QB-╳╳-╳╳╳-╳╳╳╳
支持各种查询功能。
8.1.1. 原始记录管理
通过有效机制保护本系统用户操作相关的原始数据、记录免遭未授权的删除或修改。
支持分时间清除数据。
8.1.2. 备份管理
具备备份配置管理功能,提供日志备份、配置能力,能够根据备份的选项提供相应的备份日志快速恢复功能,应做到对备份数据根据时间维度、事件源维度和事件类型维度等多维度综合检索能力;对恢复数据的保密性和完整性进行校验,对被修改过的数据进行快速定位,并及时报警。 8.2. 自身安全管理功能 8.2.1. 多级用户划分
能够为各管理角色规定管理角色标识、认证信息、隶属组、权限等,能够使用默认值对创建的各管理角色的属性进行初始化。
支持采用组或者角色方式划分用户权限:如超级管理员、策略管理员、审计管理员、普通管理员、低权限的监控专用帐号。
8.2.2. 用户帐号管理
支持帐号帐号创建、帐号授权、帐号属性修改和帐号删除等功能。 支持按照部门机构设置、职能划分,实现分区、分域、分组管理。
8.2.3. 日志分组管理
能够针对本系统管理范围内多套系统、设备、应用等日志定义分组,以与用户分组相结合,细化日志的访问权限,实现分组管理和审计。
17
QB-╳╳-╳╳╳-╳╳╳╳
8.2.4. 用户认证管理
在用户执行管理功能之前能够对用户进行身份认证,用户切换角色时,需重新认证,登录之前可执行操作仅有输入登录信息和查看登录帮助,能够支持超时重新认证机制。
支持《中国移动帐号口令集中管理系统功能及技术规范》和相应得接口标准,以便日志集中管理与审计系统的帐号管理可以纳入4A系统, 实现集中帐号管理、集中授权、集中认证和基本的登录行为的集中审计。
8.2.5. 认证失败处理
能够定义用户认证尝试的最大允许失败次数,能够定义当用户认证尝试失败连续达到指定次数后采取的措施,当用户连续认证尝试失败达到阈值后,生成审计事件,最大允许失败次数仅由授权管理员设定,仅超级管理员具有解除措施的权限。 8.2.6. 自身审计数据生成
支持对产品的每一个操作产生正确的审计记录,产生的审计记录与事件存在明确的对应关系自身安全审计记录。 8.2.7. 自身安全审计记录
支持生成自身审计记录,将自身审计记录是否与其它记录分开保存到不同的记录文件或数据库(或同一数据库的不同表)。
8.2.8. 组件管理
日志集中管理与审计系统一般包括如下组件类型:日志采集代理、网络审计探头、日志采集服务器、审计中心、审计记录数据库、审计控制台等,系统控制台须能够显示各组件状态、支持对各组件状态监控参数的设置。
18
QB-╳╳-╳╳╳-╳╳╳╳
9. 时间同步要求
由于被采集系统的时间不尽相同,无法有效支持审计系统的关联分析、进行事件追查。因此集中日志管理与审计系统应提供时间同步或者支持采用其它时间同步系统的能力。当具备统一的时间同步服务器时,建议将日志集中管理与审计系统和被管理系统根据同一时间源信号对时间进行同步。如果没有统一的时间源则以日志集中管理与审计系统为准,记录各被管理系统主机、数据库、网络设备、应用系统的时间,建立日志集中管理与审计系统和被管系统的时间映射关系。
10. 系统部署方面的要求
10.1. 整体要求
支持根据网络系统拓扑、规模及审计要求对模块进行灵活部署,包括日志采集服务
器的数量和部署、网络审计探头的数量和部署、审计策略的统一部署;
支持审计代理和审计中心的跨防火墙部署;
支持在目标主机系统运行日志采集脚本,支持在目标主机系统安装代理; 网络型日志采集模块应以旁路方式接入网络,获取网络报文时不影响网络性能; 堡垒主机可以采用串路方式接入网络,应注意不对网络性能和正常操作产生影响; 网络型日志采集模块产生的审计记录可发送至日志采集服务器。
10.2. 代理程序的安装和卸载
使用专用卸载程序卸载软件代理,不通过专用卸载程序应不可以删除或停用软件代理,能够检测软件代理的安装。 10.3. 产品卸载安全
卸载产品时能够将产品中保存的审计数据进行删除,并提醒用户删除。
19
QB-╳╳-╳╳╳-╳╳╳╳
11. 日志存储与备份
11.1. 日志存储
原始日志和分析归并后两类日志,两类日志集中存储。 在线保存一年。
通过分析归并后日志,能够快速关联到原始日志。
11.1.1. 存储安全性要求
在具备条件的情况下,可以对原始日志和分析归并后的日志进行加密存储,或者限制访问权限;对完整性进行校验,确保不被修改或者删除;能够检测到存储的日志被修改并提供相关报警功能。
11.1.2. 存储配置管理
日志集中管理与审计系统中分为原始日志和分析归并后两类日志,两类日志都集中存储,分析归并后日志根据萨班斯财务审计周期的要求,在线保存一年,原始日志在线保存一年,并永久备份在磁带上。通过分析归并后的日志,应能快速关联到原始日志。
存储时间能够设置容量上限,对达到容量上限有预警保护措施,能够实现数据压缩。 存储配置管理:
提供日志存储管理,日志存储分为原始日志和分析归一后的日志,对两种日志的类型分别进行存储管理。并根据本规范11.1章节的相关项进行可视化配置管理。
存储数据的快速检索和模糊匹配查询管理:
提供对储存日志快速全文检索功能,并提供实时、定时生成索引可根据关键字进行模糊匹配查询;在线数据查询效率根据服务器负载情况具体确定,非大量数据的情况,应至少不高于120秒。 11.2. 日志备份
11.2.1. 备份日志安全性要求
对原始日志和分析归并后的日志进行加密存储,并对其完整性进行校验;能够检测
20
QB-╳╳-╳╳╳-╳╳╳╳
到存储的日志被修改并提供相关报警功能。 11.2.2. 备份数据存储压缩比
提供对备份数据的压缩存储;
压缩比要求:文件存储压缩比一般不应小于1:10;
11.2.3. 备份恢复功能
提供原始数据和分析归并后数据恢复功能。
由原始备份数据到可使用的在线数据的转换时间根据服务器负载决定,但一般不应小于80G/小时,转换后的数据及时生成索引以备快速检索; 11.2.4. 备份管理配置
1、 备份时间配置
对日志备份的时间进行配置,并最少提供定期独立备份、定期增量备份及实施增量三种处理方法 2、 备份空间配置
对日志备份空间进行配置,并提供相应基线,到达基线时提供报警功能。 3、 备份状态显示
对当前日志备份状态进行显示,并对以往备份存量进行分析,预估存储容量剩余时间。
12. 接口要求
系统接口要求主要包含各类系统接口要求描述,以及系统接口实现时的安全要求等。
其中系统接口类型主要包括以下几类: ? ? ?
本系统和被本系统管理的系统平台之间的接口;
本系统和帐号口令管理系统、集中综合维护接入平台之间的接口; 本系统和其他相关业务系统(如工单流转系统)之间的接口
21