北京大学计算中心日志采集分析系统Splunk enterprise免招标采购征求意见公示

　　依据2017年6月颁布的《中华人民共和国网络安全法》“第二十一条国家实行网络安全等级保护制度”要求，计算中心于2018年开展了北京大学关键应用系统等级保护测评工作，对2个三级系统和11个二级系统进行等保测评。期间发现信息系统普遍存在没有保留运行日志的情况，不符合《网络安全法》日志留存不少于六个月的要求。

　　北京大学关键系统数量多、需要留存的日志种类多、业务日志数据量大。域名解析服务每秒6000个服务请求，每天运行日志几十万条，目前不具备保存条件。邮件系统日均接收邮件30万封，发送65万封，每日日志总量约15GB。根据等保测评要求，应用系统日志包括从机房环境、到网络设备、安全设备、物理主机、虚拟主机、操作系统、数据库、中间件、应用系统等与应用系统在网络上提供服务相关的各个层面的运行日志。如此大量且种类繁多的日志，对日志采集和分析系统的要求极高。

　　国内兄弟院校，清华大学采用logbase、splunk搭建类似功能，关注在日志收集和存放功能，对产品评价很高。北邮采用网瑞达公司的日志管理系统将服务器日志分散存放在多个日志系统中，未建立符合等保标准的、集中的日志存放平台。日志需求量和北大即将建设的日志系统差距较大，可参考价值小。北航每天约450G日志数据，分别存储在深信服日志审计产品和网瑞达公司的日志管理系统中。数据规模上具有一定参考价值。其中网瑞达公司的日志管理系统基于开源ELK（Elasticsearch、Logstash、Kibana）开发，检索效率和分析审计功能受ELK平台本身处理能力制约较大，特别是在检索长时间周期的大量数据时，分析速度下降明显。

　　在准备日志采集和分析系统的过程中，计算中心和多家厂商进行了技术沟通，实际使用安恒日志管理系统，在vpn日志分析、eduroam访客邀请机制评估等应用中具有多年使用Splunk免费版本的经验，采用ELK处理eduroam服务详细访问日志。

　　综合对比兄弟院校类似应用场景的使用经验和计算中心内部其他相关产品的使用体会，针对北京大学等保日志留存种类多、数据量大、综合审计和分析要求高等具体特点，splunk公司的日志采集和分析系统具有数据压缩算法高效的特点，对比其他产品可节省50%存储空间，数据汇总分析速度快，可扩展到支持每天百TB的数据采集和分析，行业认可度高，长居Gartner SIEM产品魔力象限LEADERS首位，是目前唯一可以处理北京大学日志规模的成熟产品，做到采集数据不丢失、分析数据效率高，符合北京大学等保测评工作日志采集和分析功能的要求，特申请单一来源采购。征求意见期限2019年9月26日至2019年10月3日止。

　　本次采购，将弥补关键应用系统不符合等级保护日志留存要求的缺项，为全面提升校园网关键应用系统的安全监测和分析能力、提高北京大学总体网络安全管理水平提供强有力的技术保障。　　

潜在采购供应商对公示内容有异议的，请于公示期满前两个工作日内以实名书面（包括联系人、地址、联系电话）形式将意见反馈至北京大学实验室与设备管理部。

地址：北京大学勺园5甲四楼409房间

联系人：荆明伟 

邮箱：mwjing@pku.edu.cn wuxuxu@pku.edu.cn

联系电话：010-62751411，010-62758587