《系统运维和日志管理规定》-等级保护安全管理制度

XXX系统

管理平台

信息安全管理制度- 系统运维和日志管理规定

目录

第一章总则 (3)

第二章人员和职责 (3)

第三章内容 (3)

第四章检查表 (5)

第五章相关记录 (6)

第七章相关文件 (6)

第八章附则 (6)

第一章总则

第一条目的：本规范的制订正是为了从管理和技术的角度来规范XXX系统平台信息系统内部日志系统的设计、实施和运维，使其在方便性和安全性之间尽可能达到平衡。

第二条日志分类和简单描述

日志可以按不同的类型进行分类，大致可以按日志的来源和日志的内容来分类。

按日志的来源分类，日志可分为：主机系统日志，安全产品日志，网络产品日志，应用系统日志和数据库日志。

按日志的内容分类，日志可分为：访问日志，活动日志和备份日志。

不论日志是如何分类的，基本上每一个日志记录中需要记录的内容为：事件发生的日期和时间、事件描述，成功和失败操作，以及其它重要操作，如管理员账号的增加、删除，日志的存档、删除、清空等。

第三条时钟同步

很多安全事件的分析是要通过不同系统的日志进行关联分析，如果没有同步的时间信息，就无法准确分析复杂事件的发生过程。要实现这一点，需要系统有同步的时钟信息。考虑到实现的复杂度和投资，网络设备可以考虑使用网络时间协议（NTP）来通过NTP server系统的时钟来同步。

第二章人员和职责

第四条适用范围：

XXX系统内部网络设备、管理系统和各种应用系统。

第五条人员职责

各部门管理各自所属设备的日志；

第三章内容

第六条日志格式的总体要求

日志的格式强烈建议使用单行的，有规则，有格式的CSV文本格式。但也可以是下列方式中的一种。

●Syslog方式：Syslog方式需要给出syslog的组成结构。

●Snmp方式：Snmp方式需要同时提供MIB信息。

为了便于所有系统的日志将来都能由SOC统一管理，将来各系统的产生的日志应符合SOC 接受的日志格式的要求：

●保证日志的可读性，如:

日志的格式的易被计算机进行处理，如不同种类的日志应该具有分类标记。

●日志可以有不同的格式，如果有相同的格式，则一定要有分类标记来区分。

每种格式的日志记录的是:

snmp,syslog,file,database

第七条应用系统日志的要求

●记录应用系统的启动关闭信息。

●记录用户的访问信息。

●记录系统运行状态信息包括提示、出错信息。

●记录文件修改删除，更新等信息。

●该系统的其它信息。

第八条数据库日志的要求

●记录数据库系统的启动关闭情况。

●记录用户的访问情况。

●记录用户的操作。

●记录文件修改、增加、删除等信息。

●记录数据库的其他信息，包括状态、告警等信息。

第九条主机系统日志的要求

●记录主机上各应用程序状态信息。

●记录主机安全相关信息。

●记录系统相关信息，包括各系统进程状态。

第十条网络设备日志的要求

●记录设备的启动关闭信息。

●记录用户登陆信息。

●记录用户操作信息。

●记录端口相关信息。

●记录邻居变化信息。

●记录路由变更信息

●记录其他相关信息

第十一条安全产品日志的要求

●记录相关安全产品的所有安全事件，包括登陆、配置、数据输入输出的发生、进程异

常运行、可疑信息流。

●涉及信息流时要包括接收时间、源地址、目的地址、源端口、目的端口、协议类型、

协议的标示（如ACK）、信息流的方向。

第十二条日志的审计

对所有日志定期进行检查审计，审计周期为每月一次。

第十三条日志的保存和备份

日志的保存和备份应每月进行一次，具体内容参考《信息备份策略》。

第十四条日志的失效

日志在通常情况下，保存x个月之后，可以进行失效处理。如果有系统对日志的保留要求超过x个月，则在超过其系统对日志保留的有效期后再作失效处理。对于日志保存的介质的具体处理方法可以参见介质管理规定。

第四章检查表

第十五条日志管理规定检查表：

第五章相关记录

第十六条关于系统运维的变更记录必须纳入配置管理项。对与日志的管理，严格执行审计流程中要求的相关规定。

第七章相关文件

第十七条《信息安全审计制度》

第八章附则

第十八条本管理规定自发布之日起开始实施；

第十九条本管理规定的解释和修改权属于XXX管理部；

第二十条XXX管理部每年统一检查和评估本管理规定，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。