信息系统安全审计接口设计规范.docx

1、信息系统安全审计接口设计规范信息系统安全审计接口设计规范1范围本标准规定了烟草行业信息系统安全审计接口的协议、格式和事件分类等要求。本标准适用于烟草行业信息系统安全审计子系统的开发。2术语和定义下列术语和定义适用于本文件。2.1日志log信息系统中的各种人为操作记录、系统自动任务执行的记录、系统功能执行形成的日志信息、系统异常出现的记录等。2.2安全审计security audit 对信息系统的各种事件及行为实行监测、信息采集、分析，并针对特定事件及行为采取相应的动作。2.3审计记录Audit Recordation审计记录是指跟踪网络或指定系统的使用状态产生的信息。2.4审计信息Audit

2、Information审计信息是指所有的审计日志和审计记录的总称。3适用于本标准的信息系统本标准所指信息系统是烟草行业使用的各类应用系统、可定制日志输出的网络、安全设备和管理系统，包括表1中的3类。表1 适用于本标准的信息系统分类举例（不限于）应用系统卷烟销售系统、专卖管理系统、烟叶管理系统、办公自动化系统、财务管理系统、人力资源管理系统等网络、安全设备路由器、交换机等网络设备；防火墙、防病毒网关、防垃圾邮件网关、入侵检测和防护等安全设备网络、安全管理系统网络管理系统、网络安全审计、上网行为管理、CA认证系统、应用安全网关、数字签名服务器、终端管理系统、安全管理系统等4接口协议定义信息系统发送

3、安全审计信息应采用如下协议：基于UDP的Syslog协议，适用于强调安全审计信息通用性的环境。基于TCP的JMS协议，适用于强调安全审计信息的可靠性和安全性的环境。5接口格式定义信息系统存储和发送安全审计信息使用JSON标准格式。本接口格式的JSON定义描述如下：dt:String,level:Number,id:String,type:String,time:Number,from:String,source:ip:String,port:Number,mac:String,destination:ip:String,port:Number,mac:String,other:ip:Strin

4、g,port:Number,mac:String,count:Number, dur:Number, host:String,user:String,proc:String,protocol:String,state:String,act:String,message:String,keyword:String,subject:String本接口格式的JSON字段说明如表2所示。表2 接口JSON定义字段表字段名称详细说明是否必选备注dt厂商设备的特有标识，通过该元素能够唯一锁定该设备，格式为厂商名称_设备名称_版本号（包括小版本号）。Y例如IPS_V5.6.1level标识日志的安全等级，告

5、警级别等Y等级划分参考信息安全技术 信息安全事件分类分级指南（GB/Z 209862007）划分为4个级别。（1：特别重大事件，2：重大事件，3：较大事件，4：一般事件）id厂商对日志的内部的特定编号，各个编号表示不同的含义。Y需要厂商提供日志编号与所对应含义的参照的全集。若厂商产品没有对日志进行编号，可以设置一个默认值为0type厂商对不同类型的日志进行的分类。Y需要厂商提供日志类型的全集。若厂商没有对日志进行分类，可以设定默认值“Alert Log”time发生日志的时间和1970 年 1 月 1 日午夜之间的时间差，以毫秒为计量单位Y例如当前时间为2011年8月8日，则时间差为”time

6、”: ”131*18”Message日志的全部内容，content等Y例如”message”: ”root:login on computer”from发生源设备的IP。如果该字段为空，表示发送日志的设备为发生源。如果是转发的日志，为确保准确性，需要将该属性设置为发生源设备的IP。N例如”from”: ”192.168.140.11”，注意准许发生源设备的IP为IPV6格式sourcesource字段包含ip、port、mac三个子字段。Nsource里面包含源IP、源端口、源mac地址，例如”source” : ”ip” : ”192.168.140.11”, ”port” : ”5655”

7、, ”mac” : ”03045667EDFA”destinationdestination字段包含ip、port、mac三个子字段。Ndestination里面包含目的IP、目的端口、目的mac地址，例如”destination” : ”ip” : ”192.168.140.11”, ”port” : ”5655”, ”mac” : ”03045667EDFA”otherother字段包含ip、port、mac三个子字段。可将其他的IP与端口等信息放置于该字段。Nother主要用于可扩展作用，例如”other” : ”ip” : ”192.168.140.11”, ”port” : ”565

8、5”, ”mac” : ”03045667EDFA”表2（续） 接口JSON定义字段表字段名称详细说明是否必选备注ipIP地址，可以为IPv4或IPv6N”ip” : ”192.168.140.11”port端口信息，值为0-65535N”port” : ”5655”mac网卡地址N”mac” : ”03045667EDFA”count如果一条日志在指定的一段时间内多次重复发生，需要填充该字段。如果不填充，默认为一次操作。N例如”count”: ”20”代表日志在dur时间内来了20条dur日志的持续时间，以毫秒为计量单位 N例如”dur”: ”2000”代表在2s内来的日志全部聚合成一条ho

9、st发生源的主机名。N例如”host”: ”abc”，代表发生源主机名为abcuser发生源的用户名。N例如”user”: ”admin”，代表发生源用户名为adminproc发生源的进程信息。N例如”proc”:”abc”，代表发生源进程为abcprotocol使用的协议信息。N例如”protocol”: ”tcp”，代表使用的协议为TCP协议state事件状态 ，如：fail、succeed等。N例如”state”: ”fail”，代表引起日志的事件的结果为失败act日志发出时伴随的行为。如：删除、忽略等。N例如”act”: ”delete”，代表日志发出时，系统的行为为删除操作keywo

10、rk关键字N例如”keyword”: ”recover”，关键字的定义很模糊，可以指引起日志事件的某种特征，也可以指引起日志事件的某类行为subject标题N例如”subject”: ”ping”，主题的定义也很模糊，可以指日志的比较概括性的描述日志样例： dt:ids_x.x,level:2,id:087-0001,type:攻击类事件,time:2223445677,source:ip:10.1.4.176,port:2138,destination:ip:10.1.3.160,port:140,message:ids:root 01-02-087-0001 Alert Session a

11、ttack rep=1 | Identify the packet with potential attacks: protocol 6, from 10.1.4.176:21381 to 10.1.3.160:140any in vsys 0, detected by SYNSCAN_DETECTOR.6信息系统日志分类6.1审计日志类型对信息系统审计日志进行分类，信息系统提供商使用本标准进行开发时，可参考表3的说明。表3 审计日志类型表编号(id)级别(level)类型(type)参考标准分类说明200014身份验证信息技术安全性评估准则第二部分的FIA类 标示与鉴别审计用户身份各种鉴别的

12、成功和失败，可审计暴力破解等安全事件。200024参与验证自定制接口规范审计多个应用安全漏洞，如SQL注入的单引号、select查询语句、跨站的正反三角号等特殊字符的安全审计。200033管理功能信息技术安全性评估准则第二部分的FAU类 安全审计数据产生审计所有后台管理的所有操作，可审计误操作或非法设置后台管理功能等安全事件。200042审计记录信息技术安全性评估准则第二部分的FAU类 安全审计查询审计对审计数据的查询情况，可审计非法查看审计数据，审计数据不可用的安全事件。200052审计配置信息技术安全性评估准则第二部分的FAU类 安全审计事件选择审计对审计中审计配置的更改情况。可审计非法设

13、置审计配置的安全事件。200063标识机制信息技术安全性评估准则第二部分的FIA类 标示与鉴别审计用户身份鉴别方法的更改和异常，可审计绕过验证等安全事件。200074安全配置信息技术安全性评估准则第二部分的FMT类 安全管理审计对后台配置规则的所有修改情况，可审计异常规则修改的安全事件。200084用户组变更信息技术安全性评估准则第二部分的FMT类 安全管理审计用户组和用户的修改情况。可审计异常用户组和用户修改的安全事件。6.2身份认证在信息系统建立认证界面进行登陆的时候，应该有CA认证、帐户口令认证和验证码等几种审计的可能，分别应该是成功与不成功的审计内容。审计内容如下：所有CA认证的成功和

14、失败事件；所有帐号口令认证的成功和失败事件；所有验证码认证的成功和失败事件；认证成功要记录认证成功的帐号信息；认证失败要说明失败的原因，如帐号不存在、密码错误、CA证书验证失败等。审计的字段信息必须包括：dt、id、level、type、time、source、user、state、message（字段说明见表3）。示例：某管理员使用admin帐号从10.1.4.176登录到专卖管理系统，通过CA认证。dt:专卖管理系统,level:4,id:20001,type:身份认证,time:2223445677,source:ip:10.1.4.176,port:2138,message:admin

15、用户CA认证成功,user:admin,state:成功6.3参数验证用户在输入相关参数，以及上传文件时进行一些必要的常见参数过滤和文件类型过滤，针对违规的操作和访问行为进行必要的记录审计。审计内容如下：输入参数带单引号，正反三角号，空格，select，script，exec，insert，select，delete，update，count，chr，mid，master，truncate，declare等异常参数事件。输入的参数不符合参数限制要求的异常参数事件。限制要求如数字型，不允许空值，最大长度等。上传文件类型不符合上传限制要求的异常上传事件。限制要求如只允许GIF，JPG等。审计的字段

16、信息必须包括：dt、id、level、type、time、source、user、message。示例：某管理员使用admin帐号从10.1.4.176在专卖管理系统上提交了一个表达中包含“delete”字符串，全句为：delete from table。dt:专卖管理系统,level:4,id:20002,type:参与验证,time:2223445677,source:ip:10.1.4.176,port:2138,message:admin用户执行了一个SQL（delete from table） ,user:admin 6.4管理功能所有系统的审计功能开启与关闭，后台管理员登陆操作修改

17、系统相关配置的时候的操作也就是特权用户的登录操作都需要进行审计记录。审计内容如下：所有系统的审计功能设置开启和关闭的事件；后台管理的各种功能访问，例如：添加、修改，删除的操作事件。审计的字段信息必须包括：dt、id、level、type、time、source、user、message。示例：某管理员使用admin帐号从10.1.4.176在专卖管理系统上关闭审计功能。dt:专卖管理系统,level:3,id:20003,type:管理功能,time:2223445677,source:ip:10.1.4.176,port:2138,message:admin用户将审计功能关闭,user:ad

18、min 6.5审计记录从系统审计记录中读取信息和尝试从系统审计记录中读取信息而未成功都进行审计。审计内容如下：调用审计记录的成功事件；调用审计记录的失败事件。审计的字段信息必须包括：dt、id、level、type、time、source、user、state、message。示例：某管理员使用admin帐号从10.1.4.176登录到专卖管理系统，调用审计记录成功。dt:专卖管理系统,level:2,id:20004,type:审计记录,time:2223445677,source:ip:10.1.4.176,port:2138,message:admin用户调用审计记录成功,user:ad

19、min,state:成功6.6审计配置对审计收集功能正在运行时出现的审计配置的所有修改。审计内容如下：收集功能运行时的审计配置修改事件。审计的字段信息必须包括：dt、id、level、type、time、source、user、message。示例：某管理员使用admin帐号从10.1.4.176在专卖管理系统上修改审计配置。dt:专卖管理系统,level:2,id:20005,type:审计配置,time:2223445677,source:ip:10.1.4.176,port:2138,message:admin用户修改审计配置,user: admin 6.7标识机制绕过或变更限制的标识机

20、制时的事件审计，如限制了CA证书+帐号口令。双重认证才能登录，但只使用了帐号口令就登录成功了。绕过了CA证书的验证。 或从双重认证变更到只需要帐号口令的事件审计。审计内容如下：绕过限制的标识机制时的安全事件；变更限制的标识机制时的安全事件。审计的字段信息必须包括：dt、id、level、type、time、source、user、message。示例：某管理员使用admin帐号从10.1.4.176登录到专卖管理系统，绕过限制的标识机制。dt:专卖管理系统,level:4,id:20006,type:标识机制,time:2223445677,source:ip:10.1.4.176,port:

21、2138,message:admin用户绕过限制的标识机制，登录到系统上,user:admin6.8安全配置系统后台的配置规则出现的所有修改的事件审计。审计内容如下：配置规则所有修改的安全事件。审计的字段信息必须包括：dt、id、level、type、time、source、user、message。示例：某用户通过admin帐号修改了终端管理系统的配置规则。dt:终端管理系统,level:4,id:20007,type:安全配置,time:2223445677,source:ip:10.1.4.176,port:2138,message: admin用户修改了终端管理系统的配置规则,user

22、:admin 6.9用户组变更对构成角色一部分的用户组的修改，授权用户组发生增加或者减少用户的时候进行审计告警审计内容如下：授权用户组添加，修改，删除的安全事件；授权用户组添加，修改，删除用户的安全事件。审计的字段信息必须包括：dt、id、level、type、time、source、user、message。示例：某管理员使用admin帐号从10.1.4.176登录到专卖管理系统，删除user用户组。dt:专卖管理系统,level:4,id:20008,type:用户组变更,time:2223445677,source:ip:10.1.4.176,port:2138,message:admi

23、n用户删除user用户组,user: admin 7信息系统安全审计日志发送约束7.1发送要求信息系统发送安全审计信息时，在一次发送的内容中只允许包含一条日志信息。dt:专卖管理系统,level:4,id:20001,type:身份认证,time:2223445677,source:ip:10.1.4.176,port:2138,message:admin用户CA认证成功,user:admin,state:失败7.2本地审计数据完整性保护信息系统安全审计功能模块应提供在各种使用情况下，保证本地数据以及远程可信组件间传送的所有数据完整性的功能：应提供防止对审计记录或审计日志内容修改或手工添加的功

24、能；应提供防止未授权的删除本地存储的审计记录或审计日志的功能；应提供审计记录和审计日志加密存储的功能。8信息系统安全审计日志存储和备份规范要求为保证日志存储的安全性和可恢复性，信息系统安全审计功能模块应提供日志存储和备份功能，满足如下要求：日志应单独存储，与业务数据分开；日志应以文件、数据库等形式存储；日志存储应具备数据加密功能；日志备份应定期进行，并测试备份恢复的有效性。9信息系统安全审计功能安全保证要求9.1功能规约信息系统安全审计功能及其接口高层设计应按本设计规范要求方式实现，并标识安全审计接口字段的所有可能含义。9.2测试信息系统开发商提供的安全审计接口功能测试文档应包含测试计划、测试过程描述、预期的测试结果和实际测试结果，其中的测试计划应标识要测试的安全功能、描述要执行的测试目标，测试过程描述应标识要执行的测试、测试概况。9.3指导性文档信息系统开发商提供的用户指南应描述用户可获取的安全功能和审计接口的用法。参考文献1 GB/T 18336.2-2008 信息技术 安全技术 信息技术安全性评估准则 第2部分：安全功能要求 2 GB/T 20945-2007 信息安全技术 信息系统安全审计产品技术要求和测试评价方法