XX网络信息中心系统运维与日志管理制度文件编号使用部门网络信息中心维护人初版日期X-12-15修订日期X-01-13X保留所有权利。未经版权所有者的书面许可,禁止通过直接复印机、缩微胶片、静电复印术或任何其他方式以任何形式分发本文任何部分。修订及复核记录修订记录版次起草复核批准发行日期摘要审核栏条目姓名审核日期批准复核起草目录第一章总则.......................................................................................................................4第二章范围和职责................................................................................................................4第三章内容.......................................................................................................................4第四章检查表.......................................................................................................................6第五章相关记录....................................................................................................................7第七章相关文件....................................................................................................................7第八章附则.......................................................................................................................7第一章总则第一条本规范的制订正是为了从管理和技术的角度来规范XX网络信息中心管理的日志系统的设计、实施和运维,使其在易用性和安全性之间尽可能达到平衡。第二条日志可以按不同的类型进行分类,大致可以按日志的来源和日志的内容来分类。(一)按日志的来源分类,日志可分为:主机系统日志,安全产品日志,网络产品日志,应用系统日志和数据库日志。(二)按日志的内容分类,日志可分为:访问日志,活动日志和备份日志。(三)不论日志是如何分类的,基本上每一个日志记录中需要记录的内容为:事件发生的日期和时间、事件描述,成功和失败操作,以及其它重要操作,如管理员账号的增加、删除,日志的存档、删除、清空等。第三条确保时钟同步机制在XX的网络信息系统中存在并可靠工作。很多安全事件的分析是要通过不同系统的日志进行关联分析,如果没有同步的时间信息,就无法准确分析复杂事件的发生过程。要实现这一点,需要系统有从时间服务器处同步获得的精确的时钟信息。第二章范围和职责第四条适用于XX内部网络设备、网络管理系统和各种应用系统。第五条XX网络信息中心的系统管理员和网络管理员各自负责管理各自所属设备的日志,并定期向网络信息中心主任提交对日志的分析报告。第三章内容第六条日志格式的总体要求日志的格式强烈建议使用单行的,有规则,有格式的CSV文本格式。但也可以是下列方式中的一种。(一)Syslog方式:Syslog方式需要给出syslog的组成结构。(二)SNMP方式:SNMP方式需要同时提供MIB信息。为了便于XX的所有信息系统的日志将来都能由日志审计系统统一管理,将来各系统产生的日志应符合日志审计系统能接受的日志格式的要求:保证日志的可读性,如:日志的格式易被计算机进行处理,如不同种类的日志应该具有分类标记。日志可以有不同的格式,如果有相同的格式,则一定要有分类标记来区分。每种格式的日志记录的是:SNMP,syslog,file,database第七条应用系统日志的要求(一)记录应用系统的启动关闭信息。(二)记录用户的访问信息。(三)记录系统运行状态信息包括提示、出错信息。(四)记录文件修改删除,更新等信息。(五)该系统的其它信息。第八条数据库日志的要求(一)记录数据库系统的启动关闭情况。(二)记录用户的访问情况。(三)记录用户的操作。(四)记录文件修改、增加、删除等信息。(五)记录数据库的其他信息,包括状态、告警等信息。第九条主机系统日志的要求(一)记录主机上各应用程序状态信息。(二)记录主机安全相关信息。(三)记录系统相关信息,包括各系统进程状态。第十条网络设备日志的要求(一)记录设备的启动关闭信息。(二)记录用户登陆信息。(三)记录用户操作信息。(四)记录端口相关信息。(五)记录邻居变化信息。(六)记录路由变更信息(七)记录其他相关信息第十一条安全产品日志的要求记录相关安全产品的所有安全事件,包括登陆、配置、数据输入输出的发生、进程异常运行、可疑信息流。涉及信息流时要包括接收时间、源地址、目的地址、源端口、目的端口、协议类型、协议的标示(如ACK)、信息流的方向。第十二条日志的审计对所有日志定期进行检查审计,审计周期为每3个月。第十三条日志的保存和备份日志的保存和备份应每月进行一次,具体内容参考《数据备份与恢复管理规定》。第十四条日志的失效日志在通常情况下,保存12个月之后,可以进行失效处理。如果有系统对日志的保留要求超过12个月,则在超过其系统对日志保留的有效期后再作失效处理。对于日志保存的介质的具体处理方法可以参见《介质安全管理规定》。第四章检查表第十五条日志管理规定检查表:任务编号检查点检查内容检查方法检查周期1各系统的日志输出内容对照日志管理制度和系统产生的日志记录,查看系统输出的日志是否符合本制度的要求查阅资料每月2日志的备份各系统管理员生成的日志时是否做了保存记录(网络设备的配置文件和日志文件)查看保存记录每周3日志的保存网络设备的配置文件和日志文件备份文件必须保留至少12个月,不能被改变,并且仅能由授权的用户调用查看。查阅记录按需检查备份介质是否保存的安全的区域查看备份介质实物每季度4日志的失效对失效日志的处理是否安全介质管理规定的相关要求进行的查询记录每季度第五章相关记录第十六条关于系统运维的变更记录必须纳入配置管理项。对与日志的管理,严格执行审计流程中要求的相关规定。第七章相关文件《信息安全审计管理规定》、《介质安全管理规定》、《数据备份与恢复管理规定》第八章附则第十七条本管理规定自发布之日起开始实施;第十八条本管理规定的解释和修改权属于X网络信息中心;第十九条X网络信息中心每年统一检查和评估本管理规定,并做出适当更新。在业务环境和安全需求发生重大变化时,也将对本规定进行检查和更新。