电力二次系统安全监控日志规范Word下载.docx
- 文档编号:19962613
- 上传时间:2023-01-12
- 格式:DOCX
- 页数:13
- 大小:20.57KB
电力二次系统安全监控日志规范Word下载.docx
《电力二次系统安全监控日志规范Word下载.docx》由会员分享,可在线阅读,更多相关《电力二次系统安全监控日志规范Word下载.docx(13页珍藏版)》请在冰豆网上搜索。
内容描述
其中加阴影底色的日志类型为告警日志,其余为审计日志。
告警日志为紧急和重要级别,一般用于电力二次系统重大安全事件的实时告警;
审计日志为次要和通告级别,一般用于电力二次系统运行情况的事后统计分析。
在电力二次系统内网安全监控中使用开关模式控制接收日志的类型。
默认只有告警日志写入数据库,当审计开关打开后,开始接收审计日志,并写入数据库,直到审计开关关闭为止。
3.1.告警级别
根据告警级别定义,约束相关过滤条件。
通过筛选和过滤等手段,严格控制告警信息发布数量,分析并准确报送重要告警信息。
表示告警事件的紧急或者严重程度,采用如下4个值。
EMERG(0)
紧急(0)
1
ERR
(1)
重要
(1)
2
WARNNING
(2)
次要
(2)
3
NOTICE(3)
通告(3)
例如:
0>
2006-03-1220:
12:
23fw01FW0SystemEXCEPTION
安全设备异常属于重要告警,需要马上处理。
3.2.告警时间
告警发生日期和时间格式YYYY-MM-DDHH:
MM:
SS,YYYY表示年份,MM为月份,DD是日期。
24小时制,有效值为(00-23),MM和SS的值的范围为(00-59)。
月、日、时、分、秒各2个字符,小于10时十位应补0。
23fw01FW0SystemEXCEPTION。
3.3.设备名称
标识产生告警事件的主机名字或者是主机IP地址。
23fw01FW0SystemEXCEPTION
fw01为安全设备名称,也可以用设备IP地址描述。
3.4.设备类型
描述告警源的设备类型,是一个不超过32个字符的字符数字集。
23fw01FW0SystemEXCEPTION
设备类型FW为防火墙,设备类型定义如下表:
FW
防火墙
IDS/IPS
入侵检测/保护系统
FID
横向正向隔离装置
BID
横向反向隔离装置
VEAD
纵向加密认证装置
SVR
服务器
AV
防病毒系统
3.5.内容描述
内容描述是日志的具体内容,其格式如下:
日志类型>
日志子类型>
内容>
注:
某些类型安全设备日志不具有子类型;
以下告警内容中描述语言仅为示意,使用蓝色字体标明该部分具体内容可由各厂商自行决定。
3.4
3.5
3.5.1.防火墙
3.5.1.1.管理日志
类型=0>
子类型>
子类型定义如下:
1用户登录成功
Ø
告警级别:
日志子类型:
内容格式:
用户名<
源地址
示例:
3>
23fw01FW01admin10.1.1.1
2用户退出
23fw01FW02admin10.1.1.1
3用户登录失败
2>
23fw01FW03shtest10.1.1.1
4修改策略
4
源地址<
修改内容(包含策略ID)
23fw01FW04admin10.1.1.1Rule20added,permittcppacketsfrom10.10.10.0/24to20.20.20.0/24
3.5.1.2.系统日志
类型=1>
1CPU利用率【num%】
23fw01FW1180%
2内存使用率【num%】
23fw01FW1280%
3防火墙电源故障
23fw01FW13Power_Supply_Error
4防火墙风扇故障
23fw01FW14Fan_Error
5防火墙温度异常
5
1>
23fw01FW15Temperature_Over_Limit65°
C
6网口状态异常(包含网口物理状态和逻辑状态)
7
23fw01FW17Eth1Linkdown
7网口状态恢复
8
23fw01FW18Eth1Linkup
3.5.1.3.安全日志
类型=3>
1不符合安全策略访问
协议<
源IP地址<
源端口<
目的IP地址<
目的端口
23fw01FW31TCP10.1.1.1409910.2.2.280
2攻击告警
攻击类型<
攻击源IP地址<
攻击源端口<
攻击目标IP地址<
攻击目标端口
23fw01FW32UDPdos-attack192.168.2.2008081192.168.2.21480
23fw01FW32TCPddos-attack192.168.2.2008081192.168.2.21480
23fw01FW32ICMPport-scan-attack192.168.2.2008081192.168.2.21480
3.5.2.横向隔离装置
3.5.2.1.系统日志
23gddev001FID0385%
23gddev001FID0475%
3系统登录
23gddev001FID05rootsystem_login
4修改设备配置
6
23gddev001FID06policychanged
3.5.2.2.安全日志
类型=2>
23gddev001FID21TCP10.10.10.1409910.10.30.280
3.5.3.纵向加密认证装置
3.5.3.1.管理日志
用户名
23vead01VEAD01admin
2用户登录失败
23vead01VEAD02shtest
3修改配置
配置ID
23vead01VEAD031
配置ID:
1:
系统配置
2:
IP配置
3:
路由配置
4:
策略配置
5:
隧道配置
6:
装置管理配置
7:
更新证书
4用户退出
23vead01VEAD04admin
3.5.3.2.系统日志
<
23vead01VEAD1250%cpuloadavg
23vead01VEAD1365%
3网口状态异常
23vead01VEAD16ETH1down
4网口状态恢复
23vead01VEAD17ETH1up
5备机心跳丢失
23vead01VEAD18BackDeviceHeartBeatLost
3.5.3.3.安全日志
1隧道建立错误
紧急(0)、重要
(1)
错误ID<
本地隧道地址<
远端隧道地址<
错误内容
23vead01VEAD21110.1.1.110.1.1.1RSADecryptedError
23vead01VEAD21210.1.1.110.1.1.1RSAVerifyError
23vead01VEAD21310.1.1.110.1.1.1CertNotexist
23vead01VEAD21410.1.1.110.1.1.1NOSuchTunnel
23vead01VEAD21510.1.1.110.1.1.1RSAEncryptedError
23vead01VEAD21610.1.1.110.1.1.1RSASignError
23vead01VEAD21710.1.1.110.1.1.1VPNDisabled
23vead01VEAD21810.1.1.110.1.1.1VPNCreated
错误ID:
1:
私钥解密错误*
2:
验证签名错误*
3.证书不存在*
4:
隧道没有配置*
5:
公钥加密错误*
6:
私钥签名错误*
7:
隧道由密通变明通
8:
隧道由明通变密通
2装置链路异常
2.1不符合安全策略的访问告警
异常ID<
23vead01VEAD278192.168.2.2005400192.168.2.21480
异常ID:
不符合安全策略的访问
3.5.4.服务器
3.5.4.1.外设接入
1移动介质配置信息
日志类型:
移动介质的盘符
23WEB01SVR0/dev/sdb
3.5.4.2.网络连接
1启动不在安全策略范围内的监听服务
监听IP地址<
监听端口
23WEB01SVR11127.0.0.122
2不符合IP安全策略的网络连接
23WEB01SVR1210.1.1.1409910.2.2.280
3不符合端口安全策略的网络连接
23WEB01SVR1310.1.1.1409910.2.2.280
3.5.4.3.系统应用
1系统关键进程退出
进程名称
23WEB01SVR21/usr/sbin/sshd
2不在安全策略范围内的进程启动
进程名称<
运行状态<
启动参数
23WEB01SVR22/usr/sbin/sshdrunnable-daemon
3.5.5.防病毒系统
3.5.5.1.病毒日志
日志类型<
病毒名称<
病毒类型<
查杀结果<
查杀方式<
感染文件名<
感染文件路径<
查杀时间<
感染计算机名称<
计算机IP地址
2009-12-1220:
23rx01AV0Worm.Win32.MS08-067.c蠕虫用户忽略单机定时查杀cows[2].gifC:
\DocumentsandSettings\DefaultUser\LocalSettings\TemporaryInternetFiles\Content.IE5\6PZR1TCV2009-12-1220:
10:
25YFB-JANE218.128.1.10
3.5.6.入侵检测系统
3.5.6.1.入侵检测事件
事件类型<
事件描述<
23kemelIDS0PPLive在线流媒体播放192.168.10.244138192.168.10.255138
4.网络传输
通信报文传输不要求采用加密方式,可采用参考RFC3164建议的UDP协议,端口默认使用514,设备厂家应提供配置功能,灵活设置告警接收IP地址和端口。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电力 二次 系统安全 监控 日志 规范