一体化智能化公共数据平台日志审计规范模板.docx
- 文档编号:17795234
- 上传时间:2023-08-03
- 格式:DOCX
- 页数:54
- 大小:28.77KB
一体化智能化公共数据平台日志审计规范模板.docx
《一体化智能化公共数据平台日志审计规范模板.docx》由会员分享,可在线阅读,更多相关《一体化智能化公共数据平台日志审计规范模板.docx(54页珍藏版)》请在冰点文库上搜索。
一体化智能化公共数据平台日志审计规范模板
********
浙江省杭州市地方标准
DBXX/********
一体化智能化公共数据平台日志审计规范
(征求意见稿)
XXXX-XX-XX发布
XXXX-XX-XX实施
杭州市市场监督管理局 发布
目 次
前 言
本文件按照GB/T1.********《标准化工作导则第1部分:
标准化文件的结构和起草规则》的规定起草。
本标准由杭州市数据资源管理局提出并归口。
本标准主要起草单位:
本标准主要起草人:
一体化智能化公共数据平台日志审计规范
1 范围
本标准规范了一体化智能化公共数据平台日志采集范围、内容、方式、存储及审计分析的要求。
本标准适用于一体化智能化公共数据平台数据日志审计工作。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T ******** 信息安全技术 术语
GB/T********信息技术大数据术语
DB33/T********数字化改革术语定义
3 术语和定义
GB/T25069、GB/T********界定的以及下列术语和定义适用于本文件。
3.1 日志log
系统中记录关于硬件、软件和系统操作或故障的信息,可以通过它来检查各类问题发生的原因,查找系统受到攻击时攻击者留下的痕迹。
3.2 日志审计logaudit
按照既定规则,对日志进行采集、存储、识别和综合分析,发现数据安全事件,并采取应对措施的安全机制。
3.3 数据安全事件data****************
由单个或一系列数据安全风险行为组成,可能威胁业务正常运行和数据安全,造成数据篡改、泄漏、滥用等问题,包括数据访问违规事件和攻击事件等。
3.4 日志提供方log********
开展日志审计工作的过程中,按规范提供日志数据的责任单位。
3.5 日志审计方log********
开展日志审计工作过程中,按规范采集和存储日志,并执行日志审计的监管单位。
4 缩略语
下列缩略语适用于本文件:
API:
应用程序接口(************************)。
5 日志审计角色分工要求
5.1 日志提供方
开展日志审计工作时,日志提供方应满足下列要求:
a.参照本规范向日志审计方提供安全审计所需的各类日志,并按照日志审计方的意见及时完成报送日志的整改;
b.应配合日志审计方的安全审计工作。
5.2 日志审计方
开展日志审计工作时,日志审计方应满足下列要求:
a.组织开展日志采集工作,并审核采集日志的质量,提出整改意见;
b.采取相应的安全防护措施,保障日志数据安全;
c.开展日志审计工作,处理日常告警信息,发现潜在的数据安全事件。
6 日志采集内容
一体化智能化公共数据平台日志采集应全面涵盖主机系统、数据库、云管理控制台、云对象存储、网络设备、安全设备、应用系统的日志。
6.1 主机操作系统
主机操作系统日志包括但不限于********、Unix、GNU/Linux等操作系统的操作、登录、任务日志等。
a.操作日志包括操作时间、操作账号、源主机名称、源IP、源端口、目的主机名称、目的IP、目的端口、操作目录、会话开始时间、操作指令等;
b.登录日志包括登录源IP、登录系统用户名、登录时间、登录结果、失败原因等;
c.任务计划日志包括计划任务执行的时间、计划执行系统用户、执行的内容等。
6.2 数据库
数据库日志包括但不限于各类关系型数据库、非关系型数据库、云数据库、大数据处理分析平台的登录、操作日志等。
a.登录日志包括数据库用户名、用户登录时间、用户所属组织、账号申请人、账号当前有效状态、账号过期时间、登录源IP、源主机名称等;
b.操作日志包括日志产生时间、日志ID、日志类型、源IP、源主机名、目的IP、目的端口、数据库类型、数据库名/实例名、表名、字段名、会话ID、SQL报文、影响行数、返回数据集、返回数据集长度、执行时长、执行结果码、SQL操作类型、数据库用户名、源设备IP、流量方向等。
6.3 云管理控制台
云管理控制台日志包括但不限于各厂商云平台控制台的用户登录、操作日志等。
6.4 云对象存储
云对象存储日志包括但不限于各厂商云对象存储的用户登录、操作日志等。
6.5 网络设备
网络设备日志包括但不限于交换机、路由器、网关/网闸、负载均衡器等网络设备的用户登录、配置变更日志等。
6.6 安全设备
安全设备日志包括但不限于堡垒机、VPN、IPS/IDS、APT、防火墙等安全设备的用户登录、配置变更、入侵事件、设备管理和会话日志等。
6.7 应用系统
应用系统日志包括但不限于数据归集系统、数据共享系统、数据治理系统、数据开放系统等各类生产业务、管理决策和支撑服务系统的登录日志、业务操作日志、数据归集任务执行日志、数据使用操作日志和API接口调用日志等。
a.登录日志包括登录源IP、登录系统用户名、登录时间、登录结果、失败原因等;
b.业务操作日志包括用户账号、认证信息、用户权限、操作时间、事件内容、操作结果、源IP地址、源端口、访问资源、响应状态、错误信息、数据分级、数据分类等;
c.数据归集任务执行日志包括日志产生时间、日志ID、日志类型、数据来源设备IP地址、用户ID、用户名、来源数据库名、来源数据库类型、目的数据库名、目的数据库类型、任务执行ID、任务执行名称、影响行数、执行结果码、结果描述、任务开始时间、任务结束时间、来源IP、来源端口、目的IP、目的端口、数据分级、数据分类等。
d.数据操作日志包括日志产生时间、日志ID、日志类型、源IP、源主机名、目的IP、目的端口、数据库类型、数据库名/实例名、表名、字段名、会话ID、SQL报文、影响行数、返回数据集、返回数据集长度、执行时长、执行结果码、SQL操作类型、数据库用户名、源设备IP、流量方向、数据分级、数据分类等;
e.API接口调用日志包括应用日志产生时间、日志ID、日志类型(HTTP)、源IP、源主机名、目的IP、目的端口、传输协议、应用协议、请求方法、协议版本、请求URI(不带参数)、请求URl(带参数)、源页面地址、用户代理、XFF头、请求Body、响应码、响应Body、执行时长、来源用户名、文件名称、文件类型、文件大小、源设备IP、流量方向、、接口分级、接口分类、接口关联数据目录等。
7 日志采集方式
日志采集方式包括但不限于********、API接口等方式外送日志数据,并应满足下列要求:
a.支持全量、历史数据的外送采集服务;
b.支持实时或定时增量日志外送采集服务;
c.支持按照制定过滤条件的日志外送采集服务,例如字段内容。
8 日志存储要求
日志审计方应在保障日志数据安全前提下做好日志存储工作,日志的存储应满足下列条件:
a.日志保存的时限不应少于六个月,对已另有安全管理规定的日志存储工作,原则上从其规定;
b.日志具有保密性要求时,应采取加密机制保证日志数据保密性,加密机制应符合相关法律法规要求;
c.日志具有完整性要求时,应采取校验机制,保证日志数据完整性,校验机制应符合相关法律法规要求;
d.严格控制日志的访问权限,确保日志的授权访问;
e.具备增量备份和恢复能力,当有异地备份要求时,应进行异地备份;
f.与统一的标准时间源保持同步。
9 日志审计分析
日志审计方可基于不同的维度开展审计工作,发现安全事件。
包括:
--规则策略;
--关联分析;
--行为分析。
9.1 规则策略
基于规则策略的安全审计分析,主要包括:
--主机安全审计;
--数据库安全审计;
--安全设备安全审计;
--应用系统安全审计;
9.1.1主机安全审计
主机安全审计包括但不限于:
a.XX的登录;
b.用户账号和权限变更;
c.操作系统的启动、停止信息;
d.系统服务和配置修改;
e.特殊权限使用和操作。
9.1.2数据库安全审计
数据库安全审计包括但不限于:
a.XX的数据库非法连接;
b.XX直连数据库后的增删改等操作;
c.用户的关键变更操作,如增删改用户及其权限;
d.数据库服务启动和停止;
e.数据库系统核心配置文件的修改;
f.高风险操作,如对批量数据的导入、导出等。
9.1.3安全设备安全审计
安全设备安全审计包括但不限于:
a.堡垒机安全审计包括长期未登录使用的账号、活跃度异常的账号、异常、高风险操作行为、多人共用账号等;
b.VPN系统安全审计包括活跃度异常账号、异常登录地点、异常登录时间、多人共用账号等;
c.其他安全设备,应重点审计设备的异常告警行为。
9.1.4应用系统安全审计
应用系统安全审计包括但不限于:
a.重要操作记录,对关键配置信息和业务数据的增删改操作;
b.管理员操作行为,如增删改系统用户及其权限;
c.操作人员查询敏感信息的行为;
d.API接口连接通信异常;
e.多次或连续性登录失败行为。
9.2 关联分析
对各种类型、多个设备的日志进行综合关联分析,结合实际场景开展安全审计,包括但不限于:
a.操作人员未通过堡垒机直接登录主机/服务器、连接数据库/大数据处理分析平台的行为;
b.操作人员远程上传文件、远程安装的行为;
c.通过分析数据的下载、分发的情况,审计可能数据泄漏(被非法窃取)风险;
d.对操作人员的高危指令、异常操作、敏感数据查询等行为进行威胁感知。
9.3 行为分析
通过持续对全量日志进行关联综合分析,不断掌握操作人员关键特征要素,迭代绘制出用户画像,并持续根据用户操作行为的波动情况加以动态调整。
当出现疑似风险行为时,日志审计系统自动告警提示。
行为分析特征维度包括但不限于异常行为、高危行为,API接口异常调用等,包括但不限于:
a.特定时间段内,指定用户行为整体状态与该用户行为整体画像的对比分析;
b.特定时间段内,指定用户单维度行为状态与该用户单维度行为画像的对比分析;
c.指定用户行为基线与同组其他用户的平均行为基线对比分析;
d.在特定时间段内,指定用户或应用系统调用同一API接口的频率对比分析。
附录A
(资料性)
公共数据日志示例
A.1主机操作系统日志
A.1.1登录日志
序号
字段名称
中文名称
字段说明
字段长度
必填/可选
说明
1
********
日志产生时间
字符
20
必填
日志产生时间戳
2
logId
日志ID
字符
20
必填
日志ID
3
********
日志类型
字符
20
必填
日志类型
4
********
数据来源设备IP地址
字符
20
必填
数据来源设备IP地址
5
********
源设备类型
字符
50
可选
源设备类型
6
********
数据来源厂商
字符
20
可选
数据来源厂商
7
********
事件名称
字符
20
必填
事件或事件类型的简短描述,如:
用户登录成功
8
********
事件消息
字符
255
必填
事件详细描述和失败原因:
如:
用户********登录成功。
来源IP:
1.1.1.1
9
********
事件等级
整数
5
可选
事件严重程度,事件对网络安全可能造成的破坏性的相对度量值,它是一个介于0到10之间的值。
10
********
事件结果
枚举
10
必填
事件结果取值:
OK、FAIL、********。
登录成功取值:
OK
11
********
用户ID
字符
100
必填
登录系统帐号ID
12
********
用户名
字符
100
必填
登录系统帐号名称,如:
********
13
********
登录ID
字符
255
必填
登录会话ID,如:
********
14
********
登录方法
字符
20
必填
登录方法:
账号密码登录,扫码登录,验证码登录,凭证登录,多因素认证,状态保持
15
********
登录方式
字符
20
必填
登录方式,本地(Local),远程(********)
16
********
来源地址
字符
20
必填
来源地址
17
********
来源端口
字符
10
必填
来源端口
18
********
目的地址
字符
20
必填
目的地址
19
********
目的端口
字符
10
必填
目的端口
A.1.2操作日志
序号
字段名称
中文名称
字段说明
字段长度
必填/可选
说明
1
********
日志产生时间
字符
20
必填
日志产生时间戳
2
logId
日志ID
字符
20
必填
日志ID
3
********
日志类型
字符
20
必填
日志类型
4
********
数据来源设备IP地址
字符
20
必填
数据来源设备IP地址
5
********
源设备类型
字符
50
可选
源设备类型
6
********
数据来源厂商
字符
20
可选
数据来源厂商
7
********
事件名称
字符
20
必填
事件或事件类型的简短描述,如:
用户登录成功
8
********
事件消息
字符
255
必填
事件详细描述和失败原因:
如:
用户********登录成功。
来源IP:
1.1.1.1
9
********
事件等级
整数
5
可选
事件严重程度,事件对网络安全可能造成的破坏性的相对度量值,它是一个介于0到10之间的值。
10
********
事件结果
枚举
10
必填
事件结果取值:
OK、FAIL、********。
登录成功取值:
OK
11
********
用户ID
字符
100
必填
登录系统帐号ID
12
********
用户名
字符
100
必填
登录系统帐号名称,如:
********
13
********
操作指令
字符
1000
必填
操作指令:
ping1.1.1.1
14
********
操作目录
字符
1000
可选
操作目录
15
srcIp
来源地址
字符
20
必填
来源地址
16
********
来源端口
字符
10
必填
来源端口
17
********
目的地址
字符
20
必填
目的地址
18
********
目的端口
字符
10
必填
目的端口
A.1.3任务计划日志
序号
字段名称
中文名称
字段说明
字段长度
必填/可选
说明
1
********
日志产生时间
字符
20
必填
日志产生时间戳
2
logId
日志ID
字符
20
必填
日志ID
3
********
日志类型
字符
20
必填
日志类型
4
********
数据来源设备IP地址
字符
20
必填
数据来源设备IP地址
5
********
源设备类型
字符
50
可选
源设备类型
6
********
数据来源厂商
字符
20
可选
数据来源厂商
7
********
事件名称
字符
20
必填
事件或事件类型的简短描述,如:
用户登录成功
8
********
事件消息
字符
255
必填
事件详细描述和失败原因:
如:
用户********登录成功。
来源IP:
1.1.1.1
9
********
事件等级
整数
5
可选
事件严重程度,事件对网络安全可能造成的破坏性的相对度量值,它是一个介于0到10之间的值。
10
********
事件结果
枚举
10
必填
事件结果取值:
OK、FAIL、********。
登录成功取值:
OK
11
********
用户ID
字符
100
必填
登录系统帐号ID
12
********
用户名
字符
100
必填
登录系统帐号名称,如:
********
13
********
目的进程ID
字符
255
必填
新进程ID,如:
0x2f
14
********
目的进程名称
字符
255
可选
新进程名称,如:
********.exe
15
********
文件名称
字符
255
可选
新进程整体文件名称,包含路径,如:
****************.exe
16
srcIp
来源地址
字符
20
必填
来源地址
17
********
来源端口
字符
10
必填
来源端口
18
********
目的地址
字符
20
必填
目的地址
19
********
目的端口
字符
10
必填
目的端口
A.2数据库日志
A.2.1登录日志
序号
字段名称
中文名称
字段说明
字段长度
必填/可选
说明
1
********
日志产生时间
字符
20
必填
日志产生时间戳
2
logId
日志ID
字符
20
必填
日志ID
3
********
日志类型
字符
20
必填
日志类型
4
********
数据来源设备IP地址
字符
20
必填
数据来源设备IP地址
5
********
源设备类型
字符
50
可选
源设备类型
6
********
数据来源厂商
字符
20
可选
数据来源厂商
7
********
事件名称
字符
20
必填
事件或事件类型的简短描述,如:
用户登录成功
8
********
事件消息
字符
255
必填
事件详细描述和失败原因:
如:
用户********登录成功。
来源IP:
1.1.1.1
9
********
事件等级
整数
5
可选
事件严重程度,事件对网络安全可能造成的破坏性的相对度量值,它是一个介于0到10之间的值。
10
********
事件结果
枚举
10
必填
事件结果取值:
OK、FAIL、********。
登录成功取值:
OK
11
********
数据库名
字符
50
必填
操作数据库名
12
********
数据库类型
字符
20
必填
数据库类型
13
********
数据库版本
字符
20
必填
操作的数据库版本,如:
1.1
14
********
应用协议
字符
20
可选
从应用层角度看,与事件关联的传输数据格式(如mysql、********),这里指的是数据库使用的应用协议
15
********
客户端工具名
字符
20
可选
连接数据库的客户端工具名称
16
********
用户ID
字符
100
可选
登录系统帐号ID
17
********
用户名
字符
100
必填
登录系统帐号名称,如:
********
18
********
登录ID
字符
255
必填
登录会话ID,如:
********
19
********
登录方法
字符
20
可选
登录方法:
网络、批处理、服务、解锁、网络明文、新凭证、远程交互、缓存交互
20
********
登录方式
字符
20
必填
登录方式,本地(Local),远程(********)
21
srcIp
来源地址
字符
20
必填
来源地址
22
********
来源端口
字符
10
必填
来源端口
23
********
目的地址
字符
20
必填
目的地址
24
********
目的端口
字符
10
必填
目的端口
A.2.2操作日志
序号
字段名称
中文名称
字段说明
字段长度
必填/可选
说明
1
********
日志产生时间
字符
20
必填
日志产生时间戳
2
logId
日志ID
字符
20
必填
日志ID
3
********
日志类型
字符
20
必填
日志类型(DB)
4
srcIp
源IP
字符
20
必填
源IP
5
********
源主机名
字符
50
可选
源主机名
7
********
目的IP
字符
20
必填
目的IP
8
********
目的端口
字符
20
必填
目的端口
9
********
数据库类型
字符
20
必填
数据库类型
10
********
数据库名/实例名
字符
20
必填
数据库名/实例名
11
********
表名
字符
50
必填
表名
12
********
字段名
字符
50
可选
字段名
13
********
会话ID
字符
50
必填
会话ID
14
********
SQL报文
字符
1000
必填
SQL报文
15
********
影响行数
整数
10
必填
影响行数
16
********
返回数据集
字符
1000
必填
返回数据集
17
********
返回数据集长度
整数
10
必填
返回数据集长度
18
********
执行时长
整数
50
必填
执行时长(μs)
19
********
执行结果码
字符
20
必填
执行结果码
20
********
SQL操作类型
字符
100
必填
SQL操作类型(例如:
********、********、********、********、********、DROP等)
22
********
数据库用户名
字符
20
必填
数据库用户名
23
********
客户端工具名
字符
50
可选
客户端工具名
24
********
操作系统用户名
字符
20
可选
操作系统用户名
25
********
源设备IP
字符
20
必填
源设备IP
26
********
源设备类型
字符
50
可选
源设备类型
27
********
源设备厂家
字符
50
可选
源设备厂家
28
********
流量方向
字符
10
必填
流量方向(内访问内取值00,内访问外取值01,外访问内取值10,外访问外取值11)
29
********
数据分级属性
字符
10
必填
数据分级属性:
按数据的敏感级别
30
********
数据分类属性
字符
10
必填
数据分类属性:
按数据的管理维度、业务维度、安全维度进行分类
A.3云管理控制台日志
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 一体化 智能化 公共 数据 平台 日志 审计 规范 模板