移动日志集中管理与审计系统功能及技术规 .doc

目 录 1. 范围 1 2. 规范性引用文件 1 3. 术语、定义和缩略语 1 4. 综述 2 4.1. 建设需求 2 4.2. 建设目的 3 4.3. 系统总体框架 4 5. 日志采集 5 5.1. 采集对象及关键操作 6 5.2. 采集机制与策略 8 6. 日志标准化 10 7. 日志分析 11 7.1. 功能要求 11 7.1.1. 用户身份关联 11 7.1.2. 资产关联 12 7.1.3. 操作行为分析能力 12 7.1.4. 高危操作审计 13 7.1.5. 数据库操作指令还原 13 7.1.6. 会话重放 13 7.1.7. 事件生成效率 14 7.1.8. 审计查询 14 7.1.9. 审计分析报告 14 7.2. 审计策略 15 7.2.1. 事件分类 15 7.2.2. 事件分级 15 7.2.3. 缺省策略 15 7.2.4. 策略定制 15 7.2.5. 定义合法行为 15 7.3. 事件响应 16 7.3.1. 触发警报条件 16 7.3.2. 告警方式 16 7.3.3. 告警信息 16 8. 自身管理功能 16 8.1. 日志功能 16 8.1.1. 原始记录管理 17 8.1.2. 备份管理 17 8.2. 自身安全管理功能 17 8.2.1. 多级用户划分 17 8.2.2. 用户帐号管理 17 8.2.3. 日志分组管理 17 8.2.4. 用户认证管理 18 8.2.5. 认证失败处理 18 8.2.6. 自身审计数据生成 18 8.2.7. 自身安全审计记录 18 8.2.8. 组件管理 18 9. 时间同步要求 19 10. 系统部署方面的要求 19 10.1. 整体要求 19 10.2. 代理程序的安装和卸载 19 10.3. 产品卸载安全 19 11. 日志存储与备份 20 11.1. 日志存储 20 11.1.1. 存储安全性要求 20 11.1.2. 存储配置管理 20 11.2. 日志备份 20 11.2.1. 备份日志安全性要求 20 11.2.2. 备份数据存储压缩比 21 11.2.3. 备份恢复功能 21 11.2.4. 备份管理配置 21 12. 接口要求 21 12.1. 与被管理系统接口 22 12.1.1. 采集接口 22 12.1.2. 采集信息 22 12.2. 与帐号口令集中管理系统接口 23 12.2.1. 采集接口 23 12.2.2. 采集信息 23 12.2.3. 用户管理接口 23 12.2.4. 身份认证接口 24 12.3. 与综合维护接入平台接口 24 12.3.1. 采集接口 24 12.3.2. 采集信息 24 12.4. 与工单系统接口 24 12.5. 告警转发接口 25 12.6. 日志转发接口 25 12.7. 数据传输安全 25 13. 性能要求 25 13.1. 稳定性 25 13.2. 资源占用 25 13.3. 网络影响 25 14. 编制历史 26 前 言 随着中国移动通信网、业务网及各支撑系统的不断发展，各类设备产生的日志信息也越来越多。为了更好的对系统日志进行管理，提高系统安全度，以满足SOX法案审计要求，需要建立一套统一的日志集中管理及审计系统。 中国移动日志集中管理及审计系统是各通信网、业务网和各支撑系统统一的日志汇总、存储、管理的节点。系统主要完成对各被管理网络或系统的日志采集，日志标准化，日志分析，输出审计结果、告警、报表等功能。系统通过分析各种操作日志，及时发现通信网、业务网和各支撑系统中的非法用户、非法访问、异常操作、异常状态等安全信息，及时通知相关人员进行处理，提高各被管理通信网、业务网和各支撑系统的安全管理水平。具体实施中，在集中化总体原则下，可综合考虑维护管理职能划分、业务特点等因素，规划系统建设数量。 本标准规范了中国移动日志集中管理及审计系统的建设需求，建设目的，总体框架，系统功能，系统接口要求等。本标准可作为选用日志集中管理与审计产品，进行产品开发与测试、应用开发与改造的技术依据，指导日志集中管理与审计系统的建设。 本标准由中移号文件印发。 本由中国移动通信公司提出并归口。本由归口部门负责解释。本起草单位：本主要起草人：BS7799 信息安全管理体系标准Sarbanes-Oxley Act 《萨班斯法案》 [4] 《中国移动（香港）有限公司内部控制手册》 中国移动通信有限公司 [5] 《中国移动内部控制手册》 中国移动通信有限公司 [6] 《中国移动帐号口令集中管理技术要求》 术语、定义和缩略语 下列术语定义适用于本标准4A (AAAA) Accounting, Authorization, Authentication, Audit 帐号管理，授权，认证，