ICS35.030 CCS L70 T/NJCESS 团 体 标 准 T/NJCESS002-2024 内生安全系统安全日志技术要求 Technical requirements for security logs in endogenous security systems 2024-12-26发布 2025-06-30实施 南京市网络空间内生安全协会发布
目次 言 .11 1范围.. .1 2规范性引用文件, .1 3术语和定义. 1 4缩略语. ..3 5概述.. 6内生安全系统安全日志记录要求 ..3 6.1内生安全系统安全日志记录的组件, ..4 6.2内生安全系统安全领域内具体可观测事件最小集, 6 6.3内生安全系统安全日志事件记录编码 6 6.4内生安全系统安全日志文件形式信息载体的约束规范, ..7 7内生安全系统安全日志采集要求.. .8 7.1明确采集目标.. 7.2选择采集工具 ..9 7.3配置采集策略 9 7.4日志采集安全. 8内生安全系统安全日志存储要求. . 8.1日志存储保证可用性和可扩展性 ..9 8.2日志存储的时长.. ..10 8.3日志存储路径.
10 8.4日志存储安全. 10 9内生安全系统安全日志共享要求 ...10 9.1日志共享标准化. 10 9.2日志共享安全... ..10 附录A. 11 A.1.事件记录的级别说明 .11 A.2.location编码表说明 ..11 A.3.日志类型说明. ..11 附录B... 12 B.1.事件自身属性字段字典说明 .12 B.2.输入代理事件分类标签通用词汇表最小集说明, .12 B.3.输入代理字段字典说明 ..13 B.4.输出代理事件分类标签通用词汇表最小集说明 ..13 B.5.输出代理字段字典说明 ..14 B.6.拟态裁决事件分类标签通用词汇表最小集说明, .1. B.7.拟态裁决字段字典说明 .15 B.8.负控制器事件分类标签通用词汇表最小集说明 17 B.9.负控制器字段字典说明.
18
前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由南京市网络空间内生安全协会提出并归口.
本文件起草单位:紫金山实验室、战略支援部队信息工程大学、南京市网络空间内生安全协会 本文件主要起草人:蒋笑笑、胡先君、卜佑军、陈韵、乔伟、张桥、蔡翰智、康艺霖、朱绪全、王 酒
1范围 本文件规定了基于动态异构余构建的内生安全系统安全日志的统一技术要求和规范, 包括安全日志的通用记录要素、日志采集要求、日志存储要求,以及日志共享要求.
本文件适用于内生安全系统的产品以及其派生品等日志信息提供方与需求方之间进行 事件信息的生成、共享和使用.
内生安全系统的运维平台与安全威胁信息共享平台的建设与 运营可参考使用, 2规范性引用文件 下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.
其中,注日期 的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括 的修改单)适用于本文件.
IETF RFC 2119 RFC文档用于指出要求级别的关键词(Key words for use in RFCs to Indicate Requirement Levels) IETF RFC 5424系统日志协议(The SyslogProtocol) IETF RFC 5234 增强型的用语规范 (Augmented BNF for Syntax Specifications: ABNF) IETF RFC 4627 JSON 要求(The application/json Media Type for JavaScript Object Notation) GB/T7408日期和时间信息交换表示法 GM/T0054信息系统密码应用基本要求 YD/T4223-2023支持拟态防御功能设备的总体技术指南 3术语和定义 IETF RFC 2119 、IETF RFC 5424、IETF RFC 5234、IETF RFC 4627、GB/T 7408、 GM/T 0054、 YD/T4223-2023界定的以及下列术语和定义适用于本文件.
3. 1 编码encoding 每个编码声明都定义了如何使用特定语法将事件记录为构建成便于消费者解析的事件 记录的过程, 3. 2 解码decoding 事件的消费者通过特定语法简单地解码的事件记录以获得原始事件信息的过程.
3.3 字段字典fieldtypesdictionary 是应用于领域内的事件记录的字段和数据类型等信息的列表.
3. 4 通用字段字典monfieldtypes dictionary 定义了跨拟态设备和应用程序类型的字段字典.
3.5 最佳实践字段字典specificfieldtypes dictionary 定义了单个业务形态内拟态设备和应用程序中使用的字段字典.
3. 6 事件分类标签eventtaxonomylabel 由一组类别以及最能描述事件的每个类别的标签值组成.
3.7 事件分类标签词汇表event taxonomylabeltable 是内生安全领域内事件分类标签的受控词汇表.
3.8 通用事件分类标签表moneventtaxonomylabeltable 定义了跨拟态设备和应用程序类型的事件标签的受控词汇表.
3. 9 最佳实践事件分类标签表specificeventtaxonomylabeltable 定义了单个业务形态内拟态设备和应用程序中使用的事件标签的受控词汇表.
3. 10 结构化数据structured data 一种数据表示形式,按此种形式,由数据元素汇集而成的每一个记录的结构都是一致的 并且可以使用关系模型予以有效描述.
3. 11 3.12 多维动态重构 multi-dimension dynamicreconfigure 按照事先制定的重构重组方案从异构资源池中抽取构件元素生成功能等价的新执行体 或编码架构的过程.
3. 13 状态同步state synchronization 清洗恢复后的执行体需要与在线执行体进行状态或场景再同步以维持与拟态裁决机制 2
