产品介绍

日志实时监控、高效检索、审计报表

随着政府、企事业单位等各类组织的正常工作开展对信息化的依赖程度越来越高，信息系统安全防护的重要性也随之增高。对各类日志进行安全审计是信息系统安全维护的重点工作之一，目前，由于日志存放分散、数量多、格式不统一、保存周期短、易被篡改破坏等因素，人为开展日志审计工作已逐渐变为一项不可能完成的任务。

综合日志审计系统(以下简称ANYSEC-LAS)具备对整个信息系统中的各类日志进行集中采集、集中管理、集中审计的能力。

通过ANYSEC-LAS的部署，一方面可以集中收集、长时间存放所有的记录日志，避免日志遭到恶意篡改或删除而在安全事件发生时无据可查的状况发生。另一方面，ANYSEC-LAS强大的日志审计能力可以为组织审计人员提供日志实时监控、高效检索、审计报表等日志审计手段，从而使原本不可能完成的海量日志审计工作可以在短时间内轻松完成，大大减少信息部门的工作量。

产品特性：

● 集中化的日志综合审计

● 全面的智能收集功能

● 标准化日志

● 创新的日志解析能力

● 先进关联算法

● 可维护性及可拓展性

● 采用通用的安全事件标准

● 灵活的部署方式

ANYSEC-LAS包括审计中心、日志采集器和日志代理三个部件。日志采集器和日志代理实现对审计数据源（主机/服务器类、网络类和安全类等）的日志信息统一收集，然后上传给审计中心进行集中化存储、分析和审计。

审计中心：

管理中心，实现了对日志的集中化存储、备份、查询、审计、告警、响应，以及出具报表报告。用户的审计员通过浏览器即可登录审计中心，进行各种审计操作。审计中心内置日志采集功能，可以直接收集审计数据源的日志信息。审计中心也可以汇聚来自日志采集器和日志代理的日志信息。

日志采集器：

通过部署综合日志审计系统采集器专用设备，实现对异构审计数据源的日志采集，功能同审计中心的日志采集模块，用以辅助审计中心解决特定日志采集的问题，并可以实现分布式日志采集能力。日志采集器收集的日志可以转发给审计中心。

系统架构：

系统架构采用分层协同工作设计，总体上含web展示（展示层）、后台处理（管理层、分析层、大数据层、预处理层）、数据采集（采集层）。

数据采集：系统内置的采集模块对多种数据来源进行收集和识别，再转交给后台处理层进行处理。

后台处理：采集后的数据先由预处理层进行分类、过滤及解析；再交由大数据层进行实时数据流统计；分析层将大数据层的数据进一步进行数据挖掘、绘制网络及业务拓扑、交互分析等处理，对事件数据进行控制及告警。

Web展示：对采集数据和分析结果以便捷阅读方式展示、是管理员与日志审计系统进行人机交互的通道，通过网页的形式为管理员提供数据与分析结果的可视化展示及业务与系统的管理功能。

互联网企业用户

互联网企业用户随着规模的不断扩大，信息系统也随着约为庞大，因无技术手段对进行集中的管理，导致原始的手工管理方式也无法满足当前的管理需求，管理人员对设备的管理维护工作量大大加强， 大量的工作用于对日志信息的筛选和备份。通过部署日志审计系统，对各类设备的日志进行的采集、分析、告警、统计和备份存储，不同的管理角色可集中查看各自管理审计的运行状况、安全事件并可在第一时间获知当前发生的安全事件告警，大大提高的工作效率。

广播电视业

广播电视行业用户，主要包括摄、录、监、采、编、播、管、存等主要方面业务，主要包括新闻制播系统、播出整备系统、播出系统等播出直接相关的重要生产系统。管理人员需要对此些业务系统的运行情况、访问情况等进行监控。部署日志审计系统，可以通过网络设备、业务系统等日志事件，快速定位故障问题、恶意攻击行为等，快速解决播出问题，预防发生播出事故，保障播出安全。

汽车制造业

汽车制造业用户近期网络经常发生异常，导致部分业务中断和用户无法上网。针对此类问题管理员总是在得到业务人员反馈后才获知此问题，导致响应和解决时间较长，严重的影响在线业务的正常运行，通过部署日志审计系统后，管理人员可以根据分析告警结果实时获知设备的运行状况，并可通过自定义策略，如接入交换机的上联接口DOWN掉，则第一时间通过短信通知管理员，管理员可迅速的进行恢复，并通过日志信息的分析结果进行问题定位，发现交换机日志中经常记录内存使用过高的告警，最终判断为设备老化，更换设备后问题解决。

一、对企业带来的价值

1. 对于安全管理员、安全分析员、安全运维人员：

● 明确工作职责，各类安全管理人员各司其职，协同合作；

● 提高工作效率，更加快速准确的识别安全告警，发现违规行为，进行应急响应；

● 发生安全问题，事后调查有据可循；

2. 对于安全负责人，负责安全的高管：

● 有助于建立一套可行的安全策略的执行方针，并通过ANYSEC-LAS真正落实；

● 通过持续有效的安全事件分析识别安全事故、策略冲突、欺诈行为和操作行为；

● 通过安全事件分析有助于进行审计和取证分析、支持内部调查，以及进行安全运行趋势预测，确保企业和组织的业务的持续性和可靠性；

● 将资产产生的日志与操作行为统一存储，符合企业和组织的需要，符合国家和行业的法律法规；

● 自动产生各种分析报表和报告，随时掌控整个企业和组织的安全状况；

3. 对于企业和组织，领导层：

● 可以全局掌握企业和组织的安全总体状况，为领导层进行安全建设决策提供依据；

● 从整体上提升了企业和组织的安全防护水平；

● 通过对ANYSEC-LAS的投资发挥出原有各种安全设施的投资的潜在价值，从而使得企业和组织的成本效益最大化，降低总成本，提升安全设施的投资回报率；

二、全生命周期日志管理

借助ANYSEC-LAS，客户能够实现从各种IT资产操作行为的产生、采集、综合分析与审计、到事件数据存储、备份整个审计日志的生命周期管理。通过集中化的审计日志管理系统，协助客户解决网络中日志分散、种类繁多、数量巨大的问题，提升安全运营效率。

三、日常安全运维工作的有力工具

对于日常安全运维而言，核心的工作内容就是对IT网络进行持续监测，确保网络、主机、应用、重要信息和人员资产的安全。更具体地说，就是要持续监测并识别针对网络、主机、应用、重要信息和人员资产性能故障、非法访问控制、非法或不当操作、恶意代码、攻击入侵、违规与信息泄露行为。

借助ANYSEC-LAS，客户能够统一收集来自网络中对IT资产的日志信息，通过分析日志中的安全事件，识别各类性能故障、非法访问控制、不当操作、恶意代码、攻击入侵，以及违规与信息泄露等行为，协助客户安全运维人员进行安全监视、审计追踪、调查取证、应急处置、生成各类报表报告，成为客户日常安全运维的有力工具。

四、通过等保合规性要求

1. 符合等级保护的审计要求

2. 满足合规与内控的审计要求

针对中大型网络中IT资产多、日志量大的特点，ANYSEC-LAS支持单机和分布式部署的方式，配合系统高性能的日志采集技术，能够实现日志的集中化存储与审计，降低客户满足合规性要求的总体成本。

系统具有海量日志存储能力，能够存储长时间的日志信息，满足合规的相关要求。