系统日志管理是为了规范系统日志管理过程,加强系统日志的管理与保护,提升信息系统安全保障能力。适用范围包括核心业务系统、重要业务系统及路由器、交换机、防火墙、入侵检测系统等网络设备等。 由操作系统生成,记录操作系统资源使用、操作系统用户行为和重要系统命令使用等事件,主要用于检查系统用户所做的操作、分析系统运行情况、开展安全审计等。 ▼▼数据库日志 由数据库系统生成,数据库日志主要记录数据库中已发生的所有修改和执行每次修改的操作、数据库用户行为和重要命令使用等事件,主要用于数据库用户操作核查、数据库系统运行情况分析、数据库系统恢复和故障处理等。▼▼网络日志 由路由器、交换机、防火墙、入侵检测系统等网络设备和软件生成,记录用户登录尝试、网络配置、错误信息等,主要用于网络安全事件监控、网络运行情况分析、用户行为检查及故障处理等。 ▼▼应用日志 由应用系统生成,应用日志主要记录应用系统用户登录、操作类型、操作日期、时间和错误信息等,主要用于应用系统运行情况分析、差错处理、故障处理、数据恢复、数据操作检查和审计等。为保障有效的解决系统故障并满足审计需要,生产系统日志的管理应遵循以下原则:
所有生产系统必须开启操作系统日志、数据库日志、网络日志和应用日志. 日志中应包含足够的内容,以满足故障分析、问题分析和审计的需要。 应保障日志的完整性,只有授权人员才能调整日志属性和访问日志文件;严禁以任何方式修改日志记录的内容;禁止未经许可删除日志。 信息处理设备、系统和主机应采取措施保证系统的时钟同步,以保证日志的可追溯性和系统的准确性。 - 负责日志检查的岗位人员不能兼任信息系统运行维护管理及操作的岗位。
日志本身能全面地反映和记录系统活动的过程和状态,从而向管理者和操作者提示系统采取措施避免错误和损失,达到的预警效果。 ▼▼应用系统日志记录包括但不限于以下内容: - 所有用户登录、创建、修改、删除等重要系统命令的操作记录。
- 重要文件和配置参数的创建、修改、删除、改名、移动操作记录。
文件系统属性修改操作记录。 在不影响系统性能及处理能力的情况下,各类系统管理员应当配置日志系统至少记录以下信息:- 关于事件或故障(发生的差错和采取的纠正措施)的信息。
事件涉及的过程
所有生产系统的操作系统日志、数据库日志和网络日志、应用日志应至少能够在线保留六个月。
信息系统的操作系统日志、数据库日志和网络日志的保存期限可根据信息系统的重要程度和安全保护等级确定,操作系统日志和网络日志保存期限不少于一年,数据库日志保存期限不少于三年。信息系统的应用日志保留期限应不少于三年,如应用系统日志需要满足国家法律、法规要求,应用日志保留年限应按照法律、法规相关要求执行。因内外部审计、司法取证、故障处理等需要提取生产系统日志时,应得到信息技术部授权后才能进行提取。为及时发现潜在的信息安全风险,纠正违规行为,预防欺诈,须对日志定期进行检查和分析。
根据信息系统的安全风险等级和重要程度设定日志的检查周期,其中:日志检查内容应包含但不限于系统特权的使用、配置的变化、关键事件的记录、被拒绝的访问记录、系统报警、敏感信息维护与查询等。由于日志数据量庞大,各类日志包括大量的信息,应当使用专门的日志管理工具进行日志的管理与分析工作,以从各类日志中发现有价值的系统运行及安全信息,以指导系统安全运维工作的开展。由于系统日志是进行系统故障排查及信息安全事件调查的重要论处来源,因此要采取统一的管理与技术措施,保护系统日志的完整性及可用性。
各个系统管理员要对系统日志的完整性及可用性负责,系统管理员不得随意删除与修改日志。日志数据应当与业务数据一起纳入数据备份计划中。公司应当建立统一的日志服务器,集中管理各类系统的日志。各类系统除了在本地产生日常的系统日志外,还需要向日志服务器中写入备份日志。日志服务器中的日志数据应当纳入数据备份计划中。公司日志管理人员不得兼任日志服务器的系统管理员,日志管理人员只拥有日志服务器中日志数据的查看权利,不得拥有修改和删除日志数据的权利。
|