011 智能电网调度技术支持系统_第 3-6 部分：基础平台_系统安全防护编制说明.pdf

资源描述

1、ICS29.240国家电网公司企业标准Q/ GDW 680.3 6要 2011智能电网调度技术支持系统第 3-6 部分：基础平台系统安全防护Smartgridoperationsupporting systemPart3-6： Foundationalplatform systemsecurity protection2011-12-28发布 2011-12-28实施国家电网公司发布Q /G D WQ / GDW 680.36要 2011I目次前言 II1 范围 12 规范性引用文件 13 术语和定义 14 概述 15 安全防护总体要求 16 系统安全 26.1 操作系统安全 26.2

2、数据库安全 26.3 安全监视 26.4 身份认证 46.5 安全授权 56.6 网络设备和安全设备 56.7 性能指标 5附录 A（资料性附录）智能电网调度技术支持系统安全监视运行报表模板 7附录 B（规范性附录）智能电网调度技术支持系统安全监视日志规范 14附录 C（规范性附录）智能电网调度技术支持系统安全监视日志代理接口规范 24编制说明 27Q / GDW 680.36要 2011II前言随着坚强智能电网建设工作的深入开展，国家电网正在发展成为世界上电压等级最高、技术水平最先进、资源配置能力最强的坚强智能电网，电网的形态和运行特性将发生重大变化，对电网调度驾驭大电网、进

3、行大范围资源优化配置的能力以及电网调度一体化运行管理和信息化、自动化、互动化水平提出了新的更高的要求。作为保障电网安全、优质、经济运行的重要技术手段，现有电网调度技术支持系统已难以适应特高压大电网安全稳定运行的要求，迫切需要开展新一代电网调度技术支持系统智能电网调度技术支持系统的研究和建设。智能电网调度技术支持系统系列标准，提出了省级及以上智能电网调度技术支持系统体系架构及总体要求，定义了系统的名词和术语，明确了系统基础平台的技术要求，给出了省级及以上智能电网调度技术支持系统实时监控与预警、调度计划、安全校核、调度管理四类应用的技术要求，具有涉及范围广、系统性强、一体化

4、程度高等特点。该系列标准转化为国家电网公司企业标准并贯彻执行，将会有力地推进电网调度技术支持系统标准化建设，全面提高电网调度的精益化和智能化水平。Q/GDW680 智能电网调度技术支持系统系列标准包括以下 24 个部分：第 1 部分：体系架构及总体要求第 2 部分：名词和术语第 3-1 部分：基础平台消息总线和服务总线第 3-2 部分：基础平台数据存储与管理第 3-3 部分：基础平台平台管理第 3-4 部分：基础平台公共服务第 3-5 部分：基础平台数据采集与交换第 3-6 部分：基础平台系统安全防护第 4-1 部分：实时监控与预警类应用电网实时监控与智能告

5、警第 4-2 部分：实时监控与预警类应用水电及新能源监测分析第 4-3 部分：实时监控与预警类应用电网自动控制第 4-4 部分：实时监控与预警类应用网络分析第 4-5 部分：实时监控与预警类应用在线安全稳定分析与调度运行辅助决策第 4-6 部分：实时监控与预警类应用调度员培训模拟第 4-7 部分：实时监控与预警类应用辅助监测第 5-1 部分：调度计划类应用数据申报与信息发布第 5-2 部分：调度计划类应用预测与短期交易管理第 5-3 部分：调度计划类应用检修计划第 5-4 部分：调度计划类应用发电计划第 5-5 部分：调度计划类应用水电及新能源调度

6、第 6 部分：安全校核类应用安全校核第 7-1 部分：调度管理类应用调度生产运行管理第 7-2 部分：调度管理类应用专业和内部综合管理及信息展示发布第 8 部分：分析与评估本部分是 Q/GDW680 智能电网调度技术支持系统系列标准的第 3-6 部分。Q / GDW 680.36要 2011III本部分由国家电力调度控制中心提出并解释。本部分由国家电网公司科技部归口。本部分起草单位：国网电力科学研究院、中国电力科学研究院、福建电力调度通信中心、华中电力调控分中心、江西电力调度通信中心、四川电力调度通信中心、华北电力调控分中心。本部分主要起草人：蔡云江、孙炜、马骁

7、、张涛、杨维永、李勃、邓兆云、韩水保、金学成、朱亦兵、王民昆、黄河清、邵志鹏、刘炎炎。Q / GDW 680.36要 2011IVQ / GDW 680.36要 20111智能电网调度技术支持系统第 3-6 部分：基础平台系统安全防护1 范围本部分规定了智能电网调度技术支持系统中操作系统安全、数据库安全、安全监视、身份认证、安全授权的功能和性能等技术要求，并提出了网络设备、安全设备的配置和性能要求。本部分适用于智能电网调度技术支持系统的设计、研发、建设和验收。2 规范性引用文件下列文件对本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本是用

8、于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T20270 信息安全技术网络基础安全技术要求GB/T20271 信息安全技术信息系统通用安全技术要求GB/T20272 信息安全技术操作系统安全技术要求GB/T20273 信息安全技术数据库管理系统安全技术要求GB/T22239 信息安全技术信息系统安全等级保护基本要求Q/GDW680.1-2011 智能电网调度技术支持系统第 1 部分：体系架构及总体要求Q/GDW680.2-2011 智能电网调度技术支持系统第 2 部分：名词和术语中华人民共和国国务院令（ 147 号）中华人民共和国计算机信息系统

9、安全保护条例中华人民共和国国家经济贸易委员会令第 30号电网和电厂计算机监控系统及调度数据网络安全防护规定公通字 2007 43 号信息安全等级保护管理办法国家电力监管委员会令（第 5 号）电力二次系统安全防护规定电监安全 2006 34 号关于印发电力二次系统安全防护总体方案等安全防护方案的通知3 术语和定义标准 Q/GDW680.2-2011 界定的术语和定义适用于本文件。4 概述本部分依据 Q/GDW 680.1-2011 编制，确定了 Q/GDW 680.1-2011 中规定的基础平台系统安全防护功能要求和性能指标。系统安全防护包括操作系统安全、数据库安全、安全监视、

10、身份认证、安全授权等功能，以及网络设备、安全设备的配置等。5 安全防护总体要求智能电网调度技术支持系统安全防护应遵循“ 安全分区、网络专用、横向隔离、纵向认证” 的总体要求：a) 智能电网调度技术支持系统应分为生产控制大区和管理信息大区，生产控制大区内应划分为控制区和非控制区；Q / GDW 680.36要 20112b) 与生产控制大区连接的广域网和与管理信息大区连接的广域网应在物理层面上使用独立的网络设备；c) 生产控制大区与管理信息大区间应部署电力专用横向隔离装置，控制区和非控制区应部署逻辑隔离装置；d) 生产控制大区的应用系统与调度数据网连接时，纵向边界应采用认证、加密、

11、访问控制等技术措施。6 系统安全智能电网调度技术支持系统应遵循公通字 2007 43 号、国家电力监管委员会令第 5 号、 GB/T22239的要求，建立覆盖网络层、应用层的纵深安全防护机制，应包括操作系统安全、数据库安全、安全监视、身份认证、安全授权的功能和性能等技术要求，以及网络设备、安全设备的配置和性能要求6.1 操作系统安全智能电网调度支持技术系统采用的操作系统应达到 GB/T20272 中 4 级安全防护等级的要求。6.2 数据库安全智能电网调度支持技术系统采用的关系数据库应达到 GB/T20273 中 3 级安全防护等级的要求。6.3 安全监视安全监视功能包括安全监视

12、与管理、事件分析与处理、纵向加密认证装置集中管控等功能。6.3.1 安全监视与管理安全监视与管理应至少包括实时监视、系统管理、资产管理、风险指标管理、辅助工具等功能。6.3.1.1 实时监视实时监视智能电网调度技术支持系统的安全情况，至少包括以下内容：a) 系统整体安全情况；b) 安全设备数量和运行状态；c) 告警日志总量；d) 紧急安全事件发生情况；e) 日志数据流量；f) 经过纵向加密装置的明、密文数据流量。6.3.1.2 系统管理系统管理应至少包括系统配置管理、用户权限管理等内容：a) 系统配置管理包括所有用于安全监视后台处理和前端展示信息的配置，同时支持配置参数的离线备

13、份。b) 用户权限管理用户权限管理应至少包括以下功能：1) 用户帐号维护；2) 用户角色维护；3) 角色权限控制。身份验证信息（帐号及口令）应加密存储，登录页面可使用图片验证码功能，防止恶意攻击。6.3.1.3 资产管理提供监视范围内的资产管理功能，至少包括以下内容：a) 资产名称、厂商、型号、联系人等信息维护；b) 资产信息的 Excel 批量导入、导出；c) 资产对应的日志代理类型选择；d) 资产检索及结果导出功能。6.3.1.4 风险指标管理Q / GDW 680.36要 20113建立针对二次系统安全风险的评估指标体系，包括运行类和安全类两类指标。指标数据支持报表形式展现，格

14、式参见附录 A。6.3.1.5 辅助工具应提供辅助工具，具备局域网主机信息扫描功能。扫描信息至少包括以下内容：a) IP 地址；b) MAC 地址；c) 工作组名；d) 用户名称；e) 操作系统类型。扫描结果应支持删除、修改、存储、导出。6.3.2 事件分析与处理事件分析与处理应包括事件采集、转换代理、过滤存储、分级上报、事件分析、事件响应等功能：6.3.2.1 事件采集以 Syslog 方式，实现设备日志的采集，应至少支持以下设备：a) 横向（正、反向）隔离装置；b) 纵向加密认证装置；c) 安全拨号装置；d) 防火墙；e) 入侵检测装置；f) 防病毒；g) 局域网重要主

15、机。采集事件应满足 GB/T 22239 中“ 8.1.2.3 安全审计” 的要求。具体范围和事件日志格式见附录 B。6.3.2.2 转换代理转换代理程序将原始日志数据转换为标准格式，日志格式要求应满足附录 B 要求。转换流程应满足附录 C 要求。6.3.2.3 过滤存储对原始事件数据过滤、存储，应满足以下功能要求：a) 保留有效事件，丢弃无效事件，归并同类事件；b) 过滤后的入库事件具备存储备份和灾难恢复功能。6.3.2.4 分级上报下级安全监视将重要事件告警日志上报至上级单位，应至少包括以下参数：a) 事件类型；b) 事件名称；c) 事件描述；d) 告警等级；e) 事件发生次数；f)

16、设备统一编码；g) 事件发生时间（时间范围）；h) 报告事件的安全设备类型；i) 攻击源 IP；j) 攻击目的 IP；k) 攻击源端口；l) 攻击目的端口。Q / GDW 680.36要 201146.3.2.5 事件分析对原始日志数据进行关联分析，生成安全事件。应支持至少以下关联分析类型：a) 基本关联，根据事件基本属性信息，生成关联分析结果；b) 攻击关联，根据安全设备发出的事件，结合目标资产类型，生成关联分析结果；c) 位置关联，根据事件来源的位置或者目标资产的物理位置，生成关联分析结果；d) 角色关联，根据事件相关用户名结合事件基本属性，生成关联分析结果；e) 因果关联，根据事件类

17、型结合事件行为结果，生成关联分析结果。事件分析结果支持以报表的形式展现，详细格式参见附录 A。报表类型至少包括以下几种：a) 实时分析报表；b) 历史分析报表；c) 对比分析报表；d) 趋势分析报表。6.3.2.6 事件响应对关联分析生成的安全事件进行告警响应，具备以下功能要求：a) 支持告警的实时显示；b) 可通过邮件、短信、声光告警等方式报送运维人员。6.3.3 纵向加密认证集中管控6.3.3.1 拓扑管理具备设备拓扑图的自动生成和更新功能，并至少支持设备增加、删除、编辑等功能。6.3.3.2 运行监视具备在线监视功能，至少包括以下设备运行状态信息：a) 在线隧道链路状态信息；b

18、) 隧道加解密数据包数量信息；c) 装置及隧道通断信息。6.3.3.3 设备配置实现管控设备的基础信息配置，包括设备基本信息、网络及安全等配置。6.3.3.4 隧道管理提供隧道的维护工具，实现隧道的创建、修改、删除和查询等功能。6.3.3.5 策略管理提供策略维护工具，实现选定隧道下策略的查询、添加、修改和删除等功能。6.3.3.6 证书管理实现对装置证书的管理功能，提供对所选择加密隧道相关证书的替换功能。6.4 身份认证6.4.1 主机认证系统中与调度数据网连接的主机在与远方主机通信时应通过身份认证，并定期重认证。认证过程遵循电力系统专用纵向加密认证装置技术规范中规定的认证协

19、议。6.4.2 用户认证应提供用户登录身份认证功能，并定期重认证。用户认证功能至少应满足以下要求：a) 应使用基于智能卡或指纹型智能卡等方式；b) 应提供相应智能卡管理工具，支持修改口令、登记指纹等信息；c) 卡内数字证书应由电力专用调度证书服务系统签发。6.4.3 服务认证智能电网调度支持技术系统中所有的服务请求者、服务提供者与服务代理间通信时应采用数字证书进行身份认证，并由服务代理发起重认证。认证协议参照电力系统专用纵向加密认证装置技术规范。Q / GDW 680.36要 201156.5 安全授权6.5.1 安全授权基本要求智能电网调度支持技术系统中访问主体（用户、服务请求

20、者等）对访问客体（文件、系统、服务提供者等）采用服务总线时的访问权限应使用安全标签功能，杜绝非法访问。安全授权功能至少应满足以下要求：a) 一个安全标签只对应一个数字证书，一个数字证书可对应多个安全标签；b) 安全标签应规定主体和客体具备的权限；c) 主体和客体分别对应一个安全标签；d) 安全标签应分配给用户、服务提供者、服务请求者、服务代理等。6.5.2 安全标签的应用本地访问与远程访问服务的安全标签应用流程见表 1：表 1 安全标签应用流程访问的主客体需要比较的两方标签访问方式次序主体客体主体客体先决条件1 本地服务请求者本地服务代理本地服务请求者安全标签本地服务代

21、理标签本地服务访问2 本地服务请求者本地服务提供者本地服务请求者安全标签本地服务提供者安全标签上一比较通过1 本地服务请求者本地服务代理本地服务请求者安全标签本地服务代理标签2 本地服务请求者远程服务代理本地服务请求者安全标签远程服务代理安全标签上一比较通过远程服务访问3 本地服务请求者远程服务提供者本地服务请求者安全标签远程服务提供者安全标签上一比较通过6.6 网络设备和安全设备智能电网调度技术支持系统所使用的网络设备和安全设备应满足以下安全防护功能要求：a) 横向隔离装置应满足单比特传输的规定，满足基于 IP 地址和端口的访问策略配置；b) 纵向加密认证装置应满足基于 IP 地址和

22、端口的访问策略配置，支持文件的加密传输，应与调度数据网络中其他的具有纵向加密认证功能的设备互联互通；c) 拨号加密认证装置应满足基于 IP 地址和端口的访问策略配置，客户端拨入时应通过身份认证功能；d) 防火墙访问控制策略可根据用户的防护需求进行配置；e) 入侵检测装置应满足基于标识和异常情况的检测功能；f) 数据网交换机应具有按业务划分 VLAN 的功能；g) 数据网路由器应支持访问控制策略的设置。6.7 性能指标智能电网调度技术支持系统使用的电力专用安全设备应满足以下性能指标：a) 横向隔离装置性能指标：1) 数据转发延时应小于 1ms；2) 正向隔离设备数据吞吐量应不小于 60Mbps；

23、3) 反向隔离设备数据吞吐量应不小于 18Mbps；Q / GDW 680.36要 20116b) 纵向加密认证装置和网关性能指标：1) 应支持建立至少 1024 条加密隧道；2) 密通数据转发延时应小于 2ms；c) 安全监视性能指标：1) 界面动态数据刷新周期应小于 60s；2) 界面调用响应时间应小于 2s；3) 月度报表生成时间应小于 3s，导出时间应小于 30s；4) 年度报表生成时间应小于 5s，导出时间应小于 60s；d) 身份认证性能指标：1) 在千兆网络环境下，认证过程延时应小于 1s。Q / GDW 680.36要 20117附录 A（资料性附录）智能电网调度技术支持

24、系统安全监视运行报表模板A.1 总体情况自 YYYY 年 MM 月 DD 日 0 时至 MM 月 DD 日 24 时， XX 公司安全监视记录告警事件 XXXX 次，其中紧急事件 XXX 次（同比增加减少 XXX 次），回溯近期监视情况，未出现安全事故出现 XX 安全事故，二次系统安全防护设备运行稳定出现 XX 问题。紧急事件数量曲线见图 A.1：注：紧急事件统计曲线的 X 轴为时间节点（日报表以日为单位，显示最近一周；月报表以日为单位，显示当前月份；年报表以月为单位，显示本年数据）， Y 轴为紧急事件数量。图 A.1 紧急事件数量曲线图按照告警级别统计告警事件见图 A.2：图 A.

25、2 告警事件级别分布信息图Q / GDW 680.36要 20118按照地域信息统计告警事件见图 A.3（若地区很多，可改为 TOP10）：图 A.3 告警事件地域分布信息图按照地域信息统计安全指数见图 A.4：图 A.4 安全指数地域统计图截止 XXXX 年 XX 月 XX 日， XX 公司二次系统安全设备共 XX 台（套），其中横向隔离装置 XX台（正向 XX 台、反向 XX 台），纵向加密认证装置 XX 台，防火墙 XX 台，入侵检测系统 XX 套，防病毒系统 XX 套，应用服务器 XX 台。Q / GDW 680.36要 20119安全设备数量按照设备类型统计见图 A.5：图 A.5

26、安全设备类型统计图XX 公司二次系统安全设备生产厂商共 XX 家，其中华三 XX 台，东软 XX 台，绿盟 XX 台，科东XX 台，南瑞 XX 台，兴唐 XX 台，卫士通 XX 台，瑞星 XX 套。安全设备数量按照厂商统计见图 A.6：图 A.6 安全设备厂商统计图按照地域信息统计指定安全事件，见表 A.1：Q / GDW 680.36要 201110表 A.1 按地域信息指定安全事件统计表横向隔离装置纵向加密认证装置防火墙入侵检测（保护）系统防病毒系统合计地区 1地区 2地区 3合计注：按地域统计各种安全设备事件数量：横向隔离设备发生不合安全策略的次数、纵向加密装置发生不合安全策略的

27、次数、防火墙发生攻击的次数、入侵检测系统发生紧急事件次数、病毒发生次数。安全设备在线运行率统计，见表 A.2：表 A.2 安全设备在线率统计表防火墙入侵检测（保护）系统横向隔离装置纵向加密认证装置防病毒系统在线运行率（ %）离线次数离线时间在线运行率（ %）离线次数离线时间在线运行率（ %）离线次数离线时间在线运行率（ %）离线次数离线时间在线运行率（ %）离线次数离线时间地区 1地区 2地区 3合计注：在线运行率的计算公式： -( 离线时间 /(设备数量 *统计周期内时间 )，其中时间单位是分钟。纵向装置密通可用率统计，见表 A.3：表 A.3 纵向装置密通率统计表纵向加密认证装

28、置密通可用率密通异常次数密通异常时间地区 1地区 2地区 3合计注：纵向装置密通可用率的计算公式：（密通异常转明通时间（密通隧道数 *统计周期内时间），其中时间单位是分钟。A.2 具体情况分析A.2.1 横向隔离装置安全事件分析横向隔离装置链路异常分析见表 A.4：Q / GDW 680.36要 201111表 A.4 横向隔离装置链路异常分析表设备名称次数日志类型源端 IP 地址源端口目的 IP 地址目的端口XX_EMS_1 5不符合安全策略的访问192.XX.XX.22 1736 10.XX.XX.100 80情况分析处理措施落实结果 A.2.2 纵向加密装置安全

29、事件分析纵向加密装置链路异常分析见表 A.5：表 A.5 纵向加密装置链路异常分析表设备名称错误次数错误信息本地 IP 地址源端口远端 IP 地址目的端口XX_NRT_ 6不符合安全策略的访问10.XX.XX.12 1537 10.XX.XX.101 80纵向加密装置隧道建立错误分析见表 A.6：表 A.6 纵向加密装置隧道建立错误分析表设备名称错误次数错误信息本地隧道 IP 地址远端隧道 IP 地址XX_NRT_2 50 隧道没有配置 10.XX.XX.250 10.XX.XX.186XX_NRT_2 4 隧道没有配置 10.XX.XX.250 10.XX.XX.57XX

30、_NRT_2 143 隧道没有配置 10.XX.XX.250 10.XX.XX.57情况分析处理措施 Q / GDW 680.36要 201112落实结果 A.2.3 防火墙安全事件分析防火墙链路异常分析表表 A.7：表 A.7 防火墙链路异常分析表设备名称攻击类型攻击次数源 IP 地址源端口目的 IP 地址目的端口XX_FW_H3C_1 Large-icmp 8 XX.1.1.15 0 10.XX.XX.1 0情况分析处理措施落实结果 A.2.4 入侵检测装置安全事件分析入侵检测装置保护日志分析见表 A.8：表 A.8 入侵检测装置保护日志分析表设备名称次数事件描述源

31、地址源端口情况分析处理措施落实结果 Q / GDW 680.36要 201113A.2.5 防病毒系统安全事件分析病毒日志分析见表 A.9：表 A.9 病毒日志分析表设备名称发生次数病毒名称病毒类型感染 IP 地址查杀结果XX_AV_1 1 Hack.Exploit.Win32.MS08-067.gu 黑客工具 192.XX.2.18 手动删除XX_AV_1 42 Hack.Exploit.Win32.MS08-067.x 黑客工具 192.XX.2.18 手动删除情况分析处理措施落实结果单位： XXXX时间： YYYY 年 MM 月 DD 日Q / GDW 680.36

32、要 201114附录 B（规范性附录）智能电网调度技术支持系统安全监视日志规范B.1 概述本标准遵照电力二次系统安全防护总体方案要求，参考 Syslog(IETFRFC 3164)格式，实现安全设备、主机的告警日志标准化。B.2 告警格式告警日志应包括告警级别、告警时间、设备名称、设备类型、内容描述，格式定义如下：告警时间设备名称设备类型内容描述各部分具体格式内容应满足以下要求：B.2.1 告警级别根据告警级别定义，约束相关过滤条件。通过筛选和过滤等手段，严格控制告警信息发布数量 ,分析并准确报送重要告警信息。表示告警事件的紧急或者严重程度，采用如下 4 个值，见表

33、 B.1：表 B.1 安全告警级别表0 EMERG(0) 紧急 (0)1 ERR (1) 重要 (1)2 WARNNING (2) 次要 (2)3 NOTICE (3) 通告 (3)例如： 2006-03-1220:12:23fw01 FW0 SystemEXCEPTION安全设备异常属于重要告警，需要马上处理。B.2.2 告警时间告警发生日期和时间格式 YYYY-MM-DDHH:MM:SS， YYYY 表示年份， MM 为月份， DD 是日期。24 小时制，有效值为 (00-23)， MM 和 SS 的值的范围为 (00-59)。月、日、时、分、秒各 2 个字符，小于10 时十位应

34、补 0。例如： 2006-03-1220:12:23fw01 FW0 SystemEXCEPTION 。B.2.3 设备名称标识产生告警事件的主机名字或者是主机 IP 地址。例如： 2006-03-1220:12:23fw01 FW0 SystemEXCEPTIONfw01 为安全设备名称，也可以用设备 IP 地址描述。B.2.4 设备类型描述告警源的设备类型，是一个不超过 32 个字符的字符数字集。例如： 2006-03-1220:12:23fw01 FW0 SystemEXCEPTION设备类型 FW 为防火墙，设备类型定义见表 B.2：Q / GDW 680.36要 201115表 B.

35、2 设备类型定义表FW 防火墙IDS/IPS 入侵检测 /保护装置FID 横向正向隔离装置BID 横向反向隔离装置VEAD 纵向加密认证装置SVR 服务器AV 防病毒SDIAL 安全拨号服务器MP 安全监视模块B.2.5 内容描述内容描述是日志的具体内容，按日志内容的安全性级别将日志分为告警日志和审计日志。告警日志为紧急和重要级别，一般用于重大安全事件的实时告警；审计日志为次要和通告级别，一般用于运行情况的事后统计分析。安全监视中使用开关模式控制接收日志的类型。默认只有告警日志写入数据库，当审计开关打开后，开始接收审计日志，并写入数据库，直到审计开关关闭为止。内容描述格式如下：注：某些类

36、型安全设备日志不具有子类型；以下告警内容中描述语言仅为示意，使用斜体标明该部分具体内容可由各厂商自行决定。如日志内容中出现中文字符，统一使用 UTF8 编码。B.2.5.1 防火墙a) 管理日志子类型定义如下：1) 用户登录成功（审计日志）告警级别：通告（ 3）日志子类型： 1内容格式：用户名源地址示例： 2006-03-1220:12:23fw01 FW01 admin10.1.1.12) 用户退出（审计日志）告警级别：通告（ 3）日志子类型： 2内容格式：用户名源地址示例： 2006-03-1220:12:23fw01 FW02 admin10.1.1.13) 用户登录失败（审计日志

37、）告警级别：次要（ 2）日志子类型： 3内容格式：用户名源地址示例： 2006-03-1220:12:23fw01 FW03 shtest10.1.1.14) 修改策略（审计日志）告警级别：次要（ 2）Q / GDW 680.36要 201116日志子类型： 4内容格式：用户名源地址修改内容示例： 2006-03-12 20:12:23 fw01 FW 0 4 admin 10.1.1.1 Rule 20 added, permit tcp packets from10.10.10.0/24to20.20.20.0/24b) 系统日志子类型定义如下：1) CPU 利用率（告警日志）告警级

38、别：通告（ 3）日志子类型： 1示例： 2006-03-1220:12:23fw01 FW11 80%注： CPU 利用率每分钟输出一次平均值，只记录超过系统设定阈值的告警日志。以下所有安全设备的 CPU 利用率和内存使用率与此相同。1) 内存使用率（告警日志）告警级别：通告（ 3）日志子类型： 2示例： 2006-03-1220:12:23fw01 FW12 80%1) 防火墙电源故障（告警日志）告警级别：紧急（ 0）日志子类型： 3示例： 2006-03-1220:12:23fw01 FW13 Power_Supply_Error2) 防火墙风扇故障（告警日志）告警级别：紧急（ 0）日志

39、子类型： 4示例： 2006-03-1220:12:23fw01 FW14 Fan_Error3) 防火墙温度异常（告警日志）告警级别：重要（ 1）日志子类型： 5示例： 2006-03-1220:12:23fw01 FW15Temperature_Over_Limit65 C4) 网口状态异常（审计日志）告警级别：次要（ 2）日志子类型： 7示例： 2006-03-1220:12:23fw01 FW17 Eth1Linkdown5) 网口状态恢复（审计日志）告警级别：次要（ 2）日志子类型： 8示例： 2006-03-1220:12:23fw01 FW18 Eth1Linkupc) 安全日志

40、子类型定义如下：1) 不符合安全策略访问（告警日志）告警级别：重要（ 1）日志子类型： 1Q / GDW 680.36要 201117内容格式：协议源 IP 地址源端口目的 IP 地址目的端口示例： 2006-03-1220:12:23fw01 FW31TCP10.1.1.14099 10.2.2.2802) 攻击告警（告警日志）告警级别：紧急（ 0）日志子类型： 2内容格式：协议攻击类型攻击源 IP 地址攻击源端口攻击目标 IP 地址攻击目标端口示例： 2006-03-1220:12:23fw01 FW32 UDPdos-attack 192.168.2.2008081

41、 192.168.2.214802006-03-1220:12:23 fw01 FW32 TCPddos-attack 192.168.2.2008081192.168.2.214 802006-03-1220:12:23 fw01 FW32 ICMPport-scan-attack 192.168.2.200 8081192.168.2.214 80B.2.5.2 横向隔离装置a) 系统日志子类型定义如下：1) CPU 利用率（告警日志）告警级别：通告（ 3）日志子类型： 3示例： 2006-03-1220:12:23gddev001 FID0385%2) 内存使用率（告警日志）告警级别：通告（ 3）日志子类型： 4示例 2006-03-1220:

展开阅读全文