Posted in安全

中国移动日志集中管理与审计系统功能及技术规范_v1.0.0

2013年12月13日

20131213173825

  1. 综述

随着中国移动通信有限公司通信网、业务网、支撑系统的迅速发展,网络规模迅速扩大,主机、网络设备、应用软件数量不断增多,业务资源访问、操作量不断增加,由于内控措施不力造成的安全问题时有发生。依赖各通信网、业务网和各支撑系统中设备自身的日志功能进行审计的做法已经无法满足中国移动目前和未来业务发展的要求,无法满足国家和资本市场的要求,急需建立统一的日志集中管理与审计系统。

该系统审计被管设备记录的用户操作行为日志。被管设备根据用户操作行为或自身安全检测功能分析形成的安全事件日志,由规划中的安全运行管理系统直接处理。

1.1.建设需求

目前,全网日志集中管理与审计需求主要包括:

1.全面的日志采集需求:根据中国移动通信网、业务网和各支撑系统中的主机、网络设备、应用系统类型和网络分布,采取基于各设备自身产生的日志文件的本地型日志采集方式和基于网络流量抓取的网络型日志采集方式,对全网设备、应用以及网络中的各类操作进行全面的日志采集。

2.审计记录的规范化需求:由于全网设备种类繁多,各设备日志信息存储格式、字段含义、通信协议差异较大。需要对采集到的各种设备日志进行归一化处理,提取审计记录完整信息,为后续审计分析提供依据。

3.基于策略的日志过滤、归并:面对海量原始日志,需要按照相关策略进行过滤和归并,减轻日志数据传输压力和存储压力。

4.本地型日志审计与网络型日志审计相结合的审计体系。本地型日志,主要采用设备自身能力,记录较为详细的本地操作,各设备提供商可以更好地理解、确定重要操作类型、重要操作指令和关键词等,然后通过多种采集机制汇总到日志集中管理与审计系统,但缺点是开启数据库审计等功能,会导致系统性能快速下降,尤其不适合于已建系统的审计;网络型日志则通过网络旁路抓包的方式获取网络操作,较适应于标准指令如telnet、SQL的审计,不会影响所审计的系统性能,但难以识别非标准应用软件层面的关键操作。两者互补、结合,构成中国移动综合的审计体系。

5.多维关联分析需求:对于来自各个资源的日志信息,提供多维的关联分析功能。面向系统用户,将一个用户在多个设备上的操作进行横向关联分析,形成以用户为主题的操作行为审计;面向特定安全事件,对于发生在多个设备上的事件痕迹进行关联分析,形成一个完整的事件相关操作过程的审计;从设备角度,形成本设备全部访问情况的安全审计报告。

6.日志存储需求:原始日志信息是来自网络的第一手数据,需要长期存储,并确保它们的完整性、保密性,不得随意访问、修改和删除。同时,由于日志量较大,应提供压缩存储机制。

7.符合Sox法案内控报表需求:根据Sox法案对企业内控的要求,应提供符合Sox法案要求的各种内控报表。

1.2.建设目的

通过实施日志集中管理和审计,可以达到对用户操作行为重点审计,及时发现异常操作,提高审计效率的目的。

  1. 实现自动的日志集中采集与存储。将各专业系统的系统日志、应用日志、操作访问日志汇聚到一起,进行分类、压缩存储。
  2. 实现自动的日志集中分析。通过定义规则,对日志进行横向和纵向关联,进行自动化分析,找出潜在安全问题。
  3. 实现自动的日志集中审计。通过将操作、访问日志关联到用户,分析用户的操作行为,以便于责任认定。
  4. 实现审计结果自动触发响应流程的机制,更快、更早地发现问题,将损失降低到最低限度。
  5. 提升通信网、业务网和各支撑系统的安全等级。通过集中化的日志集中管理与审计系统,实现对日志的自动采集、分析、审计和响应,提高日志审计的效率,做到问题早发现早处理,将风险控制在可以接受的程度。

1.3.系统总体框架

日志集中管理与审计框架结构如图4.1所示。本文后续章节将对各模块进行说明。

pic

图4.1 日志集中管理与审计系统框架

图4.1是日志集中管理与审计系统的逻辑结构,整体功能分为四层:

第一层,数据采集适配层。日志集中管理与审计系统通过Syslog、ODBC、SNMP Trap、Socket、File等多种接口,采集各设备、系统和应用的本地型日志;通过镜像等方式采集网络型日志,通过两种采集方式的合理配置,实现对被管网元中所有用户操作行为的信息采集。

第二层,日志标准化层。将采集层采集到的不同类型、不同格式的日志数据,通过标准化处理,形成归一化的日志格式,以便后续分析和审计。

第三层,日志分析层。通过对日志的横向和纵向的关联分析,发现异常操作,找出可能存在的安全问题;对用户的操作、数据库访问进行回放,分析用户权限是否合理,在发生问题时,可用作责任认定;将分析发现的问题生成告警信息送上层处理,以及时通知用户,也可以转发到第三方系统处理,如直接向电子运维系统派单。

第四层,展现层。主要包括四个关键的功能模块。审计策略功能主要完成用户对审计策略的定制,修改等功能,并通过此模块向下层派发,实现审计策略的更新;报表功能主要完成经报表呈现功能,支持用户灵活定制各种报表,输出符合规范要求的报表,展现日志集中管理与审计系统的各类审计结果;告警输出模块根据下层送来的分析结论,一方面生成声光电告警,以提示维护人员处理,另一方面,可以按照工单借口要求,生成自动工单,送往EOMS。此模块也能实现用户对各种告警信息、告警格式的灵活定义;原始日志检索功能主要满足用户对各类原始日志的检索、查询、排序等数据处理需求。

日志集中管理与审计系统还应与本省内的其他系统如EOMS等实现接口互联,通过接口可以将日志或告警信息转发到其他系统进行进一步的分析处理。

下载中国移动日志集中管理与审计系统功能及技术规范_v1.0.0.doc

游侠备注:

站长现在公司的产品就是“日志管理综合审计系统”、“数据库审计系统”和“运维操作管理与审计系统”,也就是本文档涉及到的产品,产品在多个省级运营商有案例,放几张图:

1

2

3

4

有需求亦可联系我。QQ:55984512,电话:15339230081,张百川。

相关内容:

Tags: