1 引言

工業(yè)和信息化部《工信明電［2011］8號(hào)》文明確要求做好工業(yè)通信業(yè)隱患排查治理工作，經(jīng)過多年建設(shè)，電信運(yùn)營商在網(wǎng)絡(luò)安全和信息安全制定了完善管理規(guī)范,也加強(qiáng)了網(wǎng)絡(luò)安全防護(hù)以及定期的安全掃描等工作,但在對(duì)支撐系統(tǒng)的操作以及敏感信息的訪問監(jiān)視和審計(jì)方面存在空白,目前只有管理手段,缺乏技術(shù)手段進(jìn)行支撐,造成密碼泄露、賬號(hào)不及時(shí)回收、敏感信息外泄、重要操作無人監(jiān)管等問題。

為了能進(jìn)一步規(guī)范日常的管理和操作，通過建立一套電信運(yùn)營商網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng), 收集現(xiàn)網(wǎng)的操作日志，對(duì)日志開展全面審計(jì)，解決目前存在的密碼暴力破解、信息泄露、規(guī)范管理無法確定有效執(zhí)行等問題。

2 電信運(yùn)營商網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng)架構(gòu)

電信運(yùn)營商網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng)功能架構(gòu)包含三大功能域，分別為展現(xiàn)功能域、業(yè)務(wù)功能域、接口整合域。電信運(yùn)營商網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng)功能架構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng)功能架構(gòu)示意圖

2.1 接口整合域：對(duì)于操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備日志采集，采用syslog

方式實(shí)行配置采集，對(duì)于無法配置syslog異地存儲(chǔ)日志系統(tǒng)，采用SSH登錄運(yùn)行腳本讀取日志信息方式采集。

2.2 業(yè)務(wù)功能域

對(duì)采集到的日志信息篩選處理、入庫存儲(chǔ)，對(duì)原始數(shù)據(jù)預(yù)處理，根據(jù)建立的關(guān)鍵字規(guī)則，完成審計(jì)流程與采集數(shù)據(jù)最新數(shù)據(jù)間關(guān)聯(lián)提取，形成日志數(shù)據(jù)庫，并與電信系統(tǒng)用戶登錄信息、電信系統(tǒng)故障處理流程、電信系統(tǒng)網(wǎng)絡(luò)配置操作流程、電信系統(tǒng)賬號(hào)權(quán)限管理流程、電信業(yè)務(wù)開通流程等自動(dòng)關(guān)聯(lián)審計(jì)，統(tǒng)計(jì)分析預(yù)處理和中間數(shù)據(jù)，對(duì)關(guān)注指標(biāo)實(shí)現(xiàn)性能統(tǒng)計(jì)和圖形展示。

2.3 展現(xiàn)功能域

給用戶提供各種信息查詢展現(xiàn)功能。實(shí)現(xiàn)對(duì)各類日志信息、日志備份配置、統(tǒng)計(jì)分析、審計(jì)規(guī)則定義等功能，對(duì)用戶行為從多角度多方面進(jìn)行展現(xiàn)。

3 電信網(wǎng)絡(luò)操作日志審計(jì)安全系統(tǒng)的主要功能

通過收集現(xiàn)網(wǎng)的操作日志，提供靈活規(guī)則定制、操作依據(jù)核對(duì)等，自動(dòng)對(duì)日志開展全面審計(jì)，從設(shè)備層面、數(shù)據(jù)庫層面、業(yè)務(wù)應(yīng)用層面實(shí)現(xiàn)立體化操作安全防護(hù)。

3.1 日志采集與存儲(chǔ)

以日志服務(wù)器為中心采集原始日志信息，分別以日志文件和日志數(shù)據(jù)庫為中心開展日志數(shù)據(jù)分析采集有用的日志信息，保證采集工作各項(xiàng)事務(wù)能獨(dú)立完成，syslog服務(wù)器采集原始日志數(shù)據(jù)不受程序分析采集、數(shù)據(jù)庫讀寫等的影響，分析采集部分不受syslog服務(wù)器采集工作影響而減慢分析采集的速度。一方面保證采集到各安全設(shè)備的日志數(shù)據(jù)不被丟失，安全信息有完整的保證；另一方面保證安全管理系統(tǒng)從數(shù)據(jù)采集到動(dòng)作反應(yīng)花費(fèi)的時(shí)間短，還可以取得實(shí)時(shí)的日志信息。

3.2 基本審計(jì)規(guī)則制定

根據(jù)安全管理規(guī)定、違規(guī)操作特性、網(wǎng)絡(luò)攻擊特性等歸納整理出系統(tǒng)審計(jì)使用規(guī)則，自動(dòng)實(shí)現(xiàn)匹配審計(jì)，審計(jì)規(guī)則包括審計(jì)規(guī)則定制：提供設(shè)備類型、賬號(hào)類型、時(shí)間段、審計(jì)內(nèi)容4個(gè)關(guān)鍵要素，實(shí)現(xiàn)審計(jì)規(guī)則靈活定制；設(shè)備類型按實(shí)際系統(tǒng)部署和審計(jì)要求定義，大類可分主機(jī)、網(wǎng)絡(luò)、應(yīng)用三個(gè)層面，每個(gè)層面可繼續(xù)細(xì)分；賬號(hào)類型根據(jù)賬號(hào)的應(yīng)用層面可分為管理員賬號(hào)、員工操作賬號(hào)、廠家維護(hù)賬號(hào)、值班賬號(hào)、接口賬號(hào)等；時(shí)間段根據(jù)工作時(shí)間和非工作時(shí)間進(jìn)行細(xì)分；審計(jì)內(nèi)容按照模塊化設(shè)計(jì)，主要包括賬號(hào)登錄及變更管理、重要操作審計(jì)、敏感信息審計(jì)等；

對(duì)定制好的規(guī)則可實(shí)現(xiàn)共享，部門間隔離，但可互相參考查看、規(guī)則復(fù)制功能，方便將已定制好規(guī)則應(yīng)用到本部門。為了進(jìn)一步加強(qiáng)規(guī)則制定的嚴(yán)謹(jǐn)性、合法性，制定了規(guī)程審計(jì)流程，規(guī)則必須經(jīng)過審核通過才能使用。

3.3 關(guān)聯(lián)操作依據(jù)審計(jì)

部分審計(jì)規(guī)則可直接判斷操作合規(guī)性，如：接口賬號(hào)審計(jì)可直接通過登錄IP源判斷是否為合法訪問，但大部分審計(jì)規(guī)則需要聯(lián)合操作依據(jù)進(jìn)行進(jìn)一步審計(jì)，操作依據(jù)包括日常運(yùn)行維護(hù)中的故障工單、網(wǎng)絡(luò)配置單、掃描記錄、業(yè)務(wù)配置單、人工備案記錄等，做為依據(jù)進(jìn)一步判斷操作合法性。大部分的操作依據(jù)也已經(jīng)由相關(guān)的系統(tǒng)實(shí)現(xiàn)了電子化、流程化的管理，與系統(tǒng)建立接口定期提取單據(jù)中的關(guān)鍵信息，主要包括：系統(tǒng)、設(shè)備（IP）、賬號(hào)、時(shí)間段、操作內(nèi)容等信息，審計(jì)系統(tǒng)將獲取到的信息與日志信息進(jìn)行匹配，將匹配成功日志標(biāo)注為審計(jì)通過。

3.4 暴力破解實(shí)時(shí)審計(jì)

在基本規(guī)則審計(jì)的基礎(chǔ)上，建立實(shí)時(shí)暴力破解審計(jì)規(guī)則，對(duì)于登錄的賬號(hào)從賬號(hào)屬性、IP源、訪問次數(shù)、成功性等維度進(jìn)行統(tǒng)計(jì)分析，如：同一訪問IP源5分鐘內(nèi)陌生賬號(hào)訪問失敗次數(shù)達(dá)到20次等，通過Syslog實(shí)時(shí)接收賬號(hào)訪問日志，實(shí)時(shí)實(shí)施暴力破解審計(jì)，達(dá)到規(guī)則制定條件的判斷為疑是暴力破解異常，并產(chǎn)生告警信息，包括：系統(tǒng)名稱、設(shè)備IP、非法訪問IP來源、非法訪問次數(shù)、訪問賬號(hào)等。疑是暴力破解的異常日志將產(chǎn)生的告警信息生成故障處理工單，轉(zhuǎn)入故障處理流程進(jìn)行處理。

3.5 審計(jì)異常日志處理

經(jīng)過基本的審計(jì)規(guī)則和其他操作依據(jù)進(jìn)行自動(dòng)匹配審計(jì)后產(chǎn)生異常日志，異常日志可分為兩種，一種是偽異常，另一種是真正的異常，對(duì)于全量的異常日志需要進(jìn)行確認(rèn)處理，對(duì)于偽異常日志，可通過審計(jì)員進(jìn)行補(bǔ)充審計(jì)通過，需要對(duì)網(wǎng)絡(luò)存在的問題進(jìn)行整改。

3.6 審計(jì)報(bào)告

系統(tǒng)根據(jù)審計(jì)結(jié)果，自動(dòng)制作審計(jì)報(bào)告，審計(jì)報(bào)告內(nèi)容包括：審計(jì)系統(tǒng)信息統(tǒng)計(jì)、審計(jì)結(jié)果統(tǒng)計(jì)、登錄方式統(tǒng)計(jì)、增刪賬號(hào)數(shù)量統(tǒng)計(jì)、通過4A登錄情況統(tǒng)計(jì)等。

4 運(yùn)行成果

電信運(yùn)營商網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng)正式上線后，信息安全管理員通過日志審計(jì)系統(tǒng)這一整合平臺(tái)，統(tǒng)一監(jiān)控授權(quán)范圍內(nèi)的系統(tǒng)、設(shè)備的運(yùn)作情況，及時(shí)發(fā)現(xiàn)安全隱患。電信運(yùn)營商網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng)提供多種預(yù)警方式，第一時(shí)間告知管理人員目前可能存在的安全問題，及時(shí)解決故障，減少故障的發(fā)生。

電信運(yùn)營商網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng)實(shí)現(xiàn)了對(duì)多套系統(tǒng)的操作審計(jì)，完成上億次審計(jì)，發(fā)現(xiàn)外網(wǎng)的攻擊，及時(shí)采用殺毒、封堵端口等手段進(jìn)行處理；規(guī)范了賬號(hào)管理規(guī)范性問題，規(guī)范賬號(hào)的合法性操作； 規(guī)范人員的操作問題，發(fā)現(xiàn)操作違規(guī)問題，加強(qiáng)敏感信息違規(guī)訪問問題。

5 結(jié)束語

本文主要介紹了電信運(yùn)營商網(wǎng)絡(luò)操作日志審計(jì)系統(tǒng)的功能構(gòu)造、主要功能及使用成果。系統(tǒng)運(yùn)行以來，實(shí)現(xiàn)了對(duì)各類日志進(jìn)行統(tǒng)一存儲(chǔ)、統(tǒng)一分析、統(tǒng)一管理的要求，表現(xiàn)了其安全可靠的特性。

該系統(tǒng)在實(shí)際工作中有非常好的表現(xiàn)，可以極大的提高日志管理，值得在各企業(yè)中推廣使用，以改善較多企業(yè)系統(tǒng)日志管理混亂的問題。