2008 -╳╳-╳╳发布
中国移动通信企业标准
QB-╳╳-╳╳╳-╳╳╳╳
中国移动日志集中管理和审计系统
功能及技术规范
The Requirements and Technical Specification of the Centralized System
for Log management and Audit
版本号:1.0.0
2008-╳╳-╳╳实施
中国移动通信有限公司 发布
QB-╳╳-╳╳╳-╳╳╳╳
目 录
1. 范围.......................................................................................................................... 1 2. 规范性引用文件 ........................................................................................................ 1 3. 术语、定义和缩略语 ................................................................................................. 1 4. 综述.......................................................................................................................... 2
4.1. 建设需求..................................................................................................... 2
4.2. 4.3. 5.1. 5.2.
建设目的..................................................................................................... 3 系统总体框架.............................................................................................. 4 采集对象及关键操作 ................................................................................... 6 采集机制与策略 .......................................................................................... 8
5. 日志采集................................................................................................................... 5
6. 日志标准化 ............................................................................................................. 10 7. 日志分析..................................................................................................................11
7.1.
功能要求....................................................................................................11 7.1.1. 用户身份关联......................................................................................11 7.1.2. 7.1.3. 7.1.4. 7.1.5. 7.1.6.
资产关联............................................................................................ 12 操作行为分析能力.............................................................................. 12 高危操作审计..................................................................................... 13 数据库操作指令还原 .......................................................................... 13 会话重放............................................................................................ 13
7.1.7. 事件生成效率..................................................................................... 14 7.1.8. 审计查询............................................................................................ 14 7.1.9. 审计分析报告..................................................................................... 14 7.2. 审计策略................................................................................................... 15
7.2.1.
7.2.2. 7.2.3. 7.2.4. 7.2.5. 7.3.
事件分类............................................................................................ 15 事件分级............................................................................................ 15 缺省策略............................................................................................ 15 策略定制............................................................................................ 15 定义合法行为..................................................................................... 15
事件响应................................................................................................... 16 7.3.1. 触发警报条件..................................................................................... 16 7.3.2. 7.3.3.
告警方式............................................................................................ 16 告警信息............................................................................................ 16
8. 自身管理功能.......................................................................................................... 16
8.1. 日志功能................................................................................................... 16
8.1.1.
原始记录管理..................................................................................... 17
8.1.2. 备份管理............................................................................................ 17 8.2. 自身安全管理功能..................................................................................... 17
8.2.1.
8.2.2. 8.2.3. 8.2.4. 8.2.5.
多级用户划分..................................................................................... 17 用户帐号管理..................................................................................... 17 日志分组管理..................................................................................... 17 用户认证管理..................................................................................... 18 认证失败处理..................................................................................... 18
I
QB-╳╳-╳╳╳-╳╳╳╳
8.2.6.
自身审计数据生成.............................................................................. 18
8.2.7. 自身安全审计记录.............................................................................. 18 8.2.8. 组件管理............................................................................................ 18
9. 时间同步要求.......................................................................................................... 19 10. 系统部署方面的要求 ........................................................................................ 19
10.1.
10.2.
整体要求................................................................................................... 19 代理程序的安装和卸载.............................................................................. 19
10.3. 产品卸载安全............................................................................................ 19 11. 日志存储与备份 ............................................................................................... 20
11.1.
日志存储................................................................................................... 20
存储安全性要求 ................................................................................. 20 存储配置管理..................................................................................... 20
11.1.1. 11.1.2.
11.2. 日志备份................................................................................................... 20
11.2.1. 备份日志安全性要求 .......................................................................... 20
11.2.2. 11.2.3.
备份数据存储压缩比 .......................................................................... 21 备份恢复功能..................................................................................... 21
11.2.4. 备份管理配置..................................................................................... 21
12. 接口要求.......................................................................................................... 21
12.1. 与被管理系统接口..................................................................................... 22
12.1.1. 采集接口............................................................................................ 22
12.1.2. 采集信息............................................................................................ 22 12.2. 与帐号口令集中管理系统接口 ................................................................... 23
12.2.1. 采集接口............................................................................................ 23 12.2.2. 采集信息............................................................................................ 23 12.2.3. 用户管理接口..................................................................................... 23 12.2.4. 身份认证接口..................................................................................... 24 12.3. 与综合维护接入平台接口 .......................................................................... 24 12.3.1. 采集接口............................................................................................ 24
12.3.2. 采集信息............................................................................................ 24 12.4. 与工单系统接口 ........................................................................................ 24 12.5. 12.6.
告警转发接口............................................................................................ 25 日志转发接口............................................................................................ 25
12.7. 数据传输安全............................................................................................ 25 13. 性能要求.......................................................................................................... 25
13.1.
13.2. 13.3. 14.
稳定性 ...................................................................................................... 25 资源占用................................................................................................... 25 网络影响................................................................................................... 25
编制历史.......................................................................................................... 26
II
QB-╳╳-╳╳╳-╳╳╳╳
前 言
随着中国移动通信网、业务网及各支撑系统的不断发展,各类设备产生的日志信息也越来越多。为了更好的对系统日志进行管理,提高系统安全度,以满足SOX法案审计要求,需要建立一套统一的日志集中管理及审计系统。
中国移动日志集中管理及审计系统是各通信网、业务网和各支撑系统统一的日志汇总、存储、管理的节点。系统主要完成对各被管理网络或系统的日志采集,日志标准化,日志分析,输出审计结果、告警、报表等功能。系统通过分析各种操作日志,及时发现通信网、业务网和各支撑系统中的非法用户、非法访问、异常操作、异常状态等安全信息,及时通知相关人员进行处理,提高各被管理通信网、业务网和各支撑系统的安全管理水平。具体实施中,在集中化总体原则下,可综合考虑维护管理职能划分、业务特点等因素,规划系统建设数量。
本标准规范了中国移动日志集中管理及审计系统的建设需求,建设目的,总体框架,系统功能,系统接口要求等。本标准可作为选用日志集中管理与审计产品,进行产品开发与测试、应用开发与改造的技术依据,指导日志集中管理与审计系统的建设。
本标准由中移 号文件印发。
本标准由中国移动通信有限公司网络部提出并归口。 本标准由标准归口部门负责解释。
本标准起草单位:中国移动通信有限公司网络部、业务支撑系统部、管理信息系统部。中国移动集团北京公司,中国移动集团湖南公司、亿阳信通股份有限公司、北京神州泰岳软件股份有限公司、华为技术有限公司、北京紫光顺风信息技术有限公司、北京汉铭信通科技有限公司、国际商业机器(IBM)中国有限公司、北京天融信网络安全技术有限公司。
本标准主要起草人:魏丽红、杨永、周智、徐海东、曹一生、马翀、吴哲峰、陈敏时、刘楠、田峰、冯运波、陈江峰、文 兵、王杰涛、张威、魏郧峰、郑汉刚、李钒、马宏伟、李攀、胡善坤。
III
QB-╳╳-╳╳╳-╳╳╳╳
1. 范围
为指导中国移动通信集团及各省公司建设日志集中管理与审计系统,明确通信网、业务系统和支撑系统日志集中管理与审计系统的系统架构、主要功能、关键技术等,特制定本规范。
本规范完全适应集中或者分级、跨专业或者分专业等多种建设模式,实现主机、网络和应用三个层面的日志集中统一管理。
2. 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
表2-1
[1] BS7799 [2] COBIT 信息安全管理体系标准 中国移动通信有限公司 中国移动通信有限公司 中国移动通信有限公司 [3] Sarbanes-Oxley 《萨班斯法案》 Act [4] [5] [6] 《中国移动(香港)有限公司内部控制手册》 《中国移动内部控制手册》 《中国移动帐号口令集中管理技术要求》 3. 术语、定义和缩略语
下列术语、定义和缩略语适用于本标准:加一列英文
表3-1 词语 本地型日志 网络型日志 英文 解释 各系统网络设备、主机操作系统、数据库及应用直接产生的日志。 在网络层面通过镜像等方式获取审计对象的网络报文流量分析,转换后的日志。 4A (AAAA) Accounting, Authorization, 帐号管理,授权,认证,审计 Authentication, Audit 1
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库中国移动日志集中管理和审计系统功能及技术规范在线全文阅读。
相关推荐: