《系统运维和日志管理规定》等级保护安全管理制度.docxVIP

XXX 系统管理平台 信息安全管理制度 - 系统运维和日志管理规定 文件编号使用部门初版日期修订日期 文件编号使用部门初版日期修订日期 目 录 TOC \o 1-1 \h \z \u 第一章 总 则 3 第二章 人员和职责 3 第三章 内 容 3 第四章 检查表 5 第五章 相关记录 6 第七章 相关文件 6 第八章 附 则 6 第一章 总 则 第一条 目的：本规范的制订正是为了从管理和技术的角度来规范 XXX 系统平台信息系统内部日志系统的设计、实施和运维，使其在方便性和安全性之间尽可能达到平衡。 第二条 日志分类和简单描述 日志可以按不同的类型进行分类，大致可以按日志的来源和日志的内容来分类。 按日志的来源分类，日志可分为：主机系统日志，安全产品日志，网络产品日志，应用系统日志和数据库日志。 按日志的内容分类，日志可分为：访问日志，活动日志和备份日志。 不论日志是如何分类的， 基本上每一个日志记录中需要记录的内容为： 事件发生的日期和时间、事件描述，成功和失败操作，以及其它重要操作，如管理员账号的增加、删除，日志的 存档、删除、清空等。 第三条 时钟同步 很多安全事件的分析是要通过不同系统的日志进行关联分析，如果没有同步的时间信息， 就无法准确分析复杂事件的发生过程。 要实现这一点，需要系统有同步的时钟信息。考虑到实 现的复杂度和投资，网络设备可以考虑使用网络时间协议（ NTP）来通过 NTPserver 系统的时钟来同步。 第二章 人员和职责 第四条 适用范围： XXX 系统内部网络设备、管理系统和各种应用系统。第五条 人员职责 各部门管理各自所属设备的日志； 第三章 内 容 第六条 日志格式的总体要求 日志的格式强烈建议使用单行的，有规则，有格式的 CSV文本格式。但也可以是下列方式中的一种。 Syslog 方式： Syslog 方式需要给出 syslog 的组成结构。 Snmp方式： Snmp方式需要同时提供 MIB信息。 为了便于所有系统的日志将来都能由 SOC统一管理，将来各系统的产生的日志应符合 SOC 接受的日志格式的要求： 保证日志的可读性，如 : 日志的格式的易被计算机进行处理，如不同种类的日志应该具有分类标记。 日志可以有不同的格式，如果有相同的格式，则一定要有分类标记来区分。每种格式的日志记录的是 : snmp,syslog,file,database 第七条 应用系统日志的要求 记录应用系统的启动关闭信息。记录用户的访问信息。 记录系统运行状态信息包括提示、出错信息。记录文件修改删除，更新等信息。 该系统的其它信息。 第八条 数据库日志的要求 记录数据库系统的启动关闭情况。记录用户的访问情况。 记录用户的操作。 记录文件修改、增加、删除等信息。 记录数据库的其他信息，包括状态、告警等信息。第九条 主机系统日志的要求 记录主机上各应用程序状态信息。记录主机安全相关信息。 记录系统相关信息，包括各系统进程状态。 第十条 网络设备日志的要求 记录设备的启动关闭信息。记录用户登陆信息。 记录用户操作信息。记录端口相关信息。记录邻居变化信息。记录路由变更信息 记录其他相关信息 第十一条 安全产品日志的要求 记录相关安全产品的所有安全事件，包括登陆、配置、数据输入输出的发生、进程异常运行、可疑信息流。 涉及信息流时要包括接收时间、源地址、目的地址、源端口、目的端口、协议类型、协议的标示（如 ACK）、信息流的方向。 第十二条 日志的审计 对所有日志定期进行检查审计，审计周期为每月一次。第十三条 日志的保存和备份 日志的保存和备份应每月进行一次，具体内容参考《信息备份策略》。第十四条 日志的失效 日志在通常情况下，保存 x 个月之后，可以进行失效处理。 如果有系统对日志的保留要求 超过 x 个月，则在超过其系统对日志保留的有效期后再作失效处理。 对于日志保存的介质的具体处理方法可以参见介质管理规定。 第四章 检查表 第十五条 日志管理规定检查表： 任务编号 任务编号 检查点 检查内容 检查方法 检查周期 1 1 各系统的日志 输出内容 对照日志管理制度和 系统产生的日志记录， 查看系统输出的日志 是否符合本制度的要 求 各系统管理员生成的 日志时是否做了保存 记录（网络设备的配置文件和日志文件） 网络设备的配置文件 和日志文件备份文件 必须保留至少 x个月， 不能被改变，并且仅能由授权的用户调用查 看。 检查备份介质是否保存的安全的区域 对失效日志的处理是否安全介质管理规定的相关要求进行的 查阅资料 每月 2 日志的备份 查看保存 记录 查阅记录 按需 3 日志的保存 查看备份 介质实物 每季度 4 日志的失效 查询记录 每季度 第五章 相关记录 第十六条 关于系统运维的变更记录必须