高校日志合規(guī)管理解決方案

2022年8月30日CONTENTS新形勢下高校日志合規(guī)管理的需求與挑戰(zhàn)如何建設(shè)日志合規(guī)管理平臺愛數(shù)日志合規(guī)管理方案說明國內(nèi)部分高校實踐分享PART

1PART

2PART

3PART

4PART

01新形勢下高校日志合規(guī)管理的需求與挑戰(zhàn)“智慧高?！苯ㄔO(shè)對高校的信息化安全提出了更高的要求1.0（網(wǎng)絡(luò)化）通信連接硬件系統(tǒng)集成網(wǎng)絡(luò)基礎(chǔ)設(shè)施2.0（自動化）組合聚合應(yīng)用系統(tǒng)集成應(yīng)用基礎(chǔ)設(shè)施3.0（智慧化）融合共享業(yè)務(wù)流程集成數(shù)據(jù)基礎(chǔ)設(shè)施智慧高校智慧校園智慧教學(xué)智慧科研智慧服務(wù)智慧管理“智慧高校”需要建設(shè)科學(xué)的安全防范體系和措施，實現(xiàn)平安校園數(shù)據(jù)、知識是高校的核心資產(chǎn)教學(xué)科研的信息化運(yùn)行環(huán)境的系統(tǒng)安全和數(shù)據(jù)安全，提供安全可靠的高校教學(xué)科研環(huán)境高校面臨的安全風(fēng)險和挑戰(zhàn)教務(wù)管理系統(tǒng)網(wǎng)絡(luò)教學(xué)平臺教學(xué)業(yè)務(wù)平臺畢業(yè)設(shè)計（論文）及質(zhì)量評價系統(tǒng)中國大學(xué)MOOC智慧樹雨課堂超星學(xué)習(xí)通微課…高校教材管理云平臺、高等教育出版社產(chǎn)品信息檢索系統(tǒng)畢業(yè)證書查詢、新生學(xué)籍查詢統(tǒng)一身份認(rèn)證平臺教務(wù)處校內(nèi)系統(tǒng)信息中心校外系統(tǒng)發(fā)展規(guī)劃與教學(xué)質(zhì)量監(jiān)控中心教育信息化2.0行動計劃智慧校園從1.0升級到2.0等保2.0、網(wǎng)絡(luò)安全法十四五規(guī)劃、中國教育現(xiàn)代化2035安全審計的要求科研成果、專著、密文、內(nèi)部文件等數(shù)據(jù)存放在系統(tǒng)數(shù)據(jù)庫，缺乏安全保障，如內(nèi)容的權(quán)限、格式、歸檔資產(chǎn)管理系統(tǒng)（實驗室數(shù)據(jù)、科研數(shù)據(jù)）缺乏方案防護(hù)、數(shù)據(jù)易被攻擊或泄密高校內(nèi)部管理文檔、優(yōu)秀課件等的使用和下載審計管理規(guī)范的要求日志合規(guī)管理是智慧校園IT建設(shè)健康發(fā)展的基石《網(wǎng)絡(luò)安全法》123《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護(hù)基本要求》《公安機(jī)關(guān)互聯(lián)網(wǎng)安全監(jiān)督檢查規(guī)定》實施時間：2017年6月1日 實施時間：2019年12月1日 實施時間：2018年11月1日《國家教育事業(yè)發(fā)展“十三五”規(guī)劃》：鼓勵學(xué)校利用大數(shù)據(jù)技術(shù)開展對教育教學(xué)活動和學(xué)生行為數(shù)據(jù)的收集、分

析和反饋，為推動個性化學(xué)習(xí)和針對性教學(xué)提供支持。支持各級各類學(xué)校建設(shè)智慧校園，綜合利用互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能和虛擬現(xiàn)實技術(shù)探索未來教育教學(xué)新模式。高校行業(yè)適用于等保三級要求類別測評項（紅色標(biāo)注為等保1.0基礎(chǔ)上的新增項）安全審計1、應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進(jìn)行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計2、審計記錄應(yīng)包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息3、應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等4、應(yīng)確保審計記錄的留存時間符合法律法規(guī)要求5、應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨進(jìn)行行為審計和數(shù)據(jù)分析集中控制1、應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測2、應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析3、應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析行業(yè)政策推進(jìn)等保制度實行落實網(wǎng)絡(luò)安全法：根據(jù)落實網(wǎng)絡(luò)安全等級保護(hù)制度的要求，進(jìn)一步完善相關(guān)管理制度和標(biāo)準(zhǔn)規(guī)范。加強(qiáng)安全防護(hù)能力：建立數(shù)據(jù)分級保障的工作機(jī)制，加強(qiáng)數(shù)據(jù)全生命周期管理。推進(jìn)基礎(chǔ)施設(shè)保障：組織關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急演練和安全評估，切實提高關(guān)鍵信息基礎(chǔ)設(shè)施保障水平。智慧校園建設(shè)亟需系統(tǒng)服務(wù)高效、穩(wěn)定、健康運(yùn)營日志合規(guī)審計助力智慧校園安全運(yùn)營智慧教學(xué)資源智慧校園服務(wù)智慧校園管理智慧教學(xué)環(huán)境網(wǎng)絡(luò)設(shè)備安全設(shè)備一卡通系統(tǒng)網(wǎng)站中間件教務(wù)系統(tǒng)校園論壇貼吧文件服務(wù)器圖書館系統(tǒng)等無線AP中的定位數(shù)據(jù)消費金額、消費足跡學(xué)生成績等教育資源、文檔等上網(wǎng)記錄、安全事件信息等pv、uv等異常言論、敏感信息等借閱記錄、書籍情況等手工方式或傳統(tǒng)的日志管理方式，已經(jīng)不能滿足當(dāng)前的管理需要傳統(tǒng)日志管理新日志合規(guī)管理等保1.0規(guī)范、行業(yè)網(wǎng)絡(luò)安全規(guī)范等保2.0規(guī)范被動防御，圍繞一個中心三重防護(hù)主動防御、整體防控、感知預(yù)警覆蓋傳統(tǒng)數(shù)據(jù)中心管理范圍覆蓋云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等合規(guī)留存和關(guān)鍵信息審計閉環(huán)的日志合規(guī)管理模式傳統(tǒng)軟件架構(gòu)，擴(kuò)展成本高云原生、彈性架構(gòu)，可擴(kuò)展人工分析、無法對多來源日志進(jìn)行關(guān)聯(lián)分析場景化可觀測性、智能化分析信息不全、缺乏用戶操作行為記錄、缺少實時監(jiān)控與響應(yīng)能力全平臺數(shù)據(jù)，大數(shù)據(jù)實時處理，合規(guī)告警處理無法區(qū)分一般審計和敏感審計敏感數(shù)據(jù)、關(guān)鍵數(shù)據(jù)訪問控制只關(guān)注技術(shù)能力發(fā)展關(guān)注新技術(shù)能力、內(nèi)審?fù)獠橐?guī)范和人員能力培養(yǎng)的全面發(fā)展通過手工方式、傳統(tǒng)日志管理方式無法滿足要求需要建設(shè)日志合規(guī)的數(shù)字化、在線化、自動化、智能化、可視化，打造“風(fēng)險評估、安全監(jiān)測、通報告警、智能分析、數(shù)據(jù)防護(hù)和知識沉淀”的閉環(huán)管理模式IT

團(tuán)隊所面對的各類日志信息在數(shù)據(jù)的體量、速度及種類上都超出了人類應(yīng)對能力的極限海量日志數(shù)據(jù)計算的準(zhǔn)確性、及時性無法保障需要智能化分析，才能合理有效處理和優(yōu)化機(jī)器智能與專家經(jīng)驗相結(jié)合，打磨關(guān)聯(lián)分析規(guī)則建立日志合規(guī)的場景化的安全建模，簡化合規(guī)管理工作高校需要建立閉環(huán)的日志合規(guī)管理，促進(jìn)日志合規(guī)走向主動式和智能化日志合規(guī)管理需要解決人員能力不均衡和不足的問題，以點帶面，加速團(tuán)隊能力轉(zhuǎn)型，打造“大安全”團(tuán)隊模式PART

02如何建設(shè)日志合規(guī)管理平臺日志合規(guī)管理的建設(shè)要素云原生產(chǎn)品架構(gòu)全平臺日志采集管理大數(shù)據(jù)處理引擎合規(guī)知識庫管理合規(guī)管理規(guī)范合規(guī)事件管理合規(guī)風(fēng)險評估機(jī)器學(xué)習(xí)智能化分析合規(guī)建模全平臺大數(shù)據(jù)日志管理安全風(fēng)險審核日志合規(guī)管理知識沉淀安全處理能力構(gòu)建立體安全治理團(tuán)隊機(jī)器智能和專家經(jīng)驗的有效結(jié)合安全與業(yè)務(wù)目標(biāo)融合智能化海量數(shù)據(jù)分析技術(shù)、管理和人的有機(jī)結(jié)合自適應(yīng)安全架構(gòu)彈性可擴(kuò)展大數(shù)據(jù)架構(gòu)日志合規(guī)管理安全運(yùn)營完善的切面數(shù)據(jù)體系安全一體化運(yùn)營如何建設(shè)日志合規(guī)管理系統(tǒng)合規(guī)知識庫全平臺數(shù)據(jù)采集大數(shù)據(jù)處理云原生架構(gòu)SaaS數(shù)據(jù)建模分析異常告警智能降噪告警通知災(zāi)備應(yīng)急處理工單流轉(zhuǎn)整改跟蹤合規(guī)知識庫SaaS日常合規(guī)巡檢智能模型優(yōu)化混沌風(fēng)險評估建立標(biāo)準(zhǔn)采集數(shù)據(jù)審計異常建模分析異常處理合規(guī)整改持續(xù)優(yōu)化小步快跑，逐步建設(shè)和完善價值創(chuàng)新型日志合規(guī)管理系統(tǒng)長期規(guī)劃、分期建設(shè)決策層面：從“合規(guī)遵從型”轉(zhuǎn)型到“價值創(chuàng)新型”是大勢所趨戰(zhàn)略層面：高校部署規(guī)劃，需要有頂層視角，保障運(yùn)行安全、感知發(fā)展態(tài)勢、實時指揮調(diào)度關(guān)注長遠(yuǎn)利益擁有長遠(yuǎn)視角，追求長期的效率提升和人力成本驟減持續(xù)場景積累不但提升標(biāo)準(zhǔn)化程度、完善各合規(guī)場景，注重場景積累，推動安全合規(guī)與生產(chǎn)發(fā)展的一致性持續(xù)資源投入小步快跑、逐步擴(kuò)展專門的人才團(tuán)隊決策者的協(xié)同與支持PART

1PART

2PART

3PART

4日志合規(guī)管理分期建設(shè)建議建立標(biāo)準(zhǔn) 采集數(shù)據(jù) 建模分析審計異常異常處理合規(guī)整改持續(xù)優(yōu)化合規(guī)知識庫全平臺數(shù)據(jù)采集大數(shù)據(jù)處理云原生架構(gòu)SaaS數(shù)據(jù)建模分析異常告警智能降噪告警通知災(zāi)備應(yīng)急處理工單流轉(zhuǎn)整改跟蹤合規(guī)知識庫SaaS日常合規(guī)巡檢第一期建立基礎(chǔ)第三期價值創(chuàng)新第二期智能提升智能模型優(yōu)化混沌風(fēng)險評估PART

03愛數(shù)日志合規(guī)管理方案說明高校日志合規(guī)管理方案架構(gòu)圖安全設(shè)備一卡通系統(tǒng)網(wǎng)絡(luò)設(shè)備

綜合管理域教學(xué)業(yè)務(wù)網(wǎng)絡(luò)教學(xué)教務(wù)系統(tǒng)教務(wù)域科研合同管理科研管理系統(tǒng)科研域檔案系統(tǒng)檔案域文獻(xiàn)資源借閱系統(tǒng)門禁系統(tǒng)圖書館用戶體驗/用戶行為全平臺日志采集應(yīng)用系統(tǒng)/業(yè)務(wù)交易數(shù)據(jù)庫/中間件網(wǎng)絡(luò)設(shè)備服務(wù)器/存儲/備份公有云/私有云/混合云產(chǎn)品安全可控SuperAgent

技術(shù)分級存儲能力信創(chuàng)支持涉密認(rèn)證大數(shù)據(jù)引擎、海量數(shù)據(jù)實時處理云原生架構(gòu)、易于彈性擴(kuò)展全平臺覆蓋場景化分析日志合規(guī)場景建模合規(guī)知識庫日志數(shù)據(jù)指標(biāo)化和標(biāo)簽化開箱即用的封裝模板機(jī)器學(xué)習(xí)、智能降噪全平臺日志采集、留存合規(guī)異常告警管理可視化管理儀表盤數(shù)字化管理大屏第三方處理ITSM災(zāi)備系統(tǒng)高?；旌显苹A(chǔ)架構(gòu)安全審計分析：覆蓋每個系統(tǒng)、設(shè)備和用戶全面覆蓋對網(wǎng)絡(luò)中的各類設(shè)備、系統(tǒng)和用戶行為日志進(jìn)行全面覆蓋采集溯源取證當(dāng)安全事件發(fā)生時，做到任意事件可追溯、可分析、可定位安全完整的數(shù)據(jù)審計流程滿足合規(guī)集中審計審計覆蓋操作日志、登錄日志、訪問日志、錯誤日志等，并集中存儲識別分析對收集后的日志信息進(jìn)行運(yùn)維故障定位和安全事件分析等安全管理定期備份或歸檔日志數(shù)據(jù)，同時對日志數(shù)據(jù)分權(quán)管理PART

1PART

2.3PART

3PART

4PART

5技術(shù)優(yōu)勢說明全平臺管理實現(xiàn)對傳統(tǒng)IT架構(gòu)和多云環(huán)境的全平臺統(tǒng)一管理云原生架構(gòu)采用云原生架構(gòu)，支持敏捷的擴(kuò)展，滿足客戶發(fā)展需要智能化機(jī)器學(xué)習(xí)算法和知識圖譜技術(shù)，實現(xiàn)日志合規(guī)告警的智能降噪和智能合規(guī)推送大數(shù)據(jù)引擎大數(shù)據(jù)引擎提供TB級的海量數(shù)據(jù)及時處理能力，保障日志數(shù)據(jù)處理的時效性場景化建模提供KPI指標(biāo)抽取和日志合規(guī)建模能力，對合規(guī)情況做評估和分析知識庫提供合規(guī)知識庫，幫助團(tuán)隊共享經(jīng)驗知識，規(guī)范管理要求100+模板提供100+開箱即用的管理模板，運(yùn)維管理更加便捷開放性支持與災(zāi)備系統(tǒng)、ITSM的集成、帆軟大屏，為客戶提供更多的合規(guī)處置手段技術(shù)創(chuàng)新功能創(chuàng)新價值創(chuàng)新

技術(shù)能力：統(tǒng)一的、全平臺的日志合規(guī)管理服務(wù)器日志審計網(wǎng)絡(luò)日志審計業(yè)務(wù)應(yīng)用數(shù)據(jù)庫/中間件網(wǎng)絡(luò)設(shè)備云服務(wù)器用戶行為用戶體驗存儲/備份應(yīng)用服務(wù)層用戶業(yè)務(wù)層系統(tǒng)軟件層基礎(chǔ)架構(gòu)層存儲/備份日志審計云服務(wù)日志審計數(shù)據(jù)庫/中間件日志審計業(yè)務(wù)應(yīng)用日志審計用戶行為日志審計全平臺日志采集海量日志合規(guī)留存異常事件識別技術(shù)能力：全量采集全平臺的日志數(shù)據(jù)，適應(yīng)各種

IT

環(huán)境，確保合規(guī)數(shù)據(jù)不缺失設(shè)備/系統(tǒng)分類數(shù)據(jù)來源可分析指標(biāo)采集方式操作系統(tǒng)windows服務(wù)器運(yùn)行狀態(tài)

服務(wù)器登錄信息

系統(tǒng)資源使用情況服務(wù)器審計記錄AgentlinuxAIX網(wǎng)絡(luò)設(shè)備常見廠商的網(wǎng)絡(luò)交換機(jī)/路由器網(wǎng)站監(jiān)控；

網(wǎng)頁性能監(jiān)控性能指標(biāo)分析SNMP、Syslog數(shù)據(jù)庫MySql數(shù)據(jù)庫審計記錄數(shù)據(jù)庫性能狀態(tài)Agent-審計日志JDBC-性能日志OracleSQL

ServerDB2神通數(shù)據(jù)庫安全設(shè)備防火墻/UTM/VPN/IPS/IDS/加密軟件/應(yīng)用監(jiān)管等設(shè)備運(yùn)行狀態(tài)Syslog設(shè)備審計記錄系統(tǒng)應(yīng)用日志中間件Apache吞吐率、并發(fā)連接數(shù)、線程數(shù)、運(yùn)行時間等AgentNginx吞吐率、并發(fā)連接數(shù)、版本、連接丟失率TomcatJVM

內(nèi)存、線程、處理時間、請求數(shù)、網(wǎng)絡(luò)流量等IIS當(dāng)前連接數(shù)、運(yùn)行時間、每秒接收字節(jié)數(shù)、每秒發(fā)送字節(jié)數(shù)每秒傳輸字節(jié)

數(shù)、每秒接收文件數(shù)等Weblogic吞吐量、空閑線程數(shù)、JMS

連接數(shù)MQ內(nèi)存使用、存儲使用等系統(tǒng)服務(wù)DNS安全審計指標(biāo)分析性能運(yùn)行指標(biāo)狀態(tài)數(shù)據(jù)AgentADmail云ECS、RDS云服務(wù)器運(yùn)行狀態(tài)服務(wù)器登錄信息

系統(tǒng)資源使用情況數(shù)據(jù)庫性能狀態(tài)服務(wù)器和數(shù)據(jù)庫審計記錄Agent（模板化）日志采集能力壓縮傳輸加密傳輸使用資源限制源端日志過期清除指定時間段/定時采集日志采集管理部署管理：遠(yuǎn)程部署、升級、卸載批量部署狀態(tài)管理：采集記錄狀態(tài)監(jiān)控分組管理多云、雙態(tài)環(huán)境下的日志采集技術(shù)能力：云原生架構(gòu)，彈性擴(kuò)展，讓日志合規(guī)管理平臺更穩(wěn)定可靠…podpodpod

pod

pod

pod微服務(wù)水平擴(kuò)展、彈性伸縮云原生技術(shù)物理機(jī)更敏捷高質(zhì)量的應(yīng)用交付，保障服務(wù)質(zhì)量研發(fā)流程實現(xiàn)持續(xù)集成、持續(xù)發(fā)布、持續(xù)部署，新的用戶需求響應(yīng)速度很快可實現(xiàn)分鐘級修復(fù)應(yīng)用故障系統(tǒng)的自愈能力強(qiáng)，減少對用戶業(yè)務(wù)影響以輪詢方式檢查服務(wù)的健康度一旦檢測到異常，立即創(chuàng)建新的實例做替換，減少應(yīng)用停機(jī)時間基于容器化，更強(qiáng)的環(huán)境適應(yīng)能力從開發(fā)到測試到部署，不需要考慮底層環(huán)境因素，提高研發(fā)交付效率彈性伸縮能力，幫助用戶降本增效基于Kubernetes

的容器化編排，可以實現(xiàn)資源彈性伸縮，用最小的成本滿足業(yè)務(wù)需求數(shù)據(jù)采集服務(wù)數(shù)據(jù)搜索服務(wù)數(shù)據(jù)管理服務(wù)數(shù)據(jù)清洗服務(wù)數(shù)據(jù)轉(zhuǎn)儲服務(wù)…………技術(shù)能力：提供大數(shù)據(jù)引擎，海量日志的處理更加安全和高效把所有運(yùn)維對象的日志都匯聚在一個平臺，包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、存儲、操作系統(tǒng)、中間件、數(shù)據(jù)庫、應(yīng)用等，一鍵檢索寫入優(yōu)化調(diào)整translog

flush

間隔，異步寫入，提升性能調(diào)整索引刷新間隔，

減少Lucene

段和

ForceMerge

操作增加

Indexing

buffer

的值對數(shù)據(jù)進(jìn)行精準(zhǔn)建模分詞器選用ik_max……搜索優(yōu)化為操作系統(tǒng)的

Cache

預(yù)留足夠的內(nèi)存，提高

Cache

命中率為只讀索引執(zhí)行force_merge操作Hot

節(jié)點使用性能更好的SSD基于索引名稱時間與類型，按需縮小搜索的索引范圍……日志數(shù)據(jù)統(tǒng)一檢索入口 關(guān)聯(lián)搜索，展示跨設(shè)備、系統(tǒng)的事件流程創(chuàng)建多步搜索，上步的搜索結(jié)果作為下一步的搜索條件把多個相互獨立的事件日志串起來，展示完整事件流程搜索查詢安全優(yōu)化默

認(rèn)

開

啟

身

份

驗

證

（

互

聯(lián)

網(wǎng)

上

發(fā)

生

的Elasticsearch數(shù)據(jù)泄露，都是因為Elasticsearch開源版本沒有這個導(dǎo)致的）可選開啟SSL安全連接依賴庫CVE漏洞更新修復(fù)自身運(yùn)行狀態(tài)監(jiān)控告警……處理效率提升100%技術(shù)能力：從日志中提取出有效的數(shù)據(jù)，支持敏感數(shù)據(jù)脫敏字段名稱字段值分析指標(biāo)日志產(chǎn)生時間2018-12-23

08:45:14平臺訪問頻次用戶Robin平臺活躍用戶數(shù)日志級別信息錯誤類的日志告警操作類型上傳用戶操作喜好訪問者IP9哪些區(qū)域使用頻繁文件名稱1388888XXXX.txt文件列表操作狀態(tài)成功操作成功率路徑AnyShare://銷售部門/ID號文檔庫熱度日志解析原始日志2018-12-23

08:45:14,Robin,信息,上傳,9,上傳文件txt”成功,父路徑

:

AnyShare://銷售部門/ID號日志產(chǎn)生時間訪問者IP操作類型用戶

日志級別文件名稱操作狀態(tài)路徑AnyRobot

平臺內(nèi)置

100

多種常見數(shù)據(jù)源的日志解析模板支持?jǐn)?shù)據(jù)重解析，在第一次解析出錯的情況下，還能糾錯支持鼠標(biāo)劃詞解析，讓非技術(shù)人員也可按需獲取分析指標(biāo)支持敏感數(shù)據(jù)脫敏，提高敏感數(shù)據(jù)訪問效率幾十倍！技術(shù)能力：日志數(shù)據(jù)的指標(biāo)化、指標(biāo)的標(biāo)簽化，保障分析的有效性基于標(biāo)簽分類，進(jìn)行生命周期管理將客戶關(guān)心的日志信息轉(zhuǎn)化為管理指標(biāo)按照客戶場景化分析需要自定義指標(biāo)標(biāo)簽按日志屬性進(jìn)行生命周期存儲和歸檔（比如OA、DMS、ERP的日志生命周期）基于分類標(biāo)簽的生命周期管理策略（存儲、服務(wù)器系統(tǒng)的日志生命周期）；技術(shù)能力：提供場景化建模分析能力日志數(shù)據(jù)KPI建模依據(jù)合規(guī)規(guī)范建模依據(jù)管理要求建模數(shù)據(jù)分析器服務(wù)運(yùn)行狀態(tài)可視化監(jiān)控多層級下鉆分析（服務(wù)/KPI/實體）數(shù)據(jù)關(guān)聯(lián)分析直觀展示數(shù)據(jù)模型關(guān)聯(lián)性分析各數(shù)據(jù)間的影響情況告警事件審查基于

KPI

嚴(yán)重性觸發(fā)告警基于決策算法實現(xiàn)智能告警合并分析隱患發(fā)現(xiàn)異常告警處理基于指標(biāo)數(shù)據(jù)及日志數(shù)據(jù)，提供數(shù)據(jù)建模能力，可以根據(jù)合規(guī)需求將多個維度的日志指標(biāo)在一個模型中進(jìn)行分析技術(shù)能力：靈活配置場景化的KPI指標(biāo)和評估標(biāo)準(zhǔn)評估計算配置運(yùn)營支撐的KPI健康度指標(biāo)和權(quán)重技術(shù)能力：支持動態(tài)閾值方式配置日志指標(biāo)的告警靜態(tài)閾值適用于在一定范圍內(nèi)波動的監(jiān)控指標(biāo)動態(tài)閾值適用于波動較大或不具有明顯上下邊界的監(jiān)控指標(biāo)；基于機(jī)器學(xué)習(xí)算法，計算真實數(shù)據(jù)與閾值數(shù)值間的偏離程度得出

KPI嚴(yán)重性狀態(tài)靜態(tài)閾值配置動態(tài)閾值配置支持靜態(tài)及動態(tài)閾值配置，滿足多場景監(jiān)控需求，通過機(jī)器學(xué)習(xí)對指標(biāo)的趨勢性及周期性等特征學(xué)習(xí)，結(jié)合業(yè)務(wù)特性來分析指標(biāo)數(shù)據(jù)的歷史變化律,自動適應(yīng)周期性規(guī)律，智能檢測指標(biāo)異常點并觸發(fā)告警，提升告警精準(zhǔn)度技術(shù)能力：基于決策樹算法，通過降噪數(shù)及降噪維度，實現(xiàn)智能告警合并事件組1嚴(yán)重性事件描述時間范圍基于降噪數(shù)及降噪維度（告警名稱、服務(wù)、KPI），高效清晰整合告警信息事件1事件2事件3事件n事件組3事件組n告警事件審查以信息熵為度量的告警降噪80%高壓縮比，平均可達(dá)降噪數(shù)降噪維度事件組2事件4技術(shù)能力：告警事件降噪及定級，避免告警風(fēng)暴根據(jù)智能算法自動合并降噪時間窗口內(nèi)的告警事件，并可對告警事件實現(xiàn)嚴(yán)重性定級，幫助運(yùn)維人員更高效、清晰的整合告警事件記錄，避免產(chǎn)生告警風(fēng)暴導(dǎo)致關(guān)鍵事件的忽略技術(shù)能力：告警事件處理，可快速定位故障根源，減少故障排查時間HTTP協(xié)議通過HTTP協(xié)議，把告警信息轉(zhuǎn)發(fā)給第三方事件管理中心。Syslog協(xié)議通過syslog協(xié)議，把告警信息轉(zhuǎn)發(fā)給第三方事件管理中心。郵件通知通過郵件通知，把告警信息通知給管理員。直觀呈現(xiàn)告警統(tǒng)計信息展示所有告警記錄基于事件/關(guān)鍵字的告警策略，產(chǎn)生了告警記錄Shell模式直接查看異常日志上下文產(chǎn)生告警技術(shù)能力：100+開箱即用的日志管理模板用戶業(yè)務(wù)層應(yīng)用服務(wù)層

系統(tǒng)軟件層基礎(chǔ)架構(gòu)層用戶行為審計覆蓋能力：所有用戶行為日志類型都可以做解析和分析Exchange、Confluence、AnyShare、AnyBackup、AD、DHCP等覆蓋類型：應(yīng)用產(chǎn)生的幾乎所有日志類型都可以做解析和分析國外數(shù)據(jù)庫/中間件

+

國產(chǎn)數(shù)據(jù)庫/中間件數(shù)據(jù)庫覆類型牌：Oracle、SQLServer、MySQL、DB2、人大金倉、神通數(shù)據(jù)庫等中間件覆蓋類型：Apache、Nginx、IIS、RabbitMQ、Tomcat、WebSphere、東方通等云平臺、虛擬機(jī)、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、容器、安全設(shè)備等覆蓋品牌：華為、中興、VMware、OpenStack、Linux、AIX

、麒麟、Docker、思科、天融信、中興、綠盟、深信服、360、山石、飛塔等業(yè)務(wù)全鏈路覆蓋、提供100+場景化模板，包括解析模板

+

分析模板

+

告警模板技術(shù)能力：提供日志合規(guī)管理報表和日常巡檢報表，滿足不同管理人員的需要多管理員視圖，滿足不同角色使用場景訂閱數(shù)據(jù)分析報表，定期了解系統(tǒng)運(yùn)行情況巡檢管理，從管理角度定期排查業(yè)務(wù)風(fēng)險技術(shù)能力：提供分級存儲能力，保障法規(guī)合規(guī)審查和低成本存儲需求日志庫

A：留存6個月，無需離線歸檔2個月前數(shù)據(jù)當(dāng)月數(shù)據(jù)6

個月前數(shù)據(jù)過期清除6

個月前數(shù)據(jù)2個月前數(shù)據(jù)當(dāng)月數(shù)據(jù)4個月前數(shù)據(jù)日志庫

B：留存3年，6個月前的數(shù)據(jù)歸檔數(shù)據(jù)采集NASOSS對象存儲壓縮率50%

~

80%數(shù)據(jù)產(chǎn)生數(shù)據(jù)接入數(shù)據(jù)存儲數(shù)據(jù)留存周期數(shù)據(jù)轉(zhuǎn)儲/刪除數(shù)據(jù)解析用戶業(yè)務(wù)層基礎(chǔ)架構(gòu)層應(yīng)用服務(wù)層系統(tǒng)軟件層離線存儲介質(zhì)用戶可自定義數(shù)據(jù)的存儲周期支持在線歸檔，歸檔數(shù)據(jù)支持高達(dá)80%的壓縮率支持在線檢索和恢復(fù)數(shù)據(jù)，用作事件審計和監(jiān)管審查典型使用場景：滿足外部合規(guī)審計規(guī)范的檢查要求滿足合規(guī)性檢查用戶安全審計根據(jù)等保2.0、網(wǎng)絡(luò)安全法等法規(guī)要求的審計，支持采集和全面分析多種系統(tǒng)、設(shè)備的日志數(shù)據(jù)內(nèi)部合規(guī)審查，支持自定義報表典型使用場景：高?！巴诘V”安全審計國家發(fā)改委下發(fā)了《國家發(fā)展改革委等部門關(guān)于整治虛擬貨幣“挖礦”

活動的通知》，要求各省區(qū)市要堅決貫徹落實好虛擬貨幣“挖礦”整

治工作，全面對本地區(qū)虛擬貨幣“挖礦”活動進(jìn)行清理整治。通過關(guān)聯(lián)分析搜索把分散在多個網(wǎng)絡(luò)設(shè)備、安全設(shè)備上的日志數(shù)據(jù)串聯(lián)起來，以IP地址為關(guān)鍵字，實現(xiàn)校園網(wǎng)內(nèi)“礦機(jī)”IP、工號、學(xué)號定位的問題；通過對校內(nèi)異常流量進(jìn)?監(jiān)控，關(guān)聯(lián)搜索異常流量IP地址對應(yīng)的工號或?qū)W號，進(jìn)行定位判斷。日志A日志B日志C日志DFireWallWebWebWebDatabaseDatabaseStorageStorage內(nèi)部/外部用戶MidwareMidwareMidwareLoadBalanceEndpointInternet日志E日志F日志G日志H字段4字段6字段7字段10字段11字段12字段15字段16字段17表示兩類日志中

具有的相同/相近字段字段3字段6字段8字段9 字段10字段13字段14字段15字段17字段18字段1字段2字段3字段5字段8字段13典型使用場景：師生行為安全審計分析，審計可疑操作統(tǒng)計有登錄行為的賬戶數(shù)7個，管理員查看是否未知用戶名。非受信任時間段登錄，以及登錄失敗的次數(shù)統(tǒng)計，并預(yù)定告警策略。對登錄的IP地址進(jìn)行統(tǒng)計，非受信任的IP訪問，預(yù)定告警策略，及時通知管理員。對敏感的操作命令進(jìn)行審計，并預(yù)定告警策略，及時通知管理員對系統(tǒng)的進(jìn)程進(jìn)行監(jiān)控，不常見的進(jìn)程名和異常資源占用的進(jìn)程，預(yù)定告警策略，并及時通知管理員。典型使用場景：非白名單訪問審計統(tǒng)計非白名單訪問次數(shù)，按訪問頻次展示非白名單的IP請求，在時間軸上展示非白名單的訪問時間和占比審計非白名單的（IP地址、用戶）的操作行為，

詳細(xì)記錄登錄服務(wù)器后執(zhí)行的每一條命令，即使黑客及時的清理“痕跡”，也會在

AnyRobot上有留存對非白名單執(zhí)行的敏感命令做審計和告警內(nèi)鬼洞察選擇要審計的離職用戶/文件名稱，列出要審計的內(nèi)容：用戶名、時間、操作動作、操作對象、操作狀態(tài)、設(shè)備IP、設(shè)備MAC地址、外鏈?zhǔn)欠耖_啟密碼等。配置【下載/刪除公司數(shù)據(jù)】的動作告警。同時導(dǎo)出統(tǒng)計列表，用作審計報告。離職審計典型使用場景：應(yīng)用數(shù)據(jù)安全審計攻擊告警統(tǒng)計異地登錄的賬戶和次數(shù)，列出賬戶登錄的城市和狀態(tài)。

配置【登錄失敗次數(shù)多】的告警，對于這類賬戶要重點關(guān)注。管理員要跟用戶本人進(jìn)行核實。統(tǒng)計應(yīng)用平臺上用戶的刪除行為，計算出周期內(nèi)的用戶刪除次數(shù)。行為次數(shù)較多且較上一個周期變化較大的用戶要重點審計，并配置告警。典型使用場景：數(shù)據(jù)庫日志審計，保障數(shù)據(jù)庫安全性統(tǒng)計死鎖數(shù)0個，如果大于1，立即給管理員告警統(tǒng)計tps、qps的指標(biāo)，對比歷史數(shù)據(jù)和業(yè)務(wù)峰值，

做性能調(diào)優(yōu)或資源擴(kuò)充。統(tǒng)計數(shù)據(jù)庫連接數(shù)，會話數(shù)，超出正常范圍及時告警，非工作時間段的會話，及時告警通知管理員。每天對前一天非工作時間段的訪問和關(guān)鍵命令進(jìn)行審計。對數(shù)據(jù)庫的賬戶、登錄記錄、執(zhí)行的命令進(jìn)行審計典型使用場景：云和虛擬化安全審計統(tǒng)計17個宿主機(jī)，有虛擬化池資源114個，虛擬機(jī)1660個。其中開機(jī)數(shù)694個，關(guān)機(jī)數(shù)962個，掛起4個對虛擬化平臺底層的系統(tǒng)的異常事件進(jìn)行告警，及時通知管理員。每天對關(guān)鍵目標(biāo)虛擬機(jī)前一天的行為動作進(jìn)行審計。對關(guān)鍵虛擬機(jī)的日志事件全景圖，從虛擬機(jī)自身的系統(tǒng)日志、操作命令日志、虛擬機(jī)所在的宿主機(jī)計算資源空限度、存儲資源空閑度等維度，出現(xiàn)任何可能的風(fēng)險，及時告警。典型使用場景：網(wǎng)絡(luò)和安全設(shè)備安全審計分析，審計網(wǎng)絡(luò)使用安全設(shè)備配置變更和自身狀態(tài)變化，及時告警通知管理員。登錄VPN失敗的用戶數(shù)13個，立即審計13個賬戶的登錄源IP和失敗頻次。對敏感資源訪問做預(yù)配置，統(tǒng)計67個用戶訪問，

審計67個用戶是否在高校信任列表中。統(tǒng)計訪問VPN的來源IP熱度排名，通過內(nèi)網(wǎng)的IP，

審計用戶在內(nèi)網(wǎng)的行為統(tǒng)計VPN使用的人數(shù)，有異常趨勢的增長和衰減，下鉆定位到日志中查看在非工作時間段的訪問行為，做重點審計報表。其他典型使用場景生產(chǎn)、預(yù)發(fā)環(huán)境服務(wù)連接違規(guī)使用變量組等配置修改告警DevOps

系統(tǒng)合規(guī)審計復(fù)雜系統(tǒng)漏洞處置周期較長，完整修復(fù)困難根據(jù)解決方案、漏洞特征進(jìn)行臨時性處置或提供受攻擊告警安全事件處置狀態(tài)查看業(yè)務(wù)環(huán)境版本、鏡像版本、軟件版本等信息采集、展示結(jié)合CVE信息對業(yè)務(wù)影響域進(jìn)行分析、播報提供不同系統(tǒng)、軟件、鏡像等的測試驗證、修復(fù)方案信息安全事件播報PART

04國內(nèi)部分高校實踐分享日志合規(guī)管理的典型收益問題關(guān)鍵業(yè)務(wù)系統(tǒng)有18%的用戶請求不能成功完成挑戰(zhàn)人工日志分析350

個

log

files,

138

個服務(wù)器~耗時60

小時措施部署愛數(shù)日志合規(guī)方案實現(xiàn)主動式的日志管理收益日志分析時間從60小時縮短到5分鐘PART

1PART

2PART

3PART

4高校行業(yè)代表客戶東南大學(xué)中央音樂學(xué)院中國政法大學(xué)中國人民公安大學(xué)北京航空航天大學(xué)北京大學(xué)四川大學(xué)北京師范大學(xué)成都理工大學(xué)上海對外經(jīng)貿(mào)大學(xué)重慶郵電大學(xué)北京舞蹈學(xué)院貴州輕工職業(yè)技術(shù)學(xué)院北京印刷學(xué)院長沙師范學(xué)校浙江科技學(xué)院北京信息科技大學(xué)江西中醫(yī)藥大學(xué)石家莊翰林學(xué)校四川工程職業(yè)技術(shù)學(xué)院廣西南寧技師學(xué)院河北軟件職業(yè)技術(shù)學(xué)院內(nèi)江師范學(xué)院四川工程職業(yè)技術(shù)學(xué)院河北醫(yī)科大學(xué)濟(jì)南職業(yè)學(xué)院西北農(nóng)林科技大學(xué)高校實踐分享：北京大學(xué)IT

審計管理工作方法創(chuàng)新建設(shè)說明采：共采集60個左右的數(shù)據(jù)源，包括北大15個門戶網(wǎng)站的access和error日志、Oracle數(shù)據(jù)庫日志、數(shù)十臺開發(fā)服務(wù)器數(shù)據(jù)等。存：一個月4億條數(shù)據(jù)，每月日志增量約為400G管：單獨為每個網(wǎng)站數(shù)據(jù)進(jìn)行分組和標(biāo)簽管理，分配不同權(quán)限給到對應(yīng)的運(yùn)維人員進(jìn)行管理維護(hù)用：通過AnyRobot將日志標(biāo)準(zhǔn)化后，將網(wǎng)站pv和uv輸出到北大門戶網(wǎng)站方案建設(shè)難點滿足《網(wǎng)絡(luò)安全法》、等保2.0中相關(guān)的法規(guī)要求為北大的運(yùn)維人員提供了統(tǒng)一的日志分析入口，靈活的權(quán)限管理及管理員視圖避免了直接登錄后臺查看日志的安全風(fēng)險為門戶網(wǎng)站的提供分析視圖，直觀的了解網(wǎng)站的pv、uv和網(wǎng)站訪問詳情，快速發(fā)現(xiàn)網(wǎng)站信息中的異常數(shù)據(jù)共享：將相關(guān)指標(biāo)進(jìn)行轉(zhuǎn)發(fā)共享至北大官網(wǎng)，為北大網(wǎng)站呈現(xiàn)各網(wǎng)站的運(yùn)營詳情操作系統(tǒng) 開發(fā)程序服務(wù)器 門戶網(wǎng)站 Oracle數(shù)據(jù)庫用戶數(shù)據(jù)中心AR-agentAR-agent Syslog JDBC搜索、告警、可視化API接口定制智能運(yùn)維 ?數(shù)據(jù)庫性能分析數(shù)據(jù)庫語句審計網(wǎng)站故障排查日志開放 ?第三方大數(shù)據(jù)平臺門戶網(wǎng)站運(yùn)營統(tǒng)一日志調(diào)式入口高校實踐分享：北京大學(xué)IT

審