应用系统安全日志标准V1.0.docVIP

目录 1 概况 2 1.1 目的 2 1.2 适用范围 2 2 正文 2 2.1 总体原则 2 2.2 通用要求 3 2.2.1 登录日志 3 2.2.2 用户管理日志 3 2.2.3 角色/权限管理日志 4 2.2.4 系统配置操作 5 2.3 应用数据操作日志 6 2.3.1 业务敏感信息操作日志 6 3 检查计划 8 4 解释 8 5 附录 8 概况 目的 为接入到日志集中管理平台内的应用系统的安全日志记录要求提供参考，以便和第三方日志集中管理平台进行对接，满足日志集中管理项目需求 适用范围 公司所有业务系统 正文 总体原则 所有应用系统应记录根据本规范记录通用类日志，具体见2.2所述； 所有应用系统应记录系统中的各类敏感信息记录操作日志，具体见2.3所述； 研发人员需要根据本规范要求（本规范中的字段命名以及表名供参考），对安全日志进行统一格式设计及输出； 本文档标注为*的字段表示如无法获取此字段，则不要求记录。 关于日志存储的方案，优先采用文本文件的形式存储在本地磁盘，其次可以选择存储在数据库； 日志的保存策略，默认为3+1天,滚动式的存储； 在采用文本文存储日志在本地磁盘时，需统一放至：/app/applogs/${instance}/auditlog目录下，日志文件名的格式如：audit_日期_数字编号.log，例如：audit1.log； 文本文件存储的日志格式如下： 日志类型\u0000版本号\u0000字段1值\u0000字段2值...字段n值\u0000\r 示例：(以一条登录日志为例) 1\u00001\08-28 00:52:10\u0000157556\u0000CAS\u0000BSP\u000010.0.22.33\u000010.0.13.38\u0000主机名（自定义）\u000000:15:C5:79:7E:F7\u0000013\u0000Success\u0000\u0000\r 具体说明： 各字段由不可见字符\u0000进行分隔； 日志记录以\u0000\r结束； 如果某个字段的值为空，或者没有值，分隔符\u0000不可省略，照常输出； 不同类型的日志都有各自的日志类型和版本号，具体见各日志章节的说明； 不同类型的日志的字段输出顺序是有要求的，具体见各日志章节记录字段表格中的字段顺序； 数据库存储要求参见各章节的说明； 通用要求 登录日志 要求：记录用户成功/失败的认证/登录、正常退出、超时退出的活动； 规范： 输出格式中的日志类型值为1，版本号为1 记录字段说明： 字段名 类型 描述 字段顺序 备注 Oper_time Timestamp 操作时间 1 统一格式为：yyyy-MM-dd hh:mm:ss 小时制式：24小时制 示例：2007-08-28 00:52:10 Oper_user_name Varchar2(40) 操作人员的账号名 2 填写：标识账号名 Source_App Varchar2(256) 源系统编码 3 例如：web、客户端、iOS、Android，如果在系统职责矩阵表中，则使用职责矩阵表中的系统编号 Destination_App Varchar2(256) 目标系统编码 4 见职责矩阵表中的系统编号（如果只登录没有跳转，则记为该系统本身） dst_ip Varchar2(256) 服务端应用ip或者域名 5 例如：192.168.100.41（记录中间件实例IP）或域名 src_ip(*) Varchar2(16) 源IP 6 例如：192.168.100.40,手机应用如记录不到源ip则不要求记录 Computer_name(*) Varchar2(256) 客户端计算机名称 7 计算机名称 src_mac(*) Varchar2(256) 源MAC地址 8 例如：00:15:C5:79:7E:F7 Oper_name Varchar2(16) 操作名称 9 填写：login/logout/超时退出，见附录操作编码表 Oper_result Varchar2(256) 操作结果 10 填写：1 Success, 0 Fail fail_reason(*) Varchar2(256) 失败原因 11 填写：例如timeout，密码不对等 用户管理日志 要求：记录用户的增删改以及密码的修改和重置等活动； 规范： 输出格式中的日志类型值为2，版本号为1 记录字段要求如下 字段名 类型 描述 字段顺序 备注 Oper_time Timestamp 操作时间 1 统一格式为：yyyy-MM-dd hh:mm:ss 小时制式：24小时制 示例：2007-08-28 00:52:10 Ope