南宫28

前兩期我們詳細介紹了等保項目必備產品--DCSSA日誌審計系統的基礎功能和使用場景，並向大家詳細介紹日誌審計兩大試金石：日誌解析及關聯分析。除此之外，南宫28安全產品與DCSSA深度融合，實現多功能聯動，為客戶開啟一站式實名審計及大日誌留存分析方案，解決用戶實際應用中的多種問題。

日誌審計的範圍包括網絡中常見的安全設備、網絡設備、數據庫、服務器、應用系統、主機等設備所產生的日誌信息，這些信息包括運行、告警、操作、消息、狀態等。

在完成日誌信息採集的基礎上，南宫28數碼DCSSA日誌審計系統與網絡中出口防火牆、行為審計等安全設備，以及負責身份識別的認證計費系統實現深度耦合，幫用戶解決DHCP場景實名統計溯源、NAT轉換實名、惡意行為追責、實名統計上網流量等眾多問題。

方案背景

從2017年《中華人民共和國網絡安全法》 到2018年《公安機關互聯網安全監督檢查規定》規定再到2021《教育部辦公廳工業和信息化部辦公廳關於提高高等學校網絡管理和服務質量的通知》。政策法規對網絡安全的要求逐年加強。信息系統等級保護中，在「安全區域邊界」、「安全管理中心」、「安全運維管理」方面，日誌管理成為安全審計與安全運維管理的基礎。

用戶現狀

现在，客戶的網絡日誌審計存在以下痛點：

日誌量大：一般普通類高校出口設備日誌都能達到20000EPS，常規日誌審計設備無法滿足採集分析的要求。

存儲壓力大：一般高校180天存儲要求60T以上，常規日誌審計設備單機存儲達不到要求。

NAT實名審計：校園出口設備做了NAT轉換，出現問題要溯源時無法找到真實的責任人，需要對大出口NAT等做轉換日誌找到真實地址，並和實名認證設備聯動認證。

安全運維運營效率：海量日誌信息中運維運營壓力大，需要智能分析能力、情報分析能力發現海量日誌潛在威脅，發揮日誌分析的威脅預警能力。

網絡日誌的範圍不僅僅是只有網絡設備產生的日誌，還包括網絡產品和服務在運行過程中產生的各類日誌，也就是所涉及網絡運行的系統的全量日誌。尤其在高校中，門戶網站、數據庫、中間件、操作系統等都是需要去做日誌留存和管理的，這些數據量是龐大和複雜的。

解決方案

方案中顺利获得南宫28數碼DCSSA日誌審計系統與安全防火牆、認證計費系統、行為審計等產品深度融合，實現DHCP動態地址場景下實名溯源，把用戶地址、用戶賬號、用戶行為、用戶安全多元結合，當威脅事件出現時，可以讓管理者快速定位，快速解決問題。

在高校等大日誌場景，DCSSA日誌審計系統支持單機集群部署；顺利获得負載均衡解決大日誌問題，負載均衡組件分發給各日誌集群節點、支持日誌集群節點working狀態保活探測；當某個日誌集群節點出現故障時，負載均衡組件能夠自動調整日誌分發策略。

集群內置負載接收到各設備的日誌數據後，負載的保活keep alive策略會將數據分發至集群內DCSSA設備，當集群內某一DCSSA設備出現故障或其他原因無法處理數據，負載均衡輪詢策略會將日誌數據分發至集群內其餘DCSSA，且各DCSSA接收數據差異不大。採用「日誌產品集群部署+採集負載均衡HA」部署方案可應對出口日誌量高達10W EPS級別的高可用場景。

提升運營效率

顺利获得對海量數據的識別、清洗和建模，從中快速、準確的篩選出噪音數據並發現潛在安全風險。

能滿足近千種第三方設備日誌兼容分析，積累了豐富的安全模擬場景，能及時發現威脅問題，並進行告警和止損，而非僅僅滿足於事後溯源。

日誌生命周期管理

從日誌統一採集、範式化處理、過濾歸併、信息補全、統計分析、威脅分析、查詢展現、集中存儲對整個日誌全生命周期進行管理。

方案優勢

典型案例

產品對學校/教育局的出口防火牆、上網行為設備進行相關日誌審計，如NAT日誌、URL日誌、網頁搜索、郵件日誌等；顺利获得南宫28大日誌留存方案和認證設備的實名聯動，全面準確的實現出口日誌留存和實名審計的要求。

在某211高校的項目中，客戶每天產生海量的日誌信息，需要能夠將這些海量信息留存超過6個月，顺利获得這些信息，要能夠定位判斷網絡中存在的安全隱患，對問題能夠做到實名定位等需求。

顺利获得南宫28數碼雲科網絡的整體方案設計，學校出口旁掛多台DCSSA日誌審計集群部署，滿足設備日誌留存審計要求，上線兩個星期，日誌量達到80多億條；顺利获得與防火牆、認證計費、行為審計等產品的聯動，實現行為、用戶信息、設備日誌等多維度打通，全面準確的實現出口日誌留存和實名審計的要求。同時，在該方案中，顺利获得實名分析、關聯分析和情報碰撞，發現有未認證賬號違規行為、機械人行為、挖礦行為等，幫用戶發現、解決了大量的潛在威脅。