《烟草行业信息系统安全审计接口设计规范》.doc

YC/TXXXXX—XXXX

PAGE10

ICS?65.160

X89

备案号：

FORMTEXTYC

中华人民共和国FORMTEXT烟草行业标准

FORMTEXTYC/TFORMTEXTXXXXX—FORMTEXTXXXX

FORMTEXT?????

FORMTEXT烟草行业信息系统安全审计接口设计规范

FORMTEXTInterfacespecificationfortobaccoindustryinformationsystemssecuritylogauditfunctionality

（征求意见稿）

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

国家烟草专卖局?????????发布

YC/TXXXXX—XXXX

PAGE11

烟草行业信息系统安全审计接口设计规范

范围

本标准规定了烟草行业信息系统安全审计接口的系统、格式和事件分类。

本标准适用于烟草行业信息系统安全审计的开发。

该接口规范是在烟草行业形成一套完整的满足信息系统审计规范要求的技术接口规范，使得未来烟草行业信息建设可以更好的执行统一标准化的接口管理要求，为后续安全运行管理中心的建设提供实际有效的技术架构支撑。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

ISO15408（GB/T18336）信息技术安全性评估准则

中华人民共和国公安部公共信息网络安全监察局《网络安全审计产品检验规范》

术语和定义

下列术语和定义适用于本标准。

3.1

审计logaudit

专指信息系统中的各种人为操作记录、系统自动任务执行的记录、系统功能执行形成的日志信息、系统异常出现的记录等。

3.2

安全审计securitylogaudit

对网络或指定系统的使用状态进行跟踪并记录。

3.3

审计记录AuditRecordation

审计记录是指跟踪网络或指定系统的使用状态产生的信息。

3.4

审计信息AuditInformation

审计信息是指所有的审计日志和审计记录的总称。

3.5

烟草行业信息系统安全审计接口设计规范Interfacespecificationfortobaccoindustryinformationsystemssecuritylogauditfunctionality

针对烟草行业中使用的信息系统，包括网络设备、安全设备、管理系统、主机系统和业务信息系统等。这些信息系统所产生的和安全相关的审计日志发给第三方设备的接口规范。

目的和内容

制定本接口设计规范的主要目的是明确行业安全审计的主要内容，对各类设备、各类系统提出审计的指标要求。

本接口设计规范的主要内容包括以下几个方面：

适用于本接口的设备

接口协议定义

接口格式定义

信息系统日志分类

日志发送约束

适用于本接口的设备

要求在烟草行业网络中所有的网络设备、安全设备、主机系统和业务系统都需要支持本接口规范。其设备和系统包括以下几大类：

设备分类

举例

网络设备

CISCO网络设备、华为网络设备、华三网络设备

安全设备

防火墙、防病毒网关、防垃圾邮件网关、IPS、IDS、VPN、网络安全审计、上网行为管理

管理系统

终端管理系统、网管系统、CA认证管理系统

主机系统

Linux、AIX、Solaris、HP-UNIX、Windows

业务信息系统

办公自动化、行业卷烟生产经营决策管理系统、专卖管理系统、财务管理系统、办公自动化系统、人力资源信息系统、烟叶信息管理基础软件系统、卷烟销售管理系统、现代烟草农业辅助决策管理系统

接口协议定义

日志发送接口采用的协议要求使用以下三种之一：

基于UDP的Syslog

基于UDP的Snmptrap

基于TCP的JMS协议

如果信息系统发送的日志要求可靠性和安全性时，必须使用JMS协议。

注1：Syslog协议是一种工业标准的协议，允许一个设备通过IP网络把通告信息传递给事件信息接收者(也称之为“syslogd”，“syslogdaemon”或“日志服务器”)。术语“syslog”一般用作真正的syslogprotocol，或者也用作应用程序或库发送syslog信息。Syslog是一个简单协议，常用来管理计算机系统和安全审计。Syslog获得了大量设备和接收者跨越多个平台和操作系统的支持。因此，Syslog可用来将日志数据从多种不同类型的系统整合到一个存贮中心。由于每个进程、应用程