|
系統(tǒng)日志管理是為了規(guī)范系統(tǒng)日志管理過(guò)程����,加強(qiáng)系統(tǒng)日志的管理與保護(hù),提升信息系統(tǒng)安全保障能力����。適用范圍包括核心業(yè)務(wù)系統(tǒng)、重要業(yè)務(wù)系統(tǒng)及路由器���、交換機(jī)����、防火墻、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)設(shè)備等�。 由操作系統(tǒng)生成,記錄操作系統(tǒng)資源使用�、操作系統(tǒng)用戶(hù)行為和重要系統(tǒng)命令使用等事件,主要用于檢查系統(tǒng)用戶(hù)所做的操作�����、分析系統(tǒng)運(yùn)行情況���、開(kāi)展安全審計(jì)等�。 ▼▼數(shù)據(jù)庫(kù)日志 由數(shù)據(jù)庫(kù)系統(tǒng)生成��,數(shù)據(jù)庫(kù)日志主要記錄數(shù)據(jù)庫(kù)中已發(fā)生的所有修改和執(zhí)行每次修改的操作�、數(shù)據(jù)庫(kù)用戶(hù)行為和重要命令使用等事件,主要用于數(shù)據(jù)庫(kù)用戶(hù)操作核查�、數(shù)據(jù)庫(kù)系統(tǒng)運(yùn)行情況分析、數(shù)據(jù)庫(kù)系統(tǒng)恢復(fù)和故障處理等��。▼▼網(wǎng)絡(luò)日志 由路由器�����、交換機(jī)、防火墻����、入侵檢測(cè)系統(tǒng)等網(wǎng)絡(luò)設(shè)備和軟件生成,記錄用戶(hù)登錄嘗試���、網(wǎng)絡(luò)配置、錯(cuò)誤信息等���,主要用于網(wǎng)絡(luò)安全事件監(jiān)控���、網(wǎng)絡(luò)運(yùn)行情況分析、用戶(hù)行為檢查及故障處理等�����。 ▼▼應(yīng)用日志 由應(yīng)用系統(tǒng)生成��,應(yīng)用日志主要記錄應(yīng)用系統(tǒng)用戶(hù)登錄�、操作類(lèi)型、操作日期�����、時(shí)間和錯(cuò)誤信息等,主要用于應(yīng)用系統(tǒng)運(yùn)行情況分析���、差錯(cuò)處理�、故障處理�����、數(shù)據(jù)恢復(fù)��、數(shù)據(jù)操作檢查和審計(jì)等�。為保障有效的解決系統(tǒng)故障并滿(mǎn)足審計(jì)需要,生產(chǎn)系統(tǒng)日志的管理應(yīng)遵循以下原則:
所有生產(chǎn)系統(tǒng)必須開(kāi)啟操作系統(tǒng)日志�����、數(shù)據(jù)庫(kù)日志��、網(wǎng)絡(luò)日志和應(yīng)用日志. 日志中應(yīng)包含足夠的內(nèi)容����,以滿(mǎn)足故障分析、問(wèn)題分析和審計(jì)的需要�。 應(yīng)保障日志的完整性,只有授權(quán)人員才能調(diào)整日志屬性和訪(fǎng)問(wèn)日志文件���;嚴(yán)禁以任何方式修改日志記錄的內(nèi)容���;禁止未經(jīng)許可刪除日志��。 信息處理設(shè)備����、系統(tǒng)和主機(jī)應(yīng)采取措施保證系統(tǒng)的時(shí)鐘同步�����,以保證日志的可追溯性和系統(tǒng)的準(zhǔn)確性�。 - 負(fù)責(zé)日志檢查的崗位人員不能兼任信息系統(tǒng)運(yùn)行維護(hù)管理及操作的崗位�。
日志本身能全面地反映和記錄系統(tǒng)活動(dòng)的過(guò)程和狀態(tài),從而向管理者和操作者提示系統(tǒng)采取措施避免錯(cuò)誤和損失���,達(dá)到的預(yù)警效果��。 ▼▼應(yīng)用系統(tǒng)日志記錄包括但不限于以下內(nèi)容: ▼▼數(shù)據(jù)庫(kù)日志記錄包括但不限于以下內(nèi)容:▼▼操作系統(tǒng)日志記錄包括但不限于以下內(nèi)容:- 所有用戶(hù)登錄、創(chuàng)建�、修改、刪除等重要系統(tǒng)命令的操作記錄���。
- 重要文件和配置參數(shù)的創(chuàng)建���、修改���、刪除����、改名����、移動(dòng)操作記錄。
文件系統(tǒng)屬性修改操作記錄����。
▼▼網(wǎng)絡(luò)日志記錄包括但不限于以下內(nèi)容:在不影響系統(tǒng)性能及處理能力的情況下�����,各類(lèi)系統(tǒng)管理員應(yīng)當(dāng)配置日志系統(tǒng)至少記錄以下信息:- 事件(成功的或失敗的)發(fā)生的時(shí)間����。
- 關(guān)于事件或故障(發(fā)生的差錯(cuò)和采取的糾正措施)的信息����。
- 事件相關(guān)的操作者來(lái)源(終端號(hào)和IP地址)����。
事件涉及的過(guò)程
所有生產(chǎn)系統(tǒng)的操作系統(tǒng)日志、數(shù)據(jù)庫(kù)日志和網(wǎng)絡(luò)日志�、應(yīng)用日志應(yīng)至少能夠在線(xiàn)保留六個(gè)月。
信息系統(tǒng)的操作系統(tǒng)日志���、數(shù)據(jù)庫(kù)日志和網(wǎng)絡(luò)日志的保存期限可根據(jù)信息系統(tǒng)的重要程度和安全保護(hù)等級(jí)確定����,操作系統(tǒng)日志和網(wǎng)絡(luò)日志保存期限不少于一年,數(shù)據(jù)庫(kù)日志保存期限不少于三年�����。信息系統(tǒng)的應(yīng)用日志保留期限應(yīng)不少于三年��,如應(yīng)用系統(tǒng)日志需要滿(mǎn)足國(guó)家法律�����、法規(guī)要求��,應(yīng)用日志保留年限應(yīng)按照法律�����、法規(guī)相關(guān)要求執(zhí)行�。因內(nèi)外部審計(jì)��、司法取證�、故障處理等需要提取生產(chǎn)系統(tǒng)日志時(shí),應(yīng)得到信息技術(shù)部授權(quán)后才能進(jìn)行提取���。為及時(shí)發(fā)現(xiàn)潛在的信息安全風(fēng)險(xiǎn)��,糾正違規(guī)行為�����,預(yù)防欺詐�����,須對(duì)日志定期進(jìn)行檢查和分析�����。
根據(jù)信息系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)和重要程度設(shè)定日志的檢查周期��,其中:日志檢查內(nèi)容應(yīng)包含但不限于系統(tǒng)特權(quán)的使用���、配置的變化��、關(guān)鍵事件的記錄���、被拒絕的訪(fǎng)問(wèn)記錄、系統(tǒng)報(bào)警、敏感信息維護(hù)與查詢(xún)等�����。由于日志數(shù)據(jù)量龐大��,各類(lèi)日志包括大量的信息�,應(yīng)當(dāng)使用專(zhuān)門(mén)的日志管理工具進(jìn)行日志的管理與分析工作,以從各類(lèi)日志中發(fā)現(xiàn)有價(jià)值的系統(tǒng)運(yùn)行及安全信息�,以指導(dǎo)系統(tǒng)安全運(yùn)維工作的開(kāi)展。由于系統(tǒng)日志是進(jìn)行系統(tǒng)故障排查及信息安全事件調(diào)查的重要論處來(lái)源����,因此要采取統(tǒng)一的管理與技術(shù)措施,保護(hù)系統(tǒng)日志的完整性及可用性�����。
各個(gè)系統(tǒng)管理員要對(duì)系統(tǒng)日志的完整性及可用性負(fù)責(zé)�,系統(tǒng)管理員不得隨意刪除與修改日志。日志數(shù)據(jù)應(yīng)當(dāng)與業(yè)務(wù)數(shù)據(jù)一起納入數(shù)據(jù)備份計(jì)劃中�����。公司應(yīng)當(dāng)建立統(tǒng)一的日志服務(wù)器��,集中管理各類(lèi)系統(tǒng)的日志��。各類(lèi)系統(tǒng)除了在本地產(chǎn)生日常的系統(tǒng)日志外�����,還需要向日志服務(wù)器中寫(xiě)入備份日志��。日志服務(wù)器中的日志數(shù)據(jù)應(yīng)當(dāng)納入數(shù)據(jù)備份計(jì)劃中��。公司日志管理人員不得兼任日志服務(wù)器的系統(tǒng)管理員����,日志管理人員只擁有日志服務(wù)器中日志數(shù)據(jù)的查看權(quán)利,不得擁有修改和刪除日志數(shù)據(jù)的權(quán)利�。
|
