技术指标 | 指标要求 |
产品形态 | ★软件(支持linux平台)。 |
部署模式 | 支持单一部署,也支持级联部署 管理中心内嵌数据库,用户无需另外安装数据库管理系统 |
使用模式 | 界面100%都是B/S模式,无需安装客户端,使用IE浏览器访问管理中心,浏览器端无需安装Java运行环境。 |
管理范围 | 能够对企业和组织的IT资源中构成业务信息系统的各种网络设备、安全设备、安全系统、主机操作系统、数据库、中间件以及各种应用系统的日志、事件、告警等安全信息进行全面的审计,最大支持 1000个日志源事件采集。 |
审计对象 | 支持审计各种网络设备(路由器、交换机、等)配置日志、运行日志、告警日志等; 支持审计各种安全设备(防火墙、IDS、IPS、VPN、防病毒网关,网闸,防DDOS攻击,Web应用防火墙、等)配置日志、运行日志、告警日志等; 支持审计各种主机操作系统(包括Windows,Solaris, Linux, AIX, HP-UX,UNIX,AS400)配置日志、运行日志、告警日志等; 支持审计各种数据库(Oracle、Sqlserver、Mysql、DB2、Sybase、Informix)配置日志、运行日志、告警日志等; 支持审计各种中间价(tomcat、apache、webshpere、 weblogic等)配置日志、运行日志、告警日志等; 支持各种应用各种应用系统(邮件,Web,FTP,Telnet、等)配置日志、运行日志、告警日志等; 以及用户自己的业务系统的日志、事件、告警等安全信息进行全面的审计。 |
采集方式 | 支持通过syslog、snmp trap、netflow、jdbc、odbc、agent代理、wmi等多种方式完成各种日志的收集功能; 对windows服务器(系统、应用和安全)日志和文件类型日志,可免日志代理或插件,支持用户环境中EVT格式的业务系统日志采集。 |
资产管理 | 按照设备资产重要程度和管理域的方式组织设备资产,提供便捷的添加、修改、删除、查询与统计功能; 支持资产信息的批量导入和导出,便于安全管理和系统管理人员能方便地查找所需设备资产的信息,并对资产进行关键度赋值; 支持自定义资产属性; 支持对资产日志进行过滤,设置允许接收和拒绝接收日志,并可以对资产设置一定时间范围内未收到事件后进行主动告警。(截图证明) |
日志归一化 | 支持采集一化后的日志和保留原始日志,方便用户对关键日志快速定位,和事后取证; 日志收集后进行字段和安全等级的归一化处理,系统归一化字段不少于50个字段,并至少有8个可自定义字段; 系统提供灵活简单的归一化方式,对系统新增的日志类型只需修改配置文件即可支持,不需修改系统程序。 |
日志查询 | 所有日志采用统一的日志查询界面,支持自定义查询场景,并以树形结构组织保存; 支持原始消息中的关键字查询,可进行全文检索; 查询显示查询记录总数,当前查询耗时,可对查询结果跳转到指定页数; 查询结果可支持导出、支持对查询结果任意字段进行排序; 支持设备地址、源地址、目的地址等IP地址条件按照IP段和网段进行查询。 |
实时监视 | 支持实时的日志滚动显示,可通过雷达图等直观显示目前日志量和日志详细信息。 支持对实时展示的字段进行选择,调整字段顺序,修改显示字段别名。 双击单条日志显示详细信息,支持左右布局和上下布局。 支持自定义实时监视场景,提供可视化规则编辑视图,对关注的事件进行实时展示。(截图证明) 支持鼠标放在日志对应字段上界面可悬浮提示资产信息和常用端口信息 |
实时分析 | 可对收集的日志进行分类实时分析和统计,从而快速识别安全事故; 分析统计结果支持柱图、饼图、曲线图等形式并自动实时刷新,图表数据支持数据下钻; 支持统计分析的时长设定,分析结果支持导出报表PDF,HTML,RTF,XLS,PNG,DOCX,XLSX; ▲支持自定义实时分析场景,提供可视化规则编辑视图,根据实际业务编写分析规则;(截图证明) 用户在实时监视的过程中如果发现某条事件的相关属性需要持续予以关注,可以将该事件分配到黑白名单中; 支持对于关联事件进行追溯,查看导致该关联事件的所有原始事件。(截图证明) |
可视化展现 | 能够在世界地图上实时定位事件源/目的IP地址的地理位置(包括二维及三维显示方式); 系统能够将数千条事件记录及其这些事件之间的关联关系变成一幅事件图,形象地展现出一段时间内的用户访问行为。 |
关联分析 | 系统提供可视化规则编辑器,对告警规则进行增删改查。 系统内置针对服务器和其他安全设备的访问ip地址、访问账户和访问时间的访问控制规则; 告警规则可按照树型结构组织,并可在该树型结构上直接查看该规则的告警信息,对告警日志可按各告警字段进行分组排序。 ▲可对不同类型设备的日志之间进行关联分析,支持递归关联,统计关联,时序关联,这几种关联方式能同时应用于一个关联分析规则;(截图证明) |
告警管理 | 通过关联分析,对于发现的严重事件可以进行自动告警,告警内容支持用户自定义字段;告警方式包括邮件、短信、SNMP Trap、Syslog、MSN、飞鸽传书、设备联动等; 响应方式包括:自动执行预定义脚本,自动将事件属性作为参数传递给特定命令行程序。 |
报表管理 | 提供丰富的报表管理功能,预定义了针对各类服务器、网络设备、防火墙、入侵检测系统、防病毒系统、终端安全管理系统、数据库、策略变更、流量,设备事件趋势以及总体报表,满足等保等其他合规性要求;根据时间、数据类型等生成报表,提供打印、导出以及邮件送达等服务;直观地为管理员提供决策和分析的数据基础,帮助管理员掌握网络及业务系统的状况。报表可以保存为html,excel,文本,pdf等多种格式。 ▲提供自定义报表,用户可根据自身需要进行定制。报表可根据设置自动运行,调度生成日报、周报和月报。(截图证明) |
备份归档 | 支持使用在线和离线方式存储数据,支持数据备份到远程服务器; 支持按周期的方式选择备份,支持原始日志与分析后日志分离,支持历史日志恢复导入; 支持各种配置项的备份和导入。支持各种配置项的一键备份和恢复; 当磁盘空间日志存储量达到一定百分比时可设定为删除磁盘中的历史日志或接收的日志不再入库,并进行告警;手动备份和恢复时,可以显示恢复和备份的进度。 |
监控主页 | 系统应提供从总体上把握日志告警和日志统计分析的实时综合性监控界面。界面由多个监控组件组成,用户可以自定义监控主页。 |
系统管理 | 采用基于角色的权限管理机制,通过角色定义支持多用户访问; 支持禁止与允许用户访问日志审计系统的IP地址限制; 支持三权分立; 系统自身的健康状况监控,包括CPU、内存、磁盘的利用率; 系统口令错误次数可设置,超过错误次数锁定,锁定时间可设置。 |
级联管理 | 支持上下数据级级联转发; |
系统认证 | 产品内部的各个组件之间通信都支持加密传输,浏览器访问管理中心支持HTTPS; 浏览器支持session过期保护,支持超时退出机制; 支持用户名密码认证方式,认证时需要提供验证码,用户身份鉴别失败的次数达到设定阈值时,产生系统告警消息,通知授权管理员;支持动态口令认证。 |
IPv6支持 | 系统支持IPv6网络环境。 |
产品资质 | 公安部《计算机信息系统专用产品销售许可证》,(行标-三级) 国家保密局《涉密信息系统产品检测证书》 中国信息安全认证中心《中国国家安全产品认证证书》(3C),增强级 《计算机软件著作权登记证书》 提供至少三项产品相关专利 |
