中国移动日志集中管理和审计系统功能及技术规范(3)

QB-╳╳-╳╳╳-╳╳╳╳

? ? ?

Sybase Informix 等等

操作记录包括：用户登录、注销、数据查询、插入、数据修改、数据删除、修改配置等。日志内容至少包括：用户操作时的用户识别符、登陆时间、注销时间、事件发生的日期和时间事件内容或操作结果等。 5.1.3. 网络设备

CISCO、Juniper、华为等主流厂商的交换机和路由器，其它厂商设备等。 操作记录包括：用户登录、修改配置等。

5.1.4. 各类安全设备

? ?

IDS设备，如ISS等主流厂商或者现网在用的HIDS、NIDS产品。

防火墙设备，如Check Point、Cisco PIX、Netscreen、华为等主流厂商或者现网在用的防火墙设备。 ? ?

帐号口令管理系统； 防病毒系统等等。

操作记录包括：用户登录、修改配置等。

操作记录包括：用户登录、修改配置、收集到的入侵事件日志等。

5.1.5. Web 服务器

? ? ? ? ?

WebLogic Apache Microsoft IIS WebSphere 等等

操作记录包括：用户登录、修改配置、应用层的操作等。

日志内容至少包括：用户操作时的用户识别符、登陆时间、注销时间、事件发生的日期和时间事件内容或操作结果等。

7

QB-╳╳-╳╳╳-╳╳╳╳

5.1.6. 邮件服务器

? ? ?

Sendmail Exchange 等等

操作记录包括：用户登录、修改配置、应用层的操作等。

5.1.7. B/S结构的应用

? ?

MISC业务的应用 其他

操作记录包括：用户登录、修改配置、应用层的操作等。

日志内容至少包括：用户操作时的用户识别符、登陆时间、注销时间、事件发生的日期和时间事件内容或操作结果等。 5.1.8. C/S结构的应用

? ? ?

智能网业务的应用 短信业务的应用 其他

操作记录包括：用户登录、修改配置、应用层的操作等。

日志内容至少包括：用户操作时的用户识别符、登陆时间、注销时间、事件发生的日期和时间、事件内容或操作结果等。

5.2. 采集机制与策略

5.2.1. 日志采集机制

对本地型日志，支持以下采集方式：

? ? ?

Syslog方式； SNMP方式；

ODBC方式，数据库自身日志功能开启情况下，可通过ODBC方式收集

8

QB-╳╳-╳╳╳-╳╳╳╳

数据库日志； ?

Flatfile：该日志收集机制与Syslog逐条发送机制相对应，是系统日志文件整体传送和解析的机制；在条均允许的情况下，大量非实时日志数据、windows或xwindows的视频回放数据，可采用这种方式； ?

OPSEC：Checkpoint防火墙通过OPSEC协议发送日志，需要支持OPSEC方式接收日志； ?

审计代理：对windows类操作系统，需要在主机上安装审计代理软件，收集系统日志；审计代理不应占用大量的系统资源或降低系统原有安全性。

对网络型日志，支持以下采集方式：

?

通过对网络设备进行镜像等方式获取审计对象的网络报文流量，形成网络型日志。 ?

通过堡垒主机串接方式，实现对审计对象用户操作的数据采集，形成网络型日志。

然后，日志集中管理与审计系统采用与本地型日志采集相同的方式采集网络型日志文件。。

5.2.2

日志采集策略

本地型日志采集方式支持通过安装审计代理程序或修改系统配置来进行日志的采集，通过日志收集策略定制来开启与关闭各系统的日志采集功能及确定应采集的日志的种类。

网络型日志采集方式支持通过网络镜像、堡垒主机等方式获取审计对象的网络报文流量，进行协议解析和会话还原。按照访问控制的策略支持对特定用户和特定服务的操作行为的记录。 5.2.3

数据传输安全

传输过程支持加密认证机制。

数据传输异常中断，系统能够提示异常、重新传输。

9

QB-╳╳-╳╳╳-╳╳╳╳

6. 日志标准化

本模块主要实现以下功能：

1. 由于日志采集模块收集到多种类型的日志，而这些日志定义的格式和内容不尽

相同，日志标准化模块将不同的数据格式转换成标准的数据格式并存储，为上层应用提供数据支持。

2. 由于不同的设备，对事件的严重程度定义及侧重点不尽相同，不利于根据统一

的安全策略进行处理。日志标准化模块将按照日志来源类型、事件类别、事件级别等可能的条件及条件的组合对事件严重级别进行重定义，便于日志分析模块的分析处理。 三类日志信息标准化要求：

1. 从帐号口令管理系统获取的用户访问相关信息，标准化字段包括主帐号信息、

从帐号信息、用户身份信息（如用户姓名、用户职务）、用户的登录信息（如登录ip等）、访问策略。

2. 事件信息的标准化字段包括事件编号信息（此字段信息应全局唯一，作为标识

事件的主键）、事件名称、事件原始时间、事件采集时间、事件内容、事件类型、事件源地址、事件目的地址、事件源端口、事件目的端口、事件原始级别、事件标准化后的级别、事件采集来源、事件涉及协议、会话信息。

3. 资产信息的标准化字段包括资产名称、资产IP、资产所属域、资产管理人员、

资产重要程度。

应明确的是，标准化并不是对原始日志的简单压缩或消减，在标准化的过程中，很多信息字段是无法从原始日志信息中获得的，需要日志集中管理与审计系统综合其它系统的相关数据分析生成，因此以上字段并不表示对原始日志提供信息的要求，而是指经过标准化后的日志信息应包括以上字段，各省可根据实际情况有所增减。 举一例如下：

序号 1 2 3 4 5 字段名 事件编号 事件名称 事件内容 事件类型 设备地址 事件名 事件内容主体，如操作命令 事件类别 产生该事件的设备地址 10

描 述 该事件全局的唯一编号 QB-╳╳-╳╳╳-╳╳╳╳

序号 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 字段名 设备名称 设备类型 严重级别 原始级别 事件时间 原始时间 协议 源地址 源子网掩码 目的地址 源主机名 目的主机名 源端口 目的端口 源进程 目的进程 主帐号 从帐号 访问策略 会话标识 Agent名称 设备名称 该设备的设备类型 事件在重新定义后的严重级别 事件的原始严重级别 事件进入安全管理系统的时间 事件产生时的时间 事件相关的协议名 事件的源地址 事件源地址的子网掩码 事件的目的地址 事件源主机名称 事件目的主机名称 事件的源端口 事件的目的端口 事件源相关的进程名 事件目的相关的进程名 事件相关的主帐号名 事件相关的从帐号名 客户访问应用系统策略 会话ID信息 系统收集该事件的Agent名称 描 述 目的子网掩码 事件目的地址的子网掩码

7. 日志分析

7.1. 功能要求

7.1.1. 用户身份关联

由于网络及应用的复杂化，孤立的设备日志无法直接与用户关联在一起身份，不利于问题分析、处理。通过有效的关联，准确地判断出用户的身份和属性，从而将操作行为和自然人进行对应。

审计系统需要支持将系统层的日志、数据库日志、应用层的日志及网络数据和实际用户关联起来，支持对不同用户之间的操作的日志进行关联审计，区分不同用户行为和聚合同一用户的行为。

11

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库中国移动日志集中管理和审计系统功能及技术规范(3)在线全文阅读。