日志安全管理設(shè)置機制

1、日志安全管理設(shè)置機制1、windows日志配置操作1.1 日志配置審核登錄安全基線項目名稱操作系統(tǒng)審核登錄策略安全基線要求項安全基線項說明 設(shè)備應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號，登錄是否成功，登錄時間，以及遠程登錄時，用戶使用的IP地址。檢測操作步驟開始-運行- 執(zhí)行“ 控制面板-管理工具-本地安全策略-審核策略”審核登錄事件?；€符合性判定依據(jù)審核登錄事件，設(shè)置為成功和失敗都審核。備注審核策略更改安全基線項目名稱操作系統(tǒng)審核策略更改安全基線要求項安全基線項說明 啟用組策略中對Windows系統(tǒng)的審核策略更改，成功和失敗都要審核。檢測操作步驟進入“控制面板-管

2、理工具-本地安全策略”，在“本地策略-審核策略”中查看“審核策略更改”設(shè)置。基線符合性判定依據(jù)“審核策略更改”設(shè)置為“成功” 和“失敗”都要審核。備注審核對象訪問安全基線項目名稱操作系統(tǒng)審核對象訪問安全基線要求項安全基線項說明 啟用組策略中對Windows系統(tǒng)的審核對象訪問，成功和失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核對象訪問”設(shè)置?；€符合性判定依據(jù)“審核對象訪問”設(shè)置為“成功”和“失敗”都要審核。備注審核事件目錄服務(wù)器訪問安全基線項目名稱操作系統(tǒng)審核事件目錄服務(wù)器訪問策略安全基線要求項安全基線項說明 啟用組策略中對Wind

3、ows系統(tǒng)的審核目錄服務(wù)訪問，失敗。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核目錄服務(wù)器訪問”設(shè)置。基線符合性判定依據(jù)“審核目錄服務(wù)器訪問”設(shè)置為“成功” 和“失敗”都要審核。備注審核特權(quán)使用安全基線項目名稱操作系統(tǒng)審核特權(quán)使用策略安全基線要求項安全基線項說明 啟用組策略中對Windows系統(tǒng)的審核特權(quán)使用，成功和失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核特權(quán)使用”設(shè)置。基線符合性判定依據(jù)“審核特權(quán)使用”設(shè)置為“成功” 和“失敗”都要審核。備注審核系統(tǒng)事件安全基線項目名稱操作系統(tǒng)審

4、核系統(tǒng)事件策略安全基線要求項安全基線項說明 啟用組策略中對Windows系統(tǒng)的審核系統(tǒng)事件，成功和失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核系統(tǒng)事件”設(shè)置。基線符合性判定依據(jù)“審核系統(tǒng)事件”設(shè)置為“成功” 和“失敗”都要審核。備注審核賬戶管理安全基線項目名稱操作系統(tǒng)審核賬戶管理策略安全基線要求項安全基線項說明 啟用組策略中對Windows系統(tǒng)的審核帳戶管理，成功和失敗都要審核。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核賬戶管理” 設(shè)置?；€符合性判定依據(jù)“審核賬戶管理”設(shè)置為“成功

5、” 和“失敗”都要審核。備注審核過程追蹤安全基線項目名稱操作系統(tǒng)審核過程追蹤策略安全基線要求項安全基線項說明 啟用組策略中對Windows系統(tǒng)的審核過程追蹤失敗。檢測操作步驟進入“控制面板-管理工具-本地安全策略”，在“本地策略-審核策略”中：查看“審核過程追蹤”設(shè)置?；€符合性判定依據(jù)“審核過程追蹤”設(shè)置為 “失敗”需要審核。備注日志文件大小安全基線項目名稱操作系統(tǒng)日志容量安全基線要求項安全基線項說明 設(shè)置應(yīng)用日志文件大小至少為8192KB，設(shè)置當達到最大的日志尺寸時，按需要改寫事件。檢測操作步驟進入“控制面板-管理工具-事件查看器”，在“事件查看器（本地）”中：查看“應(yīng)用日志” “系統(tǒng)日志

6、” “安全日志”屬性中的日志大小 ,以及設(shè)置當達到最大的日志尺寸時的相應(yīng)策略?；€符合性判定依據(jù)“應(yīng)用日志” “系統(tǒng)日志” “安全日志”屬性中的日志大小設(shè)置不小于“8192KB” ,設(shè)置當達到最大的日志尺寸時，“按需要改寫事件”備注2、 linux日志審計1.2 日志1.2.1 syslog登錄事件記錄安全基線項目名稱操作系統(tǒng)Linux登錄審計安全基線要求項安全基線項說明 日志審計-syslog登錄事件記錄檢測操作步驟執(zhí)行命令：more /etc/syslog.conf查看參數(shù)authpriv值基線符合性判定依據(jù)若未對所有登錄事件都記錄，則低于安全要求；備注1.3 審計1.3.1 Syslog

7、.conf的配置審核安全基線項目名稱操作系統(tǒng)Linux配置審計安全基線要求項安全基線項說明 日志審計-Syslog.conf的配置審核檢測操作步驟執(zhí)行：more /etc/syslog.conf，查看是否設(shè)置了下列項：kern.warning;*.err;authpriv.nonetloghost*.info;mail.none;authpriv.none;cron.nonetloghost*.emergtloghostlocal7.*tloghost基線符合性判定依據(jù)若未設(shè)置，則低于安全要求；備注補充操作說明建議配置專門的日志服務(wù)器，加強日志信息的異地同步備份3、 SQLServer日志3.

8、1日志審計3.1.1SQLServer登錄審計安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer登錄審計安全基線要求項安全基線項說明 數(shù)據(jù)庫應(yīng)配置日志功能，對用戶登錄進行記錄，記錄內(nèi)容包括用戶登錄使用的賬號、登錄是否成功、登錄時間。檢測操作步驟打開數(shù)據(jù)庫屬性，選擇安全性，將安全性中的審計級別調(diào)整為“全部”基線符合性判定依據(jù)登錄成功和失敗測試，檢查相關(guān)信息是否被記錄備注3.1.2SQLServer安全事件審計安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)SQLServer安全事件審計安全基線要求項安全基線項說明 數(shù)據(jù)庫應(yīng)配置日志功能，記錄對與數(shù)據(jù)庫相關(guān)的安全事件。檢測操作步驟打開企業(yè)管理器，查看數(shù)據(jù)庫“管理”中的“SQL Server日志”，查看當前的日志記錄和存檔的日志記錄是否包含相關(guān)數(shù)據(jù)庫安全事件1、 參考配置操作數(shù)據(jù)庫默認開啟日志記錄2、 補充操作說明增加帳號登陸審計：打開數(shù)據(jù)庫屬性，選擇安全性，將安全性中的審計級別調(diào)整為“全部”?；€符合性判定依據(jù)SQL Server日志中是否存在數(shù)據(jù)庫相關(guān)事件日志信息。備注4、 Oracle日志4.1日志審計數(shù)據(jù)庫審計策略安全基線項目名稱數(shù)據(jù)庫管理系統(tǒng)Oracle數(shù)據(jù)審計策略安全基線要求項安全基線項說明 根據(jù)業(yè)務(wù)要求制定數(shù)據(jù)庫審計策略。檢測操作步驟1. 以O(shè)racle用戶登陸到系統(tǒng)中。2. 以sqlplus /as sysdba登陸到sq