告警并通過(guò)相應(yīng)方式轉(zhuǎn)發(fā)，如：SYSLOG、郵件等。審g略可以定義審計(jì)事件的名稱(chēng)、分類(lèi)、級(jí)別以及命中后是否繼續(xù)匹配其余審g略。審計(jì)策略模板提供預(yù)置審g略模板，包括：Windows主機(jī)類(lèi)審g略模板、Linux/Unix主機(jī)類(lèi)審g略模板、防火墻類(lèi)審g略模板、掃描器類(lèi)審g略模板、IDS/IPS類(lèi)審g略模板、防病毒類(lèi)審g略模板、數(shù)據(jù)庫(kù)系統(tǒng)類(lèi)審g略模板、薩班斯審g略模版、等級(jí)保護(hù)審計(jì)模板等。支持從模板創(chuàng)建審g略。審計(jì)類(lèi)型1.可自定義申計(jì)類(lèi)型配合不同的申計(jì)策略。審計(jì)對(duì)象1.支持審計(jì)對(duì)象的定義，包括：審計(jì)目標(biāo)對(duì)象、審計(jì)行為對(duì)象、審計(jì)行為執(zhí)行者對(duì)象、審計(jì)來(lái)源對(duì)象、審計(jì)時(shí)間段對(duì)象等。審計(jì)人員支持定義部門(mén)和人員的對(duì)應(yīng)關(guān)系。支持定義人員與賬號(hào)的對(duì)應(yīng)關(guān)系。二級(jí)接入接收下級(jí)審計(jì)系統(tǒng)轉(zhuǎn)發(fā)告警支持接收來(lái)自下級(jí)日志審計(jì)系統(tǒng)轉(zhuǎn)發(fā)的告警日志進(jìn)行二次分析、關(guān)聯(lián)。告警管理告警處理對(duì)于告警的處理主要包括清除（認(rèn)為不是問(wèn)題）、確認(rèn)（認(rèn)為可能是問(wèn)題）。告警監(jiān)控以列表的方式展示告警；告警聲音設(shè)置告警過(guò)濾策略系統(tǒng)支持通過(guò)GUI設(shè)置告警策略。★系統(tǒng)內(nèi)置豐富關(guān)聯(lián)/審計(jì)類(lèi)告警策略，并靈活支持自定義策略。告警策略全文全文檢索為了便于操作，系統(tǒng)提供了一個(gè)全文檢索功能。能對(duì)系統(tǒng)內(nèi)的對(duì)象提供全文檢索功能，對(duì)于海量數(shù)據(jù)的檢索可限定檢索時(shí)間段（主要針對(duì)安全

檢索事件）。全文檢索提供一個(gè)輸入欄，需要置頂，在任何頁(yè)面都能夠看至U。報(bào)表管理報(bào)表管理包括報(bào)表內(nèi)置實(shí)例管理和報(bào)表任務(wù)管理知識(shí)庫(kù)管理知識(shí)庫(kù)管理系統(tǒng)內(nèi)置日志接入配置指導(dǎo)、典型日志事件介紹、安全經(jīng)驗(yàn)等。并支持自定義創(chuàng)建增加知識(shí)庫(kù)內(nèi)容。用戶(hù)管理用戶(hù)管理支持根據(jù)三權(quán)分立的原則和要求進(jìn)行職、權(quán)分離，對(duì)系統(tǒng)本身進(jìn)行分角色定義，如管理員只負(fù)責(zé)完成設(shè)備的初始配置，規(guī)則配置員只負(fù)責(zé)審計(jì)規(guī)則的建立，審計(jì)員只負(fù)責(zé)查看相關(guān)的審計(jì)結(jié)果及告警內(nèi)容；日志員只負(fù)責(zé)完成對(duì)系統(tǒng)本身的用戶(hù)操作日志管理。安全儀表板儀表板儀表板應(yīng)內(nèi)置支持下列內(nèi)容：★整體安全概況（包括攻擊地圖展示，事件來(lái)源基于地域及組織）提供功能證明安全資產(chǎn)概況告警概況安全事件概況審計(jì)事件概況還可以支持自定義儀表板，客戶(hù)可以選擇對(duì)應(yīng)的微件，組成想要關(guān)注的儀表展現(xiàn)內(nèi)容IPV6支持IPV6★系統(tǒng)全面支持IPV6，提供功能證明。支持設(shè)置日志存儲(chǔ)備份策略。包括系統(tǒng)日志保存期（天）、磁盤(pán)使用率百分比；支持日志文件備