T_NJCESS 002-2024 内生安全系统安全日志技术要求.docxVIP

ICS35.030CCSL70

T/NJCESS

团体标准

T/NJCESS002-2024

内生安全系统安全日志技术要求

Technicalrequirementsforsecuritylogsinendogenoussecurity

systems

2024-12-26发布2025-06-30实施

南京市网络空间内生安全协会发布

I

目次

前言 II

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 3

5概述 3

6内生安全系统安全日志记录要求 3

6.1内生安全系统安全日志记录的组件 4

6.2内生安全系统安全领域内具体可观测事件最小集 6

6.3内生安全系统安全日志事件记录编码 6

6.4内生安全系统安全日志文件形式信息载体的约束规范 7

7内生安全系统安全日志采集要求 8

7.1明确采集目标 8

7.2选择采集工具 9

7.3配置采集策略 9

7.4日志采集安全 9

8内生安全系统安全日志存储要求 9

8.1日志存储保证可用性和可扩展性 9

8.2日志存储的时长 10

8.3日志存储路径 10

8.4日志存储安全 10

9内生安全系统安全日志共享要求 10

9.1日志共享标准化 10

9.2日志共享安全 10

附录A 11

A.1.事件记录的级别说明 11

A.2.location编码表说明 11

A.3.日志类型说明 11

附录B 12

B.1.事件自身属性字段字典说明 12

B.2.输入代理事件分类标签通用词汇表最小集说明 12

B.3.输入代理字段字典说明 13

B.4.输出代理事件分类标签通用词汇表最小集说明 13

B.5.输出代理字段字典说明 14

B.6.拟态裁决事件分类标签通用词汇表最小集说明 14

B.7.拟态裁决字段字典说明 15

B.8.负反馈控制器事件分类标签通用词汇表最小集说明 17

B.9.负反馈控制器字段字典说明 18

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由南京市网络空间内生安全协会提出并归口。

本文件起草单位：紫金山实验室、战略支援部队信息工程大学、南京市网络空间内生安全协会

本文件主要起草人：蒋笑笑、胡先君、卜佑军、陈韵、乔伟、张桥、蔡翰智、康艺霖、朱绪全、王涵

1

1范围

本文件规定了基于动态异构冗余构建的内生安全系统安全日志的统一技术要求和规范，包括安全日志的通用记录要素、日志采集要求、日志存储要求，以及日志共享要求。

本文件适用于内生安全系统的产品以及其派生品等日志信息提供方与需求方之间进行事件信息的生成、共享和使用。内生安全系统的运维平台与安全威胁信息共享平台的建设与运营可参考使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

IETFRFC2119RFC文档用于指出要求级别的关键词(KeywordsforuseinRFCstoIndicateRequirementLevels)

IETFRFC5424系统日志协议(TheSyslogProtocol)

IETFRFC5234增强型的用语规范(AugmentedBNFforSyntaxSpecifications:ABNF)

IETFRFC4627JSON要求（Theapplication/jsonMediaTypeforJavaScriptObjectNotation）GB/T7408日期和时间信息交换表示法

GM/T0054信息系统密码应用基本要求

YD/T4223-2023支持拟态防御功能设备的总体技