信息系统安全审计接口设计规范.docx
《信息系统安全审计接口设计规范.docx》由会员分享,可在线阅读,更多相关《信息系统安全审计接口设计规范.docx(16页珍藏版)》请在冰豆网上搜索。
信息系统安全审计接口设计规范
信息系统安全审计接口设计规范
1 范围
本标准规定了烟草行业信息系统安全审计接口的协议、格式和事件分类等要求。
本标准适用于烟草行业信息系统安全审计子系统的开发。
2 术语和定义
下列术语和定义适用于本文件。
2.1
日志 log
信息系统中的各种人为操作记录、系统自动任务执行的记录、系统功能执行形成的日志信息、系统异常出现的记录等。
2.2
安全审计 securityaudit
对信息系统的各种事件及行为实行监测、信息采集、分析,并针对特定事件及行为采取相应的动作。
2.3
审计记录 AuditRecordation
审计记录是指跟踪网络或指定系统的使用状态产生的信息。
2.4
审计信息 AuditInformation
审计信息是指所有的审计日志和审计记录的总称。
3 适用于本标准的信息系统
本标准所指信息系统是烟草行业使用的各类应用系统、可定制日志输出的网络、安全设备和管理系统,包括表1中的3类。
表1适用于本标准的信息系统
分类
举例(不限于)
应用系统
卷烟销售系统、专卖管理系统、烟叶管理系统、办公自动化系统、财务管理系统、人力资源管理系统等
网络、安全设备
路由器、交换机等网络设备;防火墙、防病毒网关、防垃圾邮件网关、入侵检测和防护等安全设备
网络、安全管理系统
网络管理系统、网络安全审计、上网行为管理、CA认证系统、应用安全网关、数字签名服务器、终端管理系统、安全管理系统等
4 接口协议定义
信息系统发送安全审计信息应采用如下协议:
——基于UDP的Syslog协议,适用于强调安全审计信息通用性的环境。
——基于TCP的JMS协议,适用于强调安全审计信息的可靠性和安全性的环境。
5 接口格式定义
信息系统存储和发送安全审计信息使用JSON标准格式。
本接口格式的JSON定义描述如下:
{
"dt":
"String",
"level":
Number,
"id":
"String",
"type":
"String",
"time":
Number,
"from":
"String",
"source":
{"ip":
"String","port":
Number,"mac":
"String"},
"destination":
{"ip":
"String","port":
Number,"mac":
"String"},
"other":
{"ip":
"String","port":
Number,"mac":
"String"},
"count":
Number,
"dur":
Number,
"host":
"String",
"user":
"String",
"proc":
"String",
"protocol":
"String",
"state":
"String",
"act":
"String",
"message":
"String",
"keyword":
"String",
"subject":
"String"
}
本接口格式的JSON字段说明如表2所示。
表2接口JSON定义字段表
字段名称
详细说明
是否必选
备注
dt
厂商设备的特有标识,通过该元素能够唯一锁定该设备,格式为厂商名称_设备名称_版本号(包括小版本号)。
Y
例如IPS_V5.6.1
level
标识日志的安全等级,告警级别等
Y
等级划分参考《信息安全技术信息安全事件分类分级指南》(GB/Z20986—2007)划分为4个级别。
(1:
特别重大事件,2:
重大事件,3:
较大事件,4:
一般事件)
id
厂商对日志的内部的特定编号,各个编号表示不同的含义。
Y
需要厂商提供日志编号与所对应含义的参照的全集。
若厂商产品没有对日志进行编号,可以设置一个默认值为0
type
厂商对不同类型的日志进行的分类。
Y
需要厂商提供日志类型的全集。
若厂商没有对日志进行分类,可以设定默认值“AlertLog”
time
发生日志的时间和1970年1月1日午夜之间的时间差,以毫秒为计量单位
Y
例如当前时间为2011年8月8日,则时间差为”time”:
”131********18”
Message
日志的全部内容,content等
Y
例如
”message”:
”<5>root:
loginoncomputer”
from
发生源设备的IP。
如果该字段为空,表示发送日志的设备为发生源。
如果是转发的日志,为确保准确性,需要将该属性设置为发生源设备的IP。
N
例如
”from”:
”192.168.140.11”,注意准许发生源设备的IP为IPV6格式
source
source字段包含ip、port、mac三个子字段。
N
source里面包含源IP、源端口、源mac地址,例如
”source”:
{”ip”:
”192.168.140.11”,”port”:
”5655”,”mac”:
”03045667EDFA”}
destination
destination字段包含ip、port、mac三个子字段。
N
destination里面包含目的IP、目的端口、目的mac地址,例如
”destination”:
{”ip”:
”192.168.140.11”,”port”:
”5655”,”mac”:
”03045667EDFA”}
other
other字段包含ip、port、mac三个子字段。
可将其他的IP与端口等信息放置于该字段。
N
other主要用于可扩展作用,例如
”other”:
{”ip”:
”192.168.140.11”,”port”:
”5655”,”mac”:
”03045667EDFA”}
表2(续)接口JSON定义字段表
字段名称
详细说明
是否必选
备注
ip
IP地址,可以为IPv4或IPv6
N
”ip”:
”192.168.140.11”
port
端口信息,值为0-65535
N
”port”:
”5655”
mac
网卡地址
N
”mac”:
”03045667EDFA”
count
如果一条日志在指定的一段时间内多次重复发生,需要填充该字段。
如果不填充,默认为一次操作。
N
例如”count”:
”20”代表日志在dur时间内来了20条
dur
日志的持续时间,以毫秒为计量单位
N
例如”dur”:
”2000”代表在2s内来的日志全部聚合成一条
host
发生源的主机名。
N
例如
”host”:
”abc”,代表发生源主机名为abc
user
发生源的用户名。
N
例如”user”:
”admin”,代表发生源用户名为admin
proc
发生源的进程信息。
N
例如”proc”:
”abc”,代表发生源进程为abc
protocol
使用的协议信息。
N
例如
”protocol”:
”tcp”,代表使用的协议为TCP协议
state
事件状态,如:
fail、succeed等。
N
例如
”state”:
”fail”,代表引起日志的事件的结果为失败
act
日志发出时伴随的行为。
如:
删除、忽略等。
N
例如
”act”:
”delete”,代表日志发出时,系统的行为为删除操作
keywork
关键字
N
例如
”keyword”:
”recover”,关键字的定义很模糊,可以指引起日志事件的某种特征,也可以指引起日志事件的某类行为
subject
标题
N
例如
”subject”:
”ping”,主题的定义也很模糊,可以指日志的比较概括性的描述
日志样例:
{"dt":
"ids_x.x","level":
2,id:
"087-0001","type":
"攻击类事件",
"time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"destination":
{"ip":
"10.1.3.160","port":
140},"message":
"ids:
root01-02-087-0001AlertSessionattackrep=1|Identifythepacketwithpotentialattacks:
protocol6,from10.1.4.176:
2138[1]to10.1.3.160:
140[any]invsys0,detectedbySYNSCAN_DETECTOR."}
6 信息系统日志分类
6.1 审计日志类型
对信息系统审计日志进行分类,信息系统提供商使用本标准进行开发时,可参考表3的说明。
表3审计日志类型表
编号(id)
级别(level)
类型
(type)
参考标准
分类说明
20001
4
身份验证
信息技术安全性评估准则第二部分的FIA类标示与鉴别
审计用户身份各种鉴别的成功和失败,可审计暴力破解等安全事件。
20002
4
参与验证
自定制接口规范
审计多个应用安全漏洞,如SQL注入的单引号、select查询语句、跨站的正反三角号等特殊字符的安全审计。
20003
3
管理功能
信息技术安全性评估准则第二部分的FAU类安全审计数据产生
审计所有后台管理的所有操作,可审计误操作或非法设置后台管理功能等安全事件。
20004
2
审计记录
信息技术安全性评估准则第二部分的FAU类安全审计查询
审计对审计数据的查询情况,可审计非法查看审计数据,审计数据不可用的安全事件。
20005
2
审计配置
信息技术安全性评估准则第二部分的FAU类安全审计事件选择
审计对审计中审计配置的更改情况。
可审计非法设置审计配置的安全事件。
20006
3
标识机制
信息技术安全性评估准则第二部分的FIA类标示与鉴别
审计用户身份鉴别方法的更改和异常,可审计绕过验证等安全事件。
20007
4
安全配置
信息技术安全性评估准则第二部分的FMT类安全管理
审计对后台配置规则的所有修改情况,可审计异常规则修改的安全事件。
20008
4
用户组变更
信息技术安全性评估准则第二部分的FMT类安全管理
审计用户组和用户的修改情况。
可审计异常用户组和用户修改的安全事件。
6.2 身份认证
在信息系统建立认证界面进行登陆的时候,应该有CA认证、帐户口令认证和验证码等几种审计的可能,分别应该是成功与不成功的审计内容。
审计内容如下:
——所有CA认证的成功和失败事件;
——所有帐号口令认证的成功和失败事件;
——所有验证码认证的成功和失败事件;
——认证成功要记录认证成功的帐号信息;
——认证失败要说明失败的原因,如帐号不存在、密码错误、CA证书验证失败等。
审计的字段信息必须包括:
dt、id、level、type、time、source、user、state、message(字段说明见表3)。
示例:
某管理员使用admin帐号从10.1.4.176登录到专卖管理系统,通过CA认证。
{"dt":
"专卖管理系统","level":
4,id:
"20001","type":
"身份认证","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户CA认证成功","user":
"admin","state":
"成功"}
6.3 参数验证
用户在输入相关参数,以及上传文件时进行一些必要的常见参数过滤和文件类型过滤,针对违规的操作和访问行为进行必要的记录审计。
审计内容如下:
——输入参数带单引号,正反三角号,空格,select,script,exec,insert,select,delete,update,count,chr,mid,master,truncate,declare等异常参数事件。
——输入的参数不符合参数限制要求的异常参数事件。
限制要求如数字型,不允许空值,最大长度等。
——上传文件类型不符合上传限制要求的异常上传事件。
限制要求如只允许GIF,JPG等。
——审计的字段信息必须包括:
dt、id、level、type、time、source、user、message。
示例:
某管理员使用admin帐号从10.1.4.176在专卖管理系统上提交了一个表达中包含“delete”字符串,全句为:
deletefromtable。
{"dt":
"专卖管理系统","level":
4,id:
"20002","type":
"参与验证","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户执行了一个SQL(deletefromtable)","user":
"admin"}
6.4 管理功能
所有系统的审计功能开启与关闭,后台管理员登陆操作修改系统相关配置的时候的操作也就是特权用户的登录操作都需要进行审计记录。
审计内容如下:
——所有系统的审计功能设置开启和关闭的事件;
——后台管理的各种功能访问,例如:
添加、修改,删除的操作事件。
审计的字段信息必须包括:
dt、id、level、type、time、source、user、message。
示例:
某管理员使用admin帐号从10.1.4.176在专卖管理系统上关闭审计功能。
{"dt":
"专卖管理系统","level":
3,id:
"20003","type":
"管理功能","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户将审计功能关闭","user":
"admin"}
6.5 审计记录
从系统审计记录中读取信息和尝试从系统审计记录中读取信息而未成功都进行审计。
审计内容如下:
——调用审计记录的成功事件;
——调用审计记录的失败事件。
审计的字段信息必须包括:
dt、id、level、type、time、source、user、state、message。
示例:
某管理员使用admin帐号从10.1.4.176登录到专卖管理系统,调用审计记录成功。
{"dt":
"专卖管理系统","level":
2,id:
"20004","type":
"审计记录","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户调用审计记录成功","user":
"admin","state":
"成功"}
6.6 审计配置
对审计收集功能正在运行时出现的审计配置的所有修改。
审计内容如下:
——收集功能运行时的审计配置修改事件。
审计的字段信息必须包括:
dt、id、level、type、time、source、user、message。
示例:
某管理员使用admin帐号从10.1.4.176在专卖管理系统上修改审计配置。
{"dt":
"专卖管理系统","level":
2,id:
"20005","type":
"审计配置","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户修改审计配置","user":
"admin"}
6.7 标识机制
绕过或变更限制的标识机制时的事件审计,如限制了CA证书+帐号口令。
双重认证才能登录,但只使用了帐号口令就登录成功了。
绕过了CA证书的验证。
或从双重认证变更到只需要帐号口令的事件审计。
审计内容如下:
——绕过限制的标识机制时的安全事件;
——变更限制的标识机制时的安全事件。
审计的字段信息必须包括:
dt、id、level、type、time、source、user、message。
示例:
某管理员使用admin帐号从10.1.4.176登录到专卖管理系统,绕过限制的标识机制。
{"dt":
"专卖管理系统","level":
4,id:
"20006","type":
"标识机制","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户绕过限制的标识机制,登录到系统上","user":
"admin"}
6.8 安全配置
系统后台的配置规则出现的所有修改的事件审计。
审计内容如下:
——配置规则所有修改的安全事件。
审计的字段信息必须包括:
dt、id、level、type、time、source、user、message。
示例:
某用户通过admin帐号修改了终端管理系统的配置规则。
{"dt":
"终端管理系统","level":
4,id:
"20007","type":
"安全配置","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户修改了终端管理系统的配置规则","user":
"admin"}
6.9 用户组变更
对构成角色一部分的用户组的修改,授权用户组发生增加或者减少用户的时候进行审计告警
审计内容如下:
——授权用户组添加,修改,删除的安全事件;
——授权用户组添加,修改,删除用户的安全事件。
审计的字段信息必须包括:
dt、id、level、type、time、source、user、message。
示例:
某管理员使用admin帐号从10.1.4.176登录到专卖管理系统,删除user用户组。
{"dt":
"专卖管理系统","level":
4,id:
"20008","type":
"用户组变更","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户删除user用户组","user":
"admin"}
7 信息系统安全审计日志发送约束
7.1 发送要求
信息系统发送安全审计信息时,在一次发送的内容中只允许包含一条日志信息。
{"dt":
"专卖管理系统","level":
4,id:
"20001","type":
"身份认证","time":
2223445677,"source":
{"ip":
"10.1.4.176","port":
2138},"message":
"admin用户CA认证成功","user":
"admin","state":
"失败"}
7.2 本地审计数据完整性保护
信息系统安全审计功能模块应提供在各种使用情况下,保证本地数据以及远程可信组件间传送的所有数据完整性的功能:
——应提供防止对审计记录或审计日志内容修改或手工添加的功能;
——应提供防止未授权的删除本地存储的审计记录或审计日志的功能;
——应提供审计记录和审计日志加密存储的功能。
8 信息系统安全审计日志存储和备份规范要求
为保证日志存储的安全性和可恢复性,信息系统安全审计功能模块应提供日志存储和备份功能,满足如下要求:
——日志应单独存储,与业务数据分开;
——日志应以文件、数据库等形式存储;
——日志存储应具备数据加密功能;
——日志备份应定期进行,并测试备份恢复的有效性。
9 信息系统安全审计功能安全保证要求
9.1 功能规约
信息系统安全审计功能及其接口高层设计应按本设计规范要求方式实现,并标识安全审计接口字段的所有可能含义。
9.2 测试
信息系统开发商提供的安全审计接口功能测试文档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果,其中的测试计划应标识要测试的安全功能、描述要执行的测试目标,测试过程描述应标识要执行的测试、测试概况。
9.3 指导性文档
信息系统开发商提供的用户指南应描述用户可获取的安全功能和审计接口的用法。
参 考 文 献
[1]GB/T18336.2-2008信息技术安全技术信息技术安全性评估准则第2部分:
安全功能要求
[2]GB/T20945-2007信息安全技术信息系统安全审计产品技术要求和测试评价方法
升级会员 