应用系统安全日志标准V1.0

1、 . . 8/8四川长虹虹微公司发布 实施 发布应用系统安全日志标准四川长虹电器股份虹微公司管理文件目录TOC o 1-3 h z uHYPERLINK l _Toc4826228151概况 PAGEREF _Toc482622815 h 2HYPERLINK l _Toc4826228161.1目的 PAGEREF _Toc482622816 h 2HYPERLINK l _Toc4826228171.2适用围 PAGEREF _Toc482622817 h 2HYPERLINK l _Toc4826228182正文 PAGEREF _Toc482622818 h 2HYPERLINK l

2、_Toc4826228192.1总体原则 PAGEREF _Toc482622819 h 2HYPERLINK l _Toc4826228202.2通用要求 PAGEREF _Toc482622820 h 3HYPERLINK l _Toc4826228212.2.1登录日志 PAGEREF _Toc482622821 h 3HYPERLINK l _Toc4826228222.2.2用户管理日志 PAGEREF _Toc482622822 h 3HYPERLINK l _Toc4826228232.2.3角色/权限管理日志 PAGEREF _Toc482622823 h 4HYPERLINK

3、 l _Toc4826228242.2.4系统配置操作 PAGEREF _Toc482622824 h 5HYPERLINK l _Toc4826228252.3应用数据操作日志 PAGEREF _Toc482622825 h 6HYPERLINK l _Toc4826228262.3.1业务敏感信息操作日志 PAGEREF _Toc482622826 h 6HYPERLINK l _Toc4826228273检查计划 PAGEREF _Toc482622827 h 8HYPERLINK l _Toc4826228284解释 PAGEREF _Toc482622828 h 8HYPERLINK

4、 l _Toc4826228295附录 PAGEREF _Toc482622829 h 8概况目的为接入到日志集中管理平台的应用系统的安全日志记录要求提供参考，以便和第三方日志集中管理平台进行对接，满足日志集中管理项目需求适用围公司所有业务系统正文总体原则所有应用系统应记录根据本规记录通用类日志，具体见2.2所述；所有应用系统应记录系统中的各类敏感信息记录操作日志，具体见2.3所述；研发人员需要根据本规要求（本规中的字段命名以与表名供参考），对安全日志进行统一格式设计与输出；本文档标注为*的字段表示如无法获取此字段，则不要求记录。关于日志存储的方案，优先采用文本文件的形式存储在本地磁盘，其次可

5、以选择存储在数据库；日志的保存策略，默认为3+1天,滚动式的存储；在采用文本文存储日志在本地磁盘时，需统一放至：/app/applogs/$instance/auditlog目录下，日志文件名的格式如：audit_日期_数字编号.log，例如：audit_20150722_1.log；文本文件存储的日志格式如下：日志类型u0000版本号u0000字段1值u0000字段2值.字段n值u0000r示例：(以一条登录日志为例)1u00001u00002007-08-28 00:52:10u0000157556u0000CASu0000BSPu000010.0.22.33u000010.0.13.38

6、u0000主机名（自定义）u000000:15:C5:79:7E:F7u0000013u0000Successu0000u0000r具体说明：各字段由不可见字符u0000进行分隔；日志记录以u0000r结束；如果某个字段的值为空，或者没有值，分隔符u0000不可省略，照常输出；不同类型的日志都有各自的日志类型和版本号，具体见各日志章节的说明；不同类型的日志的字段输出顺序是有要求的，具体见各日志章节记录字段表格中的字段顺序；数据库存储要求参见各章节的说明；通用要求登录日志要求：记录用户成功/失败的认证/登录、正常退出、超时退出的活动；规：输出格式中的日志类型值为1，版本号为1记录字段说明：字段名

7、类型描述字段顺序备注Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_user_nameVarchar2(40)操作人员的账号名2填写：标识账号名Source_AppVarchar2(256)源系统编码3例如：web、客户端、iOS、Android，如果在系统职责矩阵表中，则使用职责矩阵表中的系统编号Destination_AppVarchar2(256)目标系统编码4见职责矩阵表中的系统编号（如果只登录没有跳转，则记为该系统本身）dst_ipVarchar2(256)服务端

8、应用ip或者域名5例如：192.168.100.41（记录中间件实例IP）或域名src_ip(*)Varchar2(16)源IP6例如：192.168.100.40,手机应用如记录不到源ip则不要求记录Computer_name(*)Varchar2(256)客户端计算机名称7计算机名称src_mac(*)Varchar2(256)源MAC地址8例如：00:15:C5:79:7E:F7Oper_nameVarchar2(16)操作名称9填写：login/logout/超时退出，见附录操作编码表Oper_resultVarchar2(256)操作结果10填写：1 Success, 0 Failf

9、ail_reason(*)Varchar2(256)失败原因11填写：例如timeout，密码不对等用户管理日志要求：记录用户的增删改以与密码的修改和重置等活动；规：输出格式中的日志类型值为2，版本号为1 记录字段要求如下字段名类型描述字段顺序备注Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_user_nameVarchar2(40)操作人员的账号名2填写：账号名，例如adminUser_nameVarchar2(16)被操作的账号3填写：记录被操作的账号username

10、，例如admini,如果操作者为自身，则该项记录为自己Source_AppVarchar2(256)记录从哪个应用发起请求4见职责矩阵表中的系统编号Destination_AppVarchar2(256)记录被操作的目的应用5见职责矩阵表中的系统编号dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP）域名Oper_typeVarchar2(16)操作类型7填写：操作名称(查询/修改/等，以标准的英文命名Add/delete/disable/changepasswd/resetpasswd/modify见附录操作编码表Oper_r

11、esultVarchar2(256)操作名称执行后的状态8填写：1 Success, 0 Fail角色/权限管理日志要求：记录针对用户的角色/权限的增删改等活动；规：输出格式中的日志类型值为3，版本号为1记录字段要求如下：字段名类型描述字段顺序说明Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_user_nameVarchar2(40)操作人员的账号名2填写：标识账号名User_nameVarchar2(40)被操作的账号3填写：记录被操作的账号username，例如adm

12、in，（注意：在记录角色对象的增、删、改时，该字段可以为空）Source_AppVarchar2(256)记录从哪个应用发起请求4例如：见职责矩阵表中的系统编号Destination_AppVarchar2(256)记录被操作的目的应用5例如：见职责矩阵表中的系统编号dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP）域名Oper_typeVarchar2(16)操作类型7新增、修改、删除、授权、取消授权，见附录操作编码表Oper_content_oldVarchar2(4000)旧权限/角色容8填写：旧权限/角色容Oper_c

13、ontent_newVarchar2(4000)新权限/角色容9填写：新权限/角色容Oper_resultVarchar2(256)操作名称执行后的状态10填写：1 Success, 0 Fail等系统配置操作要求：记录系统配置的增删改等活动（注：通过应用本身的配置界面进行调整的配置项）；规：输出格式中的日志类型值为4，版本号为1记录字段要求如下：字段名类型描述字段顺序备注Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_user_nameVarchar2(40)操作人员的账

14、号名2填写：标识账号名src_ipVarchar2(16)源IP3例如：192.168.100.40dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP）域名Source_AppVarchar2(30)记录从哪个应用发起请求5例如：web、客户端、iOS、Android或者职责矩阵表中的系统编号Destination_AppVarchar2(256)记录被操作的目的应用6见职责矩阵表中的系统编号Config_NameVarchar2(256)被操作的配置项的名称7/Oper_typeVarchar2(30)操作名称8填写：操作名称

15、(查询/修改/下载等，以标准的英文命名如query/ modify/delete等，见附录操作编码表Oper_content_oldVarchar2(256)旧参数容9填写：旧参数容Oper_content_newVarchar2(256)新参数容10填写：新参数容Oper_resultVarchar2(30)操作名称执行后的状态11填写：1 Success, 0 Fail等应用数据操作日志业务敏感信息操作日志规：输出格式中的日志类型值为6，版本号为1对应用系统涉与到敏感信息的操作（包括对敏感信息的增、删、改、查询），需对每个操作进行记录，每个操作每次记录一条日志每个敏感字段都有一个对应的编码

16、，具体见上述Excel表中的字段编码；上述要求仅针对人机交互的操作；应用系统之间的数据同步接口，如果涉与敏感数据，暂不用记录日志；图1，应用系统A需要记录日志图2，应用系统A、应用系统B暂不需要记录敏感信息日志；记录字段要求如下:字段名类型描述字段顺序备注Oper_timeTimestamp操作时间1统一格式为：yyyy-MM-dd hh:mm:ss小时制式：24小时制示例：2007-08-28 00:52:10Oper_useridVarchar2(32)操作的账号2填写：操作的账号Source_AppVarchar2(30)记录从哪个应用发起请求3见职责矩阵表中的系统编号Dest_AppV

17、archar2(30)记录被操作的目的应用4见职责矩阵表中的系统编号dst_ipVarchar2(256)服务端应用ip或者域名5例如：192.168.100.41（记录中间件实例IP），域名Request_typeVarchar2(256)接口名称6全类名.方法名Oper_typeVarchar2(32)操作类型7填写：操作类型(查询/修改/下载/发送等，以标准的英文命名如query/ modify/download等（增、删、改、查、导入、导出、打印。见附录操作编码表QUERY_OBJ_INFOVarchar2(256)记录敏感数据的容8记录要求：只记录敏感的字段，非敏感字段不用记录；记录

18、格式：字段1的编码:字段1的值u0010字段2的编码:字段2的值u0010.字段n的编码:字段n的值u0007每个字段间用不可见字符u0010分隔字段编码与值之间以英文冒号分隔每条记录以u0007结尾示例说明：用户进行了一次查单操作，服务器返回了2条运单数据，每条运单数据包含10个字段，其中有3个字段是敏感字段(运单号、收件人、联系)；日志的容为：035:u0010030:Bluce.Lieu0010029:u0007035:u0010030:Oscar.Xieu0010029:u0007Email(*)Varchar2(40)如果涉与对外发送客户信息，需要记录email地址9src_ipVarchar2(16)源IP10例如：192.168.100.40src_mac（*）Varchar2(32)源MAC地址11例如：00:15:C5:79:7E:F7Oper_contentVarchar2(256)操作参数12填写：记录各种操作的条件/参数 Oper_resultVarchar2(16)操作名