标准规范下载简介
DB3301/T 0371-2022 一体化智能化公共数据平台日志规范.pdfICS35.020 CCS L 72
301/T0371—2022
杭州市市场监督管理局发布
市市场监督管理局发布
JC/T 2237-2014标准下载DB3301/T0371—2022
范围: 规范性引用文件 术语和定义. 日志采集要求. 4.1概述... 4.2日志采集格式 4.3日志采集方式 日志存储要求. 日志分析要求 6.1概述. 6.2规则策略 6.3关联分析 6.4行为分析, 寸录A(规范性) 一体化智能化公共数据平台日志 A.1主机操作系统日志 A.2数据库日志 A.3对象存储日志 A.4云管理控制台日志 A.5网络设备日志 A.6安全设备日志, A.7应用系统日志
DB3301/T0371—2022
化智能化公共数据平台日志规范
本文件规定了一体化智能化公共数据平台的日志采集要求、日志存储要求、日志分析要求。 本文件适用于一体化智能化公共数据平台日志采集、存储和分析工作
下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文 牛。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069一2022信息安全技术术语 GB/T35295一2017信息技术大数据术语 DB33/T2350一2021数字化改革术语定义
GB/T25069—2022、GB/T35295—2017、DB33/T2350—2021界定的以及下列术语和定义适用于 本文件。 3.1 一体化智能化公共数据平台integratedintelligentpublicdataplatform 以云计算、大数据、人工智能、互联网等技术为支撑,是省域治理全过程数据感知、数据共享、数 据计算的基础平台。 注1:该平台用于支撑党政机关整体智治、数字政府、数字经济、数字社会、数字法治的实现。 注2:该平台组成包括“四横四纵”体系和“两个前端”,纵向贯通省市县乡各层级。 注3:“四横”是指:基础设施、数据资源、应用支撑、业务应用;“四纵”是指:政策制度、标 准规范、组织保障、政务网络安全;“两个前端”是指:“浙里办”和“浙政钉”。 [来源:DB33/T2350—2021,3.1.1.2] 3.2 日志1og 系统中记录关于硬件、软件和系统操作及故障的信息。 3.3 云平台cloudplatform 云服务商提供的云基础设施及其上服务软件的集合。 3.4 对象存储objectstorage 以对象作为存储单元,并提供对象级访问接口的云存储。 [GB/T 31916.1—2015,3.1. 4]
DB3301/T0371 202
DB3301/T0371
一体化智能化公共数据平台日志采集范围包含但不限于主机系统、数据库、对象存储、云 控制台、网络设备、安全设备、应用系统的日志,并通过Syslog、API接口等方式采集和外送
日志采集方式包括但不限于Syslog、API接口等方式外送日志数据,并应满足下列要求: A 支持全量、历史数据的外送采集服务; 支持实时或定时增量日志外送采集服务; ? C) 支持按照过滤条件的日志外送采集服务,例如字段内容; d) 支持外送失败报警服务、失败重发服务。
在保障安全前提下做好日志存储工作,日志的存储满足下列条件: a) 2 日志保存的时限不应少于六个月,应对日志进行分类存储,涉及核心业务的日志如另有日志存 储时限要求的,原则上从其规定; b) 日志具有保密性要求时,应采取加密机制保证日志数据保密性,加密机制应符合相关法律法规 要求; 2 日志具有完整性要求时,应采取校验机制,保证日志数据完整性,校验机制应符合相关法律法 C 规要求; d) 严格控制日志的访问权限,确保日志的授权访问; e) 1 具备增量备份和恢复能力,当有异地备份要求时,应进行异地备份; f) 与统一的标准时间源保持同步
在保障安全前提下做好日志存储工作,日志的存储满足下列条件: a) 2 日志保存的时限不应少于六个月,应对日志进行分类存储,涉及核心业务的日志如另有日志存 储时限要求的,原则上从其规定; b) 日志具有保密性要求时,应采取加密机制保证日志数据保密性,加密机制应符合相关法律法规 要求; C) 2 日志具有完整性要求时,应采取校验机制,保证日志数据完整性,校验机制应符合相关法律法 规要求; d) 严格控制日志的访问权限,确保日志的授权访问; e) 1 具备增量备份和恢复能力,当有异地备份要求时,应进行异地备份; f) 与统一的标准时间源保持同步
DB3301/T0371—2022
6.2.1主机日志分析
主机日志分析包括但不限于: a 1 异常登录,包括未经授权登录、多次登录失败、频繁登录、非工作时间登录等; b) 2 高危端口开启、被利用情况; c) 用户账号和权限变更; d) 1 操作系统的启动、停止信息; e) 系统服务和配置修改; f) 特殊权限使用和操作。
数据库日志分析包括但不限于: a) 1 数据库异常登录行为,如多次登录失败、频繁登录、非工作时间登录、异地登录、频繁变更 登录I等; b) 数据库越权操作,如对未经授权的敏感数据进行增删改查、导入导出等; C) 2 用户的关键变更操作,如增删改用户及其权限; d) 数据库服务启动和停止; e) 1 数据库系统核心配置文件的修改; f) 高风险操作,如对批量数据的导入导出等。
6.2.3安全设备日志分析
安全设备日志分析包括但不限于: a) 堡垒机日志分析,包括长期未登录使用的账号、活跃度异常的账号、异常、高风险操作行为、 多人共用账号等; b) VPN系统日志分析,包括活跃度异常账号、异常登录地点、异常登录时间、多人共用账号等; C) 其他安全设备,应重点分析设备的异常告警行为
6.2.4应用系统日志分析
应用系统日志分析包括但不限于: a) 重要操作记录,对关键配置信息和业务数据的增删改操作; 0) 管理员操作行为,如增删改系统用户及其权限; C) 2 操作人员查询敏感信息的行为; Hd) 2 操作人员异常登录和异常操作的行为; e) 应用系统的高危漏洞被利用情况; f) 2 数据接口异常调用等
对多种类型、多个设备的日志结合实际场景开展进行综合关联分析,包括但不限于: a) 操作人员未通过堡垒机直接登录主机/服务器、连接数据库/大数据处理分析平台的行为 D 操作人员远程上传文件、远程安装的行为:
DB3301/T0371—2022 C) 通过分析数据下载、分发的情况,发现可能的数据泄漏(被非法窃取)风险; d) 对操作人员的高危指令、异常操作、敏感数据查询等行为进行威胁感知。
通过持续对全量日志进行关联综合分析,掌握操作人员关键特征要素,选代绘制出用户行为基线 并持续根据用户操作行为的波动情况加以动态调整。行为分析特征维度包括但不限于: a)特定时间段内,指定用户整体行为状态与该用户整体行为基线的对比分析; b)特定时间段内,指定用户单维度行为状态与该用户单维度行为基线的对比分析; C) 指定用户行为基线与同组其他用户的平均行为基线对比分析; d) 在特定时间段内,指定用户或应用系统调用同一API接口的频率对比分析。
A.1主机操作系统日志
A.1.1主机操作系统登录日志
表A.1规定了主机操作系统登录日志数据格
DB3301/T0371—2022
附录A (规范性) 体化智能化公共数据平台日志
表A.1主机操作系统登录日志数据格式描述表
表A.1主机操作系统登录日志数据格式描述表(续)
A.1.1.2 表A.2规定了主机操作系统操作日志数据格式,
表A.2主机操作系统操作日志数据格式描述表
A.1.2主机操作系统任务计划日志
A.3规定了主机操作系统任务计划日志数据格式
DB3301/T0371—2022
表A.3主机操作系统任务计划日志数据格式描述表
A.2.1数据库登录日志
表A.4规定了数据库登录日志数据格式。
表A.4数据库登录日志数据格式描述表
DB3301/T0371—2022
表A.4数据库登录日志数据格式描述表(续)
A.2.2数据库操作日志
表A.5规定了数据库操作日志数据格式
表A.5数据库操作日志数据格式描述表
表A.5数据库操作日志数据格式描述表(续)
表A.6规定了对象存储日志数据格式
表A.6对象存储日志数据格式描述表
DB3301/T0371—2022
表A.6对象存储日志数据格式描述表(续)
表A.6对象存储日志数据格式描述表(续)
表A.7规定了云管理控制台日志数据格式。
表A.7云管理控制台日志数据格式描述表
钻机施工组织设计DB3301/T0371—2022
表A.7云管理控制台日志数据格式描述表(续)
表A.8规定了网络设备日志数据格式。
表A.8网络设备日志数据格式描述表
GB 51199-2016 通信电源设备安装工程验收规范(英文版).pdf表A.8网络设备日志数据格式描述表(续)
DB3301/T0371—2022
表A.8网络设备日志数据格式描述表(续)