应用系统安全日志标准(共9页).doc

精选优质文档-倾情为你奉上四川长虹虹微公司发布×××××××× 实施×××××××× 发布应用系统安全日志标准四川长虹电器股份有限公司虹微公司管理文件目录 1 概况1.1 目的为接入到日志集中管理平台内的应用系统的安全日志记录要求提供参考，以便和第三方日志集中管理平台进行对接，满足日志集中管理项目需求1.2 适用范围公司所有业务系统2 正文2.1 总体原则1） 所有应用系统应记录根据本规范记录通用类日志，具体见2.2所述；2） 所有应用系统应记录系统中的各类敏感信息记录操作日志，具体见2.3所述；3） 研发人员需要根据本规范要求（本规范中的字段命名以及表名供参考），对安全日志进行统一格式设计及输出；4） 本文档标注为*的字段表示如无法获取此字段，则不要求记录。5） 关于日志存储的方案，优先采用文本文件的形式存储在本地磁盘，其次可以选择存储在数据库；6） 日志的保存策略，默认为3+1天,滚动式的存储；7） 在采用文本文存储日志在本地磁盘时，需统一放至：/app/applogs/$instance/auditlog目录下，日志文件名的格式如：audit_日期_数字编号.log，例如：audit_1.log；8） 文本文件存储的日志格式如下：日志类型u0000版本号u0000字段1值u0000字段2值.字段n值u0000r示例：(以一条登录日志为例)1u00001u-08-28 00:52:10uu0000CASu0000BSPu.0.22.33u.0.13.38u0000主机名（自定义）u:15:C5:79:7E:F7uu0000Successu0000u0000r具体说明：a. 各字段由不可见字符u0000进行分隔；b. 日志记录以u0000r结束；c. 如果某个字段的值为空，或者没有值，分隔符u0000不可省略，照常输出；d. 不同类型的日志都有各自的日志类型和版本号，具体见各日志章节的说明；e. 不同类型的日志的字段输出顺序是有要求的，具体见各日志章节记录字段表格中的字段顺序；9） 数据库存储要求参见各章节的说明；2.2 通用要求2.2.1 登录日志要求：记录用户成功/失败的认证/登录、正常退出、超时退出的活动；规范：Ø 输出格式中的日志类型值为1，版本号为1 Ø 记录字段说明：字段名类型描述字段顺序备注Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_user_nameVarchar2(40)操作人员的账号名2填写：标识账号名Source_AppVarchar2(256)源系统编码3例如：web、客户端、iOS、Android，如果在系统职责矩阵表中，则使用职责矩阵表中的系统编号Destination_AppVarchar2(256)目标系统编码4见职责矩阵表中的系统编号（如果只登录没有跳转，则记为该系统本身）dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP）或域名src_ip(*)Varchar2(16)源IP6例如：192.168.100.40,手机应用如记录不到源ip则不要求记录Computer_name(*)Varchar2(256)客户端计算机名称7计算机名称src_mac(*)Varchar2(256)源MAC地址8例如：00:15:C5:79:7E:F7Oper_nameVarchar2(16)操作名称9填写：login/logout/超时退出，见附录操作编码表Oper_resultVarchar2(256)操作结果10填写：1 Success, 0 Failfail_reason(*)Varchar2(256)失败原因11填写：例如timeout，密码不对等2.2.2 用户管理日志要求：记录用户的增删改以及密码的修改和重置等活动；规范：Ø 输出格式中的日志类型值为2，版本号为1 Ø 记录字段要求如下字段名类型描述字段顺序备注Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_user_nameVarchar2(40)操作人员的账号名2填写：账号名，例如adminUser_nameVarchar2(16)被操作的账号3填写：记录被操作的账号username，例如admini,如果操作者为自身，则该项记录为自己Source_AppVarchar2(256)记录从哪个应用发起请求4见职责矩阵表中的系统编号Destination_AppVarchar2(256)记录被操作的目的应用5见职责矩阵表中的系统编号dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP）域名Oper_typeVarchar2(16)操作类型7填写：操作名称(查询/修改/等，以标准的英文命名Add/delete/disable/changepasswd/resetpasswd/modify见附录操作编码表Oper_resultVarchar2(256)操作名称执行后的状态8填写：1 Success, 0 Fail2.2.3 角色/权限管理日志要求：记录针对用户的角色/权限的增删改等活动；规范：Ø 输出格式中的日志类型值为3，版本号为1Ø 记录字段要求如下：字段名类型描述字段顺序说明Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_user_nameVarchar2(40)操作人员的账号名2填写：标识账号名User_nameVarchar2(40)被操作的账号3填写：记录被操作的账号username，例如admin，（注意：在记录角色对象的增、删、改时，该字段可以为空）Source_AppVarchar2(256)记录从哪个应用发起请求4例如：见职责矩阵表中的系统编号Destination_AppVarchar2(256)记录被操作的目的应用5例如：见职责矩阵表中的系统编号dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP）域名Oper_typeVarchar2(16)操作类型7新增、修改、删除、授权、取消授权，见附录操作编码表Oper_content_oldVarchar2(4000)旧权限/角色内容8填写：旧权限/角色内容Oper_content_newVarchar2(4000)新权限/角色内容9填写：新权限/角色内容Oper_resultVarchar2(256)操作名称执行后的状态10填写：1 Success, 0 Fail等2.2.4 系统配置操作要求：记录系统配置的增删改等活动（注：通过应用本身的配置界面进行调整的配置项）；规范：Ø 输出格式中的日志类型值为4，版本号为1Ø 记录字段要求如下：字段名类型描述字段顺序备注Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_user_nameVarchar2(40)操作人员的账号名2填写：标识账号名src_ipVarchar2(16)源IP3例如：192.168.100.40dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP）域名Source_AppVarchar2(30)记录从哪个应用发起请求5例如：web、客户端、iOS、Android或者职责矩阵表中的系统编号Destination_AppVarchar2(256)记录被操作的目的应用6见职责矩阵表中的系统编号Config_NameVarchar2(256)被操作的配置项的名称7/Oper_typeVarchar2(30)操作名称8填写：操作名称(查询/修改/下载等，以标准的英文命名如query/ modify/delete等，见附录操作编码表Oper_content_oldVarchar2(256)旧参数内容9填写：旧参数内容Oper_content_newVarchar2(256)新参数内容10填写：新参数内容Oper_resultVarchar2(30)操作名称执行后的状态11填写：1 Success, 0 Fail等2.3 应用数据操作日志2.3.1 业务敏感信息操作日志规范：Ø 输出格式中的日志类型值为6，版本号为1Ø 对应用系统涉及到敏感信息的操作（包括对敏感信息的增、删、改、查询），需对每个操作进行记录，每个操作每次记录一条日志每个敏感字段都有一个对应的编码，具体见上述Excel表中的字段编码；Ø 上述要求仅针对人机交互的操作；应用系统之间的数据同步接口，如果涉及敏感数据，暂不用记录日志；图1，应用系统A需要记录日志图2，应用系统A、应用系统B暂不需要记录敏感信息日志；Ø 记录字段要求如下:字段名类型描述字段顺序备注Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_useridVarchar2(32)操作的账号2填写：操作的账号Source_AppVarchar2(30)记录从哪个应用发起请求3见职责矩阵表中的系统编号Dest_AppVarchar2(30)记录被操作的目的应用4见职责矩阵表中的系统编号dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP），域名Request_typeVarchar2(256)接口名称6全类名.方法名Oper_typeVarchar2(32)操作类型7填写：操作类型(查询/修改/下载/发送等，以标准的英文命名如query/ modify/download等（增、删、改、查、导入、导出、打印。见附录操作编码表QUERY_OBJ_INFOVarchar2(256)记录敏感数据的内容8记录要求：只记录敏感的字段，非敏感字段不用记录；记录格式：字段1的编码:字段1的值u0010字段2的编码:字段2的值u0010.字段n的编码:字段n的值u0007a. 每个字段间用不可见字符u0010分隔b. 字段编码与值之间以英文冒号分隔c. 每条记录以u0007结尾示例说明：用户进行了一次查单操作，服务器返回了2条运单数据，每条运单数据包含10个字段，其中有3个字段是敏感字段(运单号、收件人姓名、联系电话)；日志的内容为：035:u:Bluce.Lieu:u:u:Oscar.Xieu:u0007Email(*)Varchar2(40)如果涉及对外发送客户信息，需要记录email地址9src_ipVarchar2(16)源IP10例如：192.168.100.40src_mac（*）Varchar2(32)源MAC地址11例如：00:15:C5:79:7E:F7Oper_contentVarchar2(256)操作参数12填写：记录各种操作的条件/参数 Oper_resultVarchar2(16)操作名称执行后的状态13填写：1 Success, 0 Fail3 检查计划安全服务部定期对本规定执行情况进行检查。4 解释本规定由信息安全服务部负责解释。5 附录操作编码对应表操作编码对应表操作类型操作编码操作类型操作编码新增/添加1更新/变更/修改2删除3授权4注销/撤销5重置6复制/拷贝7移动8重命名9查询10查看11在线12登录13退出/登出14通过/接受15拒绝/驳回16提交/保存17攻击/入侵18导出/下载19导入/上传20发送21重新发送22立即发送23执行/启动24重新执行25回退/回滚26同步27刷新28解锁29锁定30启用31禁用32修改密码33重置密码34订阅35取消订阅36专心-专注-专业