日志管理制度.doc

信息系統(tǒng)日志管理第一章 總 則第一條 隨著公司信息系統(tǒng)規(guī)模的逐步擴大，越來越多的主機、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備加入到系統(tǒng)網(wǎng)絡(luò)中，日志安全管理變得越來越復(fù)雜。為了規(guī)范公司信息系統(tǒng)運行過程中的日志安全管理，為系統(tǒng)運行監(jiān)控、安全事件跟蹤、系統(tǒng)審計等提供真實的日志數(shù)據(jù)，特制定本辦法。第二條 本辦法適用于公司信息系統(tǒng)日志安全管理過程。第二章 日志產(chǎn)生管理第三條 為了實時有效的產(chǎn)生必須的日志信息，應(yīng)開啟網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)等系統(tǒng)日志功能。 第四條 一般需開啟的日志功能項：（一）記錄用戶切換產(chǎn)生的日志；（二）系統(tǒng)的本地和遠(yuǎn)程登陸日志；（三）修改、刪除數(shù)據(jù)；（四）為了掌握系統(tǒng)的性能開支，必須開啟系統(tǒng)統(tǒng)計，周期性收集系統(tǒng)運行數(shù)據(jù)，包括 (CPU utilization, disk I/O等) ，管理人員應(yīng)經(jīng)常性查看系統(tǒng)負(fù)荷和性能峰值，從而判斷系統(tǒng)是否被非法使用或受到過攻擊。第五條 安全設(shè)備需開啟的日志功能項：（一）流量監(jiān)控的日志信息；（二）攻擊防范的日志信息；（三）異常事件日志缺省為打開，可發(fā)送到告警緩沖區(qū)。第六條 本地日志文件不可以全局可寫，通過修改日志的默認(rèn)權(quán)限提高日志系統(tǒng)的安全性，防止非授權(quán)用戶修改日志信息。第七條 安全日志最大值設(shè)置。安全日志最大值:100MB。第三章 日志采集管理第八條 為了更好的保存日志和后續(xù)的處理，應(yīng)創(chuàng)建專門的日志采集服務(wù)器。 第九條 在指定用戶日志服務(wù)器時，日志服務(wù)器的IP地址，日志服務(wù)器應(yīng)使用1024以上的UDP端口作為日志接收端口。第十條 日志信息按重要性可按級別、用戶、源IP、目的IP、事件、模塊進(jìn)行信息過濾。第十一條 日志要統(tǒng)一考慮各種攻擊、事件，將各種日志輸出格式、統(tǒng)計信息等內(nèi)容進(jìn)行規(guī)范，從而保證日志風(fēng)格的統(tǒng)一和日志功能的嚴(yán)肅性。第十二條 網(wǎng)絡(luò)設(shè)備的管理，配置網(wǎng)絡(luò)設(shè)備的日志發(fā)送到日志采集服務(wù)器，日志采集服務(wù)器對其日志進(jìn)行格式化、過濾、聚合等操作。第四章 日志審計第十三條 對公司敏感信息操作的相關(guān)日志，應(yīng)對其加大審核的力度和頻率。第十四條 網(wǎng)絡(luò)設(shè)備、安全設(shè)備的系統(tǒng)和報警日志由安全管理員進(jìn)行至少每月一次的安全審核，并填相關(guān)的網(wǎng)絡(luò)設(shè)備日志審核記錄，以及時發(fā)現(xiàn)問題，并根據(jù)問題采取相應(yīng)措施。第十五條 重要服務(wù)器操作系統(tǒng)的操作記錄由系統(tǒng)管理員根據(jù)操作系統(tǒng)記錄文件對用戶操作時的用戶識別符、登陸時間、注銷時間、操作結(jié)果等要素進(jìn)行至少每月一次的安全審核，并填相關(guān)的服務(wù)器操作系統(tǒng)日志審核記錄。第十六條 數(shù)據(jù)庫的直接訪問修改操作通過人工記錄填寫相關(guān)的數(shù)據(jù)庫訪問修改操作審核記錄，并由數(shù)據(jù)庫管理員對用戶操作時的用戶識別符、登陸時間、注銷時間、操作結(jié)果等要素進(jìn)行至少每月一次的安全審核。第十七條 應(yīng)用系統(tǒng)管理員應(yīng)根據(jù)應(yīng)用系統(tǒng)自身的日志記錄，對應(yīng)用系統(tǒng)用戶操作時的對用戶賬號、權(quán)限的增加、修改、刪除，用戶識別符、登陸時間、注銷時間、操作結(jié)果等要素進(jìn)行每月一次的安全審核，并填制相關(guān)的應(yīng)用系統(tǒng)日志審核記錄。第十八條 相關(guān)管理員配合安全管理員對系統(tǒng)日志進(jìn)行定期審計。第十九條 審計日志中的記錄不允許在日志中包含密碼，具體審計策略由安全管理員協(xié)調(diào)并配合各管理員制定。第二十條 要保護審計的日志程序和文件，嚴(yán)格控制訪問權(quán)限。第二十一條 系統(tǒng)管理員的行為（如UNIX中的su）要做日志記錄。第二十二條 用戶的登錄事件要做日志，重要的事件要進(jìn)行審計跟蹤。第二十三條 要建立全網(wǎng)統(tǒng)一的時鐘服務(wù)器，所有的服務(wù)器要同步自己的時鐘，以保證審計日志中時間戳的有效性。第五章 日志保存第二十四條 操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等的系統(tǒng)日志由相關(guān)管理員進(jìn)行定期轉(zhuǎn)存和清理，以保障系統(tǒng)日志有足夠的存儲空間，安全管理員及相關(guān)管理員保存和管理轉(zhuǎn)存的日志，確保這些數(shù)據(jù)的安全。第二十五條 日志進(jìn)行集中存放和管理，安全日志至少保留90天，所有與業(yè)務(wù)相關(guān)系統(tǒng)的日志必須至少保留5年（可放入相關(guān)備份策略中進(jìn)行定期備份）。第二十六條 在日志保留期內(nèi)，任何人都不得對所有的原始日志和記錄進(jìn)行更改、刪除等操作。第二十七條 日志要盡可能保留在只讀的介質(zhì)上。除了在本地保存以外，日志還要