日志管理制度

信息系统日志管理

第一章总则

第一条随着公司信息系统规模的逐步扩大，越来越多的主机、应用系统、网络设备加入到系统网络中，日志安全管理变得越来越复杂。为了规范公司信息系统运行过程中的日志安全管理，为系统运行监控、安全事件跟踪、系统审计等提供真实的日志数据，特制定本办法。

第二条本办法适用于公司信息系统日志安全管理过程。

第二章日志产生管理

第三条为了实时有效的产生必须的日志信息，应开启网络设备、安全设备、操作系统、数据库系统、应用系统等系统日志功能。

第四条一般需开启的日志功能项：

(一)记录用户切换产生的日志;

(二)系统的本地和远程登陆日志;

(三)修改、删除数据;

(四)为了掌握系统的性能开支，必须开启系统统计，周期性收集系统运行数据，包括(CPU utilization, disk I/O 等) ，管理人员应经

常性查看系统负荷和性能峰值，从而判断系统是否被非法使用或受到过攻击。

第五条安全设备需开启的日志功能项：

(一)流量监控的日志信息;

(二)攻击防范的日志信息;

(三)异常事件日志缺省为打开，可发送到告警缓冲区。

第六条本地日志文件不可以全局可写，通过修改日志的默认权限提高日志系统的安全性，防止非授权用户修改日志信息。

第七条安全日志最大值设置。安全日志最大值:>100MB。

第三章日志采集管理

第八条为了更好的保存日志和后续的处理，应创建专门的日志采集服务器。

第九条在指定用户日志服务器时，日志服务器的IP 地址，日志服务器应使用1024 以上的UDP端口作为日志接收端口。

第十条日志信息按重要性可按级别、用户、源IP、目的IP、事件、模块进行信息过滤。

第十一条日志要统一考虑各种攻击、事件，将各种日志输出格式、统计信息等内容进行规范，从而保证日志风格的统一和日志功能的严肃性。

第十二条网络设备的管理，配置网络设备的日志发送到日志采集服务器，日志采集服务器对其日志进行格式化、过滤、聚合等操作。

第四章日志审计

第十三条对公司敏感信息操作的相关日志，应对其加大审核的力度和频率。

第十四条网络设备、安全设备的系统和报警日志由安全管理员进行至少每月一次的安全审核，并填相关的网络设备日志审核记录，以及时发现问题，并根据问题采取相应措施。

第十五条重要服务器操作系统的操作记录由系统管理员根据操作系统记录文件对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核，并填相关的服务器操作系统日志审核记录。

第十六条数据库的直接访问修改操作通过人工记录填写相关的数据库访问修改操作审核记录，并由数据库管理员对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每月一次的安全审核。

第十七条应用系统管理员应根据应用系统自身的日志记录，对应用系统用户操作时的对用户账号、权限的增加、修改、删除，用户识别符、登陆时间、注销时间、操作结果等要素进行每月一次的安全审核，并填制相关的应用系统日志审核记录。

第十八条相关管理员配合安全管理员对系统日志进行定期审计。

第十九条审计日志中的记录不允许在日志中包含密码，具体审计策略由安全管理员协调并配合各管理员制定。

第二十条要保护审计的日志程序和文件，严格控制访问权限。

第二十一条系统管理员的行为(如UNIX中的su)要做日志记录。

第二十二条用户的登录事件要做日志，重要的事件要进行审计跟踪。

第二十三条要建立全网统一的时钟服务器，所有的服务器要同步自己的时钟，以保证审计日志中时间戳的有效性。

第五章日志保存

第二十四条操作系统、数据库系统、业务应用系统等的系统日志由相关管理员进行定期转存和清理，以保障系统日志有足够的存储

空间，安全管理员及相关管理员保存和管理转存的日志，确保这些数据的安全。

第二十五条日志进行集中存放和管理，安全日志至少保留90 天，所有与业务相关系统的日志必须至少保留5年(可放入相关备份策略中进行定期备份)。

第二十六条在日志保留期内，任何人都不得对所有的原始日志和记录进行更改、删除等操作。

第二十七条日志要尽可能保留在只读的介质上。除了在本地保存以外，日志还要传输到安全的日志服务器上，日志服务器不提供其它服务。不得将日志保存于共享的文件系统中。

第六章附则

第二十八条本办法由信息技术部负责解释。

第二十九条本办法自发布之日起施行。