DB3301T 0371-2022 一體化智能化公共數(shù)據平臺日志規(guī)范　

ICS35.020CCSL723301IDB3301/T0371—2022前言 2規(guī)范性引用文件 3術語和定義 4日志采集要求 4.1概述 24.2日志采集格式 24.3日志采集方式 25日志存儲要求 26日志分析要求 26.1概述 26.2規(guī)則策略 36.3關聯(lián)分析 36.4行為分析 4附錄A（規(guī)范性）一體化智能化公共數(shù)據平臺日志 5A.1主機操作系統(tǒng)日志 5A.2數(shù)據庫日志 7A.3對象存儲日志 A.4云管理控制臺日志 A.5網絡設備日志 A.6安全設備日志 A.7應用系統(tǒng)日志 DB3301/T0371—2022本文件按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由杭州市數(shù)據資源管理局提出、歸口并組織實施。本文件主要起草單位：杭州市大數(shù)據管理服務中心（杭州市人民政府電子政務中心）、拱墅區(qū)數(shù)據資源管理局、杭州安恒信息技術股份有限公司。本文件主要起草人：齊同軍、張斌、李國喜、吳光靜、孫茂陽、胡瓊達、姜云洲、李杰、金江鋒、邊贏、孫戴博、吳晨、吳怡、徐龍華、樊興悅。1DB3301/T0371—2022一體化智能化公共數(shù)據平臺日志規(guī)范本文件規(guī)定了一體化智能化公共數(shù)據平臺的日志采集要求、日志存儲要求、日志分析要求。本文件適用于一體化智能化公共數(shù)據平臺日志采集、存儲和分析工作。2規(guī)范性引用文件下列文件對于本標準的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術術語GB/T35295—2017信息技術大數(shù)據術語DB33/T2350—2021數(shù)字化改革術語定義3術語和定義GB/T25069—2022、GB/T35295—2017、DB33/T2350—2021界定的以及下列術語和定義適用于3.1一體化智能化公共數(shù)據平臺integratedintelligentpublicdataplatform以云計算、大數(shù)據、人工智能、互聯(lián)網等技術為支撐，是省域治理全過程數(shù)據感知、數(shù)據共享、數(shù)據計算的基礎平臺。注1：該平臺用于支撐黨政機關整體智治、數(shù)字政府、數(shù)字經濟、數(shù)字社會、數(shù)字法治的實現(xiàn)。注2：該平臺組成包括“四橫四縱”體系和“兩個前端”，縱向貫通省市縣鄉(xiāng)各層級。注3：“四橫”是指：基礎設施、數(shù)據資源、應用支撐、業(yè)務應用；“四縱”是指：政策制度、標準規(guī)范、組織保障、政務網絡安全；“兩個前端”是指：“浙里辦”和“浙政釘”。[來源：DB33/T2350—2021，3.1.1.2]3.2系統(tǒng)中記錄關于硬件、軟件和系統(tǒng)操作及故障的信息。3.3云平臺cloudplatform云服務商提供的云基礎設施及其上服務軟件的集合。3.4對象存儲objectstorage以對象作為存儲單元,并提供對象級訪問接口的云存儲。[GB/T31916.1—2015，3.1.4]4日志采集要求2DB3301/T0371—20224.1概述一體化智能化公共數(shù)據平臺日志采集范圍包含但不限于主機系統(tǒng)、數(shù)據庫、對象存儲、云平臺管理控制臺、網絡設備、安全設備、應用系統(tǒng)的日志，并通過Syslog、API接口等方式采集和外送日志。4.2日志采集格式附錄A規(guī)定了一體化智能化公共數(shù)據平臺日志數(shù)據內容，除附錄A規(guī)定以外，可根據實際情況自定義擴展字段。主要包括：a)主機操作系統(tǒng)日志包括但不限于操作系統(tǒng)的用戶登錄日志、操作日志、任務日志，按A.1執(zhí)行；b)數(shù)據庫日志包括但不限于數(shù)據庫的用戶登錄日志、操作日志，按A.2執(zhí)行；c)對象存儲日志包括但不限于對象存儲的用戶登錄日志、操作日志，按A.3執(zhí)行；d)云平臺管理控制臺日志包括但不限于云平臺管理控制臺的用戶登錄日志、操作日志、云虛擬機CPU使用率、內存使用率、磁盤空間占有率，按A.4執(zhí)行；e)網絡設備日志包括但不限于網絡設備的用戶登錄日志、配置變更日志，按A.5執(zhí)行；f)安全設備日志包括但不限于安全設備的用戶登錄日志、配置變更日志、入侵事件日志、設備管理日志和會話日志，按A.6執(zhí)行；g)應用系統(tǒng)日志包括但不限于各類生產業(yè)務、管理決策和支撐服務系統(tǒng)的用戶登錄日志、業(yè)務操作日志、數(shù)據歸集任務執(zhí)行日志、數(shù)據治理操作日志和API接口調用日志，按A.7執(zhí)行。4.3日志采集方式日志采集方式包括但不限于Syslog、API接口等方式外送日志數(shù)據，并應滿足下列要求：a)支持全量、歷史數(shù)據的外送采集服務；b)支持實時或定時增量日志外送采集服務；c)支持按照過濾條件的日志外送采集服務，例如字段內容；d)支持外送失敗報警服務、失敗重發(fā)服務。5日志存儲要求在保障安全前提下做好日志存儲工作，日志的存儲滿足下列條件：a)日志保存的時限不應少于六個月，應對日志進行分類存儲，涉及核心業(yè)務的日志如另有日志存儲時限要求的，原則上從其規(guī)定；b)日志具有保密性要求時，應采取加密機制保證日志數(shù)據保密性，加密機制應符合相關法律法規(guī)要求；c)日志具有完整性要求時，應采取校驗機制，保證日志數(shù)據完整性，校驗機制應符合相關法律法規(guī)要求；d)嚴格控制日志的訪問權限，確保日志的授權訪問；e)具備增量備份和恢復能力，當有異地備份要求時，應進行異地備份；f)與統(tǒng)一的標準時間源保持同步。6日志分析要求6.1概述3DB3301/T0371—2022采集的日志可基于規(guī)則策略、關聯(lián)分析、行為分析等不同的維度開展日志分析工作，反映系統(tǒng)運行狀態(tài)及使用情況，發(fā)現(xiàn)安全風險隱患和安全事件溯源。6.2規(guī)則策略6.2.1主機日志分析主機日志分析包括但不限于：a)異常登錄，包括未經授權登錄、多次登錄失敗、頻繁登錄、非工作時間登錄等；b)高危端口開啟、被利用情況；c)用戶賬號和權限變更；d)操作系統(tǒng)的啟動、停止信息；e)系統(tǒng)服務和配置修改；f)特殊權限使用和操作。6.2.2數(shù)據庫日志分析數(shù)據庫日志分析包括但不限于：a)數(shù)據庫異常登錄行為，如多次登錄失敗、頻繁登錄、非工作時間登錄、異地登錄、頻繁變更b)數(shù)據庫越權操作，如對未經授權的敏感數(shù)據進行增刪改查、導入導出等；c)用戶的關鍵變更操作，如增刪改用戶及其權限；d)數(shù)據庫服務啟動和停止；e)數(shù)據庫系統(tǒng)核心配置文件的修改；f)高風險操作，如對批量數(shù)據的導入導出等。6.2.3安全設備日志分析安全設備日志分析包括但不限于：a)堡壘機日志分析，包括長期未登錄使用的賬號、活躍度異常的賬號、異常、高風險操作行為、多人共用賬號等；b)VPN系統(tǒng)日志分析，包括活躍度異常賬號、異常登錄地點、異常登錄時間、多人共用賬號等；c)其他安全設備，應重點分析設備的異常告警行為。6.2.4應用系統(tǒng)日志分析應用系統(tǒng)日志分析包括但不限于：a)重要操作記錄，對關鍵配置信息和業(yè)務數(shù)據的增刪改操作；b)管理員操作行為，如增刪改系統(tǒng)用戶及其權限；c)操作人員查詢敏感信息的行為；d)操作人員異常登錄和異常操作的行為；e)應用系統(tǒng)的高危漏洞被利用情況；f)數(shù)據接口異常調用等。6.3關聯(lián)分析對多種類型、多個設備的日志結合實際場景開展進行綜合關聯(lián)分析，包括但不限于：a)操作人員未通過堡壘機直接登錄主機/服務器、連接數(shù)據庫/大數(shù)據處理分析平臺的行為；b)操作人員遠程上傳文件、遠程安裝的行為；4DB3301/T0371—2022c)通過分析數(shù)據下載、分發(fā)的情況，發(fā)現(xiàn)可能的數(shù)據泄漏（被非法竊?。╋L險；d)對操作人員的高危指令、異常操作、敏感數(shù)據查詢等行為進行威脅感知。6.4行為分析通過持續(xù)對全量日志進行關聯(lián)綜合分析，掌握操作人員關鍵特征要素，迭代繪制出用戶行為基線，并持續(xù)根據用戶操作行為的波動情況加以動態(tài)調整。行為分析特征維度包括但不限于：a)特定時間段內，指定用戶整體行為狀態(tài)與該用戶整體行為基線的對比分析；b)特定時間段內，指定用戶單維度行為狀態(tài)與該用戶單維度行為基線的對比分析；c)指定用戶行為基線與同組其他用戶的平均行為基線對比分析；d)在特定時間段內，指定用戶或應用系統(tǒng)調用同一API接口的頻率對比分析。5DB3301/T0371—2022（規(guī)范性）一體化智能化公共數(shù)據平臺日志A.1主機操作系統(tǒng)日志A.1.1主機操作系統(tǒng)登錄日志A.1.1.1表A.1規(guī)定了主機操作系統(tǒng)登錄日志數(shù)據格式。表A.1主機操作系統(tǒng)登錄日志數(shù)據格式描述表1234567事件或事件類型的簡短8事件詳細描述和失敗原95絡安全可能造成的破壞登錄方法：賬號密碼登6DB3301/T0371—2022表A.1主機操作系統(tǒng)登錄日志數(shù)據格式描述表（續(xù)）A.1.1.2表A.2規(guī)定了主機操作系統(tǒng)操作日志數(shù)據格式。表A.2主機操作系統(tǒng)操作日志數(shù)據格式描述表1234567事件或事件類型的簡短8事件詳細描述和失敗原95絡安全可能造成的破壞A.1.2主機操作系統(tǒng)任務計劃日志表A.3規(guī)定了主機操作系統(tǒng)任務計劃日志數(shù)據格式。7DB3301/T0371—2022表A.3主機操作系統(tǒng)任務計劃日志數(shù)據格式描述表1234567事件或事件類型的簡短8事件詳細描述和失敗原95絡安全可能造成的破壞A.2數(shù)據庫日志A.2.1數(shù)據庫登錄日志表A.4規(guī)定了數(shù)據庫登錄日志數(shù)據格式。8DB3301/T0371—2022表A.4數(shù)據庫登錄日志數(shù)據格式描述表12345678959DB3301/T0371—2022表A.4數(shù)據庫登錄日志數(shù)據格式描述表（續(xù)）A.2.2數(shù)據庫操作日志表A.5規(guī)定了數(shù)據庫操作日志數(shù)據格式。表A.5數(shù)據庫操作日志數(shù)據格式描述表123456789度DB3301/T0371—2022表A.5數(shù)據庫操作日志數(shù)據格式描述表（續(xù)）名nA.3對象存儲日志表A.6規(guī)定了對象存儲日志數(shù)據格式。表A.6對象存儲日志數(shù)據格式描述表1234567數(shù)從對象存儲Server端返89DB3301/T0371—2022表A.6對象存儲日志數(shù)據格式描述表（續(xù)）請求的對象存儲的host對象存儲請求者UID名小求DB3301/T0371—2022表A.6對象存儲日志數(shù)據格式描述表（續(xù)）型對象存儲process類型度式A.4云管理控制臺日志表A.7規(guī)定了云管理控制臺日志數(shù)據格式。表A.7云管理控制臺日志數(shù)據格式描述表1234567DB3301/T0371—2022表A.7云管理控制臺日志數(shù)據格式描述表（續(xù)）895A.5網絡設備日志表A.8規(guī)定了網絡設備日志數(shù)據格式。表A.8網絡設備日志數(shù)據格式描述表123456DB3301/T0371—2022表A.8網絡設備日志數(shù)據格式描述表（續(xù)）7895表示統(tǒng)計時間的TCP流稱DB3301/T0371—2022表A.8網絡設備日志數(shù)據格式描述表（續(xù)）稱A.6安全設備日志表A.9規(guī)定了安全設備日志數(shù)據格式。表A.9安全設備日志數(shù)據格式描述表1234567895DB3301/T0371—2022表A.9安全設備日志數(shù)據格式描述表（續(xù)）A.7應用系統(tǒng)日志A.7.1表A.10規(guī)定了應用系統(tǒng)登錄日志數(shù)據格式。表A.10應用系統(tǒng)登錄日志數(shù)據格式描述表123DB3301/T0371—2022表A.10應用系統(tǒng)登錄日志數(shù)據格式描述表（續(xù)）4567895A.7.2表A.11規(guī)定了應用系統(tǒng)業(yè)務操作日志數(shù)據格式。表A.11應用系統(tǒng)業(yè)務操作日志數(shù)據格式描述表12DB3301/T0371—2022表A.11應用系統(tǒng)業(yè)務操作日志數(shù)據格式描述表（續(xù)）34567895A.7.3表A.12規(guī)定了數(shù)據歸集任務執(zhí)行日志數(shù)據格式。DB3301/T0371—2022表A.12數(shù)據歸集任務執(zhí)行日志數(shù)據格式描述表1234567