《系统运维和日志管理规定》-等级保护安全管理制度
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XXX系统
管理平台
信息安全管理制度- 系统运维和日志管理规定
目录
第一章总则 (3)
第二章人员和职责 (3)
第三章内容 (3)
第四章检查表 (5)
第五章相关记录 (6)
第七章相关文件 (6)
第八章附则 (6)
第一章总则
第一条目的:本规范的制订正是为了从管理和技术的角度来规范XXX系统平台信息系统内部日志系统的设计、实施和运维,使其在方便性和安全性之间尽可能达到平衡。
第二条日志分类和简单描述
日志可以按不同的类型进行分类,大致可以按日志的来源和日志的内容来分类。
按日志的来源分类,日志可分为:主机系统日志,安全产品日志,网络产品日志,应用系统日志和数据库日志。
按日志的内容分类,日志可分为:访问日志,活动日志和备份日志。
不论日志是如何分类的,基本上每一个日志记录中需要记录的内容为:事件发生的日期和时间、事件描述,成功和失败操作,以及其它重要操作,如管理员账号的增加、删除,日志的存档、删除、清空等。
第三条时钟同步
很多安全事件的分析是要通过不同系统的日志进行关联分析,如果没有同步的时间信息,就无法准确分析复杂事件的发生过程。要实现这一点,需要系统有同步的时钟信息。考虑到实现的复杂度和投资,网络设备可以考虑使用网络时间协议(NTP)来通过NTP server系统的时钟来同步。
第二章人员和职责
第四条适用范围:
XXX系统内部网络设备、管理系统和各种应用系统。
第五条人员职责
各部门管理各自所属设备的日志;
第三章内容
第六条日志格式的总体要求
日志的格式强烈建议使用单行的,有规则,有格式的CSV文本格式。但也可以是下列方式中的一种。
●Syslog方式:Syslog方式需要给出syslog的组成结构。
●Snmp方式:Snmp方式需要同时提供MIB信息。
为了便于所有系统的日志将来都能由SOC统一管理,将来各系统的产生的日志应符合SOC 接受的日志格式的要求:
●保证日志的可读性,如:
日志的格式的易被计算机进行处理,如不同种类的日志应该具有分类标记。
●日志可以有不同的格式,如果有相同的格式,则一定要有分类标记来区分。
每种格式的日志记录的是:
snmp,syslog,file,database
第七条应用系统日志的要求
●记录应用系统的启动关闭信息。
●记录用户的访问信息。
●记录系统运行状态信息包括提示、出错信息。
●记录文件修改删除,更新等信息。
●该系统的其它信息。
第八条数据库日志的要求
●记录数据库系统的启动关闭情况。
●记录用户的访问情况。
●记录用户的操作。
●记录文件修改、增加、删除等信息。
●记录数据库的其他信息,包括状态、告警等信息。
第九条主机系统日志的要求
●记录主机上各应用程序状态信息。
●记录主机安全相关信息。
●记录系统相关信息,包括各系统进程状态。
第十条网络设备日志的要求
●记录设备的启动关闭信息。
●记录用户登陆信息。
●记录用户操作信息。
●记录端口相关信息。
●记录邻居变化信息。
●记录路由变更信息
●记录其他相关信息
第十一条安全产品日志的要求
●记录相关安全产品的所有安全事件,包括登陆、配置、数据输入输出的发生、进程异
常运行、可疑信息流。
●涉及信息流时要包括接收时间、源地址、目的地址、源端口、目的端口、协议类型、
协议的标示(如ACK)、信息流的方向。
第十二条日志的审计
对所有日志定期进行检查审计,审计周期为每月一次。
第十三条日志的保存和备份
日志的保存和备份应每月进行一次,具体内容参考《信息备份策略》。
第十四条日志的失效
日志在通常情况下,保存x个月之后,可以进行失效处理。如果有系统对日志的保留要求超过x个月,则在超过其系统对日志保留的有效期后再作失效处理。对于日志保存的介质的具体处理方法可以参见介质管理规定。
第四章检查表
第十五条日志管理规定检查表:
第五章相关记录
第十六条关于系统运维的变更记录必须纳入配置管理项。对与日志的管理,严格执行审计流程中要求的相关规定。
第七章相关文件
第十七条《信息安全审计制度》
第八章附则
第十八条本管理规定自发布之日起开始实施;
第十九条本管理规定的解释和修改权属于XXX管理部;
第二十条XXX管理部每年统一检查和评估本管理规定,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。