日志管理程序.docxVIP

QEP 日志管理程序 DOC NO 文件编号 QEP-036 程序文件 REV 版本 A PAGE贞他 1 of 4 1.目的 本规范定义公司信息处理活动或事件过程的日志记录要求，监控并识别未经过授权的访问或安全事件， 为公司信息安全审计提供依据。 .范围 公司信息设备及信息系统的日志收集、监控、审核。 .职责 IT负责公司信息设备及信息系统日志收集、监控、审核工作。 .定义 无 .工作程序 日志分类 日志的分类包括：操作系统日志、应用系统日志、数据库日志、网络设备日志和信息安全设备日志。每 一类日志记录中都必须记录以下基本内容：事件发生的日期和时间、事件描述、操作者信息、成功和失败操 作。 操作系统日志还应记录以下信息： 操作系统的启动/关闭信息； 用户登录/退出信息； 特殊权限使用； 系统运行状态信息（包括报警、故障信息） ； 主机系统服务或配置变更信息。 数据库日志还应记录以下信息： 数据库系统的启动/关闭信息； 用户登录/退出信息； QEP-036 QEP-036 DOC NO QEP程序文件日志管理程序文件编号 QEP 程序文件 日志管理程序 文件编号 REV 版本 PAGE 页码 I 2 of 4 用户的关键操作信息（如添加或删除数据库） ； 数据库运行状态信息（包括报警、故障信息） 。 网络设备日志还应记录以下信息： 设备的启动/关闭信息； 用户登录/退出信息； 端口变化信息； 设备运行状态信息（包括报警、故障信息） 。 信息安全设备日志还应记录以下信息： 设备的启动/关闭信息； 用户登录/退出信息； 端口变化信息； 信息安全事件信息（如病毒爆发、攻击事件） ； 设备运行状态信息（包括报警、故障信息） 。 日志管理要求 记录日志的系统需保持时钟信息与公司的时钟同步服务器同步，信息系统维护人员每月检查时 间同步是否正常并予以记录， 《日志明细表》见系统中记录。 日志是进行事件跟踪和追查的最重要的证据日志监控主要针对有关的日志信息进行监控和记录，所有 的操作活动都必须被记入日志，不得停用日志服务。 操作系统、网络设备、应用系统应启用日志功能。重要系统的日志应保留半年以上。日志应该包括但 不限于以下内容： 管理员和操作员的操作日志信息 系统的成功访问和拒绝访问的记录 安全事件报警 DOC NO QEP程序文件日志管理程序文件编号 QEP 程序文件 日志管理程序 文件编号 REV 版本 PAGE 页码 I 3 of 4 错误和故障日志 有条件时使用合适的审计工具对日志进行查询，或者对日志的副本进行处理。原始日志不允许更改或 者删除。 日志文件应集中管理并加以保护，应设置日志文件访问控制权限，防止未授权的访问篡改。 日志安全审计 系统管理员每天审阅关键系统日志，并对具体错误进行分析和整改，并填写巡检记录，见《日 志审核记录》。 相关的任何人都不得对原始日志和记录进行更改、删除等操作。 对日志中的错误或可疑项进行记录，如发现可疑的日志记录事件或无法分析判断，应进行分析处理， 处理结果应补充记录到日志检查记录中。 如果发生突发安全事件，应及时向公司上级领导提交正式安全事故分析报告。安全事件的记录应该每 季度备份、归档，以备事后的审计。 系统管理员汇总日志安全审计数据，对关键系统日志应进行跟踪，并记录在《关键系统异常日志跟踪 表》。 日志审计过程中出现的违规行为及时进行记录，并第一时间向信息安全小组进行汇报，违规处理参考 文件《信息安全事件管理程序》处理。 技术符合性审计 技术符合性审计时间包括： 新业务系统预上线时 业务运营阶段，当用户规模、业务功能等发生较大变化时 审计工具包含但不限于漏洞扫描或安全检查等辅助性工具。 审计工具的使用应进行申请和取得授权，一般选择夜间或不影响业务系统正常使用的情况下进行。 QEP 程序文件 日志管理程序 DOC NO 文件编号 QEP-036 REV 版本 A PAGE贞他 4 of 4 审计工具必须由系统管理员或专业人员操作，禁止未经授权的用户使用。 技术符合性审核工作应评估实施可能带来的业务风险，并制定明确的计划。 对业务系统扫描应事先通知主管部门负责人和相关业务部门负责人。 对扫描器产生的安全漏洞报告应进行整理、 验证并提出可行的安全修复方案。 主管部门应对提出的修复 方案进行测试并实施，对于无法在短期完成的修复工作，应记录原因和风险规避方式。 .相关文件 信息安全管理体系手册 信息安全事件控制程序 .记录 《日志明细表》 《日志审核记录》 《关键系统异常日志跟踪记录》