二:四因素制约事件数据标准化
第41届上海世博会是历史上参与国家最多、参观人员最多的一次。支持此次盛会的信息系统非常复杂,这对信息安全提出了非常高的要求。
对于支撑、保障这些业务系统正常运行的网络设备、安全设备、系统、数据库等产生的事件数据全球没有统一标准,世博局设备种类众多,各个厂家设备的事件数据日志格式各异,功能各异,部署地点不在同一安全域,采集方式多异,归并难度大,强度高,事件流路径复杂等。这为事件数据采集、过滤、归并、关联带来的很大的技术挑战。
品牌各异:上海世博会为了通过信息化支撑业务系统,采购了大量的不同品牌的产品,如微软、IBM、CISCO、华为等等。
产品功能各异:操作系统、数据库、存储、路由器、交换机、防火墙、UTM、网闸
部署地点各异:安全管理域、互联网域、周家渡、行政中心机房等
事件内容各异:各个厂家都有自己的自定义字段
事件发送方式各异:snmp syslog wmi opsec 等,甚至有些厂家没有提供显示的日志发送功能(通过二次开发融合)。
