一：背景概述

　　信息化在推动上海世博会业务更好更快的发展上起到了不可替代的作用，但同时上海世博会在信息化建设中也面临着许多的信息安全威胁，如边界安全风险，主要包括黑客攻击、垃圾邮件等；内网安全风险，主要包括主机系统漏洞、服务配置不当等；应用风险，主要包括Web服务器、文件服务器安全风险等。所以，对上海世博局来说，重视和加强信息化安全整体监控的建设刻不容缓。

　　而建立统一的信息安全监控平台需要与世博会各个业务系统提供商、网络服务提供商、安全服务提供商、以及相关部门进行有序的技术协商和安全管理思路的融合，同时日志标准化的工作面临着时间紧、责任大、技术难度高等一系列问题，安全监控平台技术进展面临着很大的考验。

　　二：四因素制约事件数据标准化

　　第41届上海世博会是历史上参与国家最多、参观人员最多的一次。支持此次盛会的信息系统非常复杂，这对信息安全提出了非常高的要求。

　　对于支撑、保障这些业务系统正常运行的网络设备、安全设备、系统、数据库等产生的事件数据全球没有统一标准，世博局设备种类众多，各个厂家设备的事件数据日志格式各异，功能各异，部署地点不在同一安全域，采集方式多异，归并难度大，强度高，事件流路径复杂等。这为事件数据采集、过滤、归并、关联带来的很大的技术挑战。

　　品牌各异：上海世博会为了通过信息化支撑业务系统，采购了大量的不同品牌的产品，如微软、IBM、CISCO、华为等等。

　　产品功能各异：操作系统、数据库、存储、路由器、交换机、防火墙、UTM、网闸

　　部署地点各异：安全管理域、互联网域、周家渡、行政中心机房等

　　事件内容各异：各个厂家都有自己的自定义字段

　　事件发送方式各异：snmpsyslogwmiopsec等，甚至有些厂家没有提供显示的日志发送功能（通过二次开发融合）。

　　三：从四方面入手解决事件数据标准化的问题

　　经过细致深入的讨论研究后，攻关团队将问题分解为4个方面，分别着手解决日志标准化的问题。这4个部分是：

　　1.数据采集方法的标准化

　　攻关团队在原有的基础上完善了系统的数据采集层。新的数据采集层能够实现对各类安全设备的安全数据的采集，在组成形式上数据采集层可以由多种形式的采集功能组件组合构成，支持分布式的采集处理架构。

　　新的数据采集层支持对各类安全对象的标准接口协议的适配。实现对包括安全对象的配置、运行状态、安全事件、脆弱性等数据的采集。数据采集层应支持主流采集协议或接口方式，包括但不限于：

　　Syslog：采集Unix，支持Syslog协议的防火墙、路由器、交换机、防病毒和IDS等系统或设备；

　　SNMP、SNMPTrapV1、V2、V3：采集支持Snmp协议的防火墙、路由器、交换机、防病毒、终端补丁、IDS和应用系统等系统或设备；

　　OPSEC：采集CheckPoint防火墙的日志；

　　ODBC/JDBC：采集存储到于关系型数据库的应用系统日志；

　　通用文件：支持基于文件的日志采集，能够通过模板配置完成日志记录的格式化；

　　专用日志采集接口：对仅支持专用管理接口的系统，能够支持多种专用API采集接口和通用的采集调度能力，例如脆弱性扫描系统的API或接口XML文件、Windows的WMI；