目前，网络安全审计系统包含的主要功能和所涉及的共性问题如下：

　　（1）网络安全审计系统的主要功能

　　1）采集多种类型的日志数据。能够采集各种操作系统、防火墙系统、入侵检测系统、网络交换机、路由设备、各种服务及应用系统的日志信息。

　　2）日志管理。能够自动收集多种格式的日志信息并将其转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。

　　3）日志查询。能以多种方式查询网络中的日志信息，并以报表形式显示。

　　4）入侵检测。使用多种内置的相关性规则，对分布在网络中的设备产生的日志及报警信息进行相关性分析，从而检测出单个系统难以发现的安全事件。

　　5）自动生成安全分析报告。根据日志数据库记录的日志信息，分析网络或系统的安全性，并向管理员提交安全性分析报告。

　　6）网络状态实时监视。可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。

　　7）事件响应机制。当安全审计系统检测到安全事件时，能够及时响应和自动报警。

　　8）集中管理。安全审计系统可利用统一的管理平台，实现对日志代理、安全审计中心和日志数据库的集中管理。

　　（2）网络安全审计系统所涉及的共性问题

　　1）日志格式兼容问题。通常情况下，不同类型的设备或系统所产生的日志格式互不兼容，这为网络安全事件的集中分析带来了巨大难度。

　　2）日志数据的管理问题。日志数据量非常大，不断地增长，当超出限制后，不能简单地丢弃。需要一套完整的备份、恢复、处理机制。

　　3）日志数据的集中分析问题。一个攻击者可能同时对多个网络目标进行攻击，如果单个分析每个目标主机上的日志信息，不仅工作量大，而且很难发现攻击。如何将多个目标主机上的日志信息关联起来，从中发现攻击行为是安全审计系统所面临的重要问题。

　　4）分析报告及统计报表的自动生成问题。网络中每天会产生大量的日志信息，巨大的工作量使得管理员手工查看并分析各种日志信息是不现实的。因此，提供一种直观的分析报告及统计报表的自动生成机制是十分必要的，它可以保证管理员能够及时和有效地发现网络中出现的各种异常状态。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点