运营商网络操作日志审计系统

1 引言

工业和信息化部《工信明电［2011］8号》文明确要求做好工业通信业隐患排查治理工作，经过多年建设，电信运营商在网络安全和信息安全制定了完善管理规范,也加强了网络安全防护以及定期的安全扫描等工作,但在对支撑系统的操作以及敏感信息的访问监视和审计方面存在空白,目前只有管理手段,缺乏技术手段进行支撑,造成密码泄露、账号不及时回收、敏感信息外泄、重要操作无人监管等问题。

为了能进一步规范日常的管理和操作，通过建立一套电信运营商网络操作日志审计系统, 收集现网的操作日志，对日志开展全面审计，解决目前存在的密码暴力破解、信息泄露、规范管理无法确定有效执行等问题。

2 电信运营商网络操作日志审计系统架构

电信运营商网络操作日志审计系统功能架构包含三大功能域，分别为展现功能域、业务功能域、接口整合域。电信运营商网络操作日志审计系统功能架构如图1所示。

图1 网络操作日志审计系统功能架构示意图

2.1 接口整合域：对于操作系统、数据库、网络设备日志采集，采用syslog

方式实行配置采集，对于无法配置syslog异地存储日志系统，采用SSH登录运行脚本读取日志信息方式采集。

2.2 业务功能域

对采集到的日志信息筛选处理、入库存储，对原始数据预处理，根据建立的关键字规则，完成审计流程与采集数据最新数据间关联提取，形成日志数据库，并与电信系统用户登录信息、电信系统故障处理流程、电信系统网络配置操作流程、电信系统账号权限管理流程、电信业务开通流程等自动关联审计，统计分析预处理和中间数据，对关注指标实现性能统计和图形展示。

2.3 展现功能域

给用户提供各种信息查询展现功能。实现对各类日志信息、日志备份配置、统计分析、审计规则定义等功能，对用户行为从多角度多方面进行展现。

3 电信网络操作日志审计安全系统的主要功能

通过收集现网的操作日志，提供灵活规则定制、操作依据核对等，自动对日志开展全面审计，从设备层面、数据库层面、业务应用层面实现立体化操作安全防护。

3.1 日志采集与存储

以日志服务器为中心采集原始日志信息，分别以日志文件和日志数据库为中心开展日志数据分析采集有用的日志信息，保证采集工作各项事务能独立完成，syslog服务器采集原始日志数据不受程序分析采集、数据库读写等的影响，分析采集部分不受syslog服务器采集工作影响而减慢分析采集的速度。一方面保证采集到各安全设备的日志数据不被丢失，安全信息有完整的保证；另一方面保证安全管理系统从数据采集到动作反应花费的时间短，还可以取得实时的日志信息。

3.2 基本审计规则制定

根据安全管理规定、违规操作特性、网络攻击特性等归纳整理出系统审计使用规则，自动实现匹配审计，审计规则包括审计规则定制：提供设备类型、账号类型、时间段、审计内容4个关键要素，实现审计规则灵活定制；设备类型按实际系统部署和审计要求定义，大类可分主机、网络、应用三个层面，每个层面可继续细分；账号类型根据账号的应用层面可分为管理员账号、员工操作账号、厂家维护账号、值班账号、接口账号等；时间段根据工作时间和非工作时间进行细分；审计内容按照模块化设计，主要包括账号登录及变更管理、重要操作审计、敏感信息审计等；

对定制好的规则可实现共享，部门间隔离，但可互相参考查看、规则复制功能，方便将已定制好规则应用到本部门。为了进一步加强规则制定的严谨性、合法性，制定了规程审计流程，规则必须经过审核通过才能使用。

3.3 关联操作依据审计

部分审计规则可直接判断操作合规性，如：接口账号审计可直接通过登录IP源判断是否为合法访问，但大部分审计规则需要联合操作依据进行进一步审计，操作依据包括日常运行维护中的故障工单、网络配置单、扫描记录、业务配置单、人工备案记录等，做为依据进一步判断操作合法性。大部分的操作依据也已经由相关的系统实现了电子化、流程化的管理，与系统建立接口定期提取单据中的关键信息，主要包括：系统、设备（IP）、账号、时间段、操作内容等信息，审计系统将获取到的信息与日志信息进行匹配，将匹配成功日志标注为审计通过。

3.4 暴力破解实时审计

在基本规则审计的基础上，建立实时暴力破解审计规则，对于登录的账号从账号属性、IP源、访问次数、成功性等维度进行统计分析，如：同一访问IP源5分钟内陌生账号访问失败次数达到20次等，通过Syslog实时接收账号访问日志，实时实施暴力破解审计，达到规则制定条件的判断为疑是暴力破解异常，并产生告警信息，包括：系统名称、设备IP、非法访问IP来源、非法访问次数、访问账号等。疑是暴力破解的异常日志将产生的告警信息生成故障处理工单，转入故障处理流程进行处理。

3.5 审计异常日志处理

经过基本的审计规则和其他操作依据进行自动匹配审计后产生异常日志，异常日志可分为两种，一种是伪异常，另一种是真正的异常，对于全量的异常日志需要进行确认处理，对于伪异常日志，可通过审计员进行补充审计通过，需要对网络存在的问题进行整改。

3.6 审计报告

系统根据审计结果，自动制作审计报告，审计报告内容包括：审计系统信息统计、审计结果统计、登录方式统计、增删账号数量统计、通过4A登录情况统计等。

4 运行成果

电信运营商网络操作日志审计系统正式上线后，信息安全管理员通过日志审计系统这一整合平台，统一监控授权范围内的系统、设备的运作情况，及时发现安全隐患。电信运营商网络操作日志审计系统提供多种预警方式，第一时间告知管理人员目前可能存在的安全问题，及时解决故障，减少故障的发生。

电信运营商网络操作日志审计系统实现了对多套系统的操作审计，完成上亿次审计，发现外网的攻击，及时采用杀毒、封堵端口等手段进行处理；规范了账号管理规范性问题，规范账号的合法性操作； 规范人员的操作问题，发现操作违规问题，加强敏感信息违规访问问题。

5 结束语

本文主要介绍了电信运营商网络操作日志审计系统的功能构造、主要功能及使用成果。系统运行以来，实现了对各类日志进行统一存储、统一分析、统一管理的要求，表现了其安全可靠的特性。

该系统在实际工作中有非常好的表现，可以极大的提高日志管理，值得在各企业中推广使用，以改善较多企业系统日志管理混乱的问题。