用户需求分析-日志审计系统

1. 引言：

1.1目的：

    本文以日志审计系统作为产品案例，锻炼B端产品的需求分析能力，以练习为目的。本文从日志审计系统的背景、定位、用户等方面介绍日志审计系统，希望读者快速了解产品特点、使用场景。

1.2背景：

    随着企业信息化程度不断加深，同时也暴露出越来越多的安全漏洞、安全问题，在安全事件发生后，日志是事后追溯的有效参照依据。但是由于信息化程度的复杂度越来越高和庞大的信息系统产生了海量日志，使审计员在杂乱无章的日志中找寻证据变得越来越难。    

    而在云计算应用的今天，日志审计系统借助大数据的分析分析能力，利用插件式分析引擎，审计员在海量日志中找出违规行为，有针对性地综合各个方面的安全因素，从整体上动态反映安全状况，并对安全状况的发展趋势进行预测和预警。

1.3产品介绍：

日志审计系统： 

    日志审计系统，通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息，经过规范化、过滤、归并和告警分析等处理后，以统一格式的日志形式进行集中存储和管理，结合丰富的日志统计汇总和关联分析功能，实现关联分析联动，及时安全警。

2.需求：

2.1用户需求：

    日志审计系统需要满足政企组织的合规需求和业务需求。

    A.合规需求：

    根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》，拥有关键基础信息系统的组织单位需要保障信息系统安全运作，信息系统需要根据评级被分为二级、三级、四级，日志审计系统是保障网络安全必不可少的组成部分。    

    B.企业业务需求：

    对跨国公司、大型企业以及部分分散性企业，存在多个部门信息系统分散独立的状态，在审计的事后需要自动化、统一采集相关日志，在集中采集、分析日志的基础上需要一体化查询、告警、可视化数据、自动生成报表的功能，以实现信息集中处理，降本增效的效果。

2.2产品需求：

    日志审计系统需要满足法律和行业规范的业务范围和技术要求。

    1.2017 年《中华人民共和国网络安全法》的颁布，规定留存相关网络日志不少于6个月（第三章第一节第二十一条）

    2.《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》 2019年12月1日实施

        《GB/T 20945-2013 信息安全技术 信息系统安全审计产品技术要求和测试评价方法》 （规定了日志审计产品的产品功能）

            A.规定了审计内容包括行为、事件

                a.网络边界、重要的网络节点

                b.覆盖每个用户、支持重要用户行为、重要安全事件

                c.远程访问的用户行为、访问互联网用户行为等单独行为

                d.网络系统操作、重要存储操作、计算机系统操作、安全系统操作需详细记录

            B.审计要求：

                a.集中收集、集中分析、集中存储（存储时长大于180天）

                b.审计数据保护（备份、修改、覆盖、中断）

                c.需要提供分析、监控报警，及时指出可疑行为

                d.需要提供数据汇集接口，供第三方审计

2.3业务需求：

    业务需求是指日志审计系统需要满足运维和审计业务需求，帮助运维和审计工作轻松化。

    由于各种系统、应用、安全设备、网络设备等日志分离多样，给日志审计的工作带来了巨大的人力消耗，形成了日志分散，无法进行有效的关联分析，影响了政企的安全运维能力，因此，政企需要部署集中化的存储、审计和运维管理的日志审计管理系统。通过建设日志审计系统，能够实现用户单位网络内各类系统和安全设备的日志收集，集中分析，及时发现危险行为，实时监控安全事件、告警，为网络事件的审计和溯源提供有力的支撑。

3.用户：

用户分为三类，采购用户、软件使用用户、采购负责人，本文只针对采购用户和软件使用用户描述用户画像。

采购单位方即政企组织单位，这是日志审计系统的采购用户。

软件使用者是使用日志审计系统的工作人员，系统角色根据三员原则设计，日志审计系统角色包括审计管理员、安全管理员、系统管理员。

3.1政企组织：

红色轴代表政企的规模大小，蓝色轴代表政企的信息程度的高低。

图1 采购用户群体划分

    根据图1采购用户群体划分，更具体描述采购用户的特点，如图2，图2 以第一象限和第四象限用户群体，更进一步具像化采购用户。（仅供参考，资料均来自于互联网）

图2 采购用户用户画像

3.2 软件使用者

根据《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》

日志审计系统内角色划分为三类审计管理员、安全管理员、系统管理员。

审计管理员只有对日志管理的权限，包括日志查询、日志监控、日志导出，日志审计策略配置。

安全管理员对系统中安全策略进行配置、安全参数配置、告警事件监控、安全资产统一标记、报告导出、对安全主体、客体进行可信授权。

系统管理员对系统资源进行配置、管理，其中包括用户身份管理，存储数据管理、备份、恢复，系统运行和硬件管理。 

每个角色在日志审计系统中涉及的功能范围如图3展示：

图3 角色业务涉及的功能范围

4. 流程分析

    根据以上需求和用户信息，此时能了解日志审计系统需要涉及从日志的采集、日志储存、日志分析、日志查询、数据统计并可视化和自动生成报告的功能模块；系统角色有审计管理员、安全管理员、系统管理员，图3梳理了各个系统角色的业务范围；日志审计系统的业务对象是日志，来源是各类安全设备和操作系统。综上所述，以图4来展示日志审计系统的功能流程。

图4 日志审计的功能流程

    从功能流程来看，大致可以分为三个大模块，日志采集模块、日志分析模块、日志管理模块。

a.日志采集模块：

    日志采集模块，其中包括策略配置功能和采集功能。策略配置功能是在采集各类日志前，对采集目标设置，采集策略、分析策略、告警策略。系统通过标准化，过滤和归并等数据清洗手段提高日志采集速度和日志采集准确度。采集功能支持多种安全设备和网络设备的日志采集，涵盖国内外各个主流厂商。系统支持多样的采集方式支持 syslog、SNMP trap、NetFlow、WMI、FTP、SFTP、SCP、JDBC、文件等，依据不同的采购用户的需求，需要尽可能多地支持各种设备，主流模块：

    1) 安全设备:深信服 NGAF、启明 WAF 防火墙、绿盟 IDS、华为防火墙、Juniper 防火墙、天融信防火墙等;

    2) 操作系统:Linux、Windows、Window Server、Unix 等操作系统;

    3)  数据库:Oracle、MySQL、SQL Server 等;

    4)  应用系统:如 Apache、Tomcat、IIS、Web logic 等;

    5)  网络设备:主流的路由器、交换机、负载均衡等网络设备等，如深信服 AC、 AD、Cisco、华为、Juniper 等；

    6) 虚拟化平台:VMware ESXi、KVM、Xen。

b.日志分析模块：

    日志分析模块是一个高集成的信息模块，其中包括了分析功能、知识库、资产管理、数据存储。日志分析模块提供丰富的事件响应策略，不仅能综合考量各种日志之间可能存在的关系，结合知识库中的经验信息、资产信息，从而对日志审计提供相应的支撑，而且能够对日志中相关的要素进行分析，最终，事件分析和事件管理的结果均以短信、、邮件等方式通知用户，基于时间线性 的回溯分析能够帮助用户轻松了解到违规事件的时间、发生源、违规操作设备、操作行为，通过图形化还原违规行为现场，作为事后追溯的有力证据。

c.日志管理模块：

    日志管理模块为审计管理人员提供了一体化日志管理平台，其中包含查询和检索功能、实时监控功能、综合报表输出功能。采用大数据框架和专业的日志查询引擎，海量日志查询仅需秒级;监控功能内，提供了丰富的数据展示模式，基于全球地图、全国地图、逻辑拓扑图、IP 地址全球定位、饼状图、柱状图、曲线图、时间轴等，支持对日志查询结果进 行在线快速自动分析，能够快速帮助客户发现安全事件源和目的，充分提升安全日志审计效率。报表分析功能内置丰富的报表模型并支持 Excel、PDF、Word、HTML 的格式输出，满足用户的日常报表输出，实现轻松运维。

    从业务角度来看，日志审计系统实现了一个从原始日志中辨别危险信息的过程，图5展示了日志在系统内的处理过程。

图5 日志处理流程图

    日志通过syslog等渠道采集安全设备和信息系统的日志，在存储所有原日志的基础上依据采集策略，对日志标准化处理；经过预处理的日志进入分析模块，依据分析策略和关联分析算法等，辨别日志中的危险信息，划分为安全事件；具有安全危险的安全事件会依据不同的危险等级生成告警信息；审计人员可以监控、查询、导出日志、产生报表，对危险的日志进行统一管理。

5.系统功能设计：

通过日志的处理流程和三个主要的功能模块，日志审计系统大致可以分为7个基本功能：

图6 日志审计系统功能     

1.数据采集管理功能：

    数据采集管理功能为用户（安全管理员）提供了一套全面高效的日志采集工具，系统提供手动、定时两种采集场景，支持等保 2.0 要求的安全设备、网络设备、服务器及应用系统的日志采集，涵盖国内外多个主流厂商，以及达到全方位的日志数据采集。系统支持多样的采集方式支持 syslog、SNMP trap、NetFlow、WMI、FTP、SFTP、SCP、JDBC、文件等。系统通过采集的日志进行标准化处理、过滤、归并等数据清洗技术处理，采用高效压缩海量日志、丢弃无用日志等手段对海量日志进行预处理，为日志管理、精准关联分析提供支撑。

2.监控功能：

    监控功能为用户提供总体数据趋势图、依据维度划分的图表、动态信息流、分类展示的监控平台，其中包括【系统监控】、【告警监控】、【事件监控】、【日志监控】、【安全资产监控】。系统监控帮助用户快速了解系统状态，监控系统状态;监控功能内置多种可视化图表，方便用户快速掌握实时监控信息，此外可视化安全告警信息帮助用户快速了解危险此外用户可以根据设备类型分类进行日志数据的可视化及查看，在实时监视过程中，用户可以对关心的事件进行如 IP 地址、事件类型等维度进 行统计，分析趋势，对一段时间内的安全事件进行时间切片统计，并描绘趋势曲线。事件以可视化的饼图、柱图、堆积图等方式展现;同时提供最新日志的查看，逐条、动态显示当前系统接收的日志，并通过过滤缩小监控范围，有效及时发现安全异常问题;资产监控对安全资产统一管理，当产生安全告警可准确定位到资产以便进行事故处理和风险加固。

3.策略配置功能：

    策略配置功能支持内置策略和手动自定义策略两种方式，详细分为【实时策略管理】、【策略管理】、【系统策略】、【知识库】，知识库帮助用户建立完善高效的经验积累库，为系统运行和维护提供了知识来源以及安全问题处理依据、方法和参考。并根据业务场景划分策略类型，内置多种丰富的策略模版、关联分析模版，减少了用户（安全管理员）的学习成本，让用户快速上手。

知识库：作为安全管理员需要配置安全策略，对以往的策略、方案进行积累，安全管理员需要增、删、改、查，知识库中的策略详情，所以安全管理员可达到编辑、积累知识库中的策略的目的。

分类:

    a.日志配置类：各种操作系统、网络设备、应用系统及数据库等接入日志审计系统的配置收集方法；

    b.日志类：各种操作系统、网络设备、服务器及数据库的日志信息;反映系统运行/状态、安全问题、用户行为等记录或日志；

    c.安全经验类：基于系统安全事件、配置问题等信息综合生成的安全警示信息的描述、告警触发建议以及解决方案；

4.检索功能：

    检索功能为用户提供了一套灵活方便的交互式事件调查工具，通过事件调查工具用户可以对感兴趣的日志中的重要或全部信息进行查询搜索。为满足用户的不同业务场景需求，系统提供多种查询功能【日志检索】、【事件检索】、【告警检索】、【高级检索】通过检索用户能达到高效、精准的信息查询。由于信息经过规范化和丰富，使日志变得更加可读和易于理解，并可快速查询到用户关心的内容，降低了日志审计对用户的专业能力的要求。同时，基于大数据全文索引技术，系统提供了高级查询功能，根据日志类型、发生时间、不同字段等信息进行精准匹配，帮助用户可快速发现安全事件和异常，为进一步处置提供基础。

5.安全资产功能：

    系统提供资产管理功能，可以对网络中的审计数据源资产进行管理。除基本资产信息外，系统提供灵活的资产分类功能，实现对资产的分类管理。查看资产详情(ip、资产编号、系统类型、资产名称等)，也可通过相关字段查询，查询资产，并通过增删改查管理资产。所以安全管理员能管理安全资产。

6.报表管理功能：

    系统内置了丰富的报表模板，包括统计报表、明细报表、综合审计报告，审计人员可以根据需要生成不同的报表，功能包括【计划任务】、【手动任务】、【管理报表】，系统内置报表生成调度器，可以定时自动生成日报、周报、月报、季报、年报，并支持以邮件等方式自动投递，支持以 PDF 、 Excel 、 Word 等格式导出，支持打印。系统还内置了一套报表编辑器，用户可以自行设计报表，包括报表的页面版式、统计内容、显示风格等。

7.系统配置功能：

    系统配置功能为系统管理员提供了一体化的管理平台，通过【用户设置】、【系统管理】、【数据管理】全方位满足管理员对系统的把控。系统按三权分立设计，不同用户具有不同的权限，管理员可以为不同用户分配角色，指定该用户权限，满足国家法律规定的需求。

6. 总结：

    本文的需求来源来自等保2.0，行业同类竞品，业务分析，用户画像、部分招标文件、产品白皮书和说明书。由于日志审计系统本身产品的特点需要符合法律法规，笔者对产品的理解也缺乏一定深度，没有对业务流程上进行进一步优化和创新。

欢迎留言～互相学习进步