|
系統(tǒng)日志管理是為了規(guī)范系統(tǒng)日志管理過程,,加強(qiáng)系統(tǒng)日志的管理與保護(hù),提升信息系統(tǒng)安全保障能力,。適用范圍包括核心業(yè)務(wù)系統(tǒng),、重要業(yè)務(wù)系統(tǒng)及路由器、交換機(jī),、防火墻,、入侵檢測系統(tǒng)等網(wǎng)絡(luò)設(shè)備等。 由操作系統(tǒng)生成,,記錄操作系統(tǒng)資源使用、操作系統(tǒng)用戶行為和重要系統(tǒng)命令使用等事件,,主要用于檢查系統(tǒng)用戶所做的操作,、分析系統(tǒng)運(yùn)行情況、開展安全審計(jì)等,。 ▼▼數(shù)據(jù)庫日志 由數(shù)據(jù)庫系統(tǒng)生成,,數(shù)據(jù)庫日志主要記錄數(shù)據(jù)庫中已發(fā)生的所有修改和執(zhí)行每次修改的操作,、數(shù)據(jù)庫用戶行為和重要命令使用等事件,主要用于數(shù)據(jù)庫用戶操作核查,、數(shù)據(jù)庫系統(tǒng)運(yùn)行情況分析,、數(shù)據(jù)庫系統(tǒng)恢復(fù)和故障處理等。▼▼網(wǎng)絡(luò)日志 由路由器,、交換機(jī),、防火墻、入侵檢測系統(tǒng)等網(wǎng)絡(luò)設(shè)備和軟件生成,,記錄用戶登錄嘗試,、網(wǎng)絡(luò)配置、錯(cuò)誤信息等,,主要用于網(wǎng)絡(luò)安全事件監(jiān)控,、網(wǎng)絡(luò)運(yùn)行情況分析、用戶行為檢查及故障處理等,。 ▼▼應(yīng)用日志 由應(yīng)用系統(tǒng)生成,,應(yīng)用日志主要記錄應(yīng)用系統(tǒng)用戶登錄、操作類型,、操作日期,、時(shí)間和錯(cuò)誤信息等,主要用于應(yīng)用系統(tǒng)運(yùn)行情況分析,、差錯(cuò)處理,、故障處理、數(shù)據(jù)恢復(fù),、數(shù)據(jù)操作檢查和審計(jì)等,。為保障有效的解決系統(tǒng)故障并滿足審計(jì)需要,生產(chǎn)系統(tǒng)日志的管理應(yīng)遵循以下原則:
所有生產(chǎn)系統(tǒng)必須開啟操作系統(tǒng)日志,、數(shù)據(jù)庫日志,、網(wǎng)絡(luò)日志和應(yīng)用日志. 日志中應(yīng)包含足夠的內(nèi)容,以滿足故障分析,、問題分析和審計(jì)的需要,。 應(yīng)保障日志的完整性,只有授權(quán)人員才能調(diào)整日志屬性和訪問日志文件,;嚴(yán)禁以任何方式修改日志記錄的內(nèi)容,;禁止未經(jīng)許可刪除日志。 信息處理設(shè)備,、系統(tǒng)和主機(jī)應(yīng)采取措施保證系統(tǒng)的時(shí)鐘同步,,以保證日志的可追溯性和系統(tǒng)的準(zhǔn)確性。 - 負(fù)責(zé)日志檢查的崗位人員不能兼任信息系統(tǒng)運(yùn)行維護(hù)管理及操作的崗位,。
日志本身能全面地反映和記錄系統(tǒng)活動(dòng)的過程和狀態(tài),,從而向管理者和操作者提示系統(tǒng)采取措施避免錯(cuò)誤和損失,,達(dá)到的預(yù)警效果。 ▼▼應(yīng)用系統(tǒng)日志記錄包括但不限于以下內(nèi)容: ▼▼數(shù)據(jù)庫日志記錄包括但不限于以下內(nèi)容:▼▼操作系統(tǒng)日志記錄包括但不限于以下內(nèi)容:- 所有用戶登錄,、創(chuàng)建,、修改、刪除等重要系統(tǒng)命令的操作記錄,。
- 重要文件和配置參數(shù)的創(chuàng)建、修改,、刪除,、改名、移動(dòng)操作記錄,。
文件系統(tǒng)屬性修改操作記錄,。
▼▼網(wǎng)絡(luò)日志記錄包括但不限于以下內(nèi)容:- 用戶創(chuàng)建、修改,、刪除的操作記錄,。
- 用戶修改網(wǎng)絡(luò)配置參數(shù)的操作記錄,。
- 網(wǎng)絡(luò)設(shè)備運(yùn)行狀態(tài),、網(wǎng)絡(luò)流量等。
用戶成功登錄,、下線的操作記錄,。
在不影響系統(tǒng)性能及處理能力的情況下,各類系統(tǒng)管理員應(yīng)當(dāng)配置日志系統(tǒng)至少記錄以下信息:- 事件(成功的或失敗的)發(fā)生的時(shí)間,。
- 關(guān)于事件或故障(發(fā)生的差錯(cuò)和采取的糾正措施)的信息,。
- 事件相關(guān)的操作者來源(終端號(hào)和IP地址),。
事件涉及的過程
所有生產(chǎn)系統(tǒng)的操作系統(tǒng)日志,、數(shù)據(jù)庫日志和網(wǎng)絡(luò)日志、應(yīng)用日志應(yīng)至少能夠在線保留六個(gè)月,。
信息系統(tǒng)的操作系統(tǒng)日志,、數(shù)據(jù)庫日志和網(wǎng)絡(luò)日志的保存期限可根據(jù)信息系統(tǒng)的重要程度和安全保護(hù)等級(jí)確定,操作系統(tǒng)日志和網(wǎng)絡(luò)日志保存期限不少于一年,,數(shù)據(jù)庫日志保存期限不少于三年,。信息系統(tǒng)的應(yīng)用日志保留期限應(yīng)不少于三年,如應(yīng)用系統(tǒng)日志需要滿足國家法律,、法規(guī)要求,,應(yīng)用日志保留年限應(yīng)按照法律、法規(guī)相關(guān)要求執(zhí)行,。因內(nèi)外部審計(jì),、司法取證、故障處理等需要提取生產(chǎn)系統(tǒng)日志時(shí),,應(yīng)得到信息技術(shù)部授權(quán)后才能進(jìn)行提取,。為及時(shí)發(fā)現(xiàn)潛在的信息安全風(fēng)險(xiǎn),糾正違規(guī)行為,,預(yù)防欺詐,,須對(duì)日志定期進(jìn)行檢查和分析。
根據(jù)信息系統(tǒng)的安全風(fēng)險(xiǎn)等級(jí)和重要程度設(shè)定日志的檢查周期,,其中:日志檢查內(nèi)容應(yīng)包含但不限于系統(tǒng)特權(quán)的使用,、配置的變化,、關(guān)鍵事件的記錄、被拒絕的訪問記錄,、系統(tǒng)報(bào)警,、敏感信息維護(hù)與查詢等。由于日志數(shù)據(jù)量龐大,,各類日志包括大量的信息,,應(yīng)當(dāng)使用專門的日志管理工具進(jìn)行日志的管理與分析工作,以從各類日志中發(fā)現(xiàn)有價(jià)值的系統(tǒng)運(yùn)行及安全信息,,以指導(dǎo)系統(tǒng)安全運(yùn)維工作的開展,。由于系統(tǒng)日志是進(jìn)行系統(tǒng)故障排查及信息安全事件調(diào)查的重要論處來源,因此要采取統(tǒng)一的管理與技術(shù)措施,,保護(hù)系統(tǒng)日志的完整性及可用性,。
各個(gè)系統(tǒng)管理員要對(duì)系統(tǒng)日志的完整性及可用性負(fù)責(zé),系統(tǒng)管理員不得隨意刪除與修改日志,。日志數(shù)據(jù)應(yīng)當(dāng)與業(yè)務(wù)數(shù)據(jù)一起納入數(shù)據(jù)備份計(jì)劃中,。公司應(yīng)當(dāng)建立統(tǒng)一的日志服務(wù)器,集中管理各類系統(tǒng)的日志,。各類系統(tǒng)除了在本地產(chǎn)生日常的系統(tǒng)日志外,,還需要向日志服務(wù)器中寫入備份日志,。日志服務(wù)器中的日志數(shù)據(jù)應(yīng)當(dāng)納入數(shù)據(jù)備份計(jì)劃中。公司日志管理人員不得兼任日志服務(wù)器的系統(tǒng)管理員,,日志管理人員只擁有日志服務(wù)器中日志數(shù)據(jù)的查看權(quán)利,,不得擁有修改和刪除日志數(shù)據(jù)的權(quán)利。
|
