1 引言

工業(yè)和信息化部《工信明電［2011］8號》文明確要求做好工業(yè)通信業(yè)隱患排查治理工作，經(jīng)過多年建設(shè)，電信運營商在網(wǎng)絡(luò)安全和信息安全制定了完善管理規(guī)范,也加強了網(wǎng)絡(luò)安全防護以及定期的安全掃描等工作,但在對支撐系統(tǒng)的操作以及敏感信息的訪問監(jiān)視和審計方面存在空白,目前只有管理手段,缺乏技術(shù)手段進行支撐,造成密碼泄露、賬號不及時回收、敏感信息外泄、重要操作無人監(jiān)管等問題。

為了能進一步規(guī)范日常的管理和操作，通過建立一套電信運營商網(wǎng)絡(luò)操作日志審計系統(tǒng), 收集現(xiàn)網(wǎng)的操作日志，對日志開展全面審計，解決目前存在的密碼暴力破解、信息泄露、規(guī)范管理無法確定有效執(zhí)行等問題。

2 電信運營商網(wǎng)絡(luò)操作日志審計系統(tǒng)架構(gòu)

電信運營商網(wǎng)絡(luò)操作日志審計系統(tǒng)功能架構(gòu)包含三大功能域，分別為展現(xiàn)功能域、業(yè)務(wù)功能域、接口整合域。電信運營商網(wǎng)絡(luò)操作日志審計系統(tǒng)功能架構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)操作日志審計系統(tǒng)功能架構(gòu)示意圖

2.1 接口整合域：對于操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備日志采集，采用syslog

方式實行配置采集，對于無法配置syslog異地存儲日志系統(tǒng)，采用SSH登錄運行腳本讀取日志信息方式采集。

2.2 業(yè)務(wù)功能域

對采集到的日志信息篩選處理、入庫存儲，對原始數(shù)據(jù)預(yù)處理，根據(jù)建立的關(guān)鍵字規(guī)則，完成審計流程與采集數(shù)據(jù)最新數(shù)據(jù)間關(guān)聯(lián)提取，形成日志數(shù)據(jù)庫，并與電信系統(tǒng)用戶登錄信息、電信系統(tǒng)故障處理流程、電信系統(tǒng)網(wǎng)絡(luò)配置操作流程、電信系統(tǒng)賬號權(quán)限管理流程、電信業(yè)務(wù)開通流程等自動關(guān)聯(lián)審計，統(tǒng)計分析預(yù)處理和中間數(shù)據(jù)，對關(guān)注指標(biāo)實現(xiàn)性能統(tǒng)計和圖形展示。

2.3 展現(xiàn)功能域

給用戶提供各種信息查詢展現(xiàn)功能。實現(xiàn)對各類日志信息、日志備份配置、統(tǒng)計分析、審計規(guī)則定義等功能，對用戶行為從多角度多方面進行展現(xiàn)。

3 電信網(wǎng)絡(luò)操作日志審計安全系統(tǒng)的主要功能

通過收集現(xiàn)網(wǎng)的操作日志，提供靈活規(guī)則定制、操作依據(jù)核對等，自動對日志開展全面審計，從設(shè)備層面、數(shù)據(jù)庫層面、業(yè)務(wù)應(yīng)用層面實現(xiàn)立體化操作安全防護。

3.1 日志采集與存儲

以日志服務(wù)器為中心采集原始日志信息，分別以日志文件和日志數(shù)據(jù)庫為中心開展日志數(shù)據(jù)分析采集有用的日志信息，保證采集工作各項事務(wù)能獨立完成，syslog服務(wù)器采集原始日志數(shù)據(jù)不受程序分析采集、數(shù)據(jù)庫讀寫等的影響，分析采集部分不受syslog服務(wù)器采集工作影響而減慢分析采集的速度。一方面保證采集到各安全設(shè)備的日志數(shù)據(jù)不被丟失，安全信息有完整的保證；另一方面保證安全管理系統(tǒng)從數(shù)據(jù)采集到動作反應(yīng)花費的時間短，還可以取得實時的日志信息。

3.2 基本審計規(guī)則制定

根據(jù)安全管理規(guī)定、違規(guī)操作特性、網(wǎng)絡(luò)攻擊特性等歸納整理出系統(tǒng)審計使用規(guī)則，自動實現(xiàn)匹配審計，審計規(guī)則包括審計規(guī)則定制：提供設(shè)備類型、賬號類型、時間段、審計內(nèi)容4個關(guān)鍵要素，實現(xiàn)審計規(guī)則靈活定制；設(shè)備類型按實際系統(tǒng)部署和審計要求定義，大類可分主機、網(wǎng)絡(luò)、應(yīng)用三個層面，每個層面可繼續(xù)細(xì)分；賬號類型根據(jù)賬號的應(yīng)用層面可分為管理員賬號、員工操作賬號、廠家維護賬號、值班賬號、接口賬號等；時間段根據(jù)工作時間和非工作時間進行細(xì)分；審計內(nèi)容按照模塊化設(shè)計，主要包括賬號登錄及變更管理、重要操作審計、敏感信息審計等；

對定制好的規(guī)則可實現(xiàn)共享，部門間隔離，但可互相參考查看、規(guī)則復(fù)制功能，方便將已定制好規(guī)則應(yīng)用到本部門。為了進一步加強規(guī)則制定的嚴(yán)謹(jǐn)性、合法性，制定了規(guī)程審計流程，規(guī)則必須經(jīng)過審核通過才能使用。

3.3 關(guān)聯(lián)操作依據(jù)審計

部分審計規(guī)則可直接判斷操作合規(guī)性，如：接口賬號審計可直接通過登錄IP源判斷是否為合法訪問，但大部分審計規(guī)則需要聯(lián)合操作依據(jù)進行進一步審計，操作依據(jù)包括日常運行維護中的故障工單、網(wǎng)絡(luò)配置單、掃描記錄、業(yè)務(wù)配置單、人工備案記錄等，做為依據(jù)進一步判斷操作合法性。大部分的操作依據(jù)也已經(jīng)由相關(guān)的系統(tǒng)實現(xiàn)了電子化、流程化的管理，與系統(tǒng)建立接口定期提取單據(jù)中的關(guān)鍵信息，主要包括：系統(tǒng)、設(shè)備（IP）、賬號、時間段、操作內(nèi)容等信息，審計系統(tǒng)將獲取到的信息與日志信息進行匹配，將匹配成功日志標(biāo)注為審計通過。

3.4 暴力破解實時審計

在基本規(guī)則審計的基礎(chǔ)上，建立實時暴力破解審計規(guī)則，對于登錄的賬號從賬號屬性、IP源、訪問次數(shù)、成功性等維度進行統(tǒng)計分析，如：同一訪問IP源5分鐘內(nèi)陌生賬號訪問失敗次數(shù)達(dá)到20次等，通過Syslog實時接收賬號訪問日志，實時實施暴力破解審計，達(dá)到規(guī)則制定條件的判斷為疑是暴力破解異常，并產(chǎn)生告警信息，包括：系統(tǒng)名稱、設(shè)備IP、非法訪問IP來源、非法訪問次數(shù)、訪問賬號等。疑是暴力破解的異常日志將產(chǎn)生的告警信息生成故障處理工單，轉(zhuǎn)入故障處理流程進行處理。

3.5 審計異常日志處理

經(jīng)過基本的審計規(guī)則和其他操作依據(jù)進行自動匹配審計后產(chǎn)生異常日志，異常日志可分為兩種，一種是偽異常，另一種是真正的異常，對于全量的異常日志需要進行確認(rèn)處理，對于偽異常日志，可通過審計員進行補充審計通過，需要對網(wǎng)絡(luò)存在的問題進行整改。

3.6 審計報告

系統(tǒng)根據(jù)審計結(jié)果，自動制作審計報告，審計報告內(nèi)容包括：審計系統(tǒng)信息統(tǒng)計、審計結(jié)果統(tǒng)計、登錄方式統(tǒng)計、增刪賬號數(shù)量統(tǒng)計、通過4A登錄情況統(tǒng)計等。

4 運行成果

電信運營商網(wǎng)絡(luò)操作日志審計系統(tǒng)正式上線后，信息安全管理員通過日志審計系統(tǒng)這一整合平臺，統(tǒng)一監(jiān)控授權(quán)范圍內(nèi)的系統(tǒng)、設(shè)備的運作情況，及時發(fā)現(xiàn)安全隱患。電信運營商網(wǎng)絡(luò)操作日志審計系統(tǒng)提供多種預(yù)警方式，第一時間告知管理人員目前可能存在的安全問題，及時解決故障，減少故障的發(fā)生。

電信運營商網(wǎng)絡(luò)操作日志審計系統(tǒng)實現(xiàn)了對多套系統(tǒng)的操作審計，完成上億次審計，發(fā)現(xiàn)外網(wǎng)的攻擊，及時采用殺毒、封堵端口等手段進行處理；規(guī)范了賬號管理規(guī)范性問題，規(guī)范賬號的合法性操作； 規(guī)范人員的操作問題，發(fā)現(xiàn)操作違規(guī)問題，加強敏感信息違規(guī)訪問問題。

5 結(jié)束語

本文主要介紹了電信運營商網(wǎng)絡(luò)操作日志審計系統(tǒng)的功能構(gòu)造、主要功能及使用成果。系統(tǒng)運行以來，實現(xiàn)了對各類日志進行統(tǒng)一存儲、統(tǒng)一分析、統(tǒng)一管理的要求，表現(xiàn)了其安全可靠的特性。

該系統(tǒng)在實際工作中有非常好的表現(xiàn)，可以極大的提高日志管理，值得在各企業(yè)中推廣使用，以改善較多企業(yè)系統(tǒng)日志管理混亂的問題。