中国移动日志集中管理和审计系统功能及技术规范.doc

中国移动通信企业标准QB-╳╳-╳╳╳-╳╳╳╳中国移动日志集中管理和审计系统功能及技术规范The Requirements and Technical Specification of the Centralized System for Log management and Audit 版本号：1.0.02008-╳╳-╳╳实施2008-╳╳-╳╳发布中国移动通信有限公司 发布目 录1. 范围 12. 规范性引用文件 13. 术语、定义和缩略语 14. 综述 24.1. 建设需求 24.2. 建设目的 34.3. 系统总体框架 45. 日志采集 55.1. 采集对象及关键操作 65.2. 采集机制与策略 86. 日志标准化 107. 日志分析 117.1. 功能要求 117.1.1. 用户身份关联 117.1.2. 资产关联 127.1.3. 操作行为分析能力 127.1.4. 高危操作审计 137.1.5. 数据库操作指令还原 137.1.6. 会话重放 137.1.7. 事件生成效率 147.1.8. 审计查询 147.1.9. 审计分析报告 147.2. 审计策略 157.2.1. 事件分类 157.2.2. 事件分级 157.2.3. 缺省策略 157.2.4. 策略定制 157.2.5. 定义合法行为 157.3. 事件响应 167.3.1. 触发警报条件 167.3.2. 告警方式 167.3.3. 告警信息 168. 自身管理功能 168.1. 日志功能 168.1.1. 原始记录管理 178.1.2. 备份管理 178.2. 自身安全管理功能 178.2.1. 多级用户划分 178.2.2. 用户帐号管理 178.2.3. 日志分组管理 178.2.4. 用户认证管理 188.2.5. 认证失败处理 188.2.6. 自身审计数据生成 188.2.7. 自身安全审计记录 188.2.8. 组件管理 189. 时间同步要求 1910. 系统部署方面的要求 1910.1. 整体要求 1910.2. 代理程序的安装和卸载 1910.3. 产品卸载安全 1911. 日志存储与备份 2011.1. 日志存储 2011.1.1. 存储安全性要求 2011.1.2. 存储配置管理 2011.2. 日志备份 2011.2.1. 备份日志安全性要求 2011.2.2. 备份数据存储压缩比 2111.2.3. 备份恢复功能 2111.2.4. 备份管理配置 2112. 接口要求 2112.1. 与被管理系统接口 2212.1.1. 采集接口 2212.1.2. 采集信息 2212.2. 与帐号口令集中管理系统接口 2312.2.1. 采集接口 2312.2.2. 采集信息 2312.2.3. 用户管理接口 2312.2.4. 身份认证接口 2412.3. 与综合维护接入平台接口 2412.3.1. 采集接口 2412.3.2. 采集信息 2412.4. 与工单系统接口 2412.5. 告警转发接口 2512.6. 日志转发接口 2512.7. 数据传输安全 2513. 性能要求 2513.1. 稳定性 2513.2. 资源占用 2513.3. 网络影响 2514. 编制历史 26前 言随着中国移动通信网、业务网及各支撑系统的不断发展，各类设备产生的日志信息也越来越多。

为了更好的对系统日志进行管理，提高系统安全度，以满足SOX法案审计要求，需要建立一套统一的日志集中管理及审计系统中国移动日志集中管理及审计系统是各通信网、业务网和各支撑系统统一的日志汇总、存储、管理的节点系统主要完成对各被管理网络或系统的日志采集，日志标准化，日志分析，输出审计结果、告警、报表等功能系统通过分析各种操作日志，及时发现通信网、业务网和各支撑系统中的非法用户、非法访问、异常操作、异常状态等安全信息，及时通知相关人员进行处理，提高各被管理通信网、业务网和各支撑系统的安全管理水平具体实施中，在集中化总体原则下，可综合考虑维护管理职能划分、业务特点等因素，规划系统建设数量本标准规范了中国移动日志集中管理及审计系统的建设需求，建设目的，总体框架，系统功能，系统接口要求等本标准可作为选用日志集中管理与审计产品，进行产品开发与测试、应用开发与改造的技术依据，指导日志集中管理与审计系统的建设本标准由中移号文件印发本标准由中国移动通信有限公司网络部提出并归口本标准由标准归口部门负责解释本标准起草单位：中国移动通信有限公司网络部、业务支撑系统部、管理信息系统部中国移动集团北京公司，中国移动集团湖南公司、亿阳信通股份有限公司、北京神州泰岳软件股份有限公司、华为技术有限公司、北京紫光顺风信息技术有限公司、北京汉铭信通科技有限公司、国际商业机器（IBM）中国有限公司、北京天融信网络安全技术有限公司。

本标准主要起草人：魏丽红、杨永、周智、徐海东、曹一生、马翀、吴哲峰、陈敏时、刘楠、田峰、冯运波、陈江峰、文 兵、王杰涛、张威、魏郧峰、郑汉刚、李钒、马宏伟、李攀、胡善坤1. 范围为指导中国移动通信集团及各省公司建设日志集中管理与审计系统，明确通信网、业务系统和支撑系统日志集中管理与审计系统的系统架构、主要功能、关键技术等，特制定本规范本规范完全适应集中或者分级、跨专业或者分专业等多种建设模式，实现主机、网络和应用三个层面的日志集中统一管理2. 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本凡是不注日期的引用文件，其最新版本适用于本标准表2-1[1]BS7799信息安全管理体系标准[2]COBIT[3]Sarbanes-Oxley Act《萨班斯法案》[4]《中国移动（香港）有限公司内部控制手册》中国移动通信有限公司[5]《中国移动内部控制手册》中国移动通信有限公司[6]《中国移动帐号口令集中管理技术要求》中国移动通信有限公司3. 术语、定义和缩略语下列术语、定义和缩略语适用于本标准：加一列英文表3-1词语英文解释本地型日志各系统网络设备、主机操作系统、数据库及应用直接产生的日志。

网络型日志在网络层面通过镜像等方式获取审计对象的网络报文流量分析，转换后的日志4A (AAAA)Accounting, Authorization, Authentication, Audit帐号管理，授权，认证，审计SOXSarbanes-Oxley萨班斯法案MISCMobile Information Service Center移动信息服务中心WAPWireless Application Protocol无线增值业务BS7799British Standards 7799信息安全管理标准COBITControl Objectives for Information and related TechnologyIT管理与控制框架OPSECOPERATION SECURIITYCheck Point 软件技术有限公司的开放式体系结构解决方案4. 综述随着中国移动通信有限公司通信网、业务网、支撑系统的迅速发展，网络规模迅速扩大，主机、网络设备、应用软件数量不断增多，业务资源访问、操作量不断增加，由于内控措施不力造成的安全问题时有发生依赖各通信网、业务网和各支撑系统中设备自身的日志功能进行审计的做法已经无法满足中国移动目前和未来业务发展的要求，无法满足国家和资本市场的要求，急需建立统一的日志集中管理与审计系统。

该系统审计被管设备记录的用户操作行为日志被管设备根据用户操作行为或自身安全检测功能分析形成的安全事件日志，由规划中的安全运行管理系统直接处理4.1. 建设需求目前，全网日志集中管理与审计需求主要包括：1． 全面的日志采集需求：根据中国移动通信网、业务网和各支撑系统中的主机、网络设备、应用系统类型和网络分布，采取基于各设备自身产生的日志文件的本地型日志采集方式和基于网络流量抓取的网络型日志采集方式，对全网设备、应用以及网络中的各类操作进行全面的日志采集2． 审计记录的规范化需求：由于全网设备种类繁多，各设备日志信息存储格式、字段含义、通信协议差异较大需要对采集到的各种设备日志进行归一化处理，提取审计记录完整信息，为后续审计分析提供依据3． 基于策略的日志过滤、归并：面对海量原始日志，需要按照相关策略进行过滤和归并，减轻日志数据传输压力和存储压力4． 本地型日志审计与网络型日志审计相结合的审计体系本地型日志，主要采用设备自身能力，记录较为详细的本地操作，各设备提供商可以更好地理解、确定重要操作类型、重要操作指令和关键词等，然后通过多种采集机制汇总到日志集中管理与审计系统，但缺点是开启数据库审计等功能，会导致系统性能快速下降，尤其不适合于已建系统的审计；网络型日志则通过网络旁路抓包的方式获取网络操作，较适应于标准指令如telnet、SQL的审计，不会影响所审计的系统性能，但难以识别非标准应用软件层面的关键操作。

两者互补、结合，构成中国移动综合的审计体系5． 多维关联分析需求：对于来自各个资源的日志信息，提供多维的关联分析功能面向系统用户，将一个用户在多个设备上的操作进行横向关联分析，形成以用户为主题的操作行为审计；面向特定安全事件，对于发生在多个设备上的事件痕迹进行关联分析，形成一个完整的事件相关操作过程的审计；从设备角度，形成本设备全部访问情况的安全审计报告6． 日志存储需求：原始日志信息是来自网络的第一手数据，需要长期存储，并确保它们的完整性、保密性，不得随意访问、修改和删除同时，由于日志量较大，应提供压缩存储机制7． 符合Sox法案内控报表需求：根据Sox法案对企业内控的要求，应提供符合Sox法案要求的各种内控报表4.2. 建设目的通过实施日志集中管理和审计，可以达到对用户操作行为重点审计，及时发现异常操作，提高审计效率的目的1. 实现自动的日志集中采集与存储将各专业系统的系统日志、应用日志、操作访问日志汇聚到一起，进行分类、压缩存储2. 实现自动的日志集中分析通过定义规则，对日志进行横向和纵向关联，进行自动化分析，找出潜在安全问题3. 实现自动的日志集中审计通过将操作、访问日志关联到用户，分析用户的操作行为，以便于责任认定。

4. 实现审计结果自动触发响应流程的机制，更快、更早地发现问题，将损失降低到最低限度5. 提升通信网、业务网和各支撑系统的安全等级通过集中化的日志集中管理与审计系统，实现对日志的自动采集、分析、审计和响应，提高日志审计的效率，做到问题早发现早处理，将风险控制在可以接受的程度4.3. 系统总体框架日志集中管理与审计框架结构如图4.1所示本文后续章节将对各模块进行说明。