系统运维和日志管理制度

XX

网络信息中心

系统运维与日志管理制度

修订及复核记录

目录

第一章总则 (4)

第二章范围和职责 (4)

第三章内容 (4)

第四章检查表 (6)

第五章相关记录 (7)

第七章相关文件 (7)

第八章附则 (7)

第一章总则

第一条本规范的制订正是为了从管理和技术的角度来规范XX网络信息中心管理的日志系统的设计、实施和运维，使其在易用性和安全性之间尽可能达到平衡。

第二条日志可以按不同的类型进行分类，大致可以按日志的来源和日志的内容来分类。

（一）按日志的来源分类，日志可分为：主机系统日志，安全产品日志，网络产品日志，应用系统日志和数据库日志。

（二）按日志的内容分类，日志可分为：访问日志，活动日志和备份日志。

（三）不论日志是如何分类的，基本上每一个日志记录中需要记录的内容为：事件发生的日期和时间、事件描述，成功和失败操作，以及其它重要操作，如管理员账号的增加、删除，日志的存档、删除、清空等。

第三条确保时钟同步机制在XX的网络信息系统中存在并可靠工作。

很多安全事件的分析是要通过不同系统的日志进行关联分析，如果没有同步的时间信息，就无法准确分析复杂事件的发生过程。要实现这一点，需要系统有从时间服务器处同步获得的精确的时钟信息。

第二章范围和职责

第四条适用于XX内部网络设备、网络管理系统和各种应用系统。

第五条XX网络信息中心的系统管理员和网络管理员各自负责管理各自所属设备的日志，并定期向网络信息中心主任提交对日志的分析报告。

第三章内容

第六条日志格式的总体要求

日志的格式强烈建议使用单行的，有规则，有格式的CSV文本格式。但也可以是下列方式中的一种。

(一) Syslog方式：Syslog方式需要给出syslog的组成结构。

（二）SNMP方式：SNMP方式需要同时提供MIB信息。

为了便于XX的所有信息系统的日志将来都能由日志审计系统统一管理，将来各系统产生的日志应符合日志审计系统能接受的日志格式的要求：

保证日志的可读性，如:日志的格式易被计算机进行处理，如不同种类的日志应该具有分类标记。

日志可以有不同的格式，如果有相同的格式，则一定要有分类标记来区分。每种格式的日志记录的是: SNMP, syslog, file, database

第七条应用系统日志的要求

（一）记录应用系统的启动关闭信息。

（二）记录用户的访问信息。

（三）记录系统运行状态信息包括提示、出错信息。

（四）记录文件修改删除，更新等信息。

（五）该系统的其它信息。

第八条数据库日志的要求

（一）记录数据库系统的启动关闭情况。

（二）记录用户的访问情况。

（三）记录用户的操作。

（四）记录文件修改、增加、删除等信息。

（五）记录数据库的其他信息，包括状态、告警等信息。

第九条主机系统日志的要求

（一）记录主机上各应用程序状态信息。

（二）记录主机安全相关信息。

（三）记录系统相关信息，包括各系统进程状态。

第十条网络设备日志的要求

（一）记录设备的启动关闭信息。

（二）记录用户登陆信息。

（三）记录用户操作信息。

（四）记录端口相关信息。

（五）记录邻居变化信息。

（六）记录路由变更信息

（七）记录其他相关信息

第十一条安全产品日志的要求

记录相关安全产品的所有安全事件，包括登陆、配置、数据输入输出的发生、进程异常运行、可疑信息流。

涉及信息流时要包括接收时间、源地址、目的地址、源端口、目的端口、协议类型、协议的标示（如ACK）、信息流的方向。

第十二条日志的审计

对所有日志定期进行检查审计，审计周期为每3个月。

第十三条日志的保存和备份

日志的保存和备份应每月进行一次，具体内容参考《数据备份与恢复管理规定》。

第十四条日志的失效

日志在通常情况下，保存12个月之后，可以进行失效处理。如果有系统对日志的保留要求超过12个月，则在超过其系统对日志保留的有效期后再作失效处理。对于日志保存的介质的具体处理方法可以参见《介质安全管理规定》。

第四章检查表

第十五条日志管理规定检查表：

第五章相关记录

第十六条关于系统运维的变更记录必须纳入配置管理项。对与日志的管理，严格执行审计流程中要求的相关规定。

第七章相关文件

《信息安全审计管理规定》、《介质安全管理规定》、《数据备份与恢复管理规定》

第八章附则

第十七条本管理规定自发布之日起开始实施；

第十八条本管理规定的解释和修改权属于X网络信息中心；

第十九条X网络信息中心每年统一检查和评估本管理规定，并做出适当更新。在业务环境和安全需求发生重大变化时，也将对本规定进行检查和更新。