1. 引言：

1.1目的：

? ? 本文以日志審計系統(tǒng)作為產(chǎn)品案例饵溅，鍛煉B端產(chǎn)品的需求分析能力妨退，以練習(xí)為目的。本文從日志審計系統(tǒng)的背景蜕企、定位咬荷、用戶等方面介紹日志審計系統(tǒng)，希望讀者快速了解產(chǎn)品特點轻掩、使用場景幸乒。

1.2背景：

? ? 隨著企業(yè)信息化程度不斷加深，同時也暴露出越來越多的安全漏洞唇牧、安全問題罕扎，在安全事件發(fā)生后聚唐，日志是事后追溯的有效參照依據(jù)。但是由于信息化程度的復(fù)雜度越來越高和龐大的信息系統(tǒng)產(chǎn)生了海量日志腔召，使審計員在雜亂無章的日志中找尋證據(jù)變得越來越難杆查。????

????而在云計算應(yīng)用的今天，日志審計系統(tǒng)借助大數(shù)據(jù)的分析分析能力臀蛛，利用插件式分析引擎亲桦，審計員在海量日志中找出違規(guī)行為，有針對性地綜合各個方面的安全因素浊仆，從整體上動態(tài)反映安全狀況客峭，并對安全狀況的發(fā)展趨勢進行預(yù)測和預(yù)警。

1.3產(chǎn)品介紹：

日志審計系統(tǒng)：?

? ? 日志審計系統(tǒng)氧卧，通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件桃笙、用戶訪問記錄氏堤、系統(tǒng)運行日志沙绝、系統(tǒng)運行狀態(tài)等各類信息，經(jīng)過規(guī)范化鼠锈、過濾闪檬、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進行集中存儲和管理购笆，結(jié)合豐富的日志統(tǒng)計匯總和關(guān)聯(lián)分析功能粗悯，實現(xiàn)關(guān)聯(lián)分析聯(lián)動，及時安全警同欠。

2.需求：

2.1用戶需求：

? ? 日志審計系統(tǒng)需要滿足政企組織的合規(guī)需求和業(yè)務(wù)需求样傍。

? ? A.合規(guī)需求：

? ? 根據(jù)《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》，擁有關(guān)鍵基礎(chǔ)信息系統(tǒng)的組織單位需要保障信息系統(tǒng)安全運作铺遂，信息系統(tǒng)需要根據(jù)評級被分為二級衫哥、三級、四級襟锐，日志審計系統(tǒng)是保障網(wǎng)絡(luò)安全必不可少的組成部分撤逢。????

? ? B.企業(yè)業(yè)務(wù)需求：

? ? 對跨國公司、大型企業(yè)以及部分分散性企業(yè)粮坞，存在多個部門信息系統(tǒng)分散獨立的狀態(tài)蚊荣，在審計的事后需要自動化、統(tǒng)一采集相關(guān)日志莫杈，在集中采集互例、分析日志的基礎(chǔ)上需要一體化查詢、告警筝闹、可視化數(shù)據(jù)敲霍、自動生成報表的功能俊马，以實現(xiàn)信息集中處理，降本增效的效果肩杈。

2.2產(chǎn)品需求：

? ? 日志審計系統(tǒng)需要滿足法律和行業(yè)規(guī)范的業(yè)務(wù)范圍和技術(shù)要求柴我。

????1.2017 年《中華人民共和國網(wǎng)絡(luò)安全法》的頒布，規(guī)定留存相關(guān)網(wǎng)絡(luò)日志不少于6個月（第三章第一節(jié)第二十一條）

? ? 2.《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》 2019年12月1日實施

? ??????《GB/T 20945-2013 信息安全技術(shù) 信息系統(tǒng)安全審計產(chǎn)品技術(shù)要求和測試評價方法》 （規(guī)定了日志審計產(chǎn)品的產(chǎn)品功能）

? ? ? ? ? ? A.規(guī)定了審計內(nèi)容包括行為扩然、事件

? ? ? ? ? ? ? ? a.網(wǎng)絡(luò)邊界艘儒、重要的網(wǎng)絡(luò)節(jié)點

? ? ? ? ? ? ? ? b.覆蓋每個用戶、支持重要用戶行為夫偶、重要安全事件

? ? ? ? ? ? ? ? c.遠程訪問的用戶行為界睁、訪問互聯(lián)網(wǎng)用戶行為等單獨行為

? ? ? ? ? ? ? ? d.網(wǎng)絡(luò)系統(tǒng)操作、重要存儲操作兵拢、計算機系統(tǒng)操作翻斟、安全系統(tǒng)操作需詳細記錄

? ? ? ? ????B.審計要求：

? ? ? ? ? ? ? ? a.集中收集、集中分析说铃、集中存儲（存儲時長大于180天）

? ? ? ? ? ? ? ? b.審計數(shù)據(jù)保護（備份访惜、修改、覆蓋腻扇、中斷）

? ? ? ? ? ? ? ? c.需要提供分析债热、監(jiān)控報警，及時指出可疑行為

? ? ? ? ? ? ? ? d.需要提供數(shù)據(jù)匯集接口幼苛，供第三方審計

2.3業(yè)務(wù)需求：

????業(yè)務(wù)需求是指日志審計系統(tǒng)需要滿足運維和審計業(yè)務(wù)需求窒篱，幫助運維和審計工作輕松化。

? ? 由于各種系統(tǒng)舶沿、應(yīng)用墙杯、安全設(shè)備、網(wǎng)絡(luò)設(shè)備等日志分離多樣括荡，給日志審計的工作帶來了巨大的人力消耗高镐，形成了日志分散，無法進行有效的關(guān)聯(lián)分析一汽，影響了政企的安全運維能力避消，因此，政企需要部署集中化的存儲召夹、審計和運維管理的日志審計管理系統(tǒng)岩喷。通過建設(shè)日志審計系統(tǒng)，能夠?qū)崿F(xiàn)用戶單位網(wǎng)絡(luò)內(nèi)各類系統(tǒng)和安全設(shè)備的日志收集监憎，集中分析纱意，及時發(fā)現(xiàn)危險行為，實時監(jiān)控安全事件鲸阔、告警偷霉，為網(wǎng)絡(luò)事件的審計和溯源提供有力的支撐迄委。

3.用戶：

用戶分為三類，采購用戶类少、軟件使用用戶叙身、采購負責(zé)人，本文只針對采購用戶和軟件使用用戶描述用戶畫像硫狞。

采購單位方即政企組織單位信轿，這是日志審計系統(tǒng)的采購用戶。

軟件使用者是使用日志審計系統(tǒng)的工作人員残吩，系統(tǒng)角色根據(jù)三員原則設(shè)計财忽，日志審計系統(tǒng)角色包括審計管理員、安全管理員泣侮、系統(tǒng)管理員即彪。

3.1政企組織：

紅色軸代表政企的規(guī)模大小，藍色軸代表政企的信息程度的高低活尊。

圖1 采購用戶群體劃分

????根據(jù)圖1采購用戶群體劃分隶校，更具體描述采購用戶的特點，如圖2酬凳，圖2 以第一象限和第四象限用戶群體惠况，更進一步具像化采購用戶遭庶。（僅供參考宁仔，資料均來自于互聯(lián)網(wǎng)）

圖2 采購用戶用戶畫像

3.2 軟件使用者

根據(jù)《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》

日志審計系統(tǒng)內(nèi)角色劃分為三類審計管理員、安全管理員峦睡、系統(tǒng)管理員翎苫。

審計管理員只有對日志管理的權(quán)限，包括日志查詢榨了、日志監(jiān)控煎谍、日志導(dǎo)出，日志審計策略配置龙屉。

安全管理員對系統(tǒng)中安全策略進行配置呐粘、安全參數(shù)配置、告警事件監(jiān)控转捕、安全資產(chǎn)統(tǒng)一標記作岖、報告導(dǎo)出、對安全主體五芝、客體進行可信授權(quán)痘儡。

系統(tǒng)管理員對系統(tǒng)資源進行配置、管理枢步，其中包括用戶身份管理沉删，存儲數(shù)據(jù)管理渐尿、備份、恢復(fù)矾瑰，系統(tǒng)運行和硬件管理砖茸。?

每個角色在日志審計系統(tǒng)中涉及的功能范圍如圖3展示：

圖3 角色業(yè)務(wù)涉及的功能范圍

4. 流程分析

????根據(jù)以上需求和用戶信息，此時能了解日志審計系統(tǒng)需要涉及從日志的采集殴穴、日志儲存渔彰、日志分析、日志查詢推正、數(shù)據(jù)統(tǒng)計并可視化和自動生成報告的功能模塊恍涂；系統(tǒng)角色有審計管理員、安全管理員植榕、系統(tǒng)管理員再沧，圖3梳理了各個系統(tǒng)角色的業(yè)務(wù)范圍；日志審計系統(tǒng)的業(yè)務(wù)對象是日志尊残，來源是各類安全設(shè)備和操作系統(tǒng)炒瘸。綜上所述，以圖4來展示日志審計系統(tǒng)的功能流程寝衫。

圖4 日志審計的功能流程

? ? 從功能流程來看顷扩，大致可以分為三個大模塊，日志采集模塊慰毅、日志分析模塊隘截、日志管理模塊。

a.日志采集模塊：

? ??日志采集模塊汹胃，其中包括策略配置功能和采集功能婶芭。策略配置功能是在采集各類日志前，對采集目標設(shè)置着饥，采集策略犀农、分析策略、告警策略宰掉。系統(tǒng)通過標準化呵哨，過濾和歸并等數(shù)據(jù)清洗手段提高日志采集速度和日志采集準確度。采集功能支持多種安全設(shè)備和網(wǎng)絡(luò)設(shè)備的日志采集轨奄，涵蓋國內(nèi)外各個主流廠商孟害。系統(tǒng)支持多樣的采集方式支持 syslog、SNMP trap戚绕、NetFlow纹坐、WMI、FTP、SFTP耘子、SCP果漾、JDBC、文件等谷誓，依據(jù)不同的采購用戶的需求绒障，需要盡可能多地支持各種設(shè)備，主流模塊：

? ??1) 安全設(shè)備:深信服 NGAF捍歪、啟明 WAF 防火墻户辱、綠盟 IDS、華為防火墻糙臼、Juniper 防火墻庐镐、天融信防火墻等;

????2) 操作系統(tǒng):Linux、Windows变逃、Window Server必逆、Unix 等操作系統(tǒng);

????3) ?數(shù)據(jù)庫:Oracle、MySQL揽乱、SQL Server 等;

????4) ?應(yīng)用系統(tǒng):如 Apache名眉、Tomcat、IIS凰棉、Web logic 等;

????5) ?網(wǎng)絡(luò)設(shè)備:主流的路由器损拢、交換機、負載均衡等網(wǎng)絡(luò)設(shè)備等撒犀，如深信服 AC福压、 AD、Cisco绘证、華為隧膏、Juniper 等哗讥；

????6) 虛擬化平臺:VMware ESXi嚷那、KVM、Xen杆煞。

b.日志分析模塊：

????日志分析模塊是一個高集成的信息模塊魏宽，其中包括了分析功能、知識庫决乎、資產(chǎn)管理队询、數(shù)據(jù)存儲。日志分析模塊提供豐富的事件響應(yīng)策略构诚，不僅能綜合考量各種日志之間可能存在的關(guān)系蚌斩，結(jié)合知識庫中的經(jīng)驗信息、資產(chǎn)信息范嘱，從而對日志審計提供相應(yīng)的支撐送膳，而且能夠?qū)θ罩局邢嚓P(guān)的要素進行分析员魏，最終，事件分析和事件管理的結(jié)果均以短信叠聋、撕阎、郵件等方式通知用戶，基于時間線性 的回溯分析能夠幫助用戶輕松了解到違規(guī)事件的時間碌补、發(fā)生源虏束、違規(guī)操作設(shè)備、操作行為厦章，通過圖形化還原違規(guī)行為現(xiàn)場镇匀，作為事后追溯的有力證據(jù)。

c.日志管理模塊：

????日志管理模塊為審計管理人員提供了一體化日志管理平臺袜啃，其中包含查詢和檢索功能坑律、實時監(jiān)控功能、綜合報表輸出功能囊骤。采用大數(shù)據(jù)框架和專業(yè)的日志查詢引擎晃择，海量日志查詢僅需秒級;監(jiān)控功能內(nèi)，提供了豐富的數(shù)據(jù)展示模式也物，基于全球地圖宫屠、全國地圖、邏輯拓撲圖滑蚯、IP 地址全球定位浪蹂、餅狀圖、柱狀圖告材、曲線圖坤次、時間軸等，支持對日志查詢結(jié)果進 行在線快速自動分析斥赋，能夠快速幫助客戶發(fā)現(xiàn)安全事件源和目的缰猴，充分提升安全日志審計效率。報表分析功能內(nèi)置豐富的報表模型并支持 Excel疤剑、PDF滑绒、Word、HTML 的格式輸出隘膘，滿足用戶的日常報表輸出疑故，實現(xiàn)輕松運維。

????從業(yè)務(wù)角度來看弯菊，日志審計系統(tǒng)實現(xiàn)了一個從原始日志中辨別危險信息的過程纵势，圖5展示了日志在系統(tǒng)內(nèi)的處理過程。

圖5 日志處理流程圖

????日志通過syslog等渠道采集安全設(shè)備和信息系統(tǒng)的日志，在存儲所有原日志的基礎(chǔ)上依據(jù)采集策略钦铁，對日志標準化處理扫茅；經(jīng)過預(yù)處理的日志進入分析模塊，依據(jù)分析策略和關(guān)聯(lián)分析算法等育瓜，辨別日志中的危險信息葫隙，劃分為安全事件；具有安全危險的安全事件會依據(jù)不同的危險等級生成告警信息躏仇；審計人員可以監(jiān)控恋脚、查詢、導(dǎo)出日志焰手、產(chǎn)生報表糟描，對危險的日志進行統(tǒng)一管理。

5.系統(tǒng)功能設(shè)計：

通過日志的處理流程和三個主要的功能模塊书妻，日志審計系統(tǒng)大致可以分為7個基本功能：

圖6 日志審計系統(tǒng)功能? ? ?

1.數(shù)據(jù)采集管理功能：

????數(shù)據(jù)采集管理功能為用戶（安全管理員）提供了一套全面高效的日志采集工具船响，系統(tǒng)提供手動、定時兩種采集場景躲履，支持等保 2.0 要求的安全設(shè)備见间、網(wǎng)絡(luò)設(shè)備、服務(wù)器及應(yīng)用系統(tǒng)的日志采集工猜，涵蓋國內(nèi)外多個主流廠商米诉，以及達到全方位的日志數(shù)據(jù)采集。系統(tǒng)支持多樣的采集方式支持 syslog篷帅、SNMP trap史侣、NetFlow、WMI魏身、FTP惊橱、SFTP、SCP箭昵、JDBC税朴、文件等。系統(tǒng)通過采集的日志進行標準化處理宙枷、過濾掉房、歸并等數(shù)據(jù)清洗技術(shù)處理，采用高效壓縮海量日志慰丛、丟棄無用日志等手段對海量日志進行預(yù)處理，為日志管理瘾杭、精準關(guān)聯(lián)分析提供支撐诅病。

2.監(jiān)控功能：

????監(jiān)控功能為用戶提供總體數(shù)據(jù)趨勢圖、依據(jù)維度劃分的圖表、動態(tài)信息流贤笆、分類展示的監(jiān)控平臺蝇棉，其中包括【系統(tǒng)監(jiān)控】、【告警監(jiān)控】芥永、【事件監(jiān)控】篡殷、【日志監(jiān)控】、【安全資產(chǎn)監(jiān)控】埋涧。系統(tǒng)監(jiān)控幫助用戶快速了解系統(tǒng)狀態(tài)板辽，監(jiān)控系統(tǒng)狀態(tài);監(jiān)控功能內(nèi)置多種可視化圖表，方便用戶快速掌握實時監(jiān)控信息棘催，此外可視化安全告警信息幫助用戶快速了解危險此外用戶可以根據(jù)設(shè)備類型分類進行日志數(shù)據(jù)的可視化及查看劲弦，在實時監(jiān)視過程中，用戶可以對關(guān)心的事件進行如 IP 地址醇坝、事件類型等維度進 行統(tǒng)計邑跪，分析趨勢，對一段時間內(nèi)的安全事件進行時間切片統(tǒng)計呼猪，并描繪趨勢曲線画畅。事件以可視化的餅圖、柱圖宋距、堆積圖等方式展現(xiàn);同時提供最新日志的查看夜赵，逐條、動態(tài)顯示當(dāng)前系統(tǒng)接收的日志乡革，并通過過濾縮小監(jiān)控范圍寇僧，有效及時發(fā)現(xiàn)安全異常問題;資產(chǎn)監(jiān)控對安全資產(chǎn)統(tǒng)一管理，當(dāng)產(chǎn)生安全告警可準確定位到資產(chǎn)以便進行事故處理和風(fēng)險加固沸版。

3.策略配置功能：

????策略配置功能支持內(nèi)置策略和手動自定義策略兩種方式嘁傀，詳細分為【實時策略管理】、【策略管理】视粮、【系統(tǒng)策略】细办、【知識庫】，知識庫幫助用戶建立完善高效的經(jīng)驗積累庫蕾殴，為系統(tǒng)運行和維護提供了知識來源以及安全問題處理依據(jù)笑撞、方法和參考。并根據(jù)業(yè)務(wù)場景劃分策略類型钓觉，內(nèi)置多種豐富的策略模版茴肥、關(guān)聯(lián)分析模版，減少了用戶（安全管理員）的學(xué)習(xí)成本荡灾，讓用戶快速上手瓤狐。

知識庫：作為安全管理員需要配置安全策略瞬铸，對以往的策略、方案進行積累础锐，安全管理員需要增嗓节、刪、改皆警、查拦宣，知識庫中的策略詳情，所以安全管理員可達到編輯信姓、積累知識庫中的策略的目的鸵隧。

分類:

? ? a.日志配置類：各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備财破、應(yīng)用系統(tǒng)及數(shù)據(jù)庫等接入日志審計系統(tǒng)的配置收集方法掰派；

? ? b.日志類：各種操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備左痢、服務(wù)器及數(shù)據(jù)庫的日志信息;反映系統(tǒng)運行/狀態(tài)靡羡、安全問題、用戶行為等記錄或日志俊性；

? ? c.安全經(jīng)驗類：基于系統(tǒng)安全事件略步、配置問題等信息綜合生成的安全警示信息的描述、告警觸發(fā)建議以及解決方案定页；

4.檢索功能：

????檢索功能為用戶提供了一套靈活方便的交互式事件調(diào)查工具趟薄，通過事件調(diào)查工具用戶可以對感興趣的日志中的重要或全部信息進行查詢搜索。為滿足用戶的不同業(yè)務(wù)場景需求典徊，系統(tǒng)提供多種查詢功能【日志檢索】杭煎、【事件檢索】、【告警檢索】卒落、【高級檢索】通過檢索用戶能達到高效羡铲、精準的信息查詢。由于信息經(jīng)過規(guī)范化和豐富儡毕，使日志變得更加可讀和易于理解也切，并可快速查詢到用戶關(guān)心的內(nèi)容，降低了日志審計對用戶的專業(yè)能力的要求腰湾。同時雷恃，基于大數(shù)據(jù)全文索引技術(shù)，系統(tǒng)提供了高級查詢功能费坊，根據(jù)日志類型倒槐、發(fā)生時間、不同字段等信息進行精準匹配葵萎，幫助用戶可快速發(fā)現(xiàn)安全事件和異常导犹，為進一步處置提供基礎(chǔ)唱凯。

5.安全資產(chǎn)功能：

????系統(tǒng)提供資產(chǎn)管理功能羡忘，可以對網(wǎng)絡(luò)中的審計數(shù)據(jù)源資產(chǎn)進行管理谎痢。除基本資產(chǎn)信息外，系統(tǒng)提供靈活的資產(chǎn)分類功能卷雕，實現(xiàn)對資產(chǎn)的分類管理节猿。查看資產(chǎn)詳情(ip、資產(chǎn)編號漫雕、系統(tǒng)類型滨嘱、資產(chǎn)名稱等)，也可通過相關(guān)字段查詢浸间，查詢資產(chǎn)太雨，并通過增刪改查管理資產(chǎn)。所以安全管理員能管理安全資產(chǎn)魁蒜。

6.報表管理功能：

????系統(tǒng)內(nèi)置了豐富的報表模板囊扳，包括統(tǒng)計報表、明細報表兜看、綜合審計報告锥咸，審計人員可以根據(jù)需要生成不同的報表，功能包括【計劃任務(wù)】细移、【手動任務(wù)】搏予、【管理報表】，系統(tǒng)內(nèi)置報表生成調(diào)度器弧轧，可以定時自動生成日報雪侥、周報、月報精绎、季報速缨、年報，并支持以郵件等方式自動投遞捺典，支持以 PDF 鸟廓、 Excel 、 Word 等格式導(dǎo)出襟己，支持打印引谜。系統(tǒng)還內(nèi)置了一套報表編輯器，用戶可以自行設(shè)計報表擎浴，包括報表的頁面版式员咽、統(tǒng)計內(nèi)容、顯示風(fēng)格等贮预。

7.系統(tǒng)配置功能：

????系統(tǒng)配置功能為系統(tǒng)管理員提供了一體化的管理平臺贝室，通過【用戶設(shè)置】契讲、【系統(tǒng)管理】、【數(shù)據(jù)管理】全方位滿足管理員對系統(tǒng)的把控滑频。系統(tǒng)按三權(quán)分立設(shè)計捡偏，不同用戶具有不同的權(quán)限，管理員可以為不同用戶分配角色峡迷，指定該用戶權(quán)限银伟，滿足國家法律規(guī)定的需求。

6. 總結(jié)：

? ? 本文的需求來源來自等保2.0绘搞，行業(yè)同類競品彤避，業(yè)務(wù)分析，用戶畫像夯辖、部分招標文件琉预、產(chǎn)品白皮書和說明書。由于日志審計系統(tǒng)本身產(chǎn)品的特點需要符合法律法規(guī)蒿褂，筆者對產(chǎn)品的理解也缺乏一定深度圆米，沒有對業(yè)務(wù)流程上進行進一步優(yōu)化和創(chuàng)新。

歡迎留言～互相學(xué)習(xí)進步