日志管理制度.pdf

精品文档 信息系统日志管理 第一章 总 则 第一条 随着公司信息系统规模的逐步扩大，越来越多的主机、应用系统、网络 设备加入到系统网络中，日志安全管理变得越来越复杂。为了规范公司信息系统运行 过程中的日志安全管理，为系统运行监控、安全事件跟踪、系统审计等提供真实的日 志数据，特制定本办法。 第二条 本办法适用于公司信息系统日志安全管理过程。 第二章 日志产生管理 第三条 为了实时有效的产生必须的日志信息，应开启网络设备、安全设备、操 作系统、数据库系统、应用系统等系统日志功能。 第四条 一般需开启的日志功能项： （一）记录用户切换产生的日志； （二）系统的本地和远程登陆日志； （三）修改、删除数据； （四）为了掌握系统的性能开支， 必须开启系统统计， 周期性收集系统运行数据， 包括 (CPU utilization, disk I/O 等) ，管理人员应经常性查看系统负荷和性能峰值， 从而判断系统是否被非法使用或受到过攻击。 第五条 安全设备需开启的日志功能项： （一）流量监控的日志信息； （二）攻击防范的日志信息； （三）异常事件日志缺省为打开，可发送到告警缓冲区。 第六条 本地日志文件不可以全局可写，通过修改日志的默认权限提高日志系统 的安全性，防止非授权用户修改日志信息。 第七条 安全日志最大值设置。安全日志最大值 :>100MB。 第三章 日志采集管理 第八条 为了更好的保存日志和后续的处理，应创建专门的日志采集服务器。 。 1 欢迎下载 精品文档 第九条 在指定用户日志服务器时， 日志服务器的 IP 地址，日志服务器应使用 1024 以上的 UDP端口作为日志接收端口。 第十条 日志信息按重要性可按级别、用户、源 IP 、目的 IP 、事件、模块进行信 息过滤。 第十一条 日志要统一考虑各种攻击、事件，将各种日志输出格式、统计信息等 内容进行规范，从而保证日志风格的统一和日志功能的严肃性。 第十二条 网络设备的管理，配置网络设备的日志发送到日志采集服务器，日志 采集服务器对其日志进行格式化、过滤、聚合等操作。 第四章 日志审计 第十三条 对公司敏感信息操作的相关日志，应对其加大审核的力度和频率。 第十四条 网络设备、安全设备的系统和报警日志由安全管理员进行至少每月一 次的安全审核，并填相关的网络设备日志审核记录，以及时发现问题，并根据问题采 取相应措施。 第十五条 重要服务器操作系统的操作记录由系统管理员根据操作系统记录文件 对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一 次的安全审核，并填相关的服务器操作系统日志审核记录。 第十六条 数据库的直接访问修改操作通过人工记录填写相关的数据库访问修改 操作审核记录， 并由数据库管理员对用户操作时的用户识别符、 登陆时间、 注销时间、 操作结果等要素进行至少每月一次的安全审核。 第十七条 应用系统管理员应根据应用系统自身的日志记录，对应用系统用户操 作时的对用户账号、权限的增加、修改、删除，用户识别符、登陆时间、注销时间、 操作结果等要素进行每月一次的安全审核，并填制相关的应用系统日志审核记录。 第十八条 相关管理员配合安全管理员对系统日志进行定期审计。 第十九条