系統(tǒng)運(yùn)維和日志管理規(guī)定-信息安全等級(jí)保護(hù)管理制度

1、X區(qū)X門戶網(wǎng)站系統(tǒng)管理平臺(tái)信息安全管理制度-系統(tǒng)運(yùn)維和日志管理規(guī)定文件編號(hào)使用部門初版日期修訂日期第一章 總 則 3第二章 人員和職責(zé)3第三章 內(nèi) 容 4第四章 檢查表 6第五章相關(guān)記錄 6第七章相關(guān)文件 6第八章 附 則 7第一章 總 則第一條 目的： 本規(guī)范的制訂正是為了從管理和技術(shù)的角度來規(guī)范X 區(qū) X 門戶網(wǎng)站系統(tǒng)平臺(tái)信息系統(tǒng)內(nèi)部日志系統(tǒng)的設(shè)計(jì)、實(shí)施和運(yùn)維，使其在方便性和安全性之間盡可能達(dá)到平衡。第二條 日志分類和簡(jiǎn)單描述日志可以按不同的類型進(jìn)行分類，大致可以按日志的來源和日志的內(nèi)容來分類。按日志的來源分類，日志可分為：主機(jī)系統(tǒng)日志，安全產(chǎn)品日志，網(wǎng)絡(luò)產(chǎn)品日志，應(yīng)用系統(tǒng)日志和數(shù)據(jù)庫(kù)日志

2、。按日志的內(nèi)容分類，日志可分為：訪問日志，活動(dòng)日志和備份日志。不論日志是如何分類的， 基本上每一個(gè)日志記錄中需要記錄的內(nèi)容為： 事件發(fā)生的日期和時(shí)間、事件描述，成功和失敗操作，以及其它重要操作，如管理員賬號(hào)的增加、刪除，日志的存檔、刪除、清空等。第三條 時(shí)鐘同步很多安全事件的分析是要通過不同系統(tǒng)的日志進(jìn)行關(guān)聯(lián)分析，如果沒有同步的時(shí)間信息，就無法準(zhǔn)確分析復(fù)雜事件的發(fā)生過程。 要實(shí)現(xiàn)這一點(diǎn)，需要系統(tǒng)有同步的時(shí)鐘信息。考慮到實(shí)現(xiàn)的復(fù)雜度和投資，網(wǎng)絡(luò)設(shè)備可以考慮使用網(wǎng)絡(luò)時(shí)間協(xié)議（ NTP來通過NTPserver系統(tǒng)的時(shí)鐘來同步。第二章 人員和職責(zé)第四條適用范圍：X區(qū)X門戶網(wǎng)站系統(tǒng)內(nèi)部網(wǎng)絡(luò)設(shè)備、管理系統(tǒng)

3、和各種應(yīng)用系統(tǒng)第五條人員職責(zé)各部門管理各自所屬設(shè)備的日志；第三章 內(nèi) 容第六條 日志格式的總體要求日志的格式強(qiáng)烈建議使用單行的，有規(guī)則，有格式的csVc本格式。但也可以是下列方式中的一種。Syslog 方式： Syslog 方式需要給出 syslog 的組成結(jié)構(gòu)。Snm曲式：Snm曲式需要同時(shí)提供MIB信息。為了便于所有系統(tǒng)的日志將來都能由SOg一管理，將來各系統(tǒng)白產(chǎn)生的日志應(yīng)符合 SOC接受的日志格式的要求：保證日志的可讀性，如 :日志的格式的易被計(jì)算機(jī)進(jìn)行處理，如不同種類的日志應(yīng)該具有分類標(biāo)記。日志可以有不同的格式，如果有相同的格式，則一定要有分類標(biāo)記來區(qū)分。每種格式的日志記錄的是:snm

4、p,syslog,file,database第七條 應(yīng)用系統(tǒng)日志的要求記錄應(yīng)用系統(tǒng)的啟動(dòng)關(guān)閉信息。記錄用戶的訪問信息。記錄系統(tǒng)運(yùn)行狀態(tài)信息包括提示、出錯(cuò)信息。記錄文件修改刪除，更新等信息。該系統(tǒng)的其它信息。第八條 數(shù)據(jù)庫(kù)日志的要求記錄數(shù)據(jù)庫(kù)系統(tǒng)的啟動(dòng)關(guān)閉情況。記錄用戶的訪問情況。記錄用戶的操作。記錄文件修改、增加、刪除等信息。記錄數(shù)據(jù)庫(kù)的其他信息，包括狀態(tài)、告警等信息。第九條 主機(jī)系統(tǒng)日志的要求記錄主機(jī)上各應(yīng)用程序狀態(tài)信息。記錄主機(jī)安全相關(guān)信息。記錄系統(tǒng)相關(guān)信息，包括各系統(tǒng)進(jìn)程狀態(tài)。第十條 網(wǎng)絡(luò)設(shè)備日志的要求記錄設(shè)備的啟動(dòng)關(guān)閉信息。記錄用戶登陸信息。記錄用戶操作信息。記錄端口相關(guān)信息。記錄鄰居

5、變化信息。記錄路由變更信息記錄其他相關(guān)信息第十一條 安全產(chǎn)品日志的要求記錄相關(guān)安全產(chǎn)品的所有安全事件，包括登陸、配置、數(shù)據(jù)輸入輸出的發(fā)生、進(jìn)程異常運(yùn)行、可疑信息流。涉及信息流時(shí)要包括接收時(shí)間、源地址、目的地址、源端口、目的端口、協(xié)議類型、協(xié)議的標(biāo)示（如ACK、信息流的方向。第十二條 日志的審計(jì)對(duì)所有日志定期進(jìn)行檢查審計(jì)，審計(jì)周期為每月一次。第十三條日志的保存和備份日志的保存和備份應(yīng)每月進(jìn)行一次，具體內(nèi)容參考信息備份策略。第十四條日志的失效日志在通常情況下，保存x 個(gè)月之后，可以進(jìn)行失效處理。 如果有系統(tǒng)對(duì)日志的保留要求超過 x 個(gè)月， 則在超過其系統(tǒng)對(duì)日志保留的有效期后再作失效處理。 對(duì)于日志

6、保存的介質(zhì)的具體處理方法可以參見介質(zhì)管理規(guī)定。第四章檢查表第十五條日志管理規(guī)定檢查表:任務(wù)編號(hào)檢查點(diǎn)檢查內(nèi)容檢查方法檢查周期1各系統(tǒng)的日志 輸出內(nèi)容對(duì)照日志管理制度和 系統(tǒng)產(chǎn)生的日志記錄， 查看系統(tǒng)輸出的日志 是否符合本制度的要 求查閱資料每月2日志的備份各系統(tǒng)管理員生成的 日志時(shí)是否做了保存 記錄（網(wǎng)絡(luò)設(shè)備的配置 文件和日志義件）查看保存 記錄3日志的保存網(wǎng)絡(luò)設(shè)備的配置文件 和日志文件備份文件 必須保留至少x個(gè)月， 不能被改變，并且僅能 由授權(quán)的用戶調(diào)用查 看。查閱記錄按需檢查備份介質(zhì)是否保 存的安全的區(qū)域查看備份 介質(zhì)實(shí)物每季度4日志的失效對(duì)失效日志的處理是 否安全介質(zhì)管理規(guī)定 的相關(guān)要求進(jìn)行的查詢記錄每季度第五章相關(guān)記錄第十六條 關(guān)于系統(tǒng)運(yùn)維的變更記錄必須納入配置管理項(xiàng)。對(duì)與日志的管理，嚴(yán)格執(zhí)行審計(jì) 流程中要求的相關(guān)規(guī)定。第七章相關(guān)文件第十七條信息安全審計(jì)制度第八章 附 則第十八條本管理規(guī)定自發(fā)布之日起開始實(shí)施；第十九條本管