中国移动日志集中管理与审计系统功能及技术规范.doc

中国移动通信企业标准
QB-╳╳-╳╳╳-╳╳╳╳
中国移动日志集中管理和审计系统
功能及技术规范
The Requirements and Technical Specification of the Centralized System for Log management and Audit
版本号:
2008-╳╳-╳╳实施
2008-╳╳-╳╳发布
中国移动通信有限公司发布
目录
1. 范围 1
2. 规范性引用文件 1
3. 术语、定义和缩略语 1
4. 综述 2
. 建设需求 2
. 建设目的 3
. 系统总体框架 4
5. 日志采集 5
. 采集对象及关键操作 6
. 采集机制与策略 8
6. 日志标准化 10
7. 日志分析 11
. 功能要求 11
. 用户身份关联 11
. 资产关联 12
. 操作行为分析能力 12
. 高危操作审计 13
. 数据库操作指令还原 13
. 会话重放 13
. 事件生成效率 14
. 审计查询 14
. 审计分析报告 14
. 审计策略 15
. 事件分类 15
. 事件分级 15
. 缺省策略 15
. 策略定制 15
. 定义合法行为 15
. 事件响应 16
. 触发警报条件 16
. 告警方式 16
. 告警信息 16
8. 自身管理功能 16
. 日志功能 16
. 原始记录管理 17
. 备份管理 17
. 自身安全管理功能 17
. 多级用户划分 17
. 用户帐号管理 17
. 日志分组管理 17
. 用户认证管理 18
. 认证失败处理 18
. 自身审计数据生成 18
. 自身安全审计记录 18
. 组件管理 18
9. 时间同步要求 19
10. 系统部署方面的要求 19
. 整体要求 19
. 代理程序的安装和卸载 19
. 产品卸载安全 19
11. 日志存储与备份 20
. 日志存储 20
. 存储安全性要求 20
. 存储配置管理 20
. 日志备份 20
. 备份日志安全性要求 20
. 备份数据存储压缩比 21
. 备份恢复功能 21
. 备份管理配置 21
12. 接口要求 21
. 与被管理系统接口 22
. 采集接口 22
. 采集信息 22
. 与帐号口令集中管理系统接口 23
. 采集接口 23
. 采集信息 23
. 用户管理接口 23
. 身份认证接口 24
. 与综合维护接入平台接口 24
. 采集接口 24
. 采集信息 24
. 与工单系统接口 24
. 告警转发接口 25
. 日志转发接口 25
. 数据传输安全 25
13. 性能要求 25
. 稳定性 25
. 资源占用 25
. 网络影响 25
14. 编制历史 26
前言
随着中国移动通信网、业务网及各支撑系统的不断发展,各类设备产生的日志信息也越来越多。为了更好的对系统日志进行管理,提高系统安全度,以满足SOX法案审计要求,需要建立一套统一的日志集中管理及审计系统。
中国移动日志集中管理及审计系统是各通信网、业务网和各支撑系统统一的日志汇总、存储、管理的节点。系统主要完成对各被管理网络或系统的日志采集,日志标准化,日志分析,输出审计结果、告警、报表等功能。系统通过分析各种操作日志,及时发现通信网、业务网和各支撑系统中的非法用户、非法访问、异常操作、异常状态等安全信息,及时通知相关人员进行处理,提高各被管理通信网、业务网和各支撑系统的安全管理水平。具体实施中,在集中化总体原则下,可综合考虑维护管理职能划分、业务特点等因素,规划系统建设数量。
本标准规范了中国移动日志集中管理及审计系统的建设需求,建设目的,总体框架,系统功能,系统接口要求等。本标准可作为选用日志集中管理与审计产品,进行产品开发与测试、应用开发与改造的技术依据,指导日志集中管理与审计系统的建设。