安全挑战
目前行业用户的行政组织结构、网络结构都比较复杂,在数据大集中的背景下,业务的集中带动数据和应用的集中,行业用户总部数据中心及省级数据中心应用系统越来越庞大,管理复杂度越来越高。尤其是对于安全管理人员来说,需要定期分析各种设备产生的日志,在实际工作中,面临诸多日志管理困惑:
日志采集问题。信息系统中设备种类众多,每天产生大量的日志,且分散在各地网络与信息系统中,如何有效采集这些原始日志数据并进行集中管理、分析;
日志格式转换问题。信息系统由不同的厂家提供,日志格式各异,如何对原始的日志数据格式进行统一;
日志数据深度挖掘问题。信息系统每天产生的大量原始日志数据中,大部分是一些非关键信息,如何对信息进行整理过滤并提取出有价值的事件信息,并以标准的格式进行汇总;
日志集中汇总问题。如何将全国范围的日志数据进行集中的汇总分析,从而知晓全网的安全态势,总体把控网络安全事件的发展动态;
安全决策问题。对于众多的日志信息,除了进行如实的记录汇总外,如何对日志信息进行深入分析、挖掘,并在此基础上建立KPI指标,辅助决策;
满足外部合规问题。如何对海量的日志数据进行有效管理,以利于事后事件分析、审计取证,并满足行业监管的合规要求;
针对以上这些问题和挑战,天融信推出了海量日志审计与深度分析方案,解决行业用户在日常安全运维中面临的日志管理难题,尤其是对于一些大型机构,网络和系统规模庞大、多级管理、数据量大。海量日志审计与深度分析方案基于天融信自主开发的TA-L日志审计系统(带日志数据深度分析模块和KPI决策模块),采用多级分域部署的集中管理方式,构建覆盖全国总部、各省级单位和地市级单位的综合日志审计体系。
总体部署和集中管理模式如下图所示:
图表 20 天融信大型综合审计管理解决方案图
天融信TA-L综合日志审计系统由日志代理、日志审计中心、日志数据库、审计系统管理器、日志分析中心五个部分组成。日志代理负责收集区域内各种操作系统、网络安全设备、应用程序的日志信息,过滤后发送给日志审计中心处理。日志审计中心负责接受区域内日志代理和各种安全设备、系统转发的日志信息,集中保存在日志数据库,日志分析中心负责对日志数据进行深度挖掘。总部、各省、地市网络中分别部署独立的TA-L综合日志审计系统,各审计区域的日志审计中心器负责收集、分析和管理该审计区域的日志审计数据,同时,各级之间通过日志审计中心的上下级联,实现上一级审计中心对下一级审计中心的集中统一管理,如审计策略的下发和更新等,审计报表的上传等。
日志数据的深度分析工作主要由日志分析中心来完成。日志分析中心首先通过ETL处理,利用专用的数据抽取工具,将日志数据按照定义的规则,通过复杂的抽取、转换、清洗及聚合,最后装载至数据仓库DW中,生成满足多维分析的数据仓库数据,即事实表和维表。通过OLAP多维分析技术和BI前端展现工具,提供针对日志数据仓库的日常查询、统计报表、OLAP分析、数据挖掘、KPI统计分析和监控告警等决策分析功能,并将结果通过WEB/GUI方式展现给用户,整体结构及分析过程如下图所示:
