日志审计解决方案

日志审计问题分析

《互联网安全保护技术措施规定》，即公安部第82号令于2006年开始实行。82号令第八条规定：（一）记录并留存用户注册信息； （二）使用内部网络地址与互联网网络地址转换方式为用户提供接入服务的，能够记录并留存用户使用的互联网网络地址和内部网络地址对应关系；（三）记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。

随着我们国家近几年的发展，重大事件不断，比如：有喜庆的奥运会、国庆60周年、上海世博会、广州亚运会等；也有悲伤的314西藏暴乱事件、75新疆暴力犯罪事件……

在这样的大背景下，各地行政主管部门频繁进行“网络安全大检查”，对是否具备一定网络安全措施进行检查评比。检查的具体内容涉及，是否有防火墙？是否有网页防篡改设备？当然，是否能符合82号令的日志审计属于重点检查。

日志审计解决方案

从对国家法规法令的遵守出发，结合以下两个关键点进行统一日志审计方案的设计：

1、网络运维分析所需的用户、应用和流量的日志数据。

2、多台设备架构下的网络出口多种类型的日志数据。

统一日志审计解决方案通过整合各方网络资源，为IT管理者提供统一网络监管界面，最终将IT复杂问题简单化，提高IT工作效能。

RG-elog配合ACE流控系列产品，记录基于URL、源IP、目的IP等信息。在配置了SAM认证系统的情况下，可以同时显示记录的用户信息，包括用户账号、用户名字、用户联系方式等，快速定位责任人。

RG-elog配合NPE网络出口引擎系列产品、RG-WALL防火墙系列产品，记录基于源IP、源端口、NAT后源IP、NAT后源端口、目的IP和目的端口。在配置了SAM认证系统的情况下，可以同时显示包括用户账号、用户名字、用户联系方式等，快速定位责任人。

解决方案价值

◆ 统一管理维护用户界面简单易用

IT管理者通过网络气象图可以全面掌控络运行健康程度。

◆ 一目了然的Top N用户流量记录

通过点击网络出口设备可以一目了然显示网络Top N的用户流量/会话信息，了解活跃用户，辅助查找异常用户。

◆ 基于用户的网络访问日志与分析

通过点击具体用户可以显示该用户的网络访问日志，上报访问的色情、暴力、反动等站点。

◆ 基于用户的精细业务监控与优化

通过点击具体用户可以显示该用户的流量趋势图，并且可以实时分析该用户的具体应用业务程序，点击具体业务程序，可以实时了解该业务程序所占用的具体带宽等。

◆ 异常流量攻击精准报警与预防

通过点击具体用户可以显示该用户的异常流量，通过设置异常流量报警，自动处理异常流量攻击，且提供该异常流量的处理建议。

◆ 基于用户的内网攻击记录与分析

通过点击具体用户可以显示该用户的安全日志，明确显示哪个用户，哪个IP，哪个MAC，在交换机的哪个端口，采用哪种攻击方式，攻击了哪个用户，哪个IP，哪个MAC，在交换机的哪个端口，攻击了多少次，首次发生的时间，最后一次发生的时间，且提供该安全事件的处理建议。