还剩4页未读,继续阅读
文本内容:
系统运维和日志管理规定目录
一、目的本规范的制订是为了从管理和技术的角度来规范系统平台信息系统内部日志系统的设计、实施和运维,使其在方便性和安全性之间尽可能达到平衡
二、适用范系统内部网络设备、管理系统和各种应用系统
三、日志分类和简单描述日志可以按不同的类型进行分类,大致可以按日志的来源和日志的内容来分类按日志的来源分类,日志可分为主机系统日志,安全产品日志,网络产品日志,应用系统日志和数据库日志按日志的内容分类,日志可分为访问日志,活动日志和备份日志不论日志是如何分类的,基本上每一个日志记录中需要记录的内容为事件发生的日期和时间、事件描述,成功和失败操作,以及其它重要操作,如管理员账号的增加、删除,日志的存档、删除、清空等
四、时钟同步很多安全事件的分析是要通过不同系统的日志进行关联分析,如果没有同步的时间信息,就无法准确分析复杂事件的发生过程要实现这一点,需要系统有同步的时钟信息考虑到实现的复杂度和投资,网络设备可以考虑使用网络时间协议(NTP)来通过NTP server系统的时钟来同步
五、日志格式的总体要求日志的格式强烈建议使用单行的,有规则,有格式的csv文本格式但也可以是下列方式中的一种•Syslog方式Syslog方式需要给出syslog的组成结构•Snmp方式Snmp方式需要同时提供MIB信息为了便于所有系统的日志将来都能由S0C统一管理,将来各系统的产生的日志应符合S0C接受的日志格式的要求•保证日志的可读性,如日志的格式的易被计算机进行处理,如不同种类的日志应该具有分类标记•日志可以有不同的格式,如果有相同的格式,则一定要有分类标记来区分每种格式的日志记录的是:snmp,syslog,file,database
(一)应用系统日志的要求•记录应用系统的启动关闭信息•记录用户的访问信息•记录系统运行状态信息包括提示、出错信息•记录文件添加、修改、删除,更新等信息•该系统的其它信息
(二)数据库日志的要求•记录数据库系统的启动关闭情况•记录用户的访问情况•记录用户的操作•记录文件修改、增加、删除等信息•记录数据库的其他信息,包括状态、告警等信息
(三)主机系统日志的要求•记录主机上各应用程序状态信息•记录主机安全相关信息•记录系统相关信息,包括各系统进程状态
(四)网络设备日志的要求•记录设备的启动关闭信息•记录用户登陆信息•记录用户操作信息•记录端口相关信息•记录邻居变化信息•记录路由变更信息•记录其他相关信息
(五)安全产品日志的要求•记录相关安全产品的所有安全事件,包括登陆、配置、数据输入输出的发生、进程异常运行、可疑信息流•涉及信息流时要包括接收时间、源地址、目的地址、源端口、目的端口、协议类型、协议的标示(如ACK)、信息流的方向
六、日志的审计对所有日志定期进行检查审计,审计周期为每半年一次
七、日志的保存和备份日志的保存和备份应每月进行一次
八、日志的失效日志在通常情况下,保存12个月之后,可以进行失效处理如果有系统对日志的保留要求超过12个月,则在超过其系统对日志保留的有效期后再作失效处理
九、日志管理规定检查表任务编号检查点检查内容检查方法检查周期对照日志管理制度和系统各系统的日志输产生的日志记录,查看系1查阅资料按需出内容统输出的日志是否符合本制度的要求各系统管理员生成的日志时是否做了保存记录(网查看保存2日志的备份按需络设备的配置文件和日志记录文件)网络设备的配置文件和日志文件备份文件必须保留至少x个月,不能被改变,查阅记录按需3日志的保存并且仅能由授权的用户调用查看检查备份介质是否保存的查看备份按需安全的区域介质实物对失效日志的处理是否安4日志的失效全介质管理规定的相关要查询记录按需求进行的。