信息系統(tǒng)日志管理辦法

1、陜西煤業(yè)化工集團(tuán)財(cái)務(wù)有限公司信息系統(tǒng)日志管理辦法第一章總則第一條隨著公司信息系統(tǒng)規(guī)模的逐步擴(kuò)大，越來越多的主機(jī)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備加入到系統(tǒng)網(wǎng)絡(luò)中，日志安全管理變得越來越復(fù)雜。為了規(guī)范公司信息系統(tǒng)運(yùn)行過程中的日志安全管理，為系統(tǒng)運(yùn)行監(jiān)控、安全事件跟蹤、系統(tǒng)審計(jì)等提供真實(shí)的日志數(shù)據(jù)，特制定本辦法。第二條本辦法適用于公司信息系統(tǒng)日志安全管理過程。第二章日志產(chǎn)生管理第三條為了實(shí)時(shí)有效的產(chǎn)生必須的日志信息，應(yīng)開啟網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)等系統(tǒng)日志功能。第四條一般需開啟的日志功能項(xiàng)：（一）記錄用戶切換產(chǎn)生的日志；（二）系統(tǒng)的本地和遠(yuǎn)程登陸日志；（三）修改、刪除數(shù)據(jù)；（四）為了掌

2、握系統(tǒng)的性能開支，必須開啟系統(tǒng)統(tǒng)計(jì)，周期性收集系統(tǒng)運(yùn)行數(shù)據(jù)，包括（CPUutilization,diskI/O等），管理人員應(yīng)經(jīng)常性查看系統(tǒng)負(fù)荷和性能峰值，從而判斷系統(tǒng)是否被非法使用或受到過攻擊。第五條安全設(shè)備需開啟的日志功能項(xiàng)：（一）流量監(jiān)控的日志信息；（二）攻擊防范的日志信息；（三）異常事件日志缺省為打開，可發(fā)送到告警緩沖區(qū)。第六條本地日志文件不可以全局可寫，通過修改日志的默認(rèn)權(quán)限提高日志系統(tǒng)的安全性，防止非授權(quán)用戶修改日志信息。第七條安全日志最大值設(shè)置。安全日志最大值:>100MB。第三章日志采集管理第八條為了更好的保存日志和后續(xù)的處理，應(yīng)創(chuàng)建專門的日志采集服務(wù)器。第九條在指定用戶

3、日志服務(wù)器時(shí)，日志服務(wù)器的IP地址，日志服務(wù)器應(yīng)使用1024以上的UDP端口作為日志接收端口。第十條日志信息按重要性可按級(jí)別、用戶、源IP、目的IP、事件、模塊進(jìn)行信息過濾。第十一條日志要統(tǒng)一考慮各種攻擊、事件，將各種日志輸出格式、統(tǒng)計(jì)信息等內(nèi)容進(jìn)行規(guī)范，從而保證日志風(fēng)格的統(tǒng)一和日志功能的嚴(yán)肅性。第十二條網(wǎng)絡(luò)設(shè)備的管理，配置網(wǎng)絡(luò)設(shè)備的日志發(fā)送到日志采集服務(wù)器，日志采集服務(wù)器對(duì)其日志進(jìn)行格式化、過濾、聚合等操作。第四章日志審計(jì)第十三條對(duì)公司敏感信息操作的相關(guān)日志，應(yīng)對(duì)其加大審核的力度和頻率。第十四條網(wǎng)絡(luò)設(shè)備、安全設(shè)備的系統(tǒng)和報(bào)警日志由安全管理員進(jìn)行至少每月一次的安全審核，并填相關(guān)的網(wǎng)絡(luò)設(shè)備日志審

4、核記錄，以及時(shí)發(fā)現(xiàn)問題，并根據(jù)問題采取相應(yīng)措施。第十五條重要服務(wù)器操作系統(tǒng)的操作記錄由系統(tǒng)管理員根據(jù)操作系統(tǒng)記錄文件對(duì)用戶操作時(shí)的用戶識(shí)別符、登陸時(shí)間、注銷時(shí)間、操作結(jié)果等要素進(jìn)行至少每月一次的安全審核，并填相關(guān)的服務(wù)器操作系統(tǒng)日志審核記錄。第十六條數(shù)據(jù)庫的直接訪問修改操作通過人工記錄填寫相關(guān)的數(shù)據(jù)庫訪問修改操作審核記錄，并由數(shù)據(jù)庫管理員對(duì)用戶操作時(shí)的用戶識(shí)別符、登陸時(shí)間、注銷時(shí)間、操作結(jié)果等要素進(jìn)行至少每月一次的安全審核。第十七條應(yīng)用系統(tǒng)管理員應(yīng)根據(jù)應(yīng)用系統(tǒng)自身的日志記錄，對(duì)應(yīng)用系統(tǒng)用戶操作時(shí)的對(duì)用戶賬號(hào)、權(quán)限的增加、修改、刪除，用戶識(shí)別符、登陸時(shí)間、注銷時(shí)間、操作結(jié)果等要素進(jìn)行每月一次的安

5、全審核，并填制相關(guān)的應(yīng)用系統(tǒng)日志審核記錄。第十八條相關(guān)管理員配合安全管理員對(duì)系統(tǒng)日志進(jìn)行定期審計(jì)。第十九條審計(jì)日志中的記錄不允許在日志中包含密碼，具體審計(jì)策略由安全管理員協(xié)調(diào)并配合各管理員制定。第二十條要保護(hù)審計(jì)的日志程序和文件，嚴(yán)格控制訪問權(quán)限。第二一條系統(tǒng)管理員的行為（如UNIX中的su）要做日志記錄。第二十二條用戶的登錄事件要做日志，重要的事件要進(jìn)行審計(jì)跟蹤。第二十三條要建立全網(wǎng)統(tǒng)一的時(shí)鐘服務(wù)器，所有的服務(wù)器要同步自己的時(shí)鐘，以保證審計(jì)日志中時(shí)間戳的有效性。第五章日志保存第二十四條操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)等的系統(tǒng)日志由相關(guān)管理員進(jìn)行定期轉(zhuǎn)存和清理，以保障系統(tǒng)日志有足夠的存儲(chǔ)空間，安全管理員及相關(guān)管理員保存和管理轉(zhuǎn)存的日志，確保這些數(shù)據(jù)的安全。第二十五條日志進(jìn)行集中存放和管理，安全日志至少保留90天，所有與業(yè)務(wù)相關(guān)系統(tǒng)的日志必須至少保留5年（可放入相關(guān)備份策略中進(jìn)行定期備份）。第二十六條在日志保留期內(nèi)，任何人都不得對(duì)所有的原始日志和記錄進(jìn)行更改、刪除等操作。第二十七條日志要盡可能保留在只讀的介質(zhì)上。除了在本地保存以外，日志還要傳輸?shù)桨踩娜罩痉?wù)器上，日志服務(wù)器不提供其它服務(wù)。不得將日志保存