电信运营商科技创新项目成果精选基于涉敏日志的安全审计系统.docx

电信运营商科技创新项目成果精选基于涉敏日志的安全审计系统.docx

《电信运营商科技创新项目成果精选基于涉敏日志的安全审计系统.docx》由会员分享，可在线阅读，更多相关《电信运营商科技创新项目成果精选基于涉敏日志的安全审计系统.docx（10页珍藏版）》请在冰豆网上搜索。

电信运营商科技创新项目成果精选基于涉敏日志的安全审计系统

电信运营商科技创新项目成果精选-

项目名称：

基于涉敏日志的安全审计系统

一、项目基本情况

项目名称

基于涉敏日志的安全审计系统

主要完成人

主要完成单位

主题词

审计涉敏客户信息

相关专利

核心能力清单

审计、报表、告警

任务来源

项目起止时间

起始：

完成：

二、项目简介（不超过1200个汉字）

基于各涉敏系统上报的涉敏日志、从安管平台获取涉敏人员库、金库授权日志，在此基础上进一步分析存在场景1：

对人员授权的审计，场景2：

对于越权操作的审计，场景3：

对于操作凭证的审计等场景异常的日志及账号明细，进而实现审计数据的信息呈现、异常行为的数据输出等功能。

主要审计场景为3项：

场景1为从各系统上传的涉敏系统的人员操作日志中，审计出不在涉敏人员库的人员涉敏操作。

场景2为从各系统上传的涉敏系统的人员操作日志中，审计出具有涉敏操作权限的涉敏人员是否具有非授权操作行为或越权操作行为。

场景3为从各系统上传的涉敏系统的人员操作日志中，审计出不具备操作凭证的涉敏操作。

在及时的分析日志，输出审计场景异常数据的基础上，将场景1/2/3违规的发现能力前移至日志上报集团前，并及时督促异常系统及时处理，提升上报集团日志的合规性。

三、项目详细内容

1、立项背景（不超过800个汉字）

目前网管中心具有18类涉敏系统，系统日志多样，涉敏人员众多，此前采用手工收集日志、涉敏人员库等数据的方式存在收集时间周期长、人工处理容易漏报、整理需要大量人力等困难。

对涉敏日志中的场景1：

对人员授权的审计，场景2：

对于越权操作的审计，场景3：

对于操作凭证的审计等场景异常的审计的集团要求按日处理的异常行为，难以实时发现、及时处置。

通过2019年1月-2019年7月对涉敏日志、涉敏人员信息、金库等信息进行关联分析、挖掘存在异常操作的日志，实现为涉敏日志审计人员提供多时间维度的异常账号或日志的查询、导出功能，后台同时具备审计结果自动上传能力，已完成第一版，正在进行试用，后续计划对功能进行优化，实现自动派单等优化功能。

主要从以下9个方面开展自动审计:

1）日志XX操作

核查全量日志及涉敏人员库，识别出自有人员进行了涉敏操作，但是相关账号并没有在涉敏人员库的情形。

2）违规授予厂商人员涉敏操作权限

核查全量涉敏人员库，识别出第三方厂商人员拥有涉敏操作权限，识别出涉敏账号存在从账号共享，识别出可进行数据库应用维护等高危操作权限等情形。

3）第三方（厂商）人员违规进行涉敏操作

核查全量日志及涉敏人员库，识别出第三方厂商人员进行了涉敏操作，但是相关账号并没有在涉敏人员库的情形。

4）越权进行涉敏操作

核查全量日志及涉敏人员库，识别出在涉敏人员库中的自有人员进行了涉敏操作，但是相应的权限并没有在涉敏人员库的权限列表中的情形。

5）涉敏操作未经金库审批

核查全量日志及涉敏人员库，识别出在涉敏人员库中的自有人员进行了涉敏操作，但是相应的权限并没有在涉敏人员库的权限列表中的情形。

6）金库操作不在授权时长范围内

核查基于金库时长授权的涉敏操作日志及金库日志，识别操作日志操作时间与金库授权时间段不符的情形。

7）金库授权时长违规

核查基于金库时长授权的金库日志，识别金库授权时间段超过1小时（建议时长可配置）的情形。

8）金库审批人与申请人不属于同一部门

核查成功授权的金库日志、涉敏人员库、4A账号信息，识别成功授权的金库日志中金库审批人与申请人不属于同一个部门的情形。

9）金库审批人为第三方（厂商）人员

核查金库日志、涉敏人员库、4A账号信息，识别金库审批人为第三方（厂商）人员的情形。

2、

详细技术内容（不超过1000个汉字）

针对发现的资产日志管理不到位、规范梳理不到位、业务操作审计不到位问题，决定从以下四个方面开展基础工作，结合自研平台解决问题。

1）首先梳理设备安全资产清单、细化安全场景、建立了审计规则库。

2）建立各系统自审计、独立审计、专项审计多维度审计制度，明确审计计划—审计执行—审计检查—审计问题处理的审计闭环流程制度。

3）针对各系统进行账号审核、权限审核、登录审核、敏感操作审核、业务层面操作审核、系统维护关键操作审计、系统运行安全等审核，不留审计盲区。

4）完善系统数据安全审计模型，自研开发数据安全自动审计技术，并引入资产雷达、态势感知等新技术，提升各系统数据资产安全风险动态审计及预警能力。

审计涉及资料：

《涉敏人员库》、《系统涉敏操作日志》、《4A账号清单》、《系统登陆日志》。

审计业务流程：

2.1日志XX操作

（1）核查系统涉敏操作日志中的涉敏操作是否是涉敏人员库中涉敏自有人员进行的操作；

（2）核查系统登录日志，与4A帐号清单进行对比，查看是否存在已加锁但帐号仍可使用的情况。

审计输出报表：

省份编号

省份

系统编码

系统名称

资源类型：

00-应用资源

01-系统资源

主账号

从账号

操作类型

敏感级别

操作日志条数

数据时间

2.2违规授予厂商人员涉敏操作权限

审计涉及资料：

《4A人员账号清单》（含4A系统主帐号、应用系统从帐号、数据库系统从帐号）、《涉敏人员库》、《资产信息》

审计业务流程：

（1）核查涉敏人员库，查看涉敏账号所有人信息，包括岗位、权限、是否第三方人员等，如果是第三方厂商人员使用，核查是否有正当的使用原因、核查是否有可进行数据库应用维护。

（2）提取所有的4A帐号清单，与各系统提供在使用的从帐号清单进行对比，查看是否存在在账号共享、一人多个系统涉敏操作权限的从账号等情况。

审计输出报表：

数据月

主账号

主账号类型

从账号

系统编号

系统名称

所在地市或部门

敏感数据名称

敏感数据范围

敏感数据类别

敏感数据级别

涉敏权限内容

是否厂商具有敏感信息操作权限违规

是否厂商具有可进行数据库操作权限

是否厂商具有共享从账号

2.3第三方（厂商）人员违规进行涉敏操作

审计涉及资料：

《涉敏人员库》、《系统涉敏操作日志》、《4A账号清单》、《系统登陆日志》。

审计业务流程：

核查全量日志及涉敏人员库，识别出第三方厂商人员存在涉敏操作日志，但是相关账号并没有在涉敏人员库中。

审计输出报表：

数据月

敏感日志操作ID

主账号

主账号类型

从账号

系统编号

系统名称

所属系统域

所在地市或部门

操作类型名称

操作内容

敏感数据名称

敏感数据范围

敏感数据类别

敏感数据级别

涉敏权限内容

操作权限

是否XX操作敏感信息违规

2.4越权进行涉敏操作

审计涉及资料：

《涉敏人员库》、《系统涉敏操作日志》、《4A账号清单》、《系统登陆日志》。

审计业务流程：

核查全量日志及涉敏人员库，识别出在涉敏人员库中的自有人员进行了涉敏操作，且自有人员账号存在涉敏人员库中，但是相应的权限并没有在涉敏人员库的权限列表中。

数据月

敏感日志操作ID

主账号

主账号类型

从账号

系统编号

系统名称

所属系统域

所在地市或部门

操作类型名称

操作内容

敏感数据名称

敏感数据范围

敏感数据类别

敏感数据级别

涉敏权限内容

操作违规权限

2.5涉敏操作未经金库审批

审计涉及资料：

《涉敏人员库》、《系统涉敏操作日志》、《系统金库审批日志》。

审计业务流程：

核查全量涉敏日志及系统金库审批日志，涉敏人员库，识别出

1、涉敏操作日志无操作凭证ID，2、涉敏操作日志授权类型为金库审批，且有操作凭证ID，但是与4A金库审批ID不一致。

的明细记录。

2.6金库操作不在授权时长范围内

审计涉及资料：

《涉敏人员库》、《系统涉敏操作日志》、《系统金库审批日志》。

审计业务流程：

核查基于金库时长授权的涉敏操作日志及金库日志，通过操作凭证ID关联金库审批ID，识别操作日志操作开始时间不在金库授权时间段范围内的明细。

2.7金库授权时长违规

审计涉及资料：

《系统金库审批日志》。

审计业务流程：

核查基于金库时长授权的金库审批日志，提取金库授权时间段超过1小时的明细。

2.8金库审批人与申请人不属于同一部门

审计涉及资料：

《系统金库审批日志》。

审计业务流程：

核查成功授权的金库授权日志，提取成功授权的金库日志中金库审批人与申请人不属于同一个部门的明细。

2.9金库审批人为第三方（厂商）人员

审计涉及资料：

《系统金库审批日志》。

审计业务流程：

核查成功授权的金库授权日志，提取成功授权的金库日志中金库审批人为第三方（厂商）人员的明细。

3、主要技术创新点（不超过800个汉字）

通过实施日志集中管理和分析审计，可以达到对用户操作行为重点审计，及时发现异常操作，提高审计效率的目的。

1）实现自动的日志集中采集与存储。

将各涉敏专业系统的系统日志、应用日志、操作访问日志汇聚到一起，进行分类、压缩存储。

2）实现自动的日志集中分析。

通过定义审计规则，对日志进行横向和纵向关联，进行自动化分析，找出潜在安全问题。

3）实现自动的日志集中审计。

通过将操作、访问日志关联到用户，分析用户的操作行为，以便于责任认定。

4）实现审计结果自动触发响应流程的机制，更快、更早地发现问题，将损失降低到最低限度。

5）提升通信网系统的安全等级。

通过集中化的日志集中管理与审计系统，实现对日志的自动采集、分析、审计和响应，提高日志审计的效率，做到问题早发现早处理，将风险控制在可以接受的程度。

4、

应用情况（不超过800个汉字）

通过审计结果的按日通报，实18类系统涉敏权限授权率100%，审核率100%，第三方人员涉敏权限零。

通过以上流程，手段，实现了审计结果可视呈现、异常行为的输出等功能，将涉敏违规的发现能力前移至日志上报集团前，按日督办处理。

减少了审计工作量216人天/年，2019年8月-2019年11月实现集团全网运行情况中火眼审计通报零违规。

审计界面如下：

5、

经济效益（单位：

人民币万元）

项目总投资额

回收期（年）

栏目

年份

新增利润

新增税收

创收外汇（美元）

节支总额

17.3万/年

各栏目的计算依据：

（1）前期软件开发成本

产品由网管中心自研人员利用业余时间进行自主开发，前期软件开发成本为0。

（2）硬件成本

采用的服务器为从网管资源池中划分的1台X86物理机共享部署，研发阶段无需新采购服务器，因此硬件成本为0。

（3）产品维护成本

产品上线应用，需要配备系统运维人员1名，可从4A维护厂商工程师中抽调力量，一并维护，因此产品维护成本为0。

综上所述，产品前期研发投入成本为0，后期运维成本为0。

同时据估算，项目运行后，能节约审计时长18人天/月，累计每年可节约216人天，折算人力成本约17.3万每年。

产生经济效益比较可观，符合公司降本增效的指导思想。

（4）经济效益分析

利用该成果可实现低成本、按日的日志审计，作为日常安全监控的重要手段，可在节约审计时长的情况下，持续发现和组织处置涉敏操作异常，有效遏制客户信息泄露行为，提高客户满意度和系统合规能力。

年月日

6、

社会效益

利用该成果可实现低成本、按日的日志审计，作为日常安全监控的重要手段，可持续发现和组织处置涉敏操作异常，有效遏制客户信息泄露行为，提高客户满意度和系统合规能力。