系统日志管理规范
日志类型与内容
由操作系统生成,记录操作系统资源使用、操作系统用户行为和重要系统命令使用等事件,主要用于检查系统用户所做的操作、分析系统运行情况、开展安全审计等。
▼▼数据库日志
▼▼网络日志
由路由器、交换机、防火墙、入侵检测系统等网络设备和软件生成,记录用户登录尝试、网络配置、错误信息等,主要用于网络安全事件监控、网络运行情况分析、用户行为检查及故障处理等。
▼▼应用日志
日志安全管理原则
所有生产系统必须开启操作系统日志、数据库日志、网络日志和应用日志.
日志中应包含足够的内容,以满足故障分析、问题分析和审计的需要。
应保障日志的完整性,只有授权人员才能调整日志属性和访问日志文件;严禁以任何方式修改日志记录的内容;禁止未经许可删除日志。
信息处理设备、系统和主机应采取措施保证系统的时钟同步,以保证日志的可追溯性和系统的准确性。
负责日志检查的岗位人员不能兼任信息系统运行维护管理及操作的岗位。
系统日志记录
日志本身能全面地反映和记录系统活动的过程和状态,从而向管理者和操作者提示系统采取措施避免错误和损失,达到的预警效果。
▼▼应用系统日志记录包括但不限于以下内容:
系统管理员登录成功、失败记录。 普通用户登录成功、失败记录。 系统管理员授权管理及变更的操作记录。
新增应用数据库文件的操作记录。 修改应用数据库文件的操作记录。 删除应用数据库文件的操作记录。 对敏感应用数据库文件的查询记录。
所有用户登录、创建、修改、删除等重要系统命令的操作记录。 用户无效登录尝试的操作记录。 重要文件和配置参数的创建、修改、删除、改名、移动操作记录。 文件系统属性修改操作记录。
用户创建、修改、删除的操作记录。 用户无效登录尝试的操作记录。 用户修改网络配置参数的操作记录。 网络设备运行状态、网络流量等。 用户成功登录、下线的操作记录。
事件(成功的或失败的)发生的时间。 关于事件或故障(发生的差错和采取的纠正措施)的信息。 事件涉及的账号和管理员或操作员。 事件相关的操作者来源(终端号和IP地址)。 事件涉及的过程
日志存储与提取
所有生产系统的操作系统日志、数据库日志和网络日志、应用日志应至少能够在线保留六个月。
日志检查与分析
为及时发现潜在的信息安全风险,纠正违规行为,预防欺诈,须对日志定期进行检查和分析。
核心业务系统日志检查频度每月一次。 重要业务系统日志检查频度每季度一次。
日志完整性保护
由于系统日志是进行系统故障排查及信息安全事件调查的重要论处来源,因此要采取统一的管理与技术措施,保护系统日志的完整性及可用性。
扩展 · 本文相关链接
· 系统备份管理规范
赞 (0)