联想网御安全审计系统

联想网御安全审计系统联想网御安全审计系统作为集中的日志审计分析平台，遵循CSC关联安全标准，负责收集各类安全设备、网络设备和主机系统的安全日志和安全事件信息，并进行统一的存储、备份、管理与统计分析，能够协助用户实时监测网络中的安全攻击，调整安全策略，防范安全风险，从而实现用户网络的整体安全。联想网御安全审计系统是联想网御安全管理系统的重要子系统，由日志服务器、日志审计WEB服务组成。日志服务器：作为后台运行程序，实现日志接收、解析入库、实时分析和网络预警等各项功能。日志审计WEB服务：提供WEB管理服务，支持用户通过浏览器进行日志审计管理。用户只需登录WEB浏览器就可以方便、快捷地完成日志审计管理工作。联想网御安全审计系统总体结构图产品优势种类丰富的事件审计系统可以对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志查询、统计、分析等审计操作，并提供了几十种可以定制的审计报表模板，可以针对访问行为、入侵攻击事件、流量信息、安全设备管理信息等各类日志生成分析报表和趋势图，帮助管理员发现系统漏洞和安全事件发生规律。被攻击主机T0P10单位名称：审计系统 制表人：yinping制表时间: 2003-12-1611:49:29分析条件：选择的时间范围是：从2003-07-0100:00:00到2003T0-0100:00:00日志期间：第—条日志2003-9-2911:09:44 摄后一条日志 2003-9-2911:10:25日志总数： 45注释： 受到攻击杲多的10台主机。入m击'州的潮海量可信的日志管理系统能够处理每秒钟2000条的日志流量，日志审计中间数据压缩率达到90%，并提供了可靠的日志导入导出机制，导出数据压缩率达到99%。系统能够周期性地对日志数据进行备份，并可在数据达到设定阈值时自动对数据进行备份及清除，确保数据完整性和可靠性。强大的日志在线分析系统可以通过定义在线分析规则，对各种日志进行实时分析，发现频繁攻击探测、CC连接耗尽攻击等多种攻击行为，并产生告警信息。通过在线分析所产生的告警信息，可以采用邮件、SYSL0G等多种形式自动发送。日志在线分析功能可以帮助管理员尽早发现安全威胁，采取相应措施。分布式安全审计管理系统支持安全审计管理的级联部署方式。在分布式网络体系中，下级安全审计管理中心可以将本地日志或汇总数据发送给上级安全审计管理中心，上级管理中心在收到各下级管理中心传送的日志数据后，可以进行统一日志入库、全局日志分析和集中日志统计，实现统一的安全审计功能。产品部署联想网御安全审计系统具有多种典型的应用模式，可以适应从简单到复杂的各种用户网络环境，提供全面的安全审计服务。对于结构复杂的组织，可根据需要划分为多个层次，各分部可以部署安全审计系统实现本分部的安全审计工作，同时为总部安全审计系统提供日志数据，保证全网日志数据一致性。总部安全审计系统_ *数据库联想网御安全审计系统级联部署图产品性能指标：产品性能规格内容日志申计能力最大可接收日志设备数2000台并发接收日志设备数200台

最大控制台并发数50台处理能力日志事件处理能力1000条/秒事件分析能力10亿条日志运行环境操作系统Windows2000ServerWindows2000AdvancedServerWindows2000ProfessionalWindowsXPProfessionalWindows2003Server数据库Sqlserver2000+SP3硬件IA架构服务器/客户机产品特性与功能功能类别功能描述日志监视支持以图形化方式实时监控日志流量的变化趋势支持实时监控最近日志列表支持实时监控系统风险状况支持实时监控系统风险的变化趋势日志管理支持对安全设备、网络设备、主机系统进行日志数据采集支持日志数据的格式解析和分类支持日志数据的存储、备份、恢复、删除、导入和导出操作支持灵活的日志信息查询支持分布式安全审计管理，下级管理中心的日志数据可以发送到上级管理中心进行集中管理统计分析支持对包过滤日志、代理日志、入侵攻击事件、病毒入侵事件等十几种日志进行日志统计分析提供了几十种可以定制的审计报表模板，可以针对访问行为、入侵攻击、流量信息、安全设备管理信息等各类日志生成分析报表，报表支持表格和多种图形表现形式支持对访问流量、入侵攻击、邮件过滤日志进行TOP10统计分析支持基于部门、源地址、用户对网络访问控制日志进行统计分析对于入侵攻击日志，支持按照入侵攻击事件、源地址、被攻击主机进行统计分析，发现攻击源和被攻击主机对于入侵攻击日志，可以生成入侵攻击事件趋势分析图、TOP10入侵攻击事件趋势分析图、入侵攻击源地址趋势分析图、TOP10入侵攻击源地址趋势分析图、被攻击主机趋势分析图、TOP10被攻击主机趋势分析图支持按照设备运行状况、设备管理操作对安全设备管理信息统计分析支持定时生成日志统计报表在线分析可以定义各种在线分析规则，在线进行日志分析通过在线分析，可以发现频繁违规访问、频繁攻击探测（例如SQL注入攻击探测）、暴力登录失败（例如防火墙管理登录、FTP登录，SSH登录等）、端口扫描、分布式拒绝攻击、冲击波135端口攻击、CC连接耗尽攻击、蠕虫病毒等各种攻击行为

针对在线分析发现的攻击行为，可以产生告警信息，告警信息可以通过邮件、SYSLOG等多种方式自