电力二次系统安全监控日志规范

电力二次系统安全监控日志规范（征求意见稿）国家电力调度通信中心2011年3月目 录1.概述32.词汇表33.告警格式定义33.1.告警级别43.2.告警时间43.3.设备名称43.4.设备类型43.5.内容描述53.5.1.防火墙53.5.2.横向隔离装置83.5.3.纵向加密认证装置103.5.4.服务器133.5.5.防病毒系统153.5.6.入侵检测系统164.网络传输16第 16 页 共 16 页1. 概述随着电力二次系统安全防护工作不断深入，智能电网调度技术支持系统逐步推广建设，电力二次系统安全监控即将在各网、省调建设推广，为加强对安全设备的监控管理，适应技术发展及调度生产管理的需要，制定本规范。本规范遵照电力二次系统安全防护总体方案要求，参考Syslog(IETF RFC 3164)格式，在电力二次系统内网安全监控中实现安全设备的告警日志在线采集功能。本规范中定义的告警类型为各厂家安全设备必须实现的告警类型。2. 词汇表词汇名称词汇含义备注SyslogSyslog最初在加州伯克力大学TCP/IP系统（BSD）实现,用于跨网络的事件消息传送。由于它的可配置和易用性，已经在广泛的领域得到广泛应用，包括所有类型的Unix、Linux操作系统和基于它们的应用程序，包括CISCO路由器产品。简单易用RFC 31642001年8月IETF(The Internet Engineering Task Force) RFC 3164对Syslog进行了完整述。3. 告警格式定义电力二次系统安全监控日志格式定义如下：告警时间设备名称设备类型内容描述其中加阴影底色的日志类型为告警日志，其余为审计日志。告警日志为紧急和重要级别，一般用于电力二次系统重大安全事件的实时告警；审计日志为次要和通告级别，一般用于电力二次系统运行情况的事后统计分析。在电力二次系统内网安全监控中使用开关模式控制接收日志的类型。默认只有告警日志写入数据库，当审计开关打开后，开始接收审计日志，并写入数据库，直到审计开关关闭为止。3.1. 告警级别根据告警级别定义，约束相关过滤条件。通过筛选和过滤等手段，严格控制告警信息发布数量,分析并准确报送重要告警信息。表示告警事件的紧急或者严重程度，采用如下4个值。0EMERG(0)紧急(0)1ERR (1)重要(1)2WARNNING (2)次要(2)3NOTICE (3)通告(3)例如： 2006-03-12 20:12:23 fw01 FW 0 System EXCEPTION 安全设备异常属于重要告警，需要马上处理。3.2. 告警时间告警发生日期和时间格式YYYY-MM-DD HH:MM:SS，YYYY表示年份，MM为月份，DD是日期。24小时制，有效值为(00-23)，MM和SS的值的范围为(00-59)。月、日、时、分、秒各2个字符，小于10时十位应补0。例如： 2006-03-12 20:12:23 fw01 FW 0 System EXCEPTION 。 3.3. 设备名称标识产生告警事件的主机名字或者是主机IP地址。例如： 2006-03-12 20:12:23 fw01 FW 0 System EXCEPTION fw01为安全设备名称，也可以用设备IP地址描述。3.4. 设备类型描述告警源的设备类型，是一个不超过32个字符的字符数字集。例如： 2006-03-12 20:12:23 fw01 FW 0 System EXCEPTION设备类型FW为防火墙，设备类型定义如下表：FW防火墙 IDS/IPS入侵检测/保护系统 FID横向正向隔离装置 BID横向反向隔离装置VEAD纵向加密认证装置 SVR服务器 AV防病毒系统 3.5. 内容描述内容描述是日志的具体内容，其格式如下：注：某些类型安全设备日志不具有子类型；以下告警内容中描述语言仅为示意，使用蓝色字体标明该部分具体内容可由各厂商自行决定。33.43.53.5.1. 防火墙3.5.1.1. 管理日志子类型定义如下：1 用户登录成功 告警级别：通告（3） 日志子类型：1 内容格式：用户名源地址 示例： 2006-03-12 20:12:23 fw01 FW 0 1 admin 10.1.1.12 用户退出 告警级别：通告（3） 日志子类型：2 内容格式：用户名源地址 示例： 2006-03-12 20:12:23 fw01 FW 0 2 admin 10.1.1.13 用户登录失败 告警级别：次要（2） 日志子类型：3 内容格式：用户名源地址 示例： 2006-03-12 20:12:23 fw01 FW 0 3 shtest 10.1.1.14 修改策略 告警级别：次要（2） 日志子类型：4 内容格式：用户名源地址修改内容（包含策略ID） 示例： 2006-03-12 20:12:23 fw01 FW 0 4 admin 10.1.1.1 Rule 20 added, permit tcp packets from 10.10.10.0/24 to 20.20.20.0/243.5.1.2. 系统日志子类型定义如下：1 CPU利用率 CPU利用率1分钟输出一次平均值，内网安全监控只记录超过系统设定阈值的告警日志。以下所有安全设备的CPU利用率和内存使用率与此相同。【num%】 告警级别：通告（3） 日志子类型：1 示例： 2006-03-12 20:12:23 fw01 FW 1 1 80% 2 内存使用率【num%】 告警级别：通告（3） 日志子类型：2 示例： 2006-03-12 20:12:23 fw01 FW 1 2 80% 3 防火墙电源故障 告警级别：紧急（0） 日志子类型：3 示例： 2006-03-12 20:12:23 fw01 FW 1 3 Power_Supply_Error4 防火墙风扇故障 告警级别：紧急（0） 日志子类型：4 示例： 2006-03-12 20:12:23 fw01 FW 1 4 Fan_Error5 防火墙温度异常 告警级别：重要（1） 日志子类型：5 示例： 2006-03-12 20:12:23 fw01 FW 1 5 Temperature_Over_Limit 65C6 网口状态异常（包含网口物理状态和逻辑状态） 告警级别：次要（2） 日志子类型：7 示例： 2006-03-12 20:12:23 fw01 FW 1 7 Eth1 Link down7 网口状态恢复 告警级别：次要（2） 日志子类型：8 示例： 2006-03-12 20:12:23 fw01 FW 1 8 Eth1 Link up3.5.1.3. 安全日志子类型定义如下：1 不符合安全策略访问 告警级别：重要（1） 日志子类型：1 内容格式：协议源IP地址源端口目的IP地址目的端口 示例： 2006-03-12 20:12:23 fw01 FW 3 1 TCP 10.1.1.1 4099 10.2.2.2 802 攻击告警 告警级别：紧急（0） 日志子类型：2 内容格式：协议攻击类型攻击源IP地址攻击源端口攻击目标IP地址攻击目标端口 示例： 2006-03-12 20:12:23 fw01 FW 3 2 UDP dos-attack 192.168.2.200 8081 192.168.2.214 80 2006-03-12 20:12:23 fw01 FW 3 2 TCP ddos-attack 192.168.2.200 8081 192.168.2.214 80 2006-03-12 20:12:23 fw01 FW 3 2 ICMP port-scan-attack 192.168.2.200 8081 192.168.2.214 803.5.2. 横向隔离装置3.5.2.1. 系统日志子类型定义如下：1 CPU利用率【num%】 告警级别：通告（3） 日志子类型：3 示例： 2006-03-12 20:12:23 gddev001 FID 0 3 85%2 内存使用率【num%】 告警级别：通告（3） 日志子类型：4 示例： 2006-03-12 20:12:23 gddev001 FID 0 4 75%3 系统登录 告警级别：通告（3） 日志子类型：5 内容格式：用户名内容描述 示例： 2006-03-12 20:12:23 gddev001 FID 0 5 root system_login4 修改设备配置 告警级别：次要（2） 日志子类型：6 示例： 2006-03-12 20:12:23 gddev001 FID 0 6 policy changed3.5.2.2. 安全日志子类型定义如下：1 不符合安全策略访问 告警级别：重要（1） 日志子类型：1 内容格式：协议源IP地址源端口目的IP地址目的端口 示例： 2006-03-12 20:12:23 gddev001 FID 2 1 TCP 10.10.10.1 4099 10.10.30.2 803.5.3. 纵向加密认证装置3.5.3.1. 管理日志子类型定义如下：1 用户登录成功 告警级别：通告（3） 日志子类型：1 内容格式：用户名 示例： 2006-03-12 20:12:23 vead01 VEAD 0 1 admin2 用户登录失败 告警级别：次要（2） 日志子类型：2 内容格式：用户名 示例： 2006-03-12 20:12:23 vead01 VEAD 0 2 shtest3 修改配置 告警级别：次要（2） 日志子类型：3 内容格式：配置ID 示例： 2006-03-12 20:12:23 vead01 VEAD 0 3 1 配置ID： 1：系统配置 2：IP配置3：路由配置 4：策略配置 5：隧道配置 6：装置管理配置 7：更新证书4 用户退出 告警级别：通告（3） 日志子类型：4 内容格式：用户名 示例： 2006-03-12 20:12:23 vead01 VEAD 0 4 admin3.5.3.2. 系统日志子类型定义如下：1 CPU利用率【num%】 告警级别：通告（3） 日志子类型：2 示例： 2006-03-12 20:12:23 vead01 VEAD 1 2 50% cpu loadavg2 内存使用率【num%】 告警级别：通告（3） 日志子类型：3 示例： 2006-03-12 20:12:23 vead01 VEAD 1 3 65%3 网口状态异常 告警级别：次要（2） 日志子类型：6 示例： 2006-03-12 20:12:23 vead01 VEAD 1 6 ETH1 down4 网口状态恢复 告警级别：次要（2） 日志子类型：7 示例： 2006-03-12 20:12:23 vead01 VEAD 1 7 ETH1 up5 备机心跳丢失 告警级别：紧急（0） 日志子类型：8 示例： 2006-03-12 20:12:23 vead01 VEAD 1 8 BackDevice HeartBeat Lost3.5.3.3. 安全日志子类型定义如下：1 隧道建立错误 告警级别：紧急（0）、重要（1） 日志子类型：1 内容格式：错误ID本地隧道地址远端隧道地址错误内容 示例： 2006-03-12 20:12:23 vead01 VEAD 2 1 1 10.1.1.1 10.1.1.1 RSA Decrypted Error 2006-03-12 20:12:23 vead01 VEAD 2 1 2 10.1.1.1 10.1.1.1 RSA Verify Error 2006-03-12 20:12:23 vead01 VEAD 2 1 3 10.1.1.1 10.1.1.1 Cert Not exist 2006-03-12 20:12:23 vead01 VEAD 2 1 4 10.1.1.1 10.1.1.1 NO Such Tunnel 2006-03-12 20:12:23 vead01 VEAD 2 1 5 10.1.1.1 10.1.1.1 RSA Encrypted Error 2006-03-12 20:12:23 vead01 VEAD 2 1 6 10.1.1.1 10.1.1.1 RSA Sign Error 2006-03-12 20:12:23 vead01 VEAD 2 1 7 10.1.1.1 10.1.1.1 VPN Disabled 2006-03-12 20:12:23 vead01 VEAD 2 1 8 10.1.1.1 10.1.1.1 VPN Created 错误ID：1：私钥解密错误*2：验证签名错误*3证书不存在*4：隧道没有配置*5：公钥加密错误*6：私钥签名错误*7：隧道由密通变明通8：隧道由明通变密通2 装置链路异常2.1 不符合安全策略的访问告警 告警级别：重要（1） 日志子类型：7 内容格式：异常ID源IP地址源端口目的IP地址目的端口 示例： 2006-03-12 20:12:23 vead01 VEAD 2 7 8 192.168.2.200 5400 192.168.2.214 80 异常ID：8：不符合安全策略的访问3.5.4. 服务器3.5.4.1. 外设接入1 移动介质配置信息 告警级别：次要（2） 日志类型：0 内容格式：移动介质的盘符 示例： 2006-03-12 20:12:23 WEB01 SVR 0 /dev/sdb3.5.4.2. 网络连接子类型定义如下：1 启动不在安全策略范围内的监听服务 告警级别：紧急（0） 日志子类型：1 内容格式：监听IP地址监听端口 示例： 2006-03-12 20:12:23 WEB01 SVR 1 1 127.0.0.1 222 不符合IP安全策略的网络连接 告警级别：重要（1） 日志子类型：2 内容格式：源IP地址源端口目的IP地址目的端口 示例： 2006-03-12 20:12:23 WEB01 SVR 1 2 10.1.1.1 4099 10.2.2.2 803 不符合端口安全策略的网络连接 告警级别：重要（1） 日志子类型：3 内容格式：源IP地址源端口目的IP地址目的端口 示例： 2006-03-12 20:12:23 WEB01 SVR 1 3 10.1.1.1 4099 10.2.2.2 803.5.4.3. 系统应用子类型定义如下：1 系统关键进程退出 告警级别：紧急（0） 日志子类型：1 内容格式：进程名称 示例： 2006-03-12 20:12:23 WEB01 SVR 2 1 /usr/sbin/sshd2 不在安全策略范