内生安全系统安全日志技术要求（征集意见稿）

1Xxxxx内生安全系统安全日志技术要求本要求规定了内生安全领域内的事件表达、事件记录、记录交换与存储、记录安全等内容，包括内生安全领域日志事件表达数据模型、日志事件表达语义、事件记录的数据载体、日志采集、日志存储、日志共享，以及所有涉及整个事件记录生命周期的管理规范。本文档适用于内生安全领域内的产品以及其派生品等日志信息提供方与需求方之间进行事件信息的生成、共享和使用。领域内产品的运维平台与安全威胁信息共享平台的建设与运营可参考使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。IETFRFC2119在RFC中用于指示要求级别的关键词(KeywordsforuseinRFCstoIndicateRequirementLevels)IETFRFC5424系统日志协议(TheSyslogProtocol)IETFRFC5234增强型的用语规范(AugmentedBNFforSyntaxSpecifications:ABNF)IETFRFC4627JSON要求（Theapplication/jsonMediaTypeforJavaScriptObjectNotation）ISO8601数据存储和交换形式·信息交换·日期和时间的表示方法(DateandTimeFormats)中华人民共和国主席令第53号中华人民共和国网络安全法3术语和定义本文件的术语与定义主要分为两部分，分别是规范的术语与定义、内生安全系统安全日志术语与定义。3.1系统日志或系统记录协议syslogsyslog常被称为系统日志或系统记录，是一种用来在互联网协议(TCP/IP)环境中传递记录档消息的要求协议，RFC文档编号为5424。3.2JavaScript对象表示法JavaScriptObjectNotation,JSON是一种互联网常用数据交换的文本格式，而不是一种编程语言。23.3UTF-88-bitUnicodeTransformationFormat8比特可变长度Unicode编码转换格式。3.4最大传输单元MaximumTransmissionUnit,MTU一般常见以太网的MTU为1500字节。3.5编码encoding每个编码声明都定义了如何使用特定语法将事件表达为构建成便于消费者解析的事件记录的过程。3.6解码decoding事件的消费者通过特定语法简单地解码的事件记录以获得原始事件信息的过程。3.7字段字典fieldtypesdictionary是应用于领域内的事件表达的字段和数据类型等信息的列表。3.8通用字段字典commonfieldtypesdictionary定义了跨拟态设备和应用程序类型的字段字典。3.9最佳实践字段字典specificfieldtypesdictionary定义了单个业务形态内拟态设备和应用程序中使用的字段字典。3.10事件分类法eventtaxonomy用于1个或多个类别对事件进行分类，用于明确事件的类型。3.11事件分类标签eventtaxonomylabel由一组类别以及最能描述事件的每个类别的标签值组成。3.12事件所属域event_domain3Xxxxx是事件发生的作用域。3.13事件动作event_action是描述事件发生的动作。3.14作用对象event_object事件的目标对象或影响的对象3.15服务类型event_service是事件涉及的服务或者操作类型3.16事件结果event_status是事件发生后产生的结果3.17事件意义event_subject是事件本身的产生的意义。3.18事件分类标签词汇表eventtaxonomylabeltable是内生安全领域内事件分类标签的受控词汇表。3.19通用事件分类标签表commoneventtaxonomylabeltable定义了跨拟态设备和应用程序类型的事件标签的受控词汇表。3.20最佳实践事件分类标签表specificeventtaxonomylabeltable定义了单个业务形态内拟态设备和应用程序中使用的事件标签的受控词汇表。3.21结构化数据structureddata一种数据表示形式，按此种形式，由数据元素汇集而成的每一个记录的结构都是一致的并且可以使用关系模型予以有效描述。3.224非结构化数据unstructureddata不具有预定义模型或未以预定义方式组织的数据。3.23日志数据分析logdataanalysis为提取有价值信息和形成决策而对日志数据加以详细研究和概况总结的过程。3.24日志数据安全logdatasecurity通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。3.25日志数据脱敏logdatamasking是指对某种或多种敏感日志数据通过脱敏规则进行数据的变形，实现对敏感日志数据的保护。3.26功能等价异构执行体functionequalexecuteobject功能等价结构不同的执行体，执行体可以是网络、平台、系统、部件或模块、构件等不同层面、不同粒度的设备或设施，也可以是软件实现对象、硬件实现对象、软硬结合实现对象、虚拟化实现对象。3.27拟态裁决mimicmultimoderuling依据相对正确公理做出多数或少数、一样或不一样的判别。3.28清洗恢复机制cleaningandrecover用来处理异常输出矢量的异构执行体。3.29多维动态重构multi-dimensiondynamicreconfigure按照事先制定的重构重组方案从异构资源池中抽取构件元素生成功能等价的新执行体或编码架构的过程。3.30状态同步statesynchronization清洗恢复后的执行体需要与在线执行体进行状态或场景再同步以维持与拟态裁决机制的同步的过程。5Xxxxx3.31动态异构冗余架构dynamicheterogeneousredundancy,DHR动态异构冗余架构，理论上要求系统具有视在结构表征的不确定性。包括非周期的从功能等价的异构冗余体池中随机的抽取若干个元素组成当前服务集，或者重构、重组、重建异构冗余体自身，或者借助虚拟化技术改变冗余执行体内在的资源配置方式或视在运行环境,或者对异构冗余体作预防性或修复性的清洗、初始化等操作，使攻击者在时空维度上很难有效的再现成功攻击的场景。3.32拟态界mimicinterface,MI拟态界一般包含若干组定义规范、协议严谨的服务（操作）功能，通过要求化协议或可归一化规范实施一致性或符合性测试，且能够判定多个异构执行体在给定服务（操作）功能甚至性能上的等价性4内生安全系统安全日志记录要素要求4.1内生安全系统安全日志事件本要求将内生安全系统安全日志的发生的事件分为两类，拟态产品的系统运行事件与网络空间拟态防御安全事件。本要求为基于多模裁决的策略分发和多维动态重构负反馈控制构造（DHR架构）的产品（设备）提供一种统一的结构化事件表达方法，并将事件信息的生产、共享和消费的过程可以分为五个步骤的生命周期，本要求将其称为网络空间拟态防御事件的生命周期。统一的通用表达模型，确保领域内基于DHR架构的产品（设备）产生的事件表达的一致性，从而提高事件信息共享的效率、互操作性。图1.DHR典型架构DHR典型架构：6a)输入/输出代理：作为拟态括号的左右边界功能，一方面需要将拟态界的输入激励按照调度策略导入相应的执行体，另一方面将功能等价可重构执行体集合输出矢量导入裁决器。b)功能等价执行体集：功能等价结构不同的执行体集合，执行体可以是网络、平台、系统、部件或模块、构件等不同层面、不同粒度的设备或设施，也可以是软件实现对象、硬件实现对象、软硬结合实现对象、虚拟化实现对象。c)拟态裁决：依据相对正确公理做出多数或少数、一样或不一样的判别。d)基于反馈控制函数的控制器：基于拟态裁决的异常感知机制，生成多维动态重构的策略，并对拟态括号内的功能等价执行体进行重构。内生安全系统安全日志事件的生命周期：a)事件表达：领域内事件的描述记录基于合规要求、政策和行业最佳实践制定的要求，按照行业数据模型准确地对事件进行描述；b)事件信息编码：将对事件的描述按照通用和相关数据被编码成一个日志记录；本要求中事件记录与日志同义，不做区分；c)事件信息交换与共享：这些记录通过文件或数据包的形式由在生产设备、中继设备、消费设备之间交换与共享；d)事件信息解码：对编码的日志记录进行解码以理解与分析日志承载的原始事件信e)事件消费：分析事件，从而进行一系列数据消费行为，例如：根据事件标签分类存储归档，或对其分析以确定它们是否符合已识别的要求，从而判断是否需要进一步调查事件。4.2内生安全系统安全日志事件表达模型4.2.1内生安全系统安全日志事件表达的组件本要求在内生安全系统安全内事件在生命周期的每个步骤中定义了关键组件的规范。关键组件包括：事件表达的信息维度、事件表达的字段字典、事件分类标签词汇表、事件表达的数据组织格式。事件表达的信息维度：定义事件表达的6个信息维度，包括事件所属域(event_domain)、事件动作(event_action)、作用对象(event_object)、服务类型(event_service)、事件结果(event_status)、事件意义(event_subject)，对领域内可观测的事件进行描述。事件表达的字段字典：定义领域内通用字段字典，提供可用于记录、共享和分析事件的通用词汇和语法来解决领域内不同业务设备的供应商之间的对同一事件的表达术语不一致问题，以便写入日志数据的设备和应用程序可以使用统一的字段描述。事件分类标签词汇表：定义了由一组类别以及最能描述事件的每个类别的标签值组成词汇表。利用统一的分类标签词汇表给领域内的事件打上事件分类标签信息，可实现跨不同拟态防御产品与拟态防御组织的事件类型得到一致的表达。如果多个内生安全领域的系统观察到同一事件，则它们对该事件的分类描述应该相同。事件表达的数据组织格式：定义提供了一种以定义明确、易于解析和解释的数据格式来表达事件的机制。4.2.2内生安全系统安全日志事件表达的信息维度本要求规定领域内DHR架构的各个组件产生的“可观测性系统运行事件”与基于多个异构执行体提供群体态势感知能力产生“网络空间拟态防御安全事件”的表达必须具备如下六个维度的信息：7Xxxxx事件所属域(event_domain)：事件发生的时空信息、作用域或上下文环境，可以分为拟态界内事件、非拟态界内事件、操作系统事件、应用程序事件、网络事件等；事件动作(event_action)：描述事件发生的动作，例如：登录、访问、执行或修改等；作用对象(event_object)：描述事件的目标对象或影响的对象；服务类型(event_service)：描述事件涉及的服务或者操作类型，也可以是事件发生的上下文描述、以及更精确的事件发生域；事件结果(event_status):描述事件发生后产生的结果，例如：动作执行成功、执行失败事件意义(event_subject)：描述事件发生后的产生的影响或本次事件的意义。例如：拟态路由器中记录的事件，有的是记录正常运行事件，有的是记录差模扰动安全事件；有的差模扰动事件触发相应的调度事件，有的差模扰动事件无关联事件触发；本要求定义的事件表达六要素是必须选项。4.2.3内生安全系统安全日志事件表达的字段字典字段字典字段字典（FieldTypesDictionary）是应用于领域内的事件表达的字段和数据类型等信息的列表。字典中的每个字段都包含一个字段应用域标识符、字段标识符、字段类型、字段值取值范围、字段的准确含义的描述。领域内的工程实践往往执行相同功能的不同应用程序或设备用不同的词汇来报告信息，或用相同的词汇表达不同功能的执行信息。本要求的字段字典通过提供可用于记录、共享和分析日志数据的通用词汇和语法来解决领域内不同业务设备的供应商之间的这些不一致问题，以便写入日志数据的设备和应用程序可以使用统一字段。使用相同的字段字典可确保事件消费者和最终用户始终包含并使用预期的事件详细信息，这将降低日志管理的成本并使所提供的信息更加一致和准确，更加关注日志管理的核心功能研发上。领域通用字段字典与最佳实践字段字典考虑内生安全领域的开放性与专有业务的多样性，没有一个单一的、大而全的字段字典可以要求的、规范的对领域内所有可能的事件维度完整的统一的表达。本要求允许领域内任何组织可以为任何用途的设备与应用程序创建特定业务形态的字段字典，字段字典包括两部分：a)通用字段字典（CommonFieldTypesDictionary）：定义了跨拟态设备和应用程序类型的字段字典。最佳实践字段字典（SpecificFieldTypesDictionary）：定义了单个业务形态内拟态设备和应用程序中使用的字段字典。b)通用字段字典由内生安全联盟拟态防御要求委员会维护，是领域内事件描述术语的最小集。最佳实践字段字典由领域内不同组织创建本组织内的字段字典，并提交给联盟要求委员会审核、归档、发布。要求委员会周期汇总最佳实践字段字典内字段，同义字段在超过50%以上的最佳实践字段字典中出现时，必须新增到通用字段字典，并在最佳实践字典中删除。8字段字典约束规范为了确保字段在领域内的许多产品中有用并真正要求化事件表达，字段字典中的所有字段及其属性都必须符合以下要求：a)字段/字段应用域标识符（即对象和名称组件）只能由ASCII字母数字和_（下划线）字符组成：[0-9a-zA-Z]+。b)字段/字段应用域标识符不区分大小写，并且分层结构为零个或多个上下文对象和标识字段名称的组合。具有上下文对象的分层结构的字段/字段应用域标识符应该表示为用点(.)分隔，这称为内联字段语法。例如：src对象中的ipv4字段可以表示为src.ipv4。这种模式遵循许多常见的编程语言，包括Java、C++和Javascript。c)字段/字段应用域标识符总长度小于255。d)通用字段字典中的字段必须足够常见以保证包含，不常见或不通用的字段不应该包括在内。e)最佳实践字段字典应该保证包含本业务形态内特有的字段，即使只有一个事件报告使用了该字段，该字段名称也将被概括，以允许未来的进入者使用该字段。f)最佳实践字段字典中不得出现与通用字段字典同名字段，如果某一业务形态内需要用同名不同义、同名同义不同类型的字段时，应该在最佳实践字段中新增不同名字段。g)最佳实践字段字典中不得出现与通用字段字典同名同义同类型不同取值范围时，最佳实践字段字典中的字段取值范围必须明确说明。h)字段字典头部必须包含对象应用域、字段标识符、字段类型、字段描述、取值范围，除非本要求本身发生变化，否则这些头部字段不得更改。i)字段字典中的每个字段都必须指定一个数据类型，该数据类型指定字段值的表示方式。如果没有类型限制，则应该使用string类型。字段类型必须是对本要求中有效数据类型的引用，不得使用此列表之外的数据类型。有效的数据类型是：1)string：0个或多个UTF-8编码的Unicode字符序列。2)byte:1个UTF-8编码的字符。3)bool：布尔值true或false。4)number：整数（短整型short\整型int\长整型long）或浮点数值(单精度float/双精度double)。数值可以是正数或负数，并且可以使用科学计数法。5)null：空值或null值。6)datetime：Datetime值表示时间戳，允许精确到毫秒的完整时间规范，包括时区UTC偏移量。如果未提供时区信息，则必须假定日期时间以UTC形式给出。首选的表示格式是ISO8601中定义的datetime格式。7)ipv4：IPv4值用于表示IPv4网络地址。首选格式是使用点分十进制字符串表示：、8)ipv6：IPv6值代表IPv6网络地址。IPv6地址的首选格式是要求的十六进制冒号和所有批准的缩写格式（例如：::）。9)object：对象值由多个基本类型的结构化数据组成复杂对象，表示为一系列名称-值对。10)file：文件对象。11)array：数组或列表对象。9Xxxxx字段字典举例object_domainField_identifierTypeDescriptionRangemimicrouterexception_timedatetime发现异常的时间符合"YYYY-MM-DDHTH:MM:SS,sss+hh:mm"格式，例如："2020-09-11T08:45:57+08:00"4.2.4内生安全系统安全日志事件分类标签事件分类标签事件分类法(eventtaxonomy)是用于指定类别对事件进行分类，用于明确事件的类型。事件分类维度必须取自事件表达的六个信息维度。事件分类标签(eventtaxonomylabel)由一组类别以及最能描述事件的每个类别的标签值组成。事件分类将事件打上事件分类标签信息，可实现跨不同拟态防御产品与拟态防御组织的事件类型得到一致的表达。如果多个内生安全领域的系统观察到同一事件，则它们对该事件的分类描述应该相同。因此，后端日志分析系统应该能够立即确定两个日志是否引用相同类型的事件。事件分类标签词汇表(commoneventtaxonomylabeltable)是内生安全领域内事件分类标签的受控词汇表。在事件分类标签词汇表中每一行由所属分类、类别标签值、定义描述。领域通用事件分类标签与最佳实践事件分类标签内生安全领域的开放性与专有业务的多样性，领域内的产品和专有业务的所有可能事件类别既有共同可观测到的事件又有其特有的事件。本要求允许领域内任何组织可以为任何用途的设备与应用程序创建特定业务相关的事件分类标签，事件分类标签表包括两部分：a)通用事件分类标签表(commoneventtaxonomylabeltable)：定义了跨拟态设备和应用程序类型的事件标签的受控词汇表。b)最佳实践事件分类标签表(specificeventtaxonomylabeltable)：定义了单个业务形态内拟态设备和应用程序中使用的事件标签的受控词汇表。通用事件分类标签表由内生安全联盟拟态防御要求委员会维护，是领域内共性事件类型描述术语的词汇表。最佳实践事件分类标签表由领域内不同组织创建，并提交给联盟要求委员会审核、归档、发布。事件分类标签的约束规范事件分类标签表与字段字典中的字段在标识符方面要求保持一致，但有以下特有的约束规范：a)事件分类标签标识符应该为有意义的标识符。b)某一个事件分类标签如果是数据类型字符串，其属性值的枚举应该受到限制。c)各类别标签的属性值必须指定至少一个可能的值；当一个维度存在多个类别标签值时通过分隔符','进行分割。d)通用事件分类标签表中的类别标签必须是领域内共性事件类别标签，不通用的类别不应该包括在内。4.2.5内生安全系统安全日志事件表达数据组织格式内生安全领域内事件表达的数据组织格式遵循扩展的巴科斯诺尔范式(ABNFRFC5234)版本。事件表达数据组织格式mimiceventexpress=HEADERSPENTITYCRLF事件表达头域数据组织格式事件表达头域（HEADER）数据组织格式目的在于通过领域内字段字典中的字段，确定本次信息的数据边界，为数据交换的双方提供一些互操作性，双方必须都支持的字段，字段字典以外的的字段不得在头域部分扩展。HEADER=VERSIONSPTIMESTAMPSPPRIVALSPLOCATIONSPLOGTYPE[SPMSGIDSPMSGOFFSET]#消息头组成a)VERSION：VERSION字段表示领域内事件表达规范的版本。对于更改HEADER格式的任何部分的任何新协议规范，版本号必须递增。更改包括添加或删除字段，或更改现有字段的语法或语义。VERSION值通过本要求第7章节中描述的要求操作方法来分配。b)TIMESTAMP：TIMESTAMP字段表示事件发生的时间，允许精确到毫秒的完整时间规范，包括时区UTC偏移量。如果未提供时区信息，则必须假定日期时间以YYYY-MM-DDThh:mm:ss,sss±hh:mm。范例：如要表示北京时间2004年5月3日下午5点30分8秒，可以写成2004-05-03T17:30:08+08:00；如UTC时间下午2点30分5秒表示为14:30:05Z；c)PRIVAL：PRIVAL字段表示事件记录的级别。1)PRIVAL遵循RFC5424，取值”Emergency，Alert，Critical，Error，Warning，Notice，Info，Debug“；2)PRIVAL取值不区分大小写；表1事件记录的级别code定义0systemisunusableEmergency1actionmustbetakenimmediatelyAlert2criticalconditionsCritical3errorconditionsError4warningconditionsWarning5normalbutsignificantconditionNotice6informationalmessagesInfo7debug-levelmessagesDebugXxxxxd)LOCATION：LOCATION字段旨在定位事件发生的空间位置。LOCATION字段数据组织格式如下：LOCATION=0*(LOCATIONTYPE:LOCATIONVALUE;)表2location编码表类型编码(code)类型定义(definition)举例1process_id进程标识：标识事件发生在哪个进程。process_id:1002thread_id线程标识：标识事件发生在哪个线程。thread_id:1003function_name函数标识：标识事件发生在哪个函数。function_name:main4line_id行号标识：标识事件发生在哪一行。line_id:1005file_name文件标识：标识事件发生在哪个代码文件file_name:main.c1)LOCATIONVALUE表示具体的位置值，使用的字符集必须是8位字段中的7位ASCII中可显示字符集，如[RFC5234]中所述。2)LOCATION字段由0或多个元素组成。多个元素必须通过分隔符;分割；0个元素则以空字符串标识"";例如：”process_id:100;thread_id:100“。e)LOGTYPE:LOGTYPE字段用于表示记录事件的日志类型，其编码如下：表3日志类型Code定义1系统启动、运行过程中记录的日志，表明系统的一些启动日志、启动参数等desc2系统性能统计日志，应用会定时收集一些性能信息，便于查询应用当前状态stat3外部请求相关的日志，定位该请求相关的所有日志visit4业务数据相关日志，主要提供给数据统计使用biz5差模扰动日志dmf6执行体调度日志sched7idsf)MSGID：MSGID唯一标识一条消息，可选字段；1)相同的消息MSGID携带的消息实体应该反映相同语义的事件；2)MSGID为递增序列；g)MSGOFFSET:MSGOFFSET标识当前消息实体部分相对于初始消息实体部分的偏移值。1)MSGOFFSET必须在MSGID存在的前提下填写；2)MSGOFFSET用于同一MSGID需要分多行记录时消息接收端对消息的重组。当前记录是最后一分段时此值为-1；3)消息无分段，则MSGOFFSET可不填。事件表达实体数据组织格式a)EVENT-STRUCTURED-EXPEVENT-STRUCTURED-EXP提供了一种以定义明确、易于解析和解释的数据格式来表达事件的机制。EVENT-STRUCTURED-EXP必须包含6个结构化数据元素，在本文档中称为“SD-ELEMENT”。EVENT-STRUCTURED-EXP中的6个结构化数据元素必须涵盖事件表达的六个要素：事件所属域（event_domain）、事件动作（event_action）、事件作用对象（event_object）、服务类型（event_service）、事件结果（event_status）、事件意义（event_subject）。SD-ELEMENT通过key-value键值对的数据格式对事件表达的六个要素记录。1)Key值必须为事件表达的六个要素；2)Value值必须来自本要求中的字段字典、事件分类标签词汇表中的字段或标签；3)Value可以有0至多个取值；4)在EVENT-STRUCTURED-EXP中，如果Value为空值，则取值为空值""，举例：event_domain:"";5)当某一Value值有多个取值时，此值应该以列表形式组织[]，多个取值直接采用分隔符,，这样的好处是可读性更高；下面给出EVENT-STRUCTURED-EXP数据组织的示例："event_domain":"mimic_multimode_ruling","event_action":"access","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal"b)STRUCTURED-DATASTRUCTURED-DATA提供了一种以定义明确、易于解析和解释的结构化数据格式（“SD-ELEMENT”）来记录事件关键信息的机制。SD-ELEMENT通过key-value键值对的数据格式对事件关键信息记录。1)Key值必须来自本要求的字段字典中的字段；2)Value值必须满足对应的Key值字段属性定义；3)当某一Value值有多个取值时，此值应该以列表形式组织[]，多个取值直接采用分隔符,，这样的好处是可读性更高；下面给出STRUCTURED-DATA数据组织的示例："mimicrouter.msg_src":"config_multimode_ruling","mimicrouter.exception_time":"2022-01-0109:48:07"c)ADDITION-MSGADDITION-MSG提供一种利用非结构化的数据(NO-STRUCTURED-DATA)组织格式补充事件信息的机制。ADDITION-MSG中使用的字符集必须是8位字段中的7位ASCII，如[RFC5234]中所述。事件表达实体数据组织格式示例："event_domain":"mimic_multimode_ruling","event_action":"access","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","mimicrouter.exception_time":"2022-01-0109:48:07","addition_msg":"finderrorconfig!"\r\n4.2.6内生安全系统安全领域内具体可观测事件最小集本要求将内生安全领域内的可观测事件记录为日志，因此，日志可以分为两类：DHR架构各组件的的系统运行日志与内生安全系统安全日志；DHR架构各组件的可观测的系统运行事件a)事件自身属性（event）Xxxxx表4事件自身属性字段字典字段对象域（object_domain）字段标识符（Field_identifier）字段类型字段描述(Description)字段取值范围（Range）eventhost_namestring事件主机的名字1~255ipv4ipv4事件所在的主机IPV4地址/32ipv6ipv6事件所在的主机IPV6地址::/128portnumber事件所在主机的应用端口号0~65535app_namestring事件所属应用名字1~255pnamestring产生事件的进程的名字1~255msgstring事件描述信息msgidstring事件描述信息的身份标识pidstring产生事件的进程的身份标识privstring事件级别（参照表3事别）tidnumber与产生事件相关的线程的身份标识输入代理（input_agent）输入代理功能主要是将拟态界外的输入激励信号灵活地连接到相应地异构执行体，因此，输入代理事件记录是与输入信号分发与适配有关。可观测的事件最小集包括内容：1)激励信号，拟态界外输入的信号；2)激励信号分发动作，拟态界上的输入代理执行输入信号分发动作将输入信号导入相应的执行体；3)激励信号适配动作，拟态界上的输入代理根据透明性的要求将输入的信号与各个执行体要求的输入信号之间存在的差异做适配处理；4)激励信号的合规控制、黑白名单过滤等主被动防御措施表5输入代理事件分类标签通用词汇表最小集事件类别类别标签值定义/描述event_domainmimic_interface事件记录发生在拟态界上input_agent事件记录发生在输入代理event_actiondistribute事件的动作是分发激励信号adapte事件的动作是处理激励信号以适配相应的执行体check事件的动作是激励信号检查filter事件的动作是激励信号过滤event_objectexcitation_signal事件作用的目标对象，拟态界外输入的激励信号event_serviceinput_distribution事件涉及的操作类型是输入分发input_adpator事件涉及的操做类型是输入适配input_compliancecheck事件涉及的操作类型是输入信号的合规性检查input_filter事件涉及的操作类型是对输入信号进行黑白名单过滤eventstatusfail事件结果失败success事件结果成功pass事件结果通过block事件结果阻断event_subjectsystemrunning_normal正常系统运行事件记录systemrunning_abnormal异常系统运行事件记录security_normal主被动防御动作记录正常安全事件security_abnormal主被动防御动作记录异常安全事件表6输入代理字段字典字段对象域（object_domain）字段标识符（Field_identifier）字段类型字段描述(Description)字段取值范围（Range）input_agentcompliance_rules_filefile合规规则文件compliance_rules_listobject合规规则列表black_white_filefile黑白名单规则文件black_white_rules_listobject黑白名单过滤规则列表relation_feeoobject关联的执行体信息输出代理（output_agent）输出代理功能主要是消除多异构执行体因为实现算法、支撑环境和处理平台方面差异造成的输出响应方面的差异。此外，为了减少裁决实验往往输出代理会使用一些预处理算法。可观测的事件最小集包括内容：1)接收多模输出矢量；2)提取拟态保护的关注点信息；3)多模输出矢量预处理；4)输出预处理后的多模输出矢量；表7输出代理事件分类标签通用词汇表最小集事件类别类别标签值定义/描述event_domainmimic_interface事件记录发生在拟态界上output_agent事件记录发生在输出代理event_actionreceive事件的动作是接收异构执行体输出的结果send事件的动作是发送输出矢量到拟态裁决extract事件的动作是提取拟态保护的信息Xxxxxpreprocess事件的动作是对异构执行体输出是输出矢量预处理event_objectoutput_vector事件作用的目标对象，多异构执行体输出矢量buffer_queue事件作用的目标对象，缓冲队列event_serviceoutput_vector_receive事件涉及的操作类型是输出矢量的接收output_vector_send事件涉及的操做类型是发送处理后的输出矢量到拟态裁决output_vector_preprocess事件涉及的操作类型是输出矢量的预处理output_vector_extraction事件涉及的操作类型是从原始输出矢量中提取拟态保护的信息eventstatusfail事件结果失败success事件结果成功full事件结果缓冲队列满empty事件结果缓冲队列空event_subjectsystemrunning_normal正常系统运行事件记录systemrunning_abnormal异常系统运行事件记录表8输出代理字段字典字段对象域（object_domain）字段标识符（Field_identifier）字段类型字段描述(Description)字段取值范围（Range）output_agentbuffer_queueobject缓冲队列output_vectorobject输出矢量拟态裁决多模拟态裁决构成DHR架构广义不确定扰动的感知能力，对多模输出矢量进行策略性判决，并将相关状态信息发送给反馈控制器。可观测的事件最小集包括内容：1)执行裁决策略；2)裁决多模输出矢量；3)记录差模扰动；4)输出裁决状态信息；表9拟态裁决事件分类标签通用词汇表最小集事件类别类别标签值定义/描述event_domainmimic_multimode_ruling事件记录发生在拟态裁决event_actionmultimode_ruling事件的动作是裁决输出event_objectruling_policy事件作用的目标对象，裁决策略output_vector事件作用的目标对象，输出矢量recorder事件作用的目标对象，差模扰动事件记录file事件作用的目标对象，差模扰动日志文件ruling_policy_set事件作用的目标对象，裁决策略集event_servicepolicy_execution事件涉及的操做类型是裁决策略执行dmf_logging事件涉及的操作类型是差模扰动日事件类别类别标签值定义/描述志记录ruling_status_logging事件涉及的操作类型是裁决状态信息日志记录eventstatusfail事件结果失败success事件结果成功simple利用安全漏洞影响目标系统的难度“简单”complex利用安全漏洞影响目标系统的难度“复杂”complete利用安全漏洞对目标系统造成的损害程度“完全”part利用安全漏洞对目标系统造成的损害程度“部分”slight利用安全漏洞对目标系统造成的损害程度“轻微”none利用安全漏洞对目标系统造成的损害程度“无”schedule差模扰动造成执行体调度no_schedule差模扰动未造成执行体调度different_mode_fault造成差模扰动no_dmf未造成差模扰动event_subjectsystemrunning_normal正常系统运行事件记录systemrunning_abnormal异常系统运行事件记录no_dmf_security_normal无差模扰动正常安全事件记录dmf_single_executor_security_abnormal差模扰动单执行体异常安全事件记录dmf_multi_executors_security_abnormal差模扰动多执行体异常安全事件记录dmf_security_abnormal差模扰动异常安全事件记录表10拟态裁决字段字典字段对象域（object_domain）字段标识符（Field_identifier）字段类（Type字段描述(Description)字段取值范围（Range）mimic_multimode_rulingexecutor_infoobject执行体信息[““,””]executorcountnumber在线执行体数量“3~MAX_LONG（其中，MAX_LONG代表能表示最大的Long整数）executor_running_durationnumber执行体运行时长0~MAX_LONGXxxxx字段对象域（object_domain）字段标识符（Field_identifier）字段类（Type字段描述(Description)字段取值范围（Range）dmf_executor_countnumber发生差模扰动的执行体数量0~executor_countdmf_logobject差模扰动日志数据结构，裁决作用对象dmf_countnumber差模扰动次数0~MAX_LONGruling_policyobject裁决策略algorithmstring多模裁决算法“majority_multimode_ruling“:(择多裁决),“weight_multimode_ruling“:(权重裁决),“random_multimode_ruling“:(随机裁决)levelstring多模裁决层次/粒度“executor_level“:(执行体层次),“component_level“:(组件层次),“payload_level“:(载荷层次),”byte_level”:(字节层次),”bit_level”:(比特层次)conclusionstring多模裁决结论“completely_same“:(完全相同),“majority_same“:(多数相同),“minority_same“:(少数相同),“completely_different”:(完全不同)syslogobject志数据结构exploiting_difficultystring利用安全漏洞影响目标系统"simple"|"complex"字段对象域（object_domain）字段标识符（Field_identifier）字段类（Type字段描述(Description)字段取值范围（Range）的难度damage_potentialstring利用安全标系统造成的损害程度"complete"|"part"|"slight"|noneoutput_statusobject输出到负反馈控制器的状态信息output_responseobject裁决后输出给目标用户的响应消息output_schedule_policyobject输出到负反馈控制器的策略信息负反馈控制器DHR结构的负反馈控制器主要功能是根据多模裁决输出的状态信息或调度策略，启动调度策略改变当前目标系统内服务的执行体集的状态，使得系统结构表征发生一次变化。可观测的事件最小集包括内容：1)接收调度策略；2)执行调度策略；3)清洗异常执行体；4)下线异常执行体；5)上线新执行体；6)同步执行体状态；7)通知输入代理；8)记录调度日志；表11负反馈控制器事件分类标签通用词汇表最小集事件类别类别标签值定义/描述event_domainfeedback_control_function事件记录发生在负反馈控制器event_actionschedule事件的动作是调度异构执行体receive事件的动作是接收调度策略logging事件的动作是日志记录clear事件的动作是清洗异常执行体recover事件的动作是恢复异常执行体状态Xxxxx事件类别类别标签值定义/描述synchronize事件的动作是同步新执行体状态offline事件的动作是下线异常执行体online事件的动作是上线新执行体notify事件的动作是通知输入代理当前执行体集发生变化event_objectschedule_policy事件作用的目标对象，调度策略executor事件作用的目标对象，执行体recorder事件作用的目标对象，调度事件记录file事件作用的目标对象，调度日志文件schedule_policy_set事件作用的目标对象，裁决策略集event_serviceschedule_executor事件涉及的操作类型是异常执行体调度policy_execution事件涉及的操做类型是调度策略执行schedule_logging事件涉及的操作类型是调度日志记录executor_clear事件涉及的操作类型是执行体清洗executorrecover事件涉及的操作类型是执行体恢复executor_offline事件涉及的操作类型是执行体下线excutor_online事件涉及的操作类型是执行体上线msg_notify事件涉及的操作类型是消息通知eventstatusfail事件结果失败success事件结果成功disconnect链接异构执行体池失败no_response通知消息无响应no_schedule未执行异构执行体调度event_subjectsystemrunning_normal正常系统运行事件记录systemrunning_abnormal异常系统运行事件记录executor_schedule_abnormal执行体调度异常事件记录executor_schedule_normal执行体调度正常事件记录executor_recover_abnormal执行体恢复异常事件记录executor_clear_abnormal执行体清洗异常事件记录executor_synchronization_abnormal执行体状态同步异常事件记录表12负反馈控制器字段字典字段对象域字段标识符字段类型字段描述字段取值范围（object_dom（Field_identifier）（Type）(Description)（Range）feedback_control_functionrecorder.scheduleobject差模扰动日志数据结构recorder.syslogobjectsyslog日志数据结构executorobject执行体信息schedule_policyobject调度策略字段对象域字段标识符字段类型字段描述字段取值范围（object_dom（Field_identifier）（Type）(Description)（Range）schedule_countnumber调度次数0~MAX_LONGexecutorcountnumber在线执行体数量3~max_longonline_executor_countnumber本次调度上线的执行体数量0~executor_countonline_executor_listarray本次调度上线的执行体IP列表offline_executor__countnumber下线的执行体数量offline_executor_listarray下线的执行体IP列表notification_msgobject通知消息数据结构recover_dataobject恢复的状态信息数据结构clear_dataobject清洗的信息数据结构syn_dataobject同步的状态信息数据结构recovercount_number执行体状态恢复次数clear_countnumber执行体清洗的次数recoverexecutorcount_number恢复的执行体数量clear_executor_countnumber清洗的执行体数量4.3内生安全系统安全日志事件表达编码本章节描述了对内生安全领域内采用本文档的通用事件表达机制表达事件时，进行编码和解码的要求。这些要求旨在实现与现有事件编解码交换要求的最大互操作性。为了确保与其他编码要求的兼容性，本要求推荐使用XML（可扩展标记语言）和JSON（JavaScript对象表示法）等被广泛使用的编码。本文档定义了与JSON（JavaScript对象表示法）兼容的编码。本要求允许领域内各个组织定义与开发采用被广泛使用的语法对事件表达进行编码，但是事件表达必须符合章节4.2内生安全系统安全日志事件表达模型的要求。领域内各个组织指定语法时，必须明确定义了如何使用特定语法将事件表示为事件记录，并提供最佳实践。4.3.1日志事件表达语义的定义本要求对事件和事件编码过程进行了区分。一旦发生应该记录的事件，就会捕获该事件的相关数据，然后将其编码为事件记录。然后，记录事件记录或与任何可以理解消费此事件Xxxxx记录编码的设备交换和共享。事件表达语义是为了让事件消费者消费编码的事件记录，事件的生产者与消费者必须简单地解码编码的记录以获得原始事件信息。因此，必须在不丢失任何事件数据的情况下执行使用选定语法对事件表达进行编码和解码。本文档定义了与JSON（JavaScript对象表示法）兼容的编码。4.3.2字段字典映射到JSONJSON提供对六种值类型的对象支持：a)数值（整型值、浮点值）；b)字符串（""）;c)布尔型（true|false）;d)数组（[]）;e)对象（{}）：f)空值（null）。字段字典中字段类型到JSON值类型映射：a)数值类型与布尔类型直接映射到JSON数值和布尔类型；1)整数值必须在64位整数内表示，范围为[-(2^63),2^63-1]有符号或[0,2^64-1]无符号；2)浮点值必须可以用IEEE75464位浮点格式表示。a)字段取值是多值则映射到JSON数组；b)字段字典中的object类型直接映射到JSON对象值类型；c)基本字符、字符串或其他非JSON支持的类型均映射到JSON的字符串或对象值类d)为了获得最大的兼容性，整数、浮点数和布尔字段类型应该使用等效的内置JSON类型进行编码。对应于这些原生类型的值不应该出现在引号字符中。JSON编码事件记录的规范约束：a)JSON编码的事件记录必须完全符合RFC4627规范。b)除了转义字符的要求JSON要求外，换行符和回车符在用作字段值时也必须转义。c)所有JSON编码的事件记录必须表示为有效的UTF-8编码的Unicode字符序列。d)具有多个值的JSON编码事件记录中的字段必须使用本机JSON数组机制进行编码。具有单个值的字段可以包装在JSON数组中。e)JSON对象结构应该用于表示字段层次结构。也可以使用内联字段名称。4.3.3JSON编码举例#编码后日志记录{"event_header":["2021-11-22T17:50:51,520+08:00","INFO","line_id:248","stat","0000","event_entity":{"event_domain":"mimic_multimode_ruling","event_action":"multimode_ruling","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.msg_src":"config_multimode_ruling","addition_msg":"Reconnectingandresending!"}#编码前日志记录2021-11-2217:50:51,520-[arbitrament]:248-INFO-Reconnectingandresending4.4内生安全系统安全日志记录的物理载体本章节描述了内生安全领域内通用日志记录存储与交换的要求，这些要求定义了日志存储与传输协议的强制和可选功能。此类规范使编码的事件记录能够以通用、机器可读的方式在各方之间共享。本章节目的是为事件生产者和消费者提供有关如何可靠和安全地共享事件记录的指导。4.4.1文件形式信息载体的约束规范文件作为日志的重要载体，至少遵循如下必要的规范约束：a)事件记录在文件中的组织方式b)日志记录之间的分隔。每条日志记录之间必须通过换行符\r\n的方式进行分隔，界限划分清晰。c)日志记录的长度。本要求本身不对日志记录的大小限制；每条日志记录会被映射到指定的文件中，其大小由其所在的文件系统与其记录所有者决定；如果记录本身需要分多行存储应该提供明确标识多行为同一事件记录，标识方法应该显示提供给记录共享方。d)不同日志记录应该显示区分。日志记录必须支持多线程，不同线程之间的日志信息写同一日志文件时不应该产生冲突，日志信息应该能被显示区分出来。e)日志文件的组织方式f)单个日志文件大小。本要求本身不对日志文件的大小限制，其大小由其所在的文件系统与其记录所有者决定；单个日志文件大小，推荐设置在100M~500M之间。g)日志文件分割规范要求：1)以一定的周期生成日志文件，推荐以一个自然日为一个周期,便于分类归档。2)当单个周期内日志量超过文件大小限制时，必须按照单一文件配置大小分割。3)当单个日志出现跨周期时，日志文件不应该只以日志量大小进行分割，应该创建新的日志文件。h)日志文件的命名组织方式规范要求：“YYYYMMDD”，便于分类归档。例如：mimicrouter_dmf_20220101.log，其中，日期20220101，必须按照“YYYYMMDD”的格式进行统一。Xxxxx2)单个周期内日志文件按照单一文件配置大小分割时，文件命名必须按照文件编号顺序生成新文件，日志文件名必须追加文件编号“XXXX”，其中XXXXmimicrouter_dmf_20220101_0001.log，mimicrouter_dmf_20220101_0002.log。3)当单个日志出现跨周期时，应该重新创建一个以最新日志日期命名的文件，不应该在前一个日期的日志日期文件中继续追加写入。例如:当前某个日志文件的日期为20220101，日志文件大小为1M(不需要按照大小分割)，但随后进入20220102的自然时间周期，那么后续记录，应该重新创建一个日志日期为20220102的文件，不应该在日志日期为20220101的已有文件中继续追加写入。4)日志文件的命名组织方式，"设备类型_日志类型_日期.log"；5)设备类型，mimic*，举例：mimicrouter；6)日志类型，取自事件表达头域数据组组织格式LOGTYPE字段；7)日志类型不同语义（层次）的标识符之间以下划线'_'字符进行连接；8)相同语义（层次）的标识符之间以'-'进行连接。i)日志文件目录的组织方式j)日志文件目录的组织方式，应该能够直观反映出日志的组织方式，包括分类、索引以及层级等信息。k)日志文件目录的命名必须取自章节通用事件分类标签表和最佳实践事件分类标签表描述的标签元素；l)日志文件目录的命名禁止使用无法区分意义的纯数字、与拟态业务场景、拟态事件类型无关的命名方式；4.4.2日志记录网络传输约束规范网络数据包是日志记录重要的信息载体之一。日志记录网络传输约束规范为安全、可互操作且可靠的日志基础架构提供在传输、交换方面必要的技术支持。网络数据包规范要求网络数据包长度。本要求本身不对网络数据包的长度做限制，其长度由其映射的传输协议与通信双方约束决定。但作为日志记录的载体，应该遵循最大传输效率优先的准则。单条网络数据包既不应该过小，因为过小的载荷会导致网络传输效率的低下；单条网络数据包也不应该超过实际传输链路层的MTU(例如：以太网MTU为1500)值，否则会引起链路分片，从而造成数据包处理效率的低下。网络数据包封装的格式，必须提供及时、准确的封装格式字典，便于数据包接收之后的解析工作。网络传输协议规范要求内生安全领域中日志记录传输协议必须符合下面的要求列表，以及特定用例可能需要的附加功能。例如：传输协议必须能够传输JSON编码的事件记录。更高级的传输协议可以提供额外的功能，例如：加密和完全确认。本要求根据领域内日志传输的场景将这些要求分为四组。一致性级别0是强制性一致性级别，包括基本能力。进一步的一致性级别描述了更高级的传输协议应该支持的可选功能。一致性级别1是核心能力，提供了稳健性的最低要求。一致性级别2包含一组附加要求，用于解决在攻击者存在的情况下进行日志记录的问题。一致性级别3包含一组额外的要求，用于解决本地管理攻击场景。一致性级别3是最强大的要求集。级别要求Level传输协议应该是一个已发布的协议规范，对互操作性没有许可障碍，没有特许权使用费，也没有批准程序。应该仅使用那些公开可用的协议和要求。2.传输协议应该能够在协议包的主体内传输至少一种形式的编码事件记录。3.传输协议的载荷部分应该支持多条编码事件记录批量传输的要求。4.传输协议应该保持通道数据包逻辑顺序的完整性，以便事件接收器能够重建原始逻辑顺序。5.传输协议应该支持通信双方可靠的交换日志记录，具备数据包确认机制以及应对网络数据包的丢失、乱序、重传等问题的机制。Level传输协议应该通过使用数字签名或其他防篡改机制准确可靠地检测任何篡改或数据损坏的问题。Level1.传输协议在攻击者存在的情况下保持事件记录的机密性、真实性。2.传输协议应该防止消息重放；3.传输协议应该保持传输中日志记录的真实性。4.传输协议应该支持使用最佳实践加密算法的传输加密。实现此要求的一种方法是使用传输层安全性(TLS)。保持数据的机密性，至少在数据包主体内。Level日志传输协议应该可能被中间人攻击、冒充与篡改，必须至少执行传输内容加密、内容传输两端身份认证、传输内容完整性校验的保护措施；实现此要求的一种方法是使用传输层安全性(TLS)。网络传输协议映射实例本要求以映射到SYSLOG(RFC5424)为例介绍传输映射，syslog满足level0。本文档通过在Syslog消息中包含拟态领域事件表达的JSON（JavascriptObjectNotation）编码，来举例说明符合本要求和Syslog规范的事件传输映射。a)SysLogHeader必须使用要求的SyslogHeader。SyslogHeader的实际格式取决于Syslog协议版本，并且可能因实现而异。这些Header字段值用于Syslog协议并且独立于拟态事件表达编码。SyslogHeader字段值不应用于在封闭的拟态日志事件表达编码中，不得添加或修改任何值。b)SysLogBody拟态事件表达必须使用4.3内生安全领域日志事件表达编码规范编码来表示。c)SysLog封装拟态事件编码举例<165>122021-11-22T17:50:51,520+08:00process-example-event-1@mee:{"event_header":["2021-11-22T17:50:51,520+08:00","INFO","line_id:248","stat","0000"Xxxxx"event_entity":{"event_domain":"mimic_multimode_ruling","event_action":"multimode_ruling","event_object":"configure_table","event_service":"multimode_ruling","event_status":"success","event_subject":"dmf_security_abnormal","mimicrouter.executor_id":"","addition_msg":"Reconnectingandresending!"}5内生安全系统安全日志采集要求5.1明确采集目标a)确定学院采集的拟态设备类型、型号及其网络位置和业务情况。b)了解设备的功能和可能产生的日志类型，例如系统日志、攻击日志、错误日志等。c)针对不同类型的日志，明确其重要性和优先级，以便在采集过程中重点关注。5.2选择采集工具a)业界类似业务场景的主流技术选型，具备成熟的社区，方便问题解决；b)能够满足拟态设备日志数据与网络流量采集的需求，具备灵活的采集策略配置，有明确的指导文档；c)对被采集设备的性能影响在要求范围内，轻量级，资源占用小资源占用与性能需要开发后予以评估给出详细报告）d)具备灵活的对外接口，支持多种输出方式；e)采集器其代码开源，开发语言与现有开发人员技术栈相符，便于二次开发。f)采集器支持数据加密传输，同时保证传输可靠性。g)尽量选择拟态设备目前采用的日志采集器。5.3配置采集策略a)确定日志源确定拟态设备中需要裁决日志的系统、应用或服务，如裁决模块、调度模块。b)确定采集内容根据业务需求，采集所需数据，如系统运行的指标、运行状态和被攻击日志。c)确定日志采集规则根据拟态设备应用或服务的特点，配置具体的日志采集规则，包括日志文件的路径、采集频率、过滤条件、采集的日志级别等。d)日志上报方式通过restful接口，支持主动告知和被动查询。5.4日志采集安全a)日志采集状态监控，确保采集工具正常运行，与拟态设备的连接保持稳定。b)日志采集过程不能影响拟态设备正常业务运行，避免应采集器的配置不当导致设备CPU使用率过高、内存泄露、占用大量磁盘等问题。c)适当限制日志采集器的访问权限，避免对设备上非授权文件的访问及修改。d)对敏感日志数据进行安全保护，采取加密、访问控制等措施，防止日志数据泄露或被篡改。5.5采集自动化尽量实现日志采集的自动化，减少人工干预。可以通过编写脚本或使用自动化工具来定时启动采集任务、处理采集到的日志数据等。6内生安全系统安全日志存储要求6.1日志存储保证可用性日志的本地侧存储时，在业务形态允许条件下推荐采用备份存储、冗余存储等保证日志记录存储的可用性与可靠性的技术手段。日志在统一集中式日志平台存储时，在业务形态允许条件下推荐采用分布式拟态云存储等技术手段，提高系统的可靠性、可用性和存取效率，且易于扩展。6.2日志存储的时长日志的本地侧存储时，在业务形态允许条件下推荐至少保存15天，因为有些异常具备以“周”为频次发生的特点。日志在统一集中式日志平台存储时按照《中华人民共和国网络安全法》规定留存相关的网络日志不少于六个月。6.3日志存储文件的规范要求拟态日志存储文件规范要求，参照4.4.1文件形式信息载体的约束规范的描述执行。6.4日志存储路径拟态日志路径的根路径不能在源码中固化，推荐支持根路径的可配置，支持路径场景迁移。拟态日志路径，能够反映出日志的组织方式，推荐采用含有分类、索引等隐含的信息的命名方式、采用分层的目录组织结构。6.5日志存储安全6.5.1日志数据分类分级推荐对于一些较为复杂的数据，人为手动定义好分类体系和规则体系；对标准化的日志数据推荐利用数据标签技术、知识图谱等技术进行系统自动化扫描可以简化数据分类分级的过程，根据预定参数对数据进行分类和定级。拟态防御领域内各组织可根据国家相关法规标准，结合自身业务特点，采用合适日志数据分类分级方法。本标准推荐按照日志数据敏感级别分为敏感数据（L4级），较敏感数据（L3级），低敏感数据（L2级），不敏感数据（L1级）四个级别。根据日志的级别限制访问：Xxxxxa)敏感数据（L4级）：最重要的和敏感的拟态日志，只限于特定极少数相关人员获取，严格限制访问权限。b)较敏感数据（L3级）：有重要价值的秘密拟态日志信息，只限于与该信息有关的部分人员获取，访问需确认确实有工作需要，并经过相应的审批流程。c)低敏感数据（L2级可在内部传播的拟态日志信息，需要控制日志信息的公开，不允许外传。d)不敏感数据（L1级）：可以免费获得和访问的信息，没有任何限制或不利后果。6.5.2日志数据访问控制为保证领域内日志数据被监管和合规使用，推荐基于日志数据的分类分级制定数据访问控制策略，形成敏感分级数据与用户角色的访问控制矩阵，为数据的安全合规使用提供支撑。哪些数据可以使用、哪些不可以使用、哪些能对外开放、哪些不能开放、不同等级的数据在不同场景使用哪种安全策略(存储安全策略、交换安全策略等)。6.5.3敏感日志数据防泄露统一日志存储管理平台等大数据技术的使用让数据的存储和复制变得简单，但也让敏感数据的防泄漏变得极其困难。推荐遵循“最小可用”原则，尽量减