QB-╳╳-╳╳╳-╳╳╳╳
用户的关联能力可以通过两种方式实现。
1. 如果审计系统采集到的日志含有用户身份信息,或审计系统具备用户身份数据
库,则由审计系统自身完成用户身份关联分析;
2. 如果审计系统中不具备上述能力,可以和帐号口令管理系统进行结合,实现和
用户身份的关联分析。
从数据统一性和维护方便的角度考虑,建议采用第二种方式。
7.1.2. 资产关联
审计结果需要和资产进行关联,以实现事件和资产的对应,直观地为相关系统管理人员、安全人员提供具体系统的安全状况。资产关联能力可以通过两种方式实现。
1、 如果审计系统中具备资产管理的能力,审计出的事件和内置的资产管理模块进行关
联分析;
2、 如果审计系统中不具备资产管理能力,可以和如资源管理平台等其他资产管理系统
进行结合,通过对其进行查询等操作,实现和审计事件的关联分析。 从数据统一性和维护方便的角度考虑,建议采用第二种方式。
7.1.3. 操作行为分析能力
通过审计系统,要在海量的网络事件中审计出用户操作行为,支持将系统层的日志、数据库日志、应用层的日志及网络数据进行相互关联,尤其是所有对财务数据相关的关键系统数据的访问、修改和删除等,需要再现用户的完整操作过程。
能够依据日志或网络数据能进行正确的模型生成用户操作行为,依据模型能进行准确的异常行为检测。
支持对不规则或频繁出现的事件进行统计分析、过滤和事件聚合等,同时提供自定义匹配模式便于查询。
操作行为分析中还可以具备安全事件的关联能力,要能够将来自不同设备的海量日志关联为准确的操作行为,并能对特定安全事件实现还原。
12
QB-╳╳-╳╳╳-╳╳╳╳
7.1.4. 高危操作审计
将各被审计系统负责人以可编辑文档格式提供的高危操作描述文档,包括自身系统重要操作或者危险操作列表、操作级别、对应的说明、高危操作的具体指令或特征值等等,以自动方式批量导入、或者以人工方式逐条导入系统。
允许用户定义高危行为集合。 支持对以下高危操作进行审计:
1. 系统层:系统文件删除、系统文件的修改、系统文件属性修改、格式化磁盘、
操作服务端口开启、启动后台进程和可执行文件安装等。 2. 数据库:关键数据项的修改及删除等。
3. 应用层:用户数据的修改、关键业务参数配置的修改等。
4. 各层共性的高危操作:用户越权访问、用户权限升级、更改口令、新建用户、
非正常时间登陆、多次错误登陆、审计策略更改和其他异常事件。
7.1.5. 数据库操作指令还原
支持以下数据库操作指令的还原:
? ? ? ? ?
Oracle DB2 SQL Server Sybase Informix
支持对数据库的各种操作命令分析,将这些操作还原成SQL语句并回显,保护重要的数据库表和视图,跟踪记录存储过程的执行。
7.1.6. 会话重放
网络型日志采集模块支持对于网络报文的应用层协议分析和会话还原,实现对现网常见的应用,例如Telnet、FTP、HTTP、Email操作过程的还原和重放功能;
支持针对特定用户和特定数据库进行SQL语句的操作还原和重放。 在条件具备的情况下要求能够对Windows图形化应用进行操作回放。
13
QB-╳╳-╳╳╳-╳╳╳╳
7.1.7. 事件生成效率
支持实时生成和定期生成审计事件。
7.1.8. 审计查询
提供灵活的查询功能,要求能按照如下关键词或者关键词组合进行查询、产生审计报告:
? ? ? ?
操作人员 操作行为 操作时间 异常操作等
7.1.9. 审计分析报告
审计系统的分析报告应具备以下能力: ? ? ?
能够产生符合SOX审计等要求的报告,如《中国移动内部控制手册》; 支持报表的灵活定制;
对于报告中的隐私字段(如口令等)应该以一定的方式进行处理,避免直接展示; ? ?
审计报告内容可灵活定制,能够依据不同的业务应用类型自定义; 能够将分析报告导出。
审计分析报告应该能够根据不同部门、业务,以及人员产生针对性的报告,并能提供定制开发,如产生以下类别的报告:
? ?
总体状态分析统计,此类报告主要面向管理层,把握全局业务状态。 统计趋势分析统计,此类报告主要面向管理层,主要将与业务相关的各种风险以及事件的趋势进行统计,能通过各个部门或地域来进行统计分析。 ?
详细状况分析统计,此类报告主要面向技术层。要求能将各种与业务相关联的数据进行分析统计,定位系统故障。 报告形式:
14
QB-╳╳-╳╳╳-╳╳╳╳
? ? ? ?
7.2. 审计策略
能形成文字方式、图形方式的分析报告 支持txt、html、doc、xls等报告格式 能够将分析报告导出。
报告可分级分类,面向不同用户。
7.2.1. 事件分类
基于源地址、源应用程序、用户、操作的对象、操作的类型、操作的时间和操作结果来进行分类。
7.2.2. 事件分级
支持按照事件安全级别进行分类包括:普通、重要、高危等。
7.2.3. 缺省策略
支持按照缺省策略对事件进行审计。
7.2.4. 策略定制
支持提供向导功能进行复杂条件的策略定制。
7.2.5. 定义合法行为
结合自学习模块或独立定义,结合帐号的授权信息和正常的操作模式,建立日常正常操作的基线,过滤后形成需要重点关注的事件(如未授权操作、异常操作时点,异常发生频率等)。
15
QB-╳╳-╳╳╳-╳╳╳╳
7.3. 事件响应
7.3.1. 触发警报条件
支持基于非法源地址、非法客户应用、非法数据库用户名、非法数据库对象访问、非法操作类型、非法SQL语句、非法时间和高危事件进行报警。
7.3.2. 告警方式
支持以下报警方式:告警窗口、SNMP Trap、Email 、Syslog 方式、产生工单、短信和执行操作系统命令及声光告警方式等。
7.3.3. 告警信息
告警系统允许系统根据需要对各级别、类型的事件进行灵活的组合,按照用户需要进行告警信息的灵活定义和呈现。
告警信息包含:事件ID、事件主体、事件客体、事件发生时间、事件危险级别和事件描述。
告警信息呈现,应支持以下功能: ? ? ?
支持告警列表呈现,可灵活定制呈现字段和顺序; 可根据过滤条件定制需关注告警,告警分类分级;
支持按时间段、告警类型、告警级别等因素产生告警统计报表。
8. 自身管理功能
8.1. 日志功能
符合《中国移动应用系统通用安全功能要求》; 应对本系统中用户创建、修改、删除进行记录;
记录本系统用户的各种操作,包括用户名、时间、指令、操作内容描述、操作结果等信息;
支持各种或者部分主要的日志采集标准;
16