一：背景概述

　　信息化在推動上海世博會業務更好更快的發展上起到了不可替代的作用，但同時上海世博會在信息化建設中也面臨著許多的信息安全威脅，如邊界安全風險，主要包括黑客攻擊、垃圾郵件等；內網安全風險，主要包括主機系統漏洞、服務配置不當等；應用風險，主要包括Web服務器、文件服務器安全風險等。所以，對上海世博局來說，重視和加強信息化安全整體監控的建設刻不容緩。

　　而建立統一的信息安全監控平臺需要與世博會各個業務系統提供商、網絡服務提供商、安全服務提供商、以及相關部門進行有序的技術協商和安全管理思路的融合，同時日志標準化的工作面臨著時間緊、責任大、技術難度高等一系列問題，安全監控平臺技術進展面臨著很大的考驗。

　　二：四因素制約事件數據標準化

　　第41屆上海世博會是歷史上參與國家最多、參觀人員最多的一次。支持此次盛會的信息系統非常復雜，這對信息安全提出了非常高的要求。

　　對于支撐、保障這些業務系統正常運行的網絡設備、安全設備、系統、數據庫等產生的事件數據全球沒有統一標準，世博局設備種類眾多，各個廠家設備的事件數據日志格式各異，功能各異，部署地點不在同一安全域，采集方式多異，歸并難度大，強度高，事件流路徑復雜等。這為事件數據采集、過濾、歸并、關聯帶來的很大的技術挑戰。

　　品牌各異：上海世博會為了通過信息化支撐業務系統，采購了大量的不同品牌的產品，如微軟、IBM、CISCO、華為等等。

　　產品功能各異：操作系統、數據庫、存儲、路由器、交換機、防火墻、UTM、網閘

　　部署地點各異：安全管理域、互聯網域、周家渡、行政中心機房等

　　事件內容各異：各個廠家都有自己的自定義字段

　　事件發送方式各異：snmpsyslogwmiopsec等，甚至有些廠家沒有提供顯示的日志發送功能（通過二次開發融合）。

　　三：從四方面入手解決事件數據標準化的問題

　　經過細致深入的討論研究后，攻關團隊將問題分解為4個方面，分別著手解決日志標準化的問題。這4個部分是：

　　1.數據采集方法的標準化

　　攻關團隊在原有的基礎上完善了系統的數據采集層。新的數據采集層能夠實現對各類安全設備的安全數據的采集，在組成形式上數據采集層可以由多種形式的采集功能組件組合構成，支持分布式的采集處理架構。

　　新的數據采集層支持對各類安全對象的標準接口協議的適配。實現對包括安全對象的配置、運行狀態、安全事件、脆弱性等數據的采集。數據采集層應支持主流采集協議或接口方式，包括但不限于：

　　Syslog：采集Unix，支持Syslog協議的防火墻、路由器、交換機、防病毒和IDS等系統或設備；

　　SNMP、SNMPTrapV1、V2、V3：采集支持Snmp協議的防火墻、路由器、交換機、防病毒、終端補丁、IDS和應用系統等系統或設備；

　　OPSEC：采集CheckPoint防火墻的日志；

　　ODBC/JDBC：采集存儲到于關系型數據庫的應用系統日志；

　　通用文件：支持基于文件的日志采集，能夠通過模板配置完成日志記錄的格式化；

　　專用日志采集接口：對僅支持專用管理接口的系統，能夠支持多種專用API采集接口和通用的采集調度能力，例如脆弱性掃描系統的API或接口XML文件、Windows的WMI；

文章作者：國脈電子政務網