1、总则
1.1、目的
为保证XXXXX单位主要的网络设备、安全设备、主机和应用系统的安全日志都能得到完整和准确的收集,规范日志管理,便于日后管理与分析,特制订本管理规定。
1.2、范围
主要设备:常见网络设备、安全设备、操作系统、数据库的安全日志。
主要应用系统:主要应用系统的安全日志。
1.3、职责
网络管理人员、系统管理员应该按照信息系统日志审计管理规定做好日志审计管理工作。
2、管理细则
2.1、日志收集
- 日志收集的范围应包括:主要的网络设备,包括路由器,交换机等设备;主要的安全设备,包括防火墙,IPS、IDS;主要的服务器和主要的应用系统。
- 日志收集的内容应包括重要用户行为。系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
- 收集日志的记录内容应包括系统的用户的登录成功失败的信息:时间、地点、类型、源和目的地址、协议类型、危险程度等信息。
- 存储日志的位置应有足够的空间,防止生成日志过多对日志的覆盖,限制有权限可以查看日志的账户。日志存储和保留期限应符合国家法律法规要求。
2.2、日志分析管理
- 网络管理员、系统管理员和应用系统管理员应每天查看日志记录,并对日志记录进行分析。
- 网络管理员、系统管理员对所分析的日志,若发现异常情况,应对系统进行检查,确认是否有入侵事件并上报。
- 管理员应定期对所分析的日志进行总结,以报表的形式对所分析的日志直观体现。
- 管理员应定期查看审计系统是否正常。
- 管理员应定期对产生的日志进行备份处理。
2.3、安全功能
- 应保证只有系统管理员和网络管理员才可以查看日志,或是授权日志安全管理对日志进行操作。
- 管理员应具有所要审计日志的内容和日志记录的内容进行修改的权利,但仅限于对审计的优化,而不是简化。
- 管理员应对日志存放的空间进行限制,设定访问权限
- 管理员应对日志进行备份处理后,具有对日志存档、删除和清空的权利。
3、附则
本管理制度由XXXXX单位负责解释,自发布之日起实施。
4、附录和附件
附件1:系统、服务器日志检查分析记录
系统、服务器日志检查分析记录
| 序号 | 检查 日期 | 系统 服务器名称 | 日志检查内容 | 日志分析 | 问题跟踪 解决方法 | 检查人/问题解决人 |
| | | | | | | |
| | | | | | | |
| | | | | | | |
| | | | | | | |
| | | | | | | |
| | | | | | | |
| | | | | | | |
| | | | | | | |
| | | | | | | |
| | | | | | | |