Q∕GDW 12110-2021 电力物联网全场景安全监测数据采集基本要求

1、ICS 35.240Q/GDW国家电网有限公司企业标准Q/GDW 12110-2021电力物联网全场景安全监测数据采集基本要求Basic requirements for data collection of full scene security monitoring of elOT2021-05-26 实施2021-05-26 发布国家电网有限公司 发布Q/GDW 12110-2021目 次tti Wii1 翻l2 规范性引用文件13术i吾轍5C14鵬i吾15 雜魏25. 1采集范围25.2采集方式25.3采集频次35.4采集数据内容35.5非功能性采集要求75. 6 采集数据基本格式7附

2、录A （资料性附录）各类设备系统报送内容格式9貓44IQ/GDW 121102021为规范电力物联网监测数据采集基本要求，指导和支撑物联网全场景安全监测和态势感知平台安全 数据采集开发，提升全场景安全数据接入标准化水平，制定本标准。本标准由国家电网有限公司互联网部提出并解释。本标准由国家电网有限公司科技部归口。本标准起草单位：南京南瑞集团公司、国网河北省电力有限公司、国网冀北电力有限公司、国网山 东省电力公司、国网湖北省电力有限公司、国网重庆市电力公司、国网黑龙江省电力有限公司、国网陕 西省电力公司、国网信息通信产业集团有限公司、国家电网有限公司信息通信分公司。本标准主要起草人：俞皓、郭靓、封

3、保占、程杰、靳敏、张实君、樊鑫、杨会峰、张丞、朱国威、 李铁群、谢瑞楠、廖鹏、李唱、姜帆、蒋甜、于晓文、孙宁、刘莹、孙炜、陈刚、罗大勇、梁文、冯亮 星、王迪、李建岐、刘剑、刘晓蕾、全先树、李浩升、唐建雄、李海锋、王婵、郭邯、张伟、刘赛。 本标准首次发布。本标准在执行过程中的意见或建议反馈至国家电网有限公司科技部。#Q/GDW 12110-2021电力物联网全场景安全监测数据采集基本要求1范围本标准规定了不同类型、不同来源的基础安全数据，明确不同设备、系统应报送的数据类型，以及 数据的采集方法、频次和基础数据格式。本标准适用于电力物联网的新系统、设备接入和原有系统、设备改造。2规范性引用文件下列

4、文件对于本文件的引用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。Q/GDW/Z 11801-2018网络与信息安全风险监控预警平台安全监测数据规范Q/GDW 12098-2021 电力物联网术语Q/GDW 12108-2021电力物联网全场景安全技术要求3术语和定义Q/GDW 12098-2021和Q/GDW 12108-2021界定的以及下列术语和定义适用于本文件。3. 1平台类系统platform system向其他系统提供基础服务的信息系统。3. 2业务类系统business system为开展业务

5、服务所使用的信息系统。3. 3安全类系统security system为保障网络空间安全相关业务所使用的信息系统。3. 4网络安全监测装置 network security monitoring device一种通过网络流量分析（旁路接入镜像流量）实现协议识别与解析、pcap数据包存储、流量信息 回溯查询、威胁检测分析告警等功能的流量解析与安全监测设备，可提供文件还原、网络流量信息和威 胁告警数据外发等服务。4缩略语下列缩略语适用于本文件。IDS：入侵检测系统(Intrusion Detection System)IP：网络之间互连的协议(Internet Protocol)IPS：入侵防御系

6、统(Intrusion Prevention System)JSON: JavaScript 对象表示法(Java Script Object Notation) MAC：媒体访问控制(Media Access Control)NAT：网络地址转换(Network Address Translation)TOS：服务类型(Type Of Service)UDP协议：用户数据报协议(User Datagram Protocol)UTC时间：世界统一时间(Coordinated Universal Time) UTF-8编码：万国码(Unicode Transformation Format 8-

7、bit)WAF： WEB应用防火墙(WEB Application Firewall)5采集要求 5. 1采集范围电力物联网全场景安全监测数据采集的范围见图1。具体范围要求如下:a）感知层包括边缘物联代理告警日志、物联网终端探测日志；b）网络层包括流量日志、策略配置、安全设备告警日志；c）平台层包括接口访问日志、中间件日志、数据库日志；流量日志策略配置安全设备告警曰感知层边缘物联代理告警日物联网终端探测日d）应用层包括终端配置日志、主机配置日志、业务系统日志。应用层终端配置主机配置业务系统平台层接口访问中间件曰数据库曰网络层图1电力物联网全场景安全监测数据采集范围5. 2采集方式电力物联网全场

8、景安全监测数据采集方式应分为如下6种：a）UDP采集：通过UDP协议通信的方式进行采集。适用于大量接入，对实效要求高，但允许一 定程度丢包的日志数据；b）WebService采集：通过WebService接口进行采集。适用于少量接入，但是不允许丢包的日志数据；c）Agent采集：通过在主机上安装Agent代理，使用Agent代理进行采集。适用于无法远程收集 信息的数据；d）网卡抓包采集：通过对网络设备端口流量进行复制及网络传输中的数据包进行截获、抓取等方 式进行网络流量采集；e）主动探测采集：通过Nmap等网络扫描工具对网络中端口等资产进行主动扫描及嗅探；f）消息总线监听采集：通过对消息总线进

9、行监听进行采集。适用于物联网等受限环境采集数据。5. 3米集频次电力物联网全场景安全监测数据采集频次应为如下3种：a）实时：适用于告警类安全监测数据的即时报送，要求延迟不高于5秒；b）次/2小时：适用于变化较为频繁，但不需要一直更新的配置类信息；c）次/24小时：适用于变动较小，但又会有更新的配置类信息。5.4采集数据内容电力物联网全场景安全监测数据采集的采集项按照采集类型划分共62项，每一项的采集来源、采集 方式、采集频次和采集内容见表1。表1电力物联网全场景安全监测数据采集内容采集类型采集项采集来源设备/系统采集方式采集频次采集内容边缘物联代理告警日志边缘物联代理主机进程日志边缘物联代理A

10、gent采集/消息总线监听采集次/2小时采集内容见附录.A.1.1.1边缘物联代理主机开放端口日志边缘物联代理Agent采集/消息总 线监听采集次/2小时采集内容见附录A. 1.1.2边缘物联代理主机服务日志边缘物联代理Agent采集/消息总 线监听采集次/2小时采集内容见附录A.1.1.3边缘物联代理主机安全事件日志边缘物联代理Agent采集/消息总 线监听采集实时采集内容见附录A. 1.1.4物联网终端探测日志终端活跃资产日志边缘物联代理主动探测采集次/24小时采集内容见附录A. 1.2.1终端开放端口服务日志边缘物联代理主动探测采集次/24小时采集内容见附录A.1.2.2消息总线订阅曰志

11、边缘物联代理消息总线监听采集实时采集内容见附录A.1.3流量日志流量告警日志网络安全监测装置网卡抓包采集实时采集内容见附录A.2.13Q/GDW 12110-2021表1(续)采集类型采集项采集来源设备/系统采集方式采集频次采集内容流量日志网络连接日志网络安全监测装置网卡抓包采集实时采集内容见附录A.2.2场景流量告警日志网络安全监测装置网卡抓包采集实时采集内容见附录A.2.3策略配置包过滤防火墙访问控制策略日志防火墙UDP采集次/24小时采集内容见附录A.3.1.1包过滤防火墙包过滤信息日志防火墙UDP采集次/24小时采集内容见附录A.3.1.2包过滤防火墙基本信息防火墙UDP采集次/24小

12、时采集内容见附录A.3.1.3WEB应用防火墙基本信息曰志WEB应用防火墙(WAF)UDP采集次/24小时采集内容见附录A.3.2.1入侵防御设备基本信息日志入侵防御设备(IPS)UDP采集次/24小时采集内容见附录A.3.3入侵检测备基本信息日志入侵监测设备(IDS)UDP采集次/24小时采集内容见附录A.3.4信息网络安全隔离装置基本信息日志信息网络安全隔离装置UDP采集次/24小时采集内容见附录A.3.5电力物联网安全接入网关基本信息日志电力物联网安全接入网关UDP采集次/24小时采集内容见附录A.3.6.1电力物联网安全接入网关策略配置更新曰志电力物联网安全接入网关UDP采集次/24小

13、时采集内容见附录A.3.6.2交换机访问控制策略配置基本信息日志交换机UDP采集次/24小时采集内容见附录A.4.1交换机配置修改日志交换机UDP采集次/24小时采集内容见附录A.4.1路由器访问控制策略配置基本信息日志路由器UDP采集次/24小时采集内容见附录A.4.2采集类型采集项采集来源设备/系统采集方式采集频次采集内容策略配置路由器配置修改日志路由器UDP采集次/24小时采集内容见附录A.4.2安全设备告警日志WEB应用防火墙告警日志WEB应用防火墙(WAF)UDP采集实时采集内容见附录A.3.2.2入侵防御设备告警日志入侵防御设备(IPS)UDP采集实时采集内容见附录A.3.3入侵检

14、测设备告警日志入侵监测设备(IDS)UDP采集实时采集内容见附录A.3.4信息网络安全隔离装置告警日志信息网络安全隔离装置UDP采集实时采集内容见附录A.3.5电力物联网安全接入网关告警曰志电力物联网安全接入网关UDP采集实时采集内容见附录A.3.6.3接口访问日志接口访问日志业务类系统、平台类系统WebService 采集实时采集内容见附录A.6.1中间件日志WEB中间件曰志业务类系统、平台类系统WebService 采集实时采集内容见附录A.6.2.1中间件曰志业务类系统、平台类系统WebService 采集实时采集内容见附录A.6.2.2数据库日志数据库日志业务类系统、平台类系统WebS

15、ervice 采集实时采集内容见附录A.6.3主机配置日志操作系统基本信息日志主机设备Agent采集次/24小时采集内容见附录A.5.1主机进程信息日志主机设备Agent采集次/2小时采集内容见附录A.5.2主机登录日志主机设备Agent采集次/2小时采集内容见附录A.5.3主机端口信息日志主机设备Agent采集次/2小时采集内容见附录A.5.4高危端口开放告警日志主机设备Agent采集实时采集内容见附录A.5.5操作系统不合规告警日志主机设备Agent采集实时采集内容见附录A.5.65Q/GDW 12110-2021表1（续）采集类型采集项采集来源设备/系统采集方式采集频次采集内容主机配置日

16、志第三方软件信息日志主机设备Agent采集次/24小时采集内容见附录A.5.7主机开放服务信息日志主机设备Agent采集次/2小时采集内容见附录A.5.8主机计划任务信息日志主机设备Agent采集次/24小时采集内容见附录A.5.9主机补丁信息日志主机设备Agent采集次/24小时采集内容见附录A.5.10数据库软件基本信息曰志主机设备Agent采集次/24小时采集内容见附录A.5.11中间件软件基本信息曰志主机设备Agent采集次/24小时采集内容见附录A.5.12主机文件完整性监视信息告警日志主机设备Agent采集实时采集内容见附录A.5.13主机系统安全审计告警日志主机设备Agent采集

17、实时采集内容见附录A.5.14主机用户信息日志主机设备Agent采集次/24小时采集内容见附录A.5.15主机自启动项信息日志主机设备Agent采集次/24小时采集内容见附录A.5.16终端配置日志桌面终端指标信息日志桌面终端管理系统WebService 采集实时采集内容见附录A.8.1.1桌面终端管理系统基本信息日志桌面终端管理系统WebService 采集次/24小时采集内容见附录A.8丄2桌面终端告警日志桌面终端管理系统WebService 采集实时采集内容见附录A.8.1.3桌面终端软件信息日志桌面终端管理系统WebService 采集次/24小时采集内容见附录A.8丄4桌面终端未打重

18、要补丁曰志桌面终端管理系统WebService 采集次/24小时采集内容见附录A.8.1.5桌面终端私接网络设备告警日志桌面终端管理系统WebService 采集次/24小时采集内容见附录A.8丄6桌面终端准入事件 审计信息日志桌面终端管理系统WebService 采集次/24小时采集内容见附录A.8.1.7采集类型采集项采集来源设备/系统采集方式采集频次采集内容终端配置日志移动安全监测系统基本信息日志移动安全监测系统WebService 采集次/24小时采集内容见附录A.8.2.1移动终端告警日志移动安全监测系统WebService 采集实时采集内容见附录A.8.2.2移动安全监测系统应用告

19、警日志移动安全监测系统WebService 采集实时采集内容见附录A.8.2.3移动终端运行状态信息日志移动安全监测系统WebService 采集次/24小时采集内容见附录A.8.2.4移动安全监测系统策略配置变更信息日志移动安全监测系统WebService 采集次/24小时采集内容见附录A.8.2.5业务系统日志用户操作日志业务类系统WebService 采集实时采集内容见附录A.7.1业务系统通用格式日志业务类系统WebService 采集实时采集内容见附录A.7.25.5非功能性采集要求5. 5. 1性能要求采集接入时应满足如下性能要求:a)b)接入的系统及设备应支持7*24小时持续稳定

20、的数据交换；数据因故无法传输时，接入的系统及设备应支持将未发送的数据进行本地存储，待传输条件恢 复后，支持将未发送数据重新发送。5.5.2数据质量要求采集接入时应满足如下数据质量要求：a）提交的数据应按照附录A规定的格式和内容传输；b）实时数据产生后，应即时将信息发出，响应时间应在100ms内；c）被采集的系统及设备自身时间应与UTC标准时间误差在1ms内。 5.5.3数据加密要求采集接入时应满足如下加密要求：a）对敏感信息的传输，使用国密算法对整体进行加密；b）用户口令、会话密钥等相关内容必须加密。5. 6采集数据基本格式附录A中各类设备系统报送的格式应满足如下基本格式要求:7Q/GDW 1

21、21102021a）应采用UTF-8编码格式进行数据传输；b）对于整数类型格式，要求以10或者16为基底编码，以10为基底的整数编码使用阿拉伯数字"0" 到"9"，以及可选符号"+"或者以16为基底的编码使用阿拉伯数字"0"到"9"，以及"a"到"f"， 并且在前面加上字符"Ox"c）对于时间类型格式，要求应格式化为标准格式：YYYY-MM-DD HH:mm:ss；d）对于IP地址类型格式，要求IPv4地址记录格式应格式化为点分十进制，

22、IPv6地址记录格式应 格式化为点分十六进制，IP地址有多个时如无特殊要求选择第一个报送；e）对于MAC地址类型格式，要求应格式化为十六进制格式：AA-BB-CC-DD-EE-FF, MAC地址有多 个时如无特殊要求选择第一个报送；f）对于空字符数据格式，要求将空字符所在字段置为：#Q/GDW 121102021表A. 2（续）附录A（资料性附录）各类设备系统报送内容格式A. 1边缘物联代理信息采集内容A. 1.1边缘物联代理主机信息日志A. 1.1.1边缘物联代理主机进程日志边缘物联代理主机进程日志的采集方式为agent采集/消息总线监听采集，频率为次/2小时。内容格 式要求见表A.1。表A

23、. 1边缘物联代理主机主机数据日志内容格式要求内容项说明格式主机IP应记录主机的IP地址。IP地址类型进程ID应记录该进程的ID号。字符类型进程名称应记录该进程的名称。字符类型内存应记录进程占用内存大小。字符类型cpu应记录进程占用cpu百分比。字符类型进程启动时间应记录进程启动的时间。时间类型采集时间应记录日志采集的时间。时间类型父进程应记录父进程ID号。字符类型进程路径应记录进程路径。字符类型A.1.1.2边缘物联代理主机开放端口曰志边缘物联代理主机开放端口日志的采集方式为agent采集/消息总线监听采集，频率为次/2小时。内 容格式要求见表A.2。表A.2边缘物联代理主机主机开放端口日志

24、内容格式要求内容项说明格式主机IP应记录主机的IP地址。IP地址类型端口应记录开放的端口号。字符类型协议应记录端口对应的协议。字符类型内容项说明格式进程应记录端口对应的进程。字符类型进程路径应记录端口对应的进程路径。字符类型进程启动时间应记录进程启动的时间。时间类型采集时间应记录日志采集的时间。时间类型A.1.1.3边缘物联代理主机服务日志边缘物联代理主机主机服务日志的采集方式为agent采集/消息总线监听采集，频率为次/2小时。内 容格式要求见表A.3。表A.3边缘物联代理主机主机服务日志内容格式要求内容项说明格式主机IP应记录主机的IP地址。IP地址类型服务名称应记录服务名称。字符类型服务

25、进程应记录服务对应的进程。字符类型进程ID应记录进程的ID号。字符类型状态应记录服务开启状态，0=否，1=是。整数类型是否自启动应记录服务是否是自启动，0=否，1=是。整数类型自启动脚本如果是自启动，应记录自启动名称。字符类型采集时间应记录日志采集的时间。时间类型A.1.1.4边缘物联代理主机主机安全事件日志边缘物联代理主机安全事件日志的采集方式为agent采集/消息总线监听采集，频率为实时。内容格 式要求见表A.4。表A.4边缘物联代理主机安全事件日志内容格式要求内容项说明格式主机IP应记录主机的IP地址。IP地址类型主机名应记录主机的hostname。字符类型事件级别应记录主机安全事件命中

26、规则的事件级别。整数类型事件描述应记录主机安全事件描述信息。字符类型#Q/GDW 121102021内容项说明格式规则ID应记录主机安全事件命中规则的ID。整数类型记录安全事件分类标签应记录主机安全事件的分类标签，安全事件有多个标签。数组类型时间应记录安全事件发生的时间。时间类型源IP应记录触发安全事件的源IP地址。IP地址类型进程名应记录触发安全事件的进程名称。字符类型日志路径应记录命中规则的原始日志路径。字符类型原始日志内容应记录原始日志的内容。字符类型A.1.2物联网终端探测日志A. 1.2. 1终端活跃资产日志终端活跃资产日志的采集方式为Nmap扫描，频率为次/24小时。内容格式要求见

27、表A.5。 表A.5终端探测日志内容格式要求内容项说明格式主机IP应记录扫描主机的IP地址。IP地址类型扫描时间应记录扫描时间。时间类型局域网段应记录扫描的局域网段。字符类型活跃资产IP应记录活跃终端资产IP。数组类型A. 1.2.2终端开放端口服务日志终端开放端口服务日志的采集方式为Nmap扫描，频率为次/24小时。内容格式要求见表A.6。 表A.6终端开放端口服务日志内容格式要求内容项说明格式扫描主机IP应记录扫描主机的IP地址。IP地址类型扫描时间应记录扫描时间。时间类型被扫描终端IP应记录被扫描终端的IP地址。IP地址类型端口号应记录终端开放的端口号。字符类型服务名称应记录端口对应的服

28、务名称。字符类型A.1.3消息总线订阅日志消息总线订阅日志的采集方式为消息总线监听，频率为实时。内容格式要求见表A.7。 表A. 7消息总线订阅日志内容格式要求内容项说明格式主机IP应记录服务总线主机的IP地址。IP地址类型数据时间应记录数据产生时间。时间类型主题topic应记录消费数据的主题topic。字符类型数据内容应记录这条数据的内容。字符类型A. 2网络安全监测装置信息采集内容A.2. 1流量告警日志流量告警日志的采集方式为网卡抓包采集，频率为实时。内容格式要求见表A.8。表A.8流量告警日志内容格式要求内容项说明格式HTTP时间应HTTP告警日志的标准时间。时间类型流编号应以数值形式

29、记录流编号。整数类型入接口应记录流量的入接口。字符类型网络流类型应记录告警类型。字符类型源IP应记录攻击源IPv4或IPv6地址。IP地址类型源端口应记录攻击源端口。整数类型目的IP应记录攻击目标IPv4或IPv6地址。IP地址类型目的端口应记录攻击目标端口。整数类型源MAC应记录攻击源的MAC地址。字符类型目的MAC应记录攻击目标的MAC地址。字符类型协议应记录使用的协议，当出现检测不出的情况，该字段填充 为空字串用以表示"其他"。字符类型HTTP方法应记录HTTP方法字符类型HTTP状态应记录HTTP状态。整数类型#Q/GDW 121102021表A. 9（续）内容项说

30、明格式HTTP-UA应记录HTTP请求的UA信息。字符类型URL应记录URL。字符类型HTTP信息应记录hostname。字符类型包长度应记录包长度。字符类型分类应记录alert告警的分类。字符类型严重度应记录告警的严重程度，即告警级别，1=低、2=中、3= 高。整数类型签名应记录流中的数字签名。字符类型动作应记录对此类告警的放行动作。字符类型SID应记录流中的数字签名ID。整数类型告警类型应记录对应的告警类型。字符类型包应记录包内容。字符类型payload应记录payload。字符类型便阅读payload应记录便于阅读的payload内容。字符类型A. 2. 2网络连接日志网络连接日志的采集

31、方式为网卡抓包采集，频率为实时。 内容格式要求见表A.9。表A.9网络连接日志内容格式要求内容项说明格式客户端到服务器字节数应以整数类型记录客户端到服务器字节数。整数类型服务器端到客户端字节数应以整数类型记录服务器端到客户端字节数。整数类型流创建时间应以标准时间类型记录流创建时间。时间类型流结束时间应以标准时间类型记录流结束时间。时间类型服务端IP应以IP地址类型记录服务端/受攻击目的IPv4或IPv6地址。IP地址类型服务端端口应以整数类型记录目的端口。整数类型内容项说明格式客户端IP应以IP地址类型记录客户端/攻击源IPv4或IPv6类型。字符类型客户端端口应以整数类型记录源端口。整数类型

32、协议应记录使用的协议，当出现检测不出的情况，该字段填充 为用以表示"其他"类型。字符类型网络流类型应以字符类型网络流类型。字符类型连接是否成功以整数类型记录连接是否成功，0=不成功,1=成功。整数类型内容应记录流量中的内容。字符类型A. 2. 3场景流量告警日志场景流量告警日志的采集方式为网卡抓包采集，频率为实时。 内容格式要求见表A.10。表A. 10场景流量告警日志内容格式要求内容项说明格式告警唯一标识ID应场景流量告警日志的唯一标识ID。整数类型首次告警时间应场景流量告警日志的标准时间。时间类型告警级别应记录告警的严重程度，即告警级别，1=低、2=中、3= 高。整数类

33、型场景ID应记录场景流量告警的ID。字符类型告警目标IP应记录告警攻击目标的IPv4或IPv6地址。字符类型告警源IP应记录告警攻击源的IPv4或IPv6地址。字符类型告警场景名称记录攻击目标IPv4或IPv6地址。字符类型告警建议应记录对告警的建议。字符类型告警特征应以字符串的形式记录次场景告警的特征信息。字符类型最新告警时间应记录最后一次攻击的标准时间。时间类型告警次数应记录此类场景告警发生的次数。整数类型A. 3安全设备信息采集内容A. 3. 1包过滤防火墙日志#Q/GDW 12110-2021A. 3. 1. 1包过滤防火墙访问控制策略曰志本项要求同Q/GDW/Z 11801-2018

34、 附录A.2.1.1。A.3. 1.2包过滤防火墙包过滤信息日志本项要求同Q/GDW/Z 11801-2018 附录A.2.1.2。A. 3. 1.3包过滤防火墙基本信息包过滤防火墙包过滤信息日志的采集方式为UDP采集，频率为次/24小时。 内容格式要求见表A.11。表A. 11包过滤防火墙基本信息内容格式要求内容项说明格式设备厂商应记录安全设备厂商规范品牌名称缩写。字符类型设备类型应以数值形式记录安全设备类型。0=其他安全设备，1= 防火墙，2=WEB应用防火墙，3=入侵防御，4=入侵检测， 5=信息网络安全隔离装置，6=电力物联网安全接入网关。整数类型曰志类型应以数值形式记录日志类型，1=

35、访问控制策略，2=防火墙 包过滤信息，3=基本信息。整数类型设备IPv4应记录安全设备IPv4地址。IP地址类型设备IPv6应记录安全设备IPv6地址。IP地址类型设备MAC应记录安全设备MAC地址。MAC地址类型A. 3. 2 WEB应用防火墙（WAF）日志A. 3.2. 1 WEB应用防火墙（WAF）基本信息日志本项要求同Q/GDW/Z 11801-2018 附录A.2.2.1。A. 3. 2. 2 WEB应用防火墙（WAF）告警日志本项要求同Q/GDW/Z 11801-2018 附录A.2.2.2。 A. 3.3入侵防御设备（IPS）日志本项要求同Q/GDW/Z 11801-2018 附

36、录A.2.3。A. 3.4入侵检测设备（IDS）日志本项要求同Q/GDW/Z 11801-2018 附录A.2.4。A.3.5信息网络安全隔离装置日志本项要求同Q/GDW/Z 11801-2018 附录A.2.5。15Q/GDW 121102021A. 3. 6电力物联网安全接入网关日志A. 3. 6. 1电力物联网安全接入网关基本信息日志电力物联网安全接入网关基本信息日志的采集方式为UDP采集，频率为次/24小时。内容格式要求 见表A.12。表A. 12电力物联网安全接入网关基本信息内容格式要求内容项说明格式设备厂商应记录安全设备厂商规范品牌名称缩写。字符类型设备类型应以数值形式记录安全设备

37、类型。0=其他 安全设备，1=防火墙，2=WEB应用防火 墙，3=入侵防御，4=入侵检测，5=信息网 络安全隔离装置，6=电力物联网安全接入 网关。整数类型日志类型应以数值形式记录日志类型，1=电力物联 网安全接入网关基本信息日志，2=电力物 联网安全接入网关策略配置更新日志，3=电力物联网安全接入网关告警日志。整数类型设备IPv4应记录信息外网安全交互网关报送基本信息日志时所使用的IP地址。IP地址类型设备IPv6应记录信息外网安全交互网关报送基本信息日志时所使用的IPV6地址。IP地址类型接入终端总数应记录信息外网安全交互网关已接入终 端总数。整数类型终端在线数应记录接入信息外网安全交互网

38、关的在 线终端数量。整数类型告警终端数应记录上次报送基本信息到当次报送基 本信息期间接入信息外网安全交互网关 的告警终端数量。整数类型标准化时间应以标准化时间类型格式记录报送日志 的时间。时间类型内存占用百分比应记录安全设备内存占用百分比，单位为1%O整数类型A. 3. 6. 2电力物联网安全接入网关策略配置更新日志电力物联网安全接入网关策略配置更新日志的采集方式为UDP采集，频率为次/24小时。 内容格式要求见表A.13。Q/GDW 12110-2021表A. 13电力物联网安全接入网关策略配置更新日志内容格式要求内容项说明格式设备厂商应记录安全设备厂商规范品牌名称缩写。字符类型设备类型应以

39、数值形式记录安全设备类型。0=其他 安全设备，1=防火墙，2=WEB应用防火 墙，3=入侵防御，4=入侵检测，5=信息网 络安全隔离装置，6=电力物联网安全接入 网关。整数类型日志类型应以数值形式记录日志类型，1=电力物联 网安全接入网关基本信息日志，2=电力物 联网安全接入网关策略配置更新日志，3=电力物联网安全接入网关告警日志。整数类型设备IPv4应记录安全设备IPv4地址。IP地址类型设备IPv6应记录安全设备IPv6地址。IP地址类型策略名称应记录安全设备策略名称。字符类型策略详情应记录策略详情。字符类型配置账号应记录配置策略的账号名称。字符类型配置时间应记录配置策略的具体时间。时间类

40、型A. 3. 6. 3电力物联网安全接入网关告警日志电力物联网安全接入网关告警日志的采集方式为UDP采集，频率为实时。 内容格式要求见表A.14。表A. 14终端告警日志内容格式要求内容项说明格式设备厂商应记录安全设备厂商规范品牌名称缩写。字符类型设备类型应以数值形式记录安全设备类型。0=其他 安全设备，1=防火墙，2=WEB应用防火 墙，3=入侵防御，4=入侵检测，5=信息网 络安全隔离装置，6=电力物联网安全接入 网关。整数类型17Q/GDW 121102021表A. 14（续）内容项说明格式日志类型应以数值形式记录日志类型，1=电力物联 网安全接入网关基本信息日志，2=电力物 联网安全接

41、入网关策略配置更新日志，3=电力物联网安全接入网关告警日志。整数类型设备IPv4应记录安全设备报送告警日志时所使用 的IPv4地址。IP地址类型设备IPv6应记录告警源IPv6地址。IP地址类型告警时间应记录安全设备告警时间。时间类型源IP应记录告警源IPv4或IPv6地址。IP地址类型终端证书DN应记录告警终端证书Distinct Name。字符类型告警级别安全设备告警日志应分为高、中、低三个 级别，应以数值形式记录，1=低，2=中， 3=高。整数类型标准类别应按照公司相关分类要求记录规定的标 准分类类别。字符类型告警类型应以数值形式记录告警类型。整数类型告警子类应以数值形式记录告警子类型。

42、整数类型A. 4网络设备信息采集内容A. 4. 1交换机日志本项要求同Q/GDW/Z 11801-2018 附录A.1.1。A. 4.2路由器日志本项要求同Q/GDW/Z 11801-2018 附录A.1.2。A.5主机设备信息采集内容A.5. 1操作系统基本信息日志操作系统基本信息日志的采集方式为agent采集，频率为次/24小时。 内容格式要求见表A.15。19Q/GDW 121102021表A.16（续）内容项说明格式日志类型应以数值形式记录日志类型，hostinfo=M作系统基本信字符类型主机IPv4应记录主机IP地址，主机存在多个IP地址时以逗号分隔。IP地址类型主机IPv6应记录主

43、机IP地址，主机存在多个IPv6地址时以逗号分隔。IP地址类型主机名应记录主机的主机名称。字符类型操作系统类型应记录操作系统名称，包括但不限于以下类型：Windows NT Server> Windows Server 2003、Windows Server 2008> SUNSolaris、IBM-AIX、HP-UX、FreeBSD> OS X Server、Red Hat Linux> CentOS > Debian和Ubuntu等。字符类型内核版本应记录操作系统内核信息，如redhat6.8的内核为： 2.6.32-642.el6.x86_64o字符类型CP

44、U信息应记录主机CPU情况，包括核数、主频等信息。字符类型内存信息应记录主机的内存使用情况，包括使用内存和总内存，之 间使用双井号分隔。字符类型硬盘信息应记录主机的硬盘使用情况，包括使用硬盘和总硬盘，之 间使用双井号分隔。字符类型MAC地址应记录主机MAC地址，主机存在多个MAC地址以逗号分 隔。MAC地址类型账户信息应记录主机下的所有账户列表，多个账户之间以逗号分 隔。字符类型agent版本应记录运行在主机上的agent版本的信息。字符类型agent状态应记录agent运行状态，0=停止1=运行中。整数类型采集时间应记录该条日志信息的采集时间。时间类型A.5.2主机进程信息日志主机进程信息日

45、志的采集方式为agent采集，频率为次/2小时。 内容格式要求见表A.16。表A. 16主机进程信息日志内容格式要求内容项说明格式日志类型应以字符形式记录日志类型，host_process=主机进程信息 日志。字符类型内容项说明格式主机IPv4应记录主机IPv4地址，多IP时只记录第一个IP地址。IP地址类型主机IPv6应记录主机IPv6地址，多IP时只记录第一个IP地址。IP地址类型进程ID应记录进程ID。整数类型帐户名称应记录进程执行的账户名称。字符类型进程名称应记录进程的进程名称。字符类型内存应记录进程占用的内存大小。字符类型CPU应记录进程占用的CPU大小。字符类型进程启动时间应记录进

46、程启动的时间。字符类型父进程应记录启动进程的父进程ID。整数类型动态库应记录进程依赖的所有动态库。字符类型进程状态应填写进程的状态，1=正在运行，2=处于休眠状态，3= 停止或被追踪，4=僵尸进程，5=进入内存交换，6=死掉的 进程。整数类型进程路径应记录进程启动的路径。字符类型采集时间应记录该条日志信息的采集时间。时间类型A. 5. 3主机登录日志主机登录日志的采集方式为agent采集，频率为次/2小时。 内容格式要求见表A.17。表A. 17主机登录日志内容格式要求内容项说明格式日志类型应以字符形式记录日志类型，host_loginlog=主机登录日字符类型主机IPv4应记录被登录主机IP

47、v4地址。IP地址类型主机IPv6应记录被登录主机IPv6地址。IP地址类型账户名称应记录登录主机的账户名称。字符类型登录时间应记录用户登录主机的时间。时间类型帐户角色应记录登录主机账户所在的角色。字符类型登录IP应记录用户登录主机所用设备的IP地址。IP地址类型23Q/GDW 12110-2021表A. 20（续）内容项说明格式登录方式应记录用户登录方式，本地、远程。字符类型登录结果应记录登录结果，0=失败，1=成功。字符类型采集时间应记录该条日志信息的采集时间。时间类型A. 5. 4主机端口信息日志主机端口信息日志的采集方式为agent采集，频率为次/2小时。 内容格式要求见表A.18。表

48、A. 18主机端口信息日志内容格式要求内容项说明格式日志类型应以字符形式记录日志类型，host_port=主机端口信息日 志。字符类型主机IPv4应记录主机IPv4地址。IP地址类型主机IPv6应记录主机IPv6地址。IP地址类型端口应记录主机开放的一条端口信息。整数类型协议应记录端口对应的协议类型。字符类型进程应记录创建端口的进行名称。字符类型进程路径应记录进程的路径。字符类型进程创建时间应记录进程创建的时间。时间类型采集时间应记录该条日志信息的采集时间。时间类型A. 5. 5高危端口开放告警日志高危端口开放告警日志的采集方式为agent采集，频率为实时。内容格式要求见表A.19。 表A.

49、19高危端口开放告警日志内容格式要求内容项说明格式日志类型应以字符形式记录日志类型，host_portopen=高危端口开放 日志。字符类型主机IPv4应记录主机IPv4地址。IP地址类型内容项说明格式主机IPv6应记录主机IPv6地址。IP地址类型高危端口号应记录主机开放高危端口号，多个端口号用逗号分隔。字符类型风险描述应记录开放高危端口的风险描述。字符类型扫描时间（审计时间）应记录安全基线合规系统扫描发现高危端口开放的时间。时间类型扫描批次应记录扫描时间的长整型数据。整数类型操作系统类型应记录操作系统名称，包括但不限于以下类型：Windows NT Server> Windows S

50、erver 2003、Windows Server 2008> SUNSolaris、IBM-AIX、HP-UX、FreeBSD、OS X Server、Red Hat Linux> CentOS > Debian和Ubuntu等。字符类型资源类型应记录主机的类型，主机设备。字符类型威胁级别应记录威胁级别：低，中，高。字符类型对应进程应记录占用高危端口的进程名称，多个进程用逗号分隔。字符类型进程路径应记录占用高危端口的进程路径，多个进程路径用逗号分 隔。字符类型端口对应服务应记录占用高危端口的对应服务，多个进程服务用逗号分 隔。字符类型A. 5. 6操作系统不合规告警日志操作系统不合规告警日志的采集方式为agent采集，频率为实时。 内容格式要求见表A.20。表A.20操作系统不合规告警日志内容格式要求内容项说明格式日志类型应以字符形式记录日