《日志安全标准.docx》由会员分享,可在线阅读,更多相关《日志安全标准.docx(4页珍藏版)》请在课桌文档上搜索。
1、XXX网络安全有限公司日志安全标准文件编号:1 .目的建立网安公司日志记录和审计的安全标准,保证日志信息记录的完整性,日志的有效性和保密性。2 .范围适用于网安公司信息安全部的所有部门、下属组和员工,网安公司的所有信息系统和日志记录。3 .术语定义无4 .参考文件无5.角色与职责角色职责信息安全组1、检验标准的执行情况;2、通过日志集中管理系统进行日志解析和事件归并;3、过系统监控检查安全控制措施的有效性。操作系统管理员1、操作系统包括:主机操作系统、网络操作系统、防火墙操作系统等;2、保证日志审计功能被启用;3、必须保证所有需要安全监控的信息处理设备的日志可以实时转发到日志集中管理系统;4、
2、负责信息处理设备的日志保存、归档和备份;5、负责对日志进行定期的审计,处理发现的问题。应用系统管理员1、应用系统包括:公司购买的或自行开发的应用系统;2、保证日志审计功能被启用;3、负责应用系统日志的保存、归档和备份;4、负责对日志进行定期的审计,处理发现的问题。6.内容6.1 日记录的总体要求6.1.1 所有的操作系统、应用系统都应该具有并且启用日志审计功能6.1.2 以下日志必须被记录:a)操作系统日志:包括操作系统和应用系统的安全日志,如系统重启、系统参数修改、用户登入登出日志等;b)帐号权限管理日志:如在应用系统中进行录入、审核、查询等操作的日志;c)应用系统日志:如在应用系统中进行录
3、入、审核、查询等操作的日志;d)系统管理员的所有操作,系统管理员包括:操作系统管理员和应用系统管理员;e)安全防护系统如防病毒系统、入侵检测系统、防火墙系统等的日志;f)安全防护系统如防病毒系统、入侵检测系统、防火墙系统等的日志;g)重要业务系统的用户操作日志,如:银行系统,财务系统,分红系统,印章系统等6.1.3 必须确保日志记录功能在任何时候都能正常运行。6.1.4 所有信息处理设备的时钟必须使用公司标准的时钟源。6.1.5 对于不能进行时钟同步的信息处理设备,必须每月检查一次以保证时钟同步,此类系统的时钟偏差不能超过一分钟。6.2 日志记录的内容6.2.1 操作系统的日志应该包含,但不限
4、于:a)用户ID:b)日期、时间(至少精确到秒);c)成功和失败的登录事件;d)系统重启e)来源终端的身份和位置(如IP或MAC地址);f)系统配置的变更;g)特权使用。6.2.2 帐号权限管理日志应该包含,但不限于:a)用户ID:b)管理员ID;c)日期、时间(至少精确到秒);d)操作(如I:创建用户、修改用户帐号属性、权限授予等)的详细信息;e)成功还是失败事件;f)来源终端的身份和位置(如IP或MAC地址)。6.2.3 应用系统的日志应该包含,但不限于:a)用户ID:b)日期、时间(至少精确到秒);c)操作(如I:查询、录入、审批等)的详细信息;d)成功还是失败事件;e)来源终端的身份和
5、位置(如IP或MAC地址);f)系统配置的变更;6.2.4 防病毒系统日志应该包含,但不限于:a)主机名称;b)病毒名称;c)病揖类型;d)病毒路径;e)防病毒操作及结果;f)日期、时间(至少精确到秒);g)防病揖服务器的启停。6.2.5 入侵检测系统、防火墙系统等的日志应该包含,但不限于:a)来源终端的身份和位置(如IP或MAC地址)b)目标终端的身份和位置(如IP或MAC地址)c)日期、时间(至少精确到秒)d)事件(如I:检测到碎片攻击、防火墙端口deny等)的详细信息e)成功还是失败事件;f)网络协议;g)系统配置的变更;h)特权使用;i)启动和停止。6.3 日志检查的要求6.3.1 应
6、该定期更审管理员和操作员的日志a)重要业务系统(如财务系统、银行系统等)的日志应每天复审;b)一般业务系统的日志至少每月复审一次;c)生产服务器的日志至少每周复审一次;d)安全防护系统的日志至少每周复审一次。6.3.2 日志集中管理系统应该实时监控异常的日志事件a)应该实时监控安全防护系统检测到的攻击事件如TearDrop、Synflood,蠕虫病毒等;6.3.3 应该定期庭审日志集中管理系统收集的日志a)应该每天复审域控制器的失败日志;b)应该每天复审生产服务器的失败口志;c)应该每天复审防火墙日志;d)应该每天复审高层帐号的日志。6.4 日志信息的保护6.4.1 防止对日志设备和日志信息非
7、授权的更改和操作,保证日志信息的完整性,采取的控制应包含但不限于:a)禁止对己记录的信息类型作更改;b)禁止编辑或删除日志文件;C)任何对日志文件的访问(如读、写、删除)尝试都应该被记录d)禁止非授权的员工访问并使用日志。6.4.2 信息处理设备和应用系统的管理员负有日志保存、归档的责任。6.4.3 除非特别声明,日志必须至少保存1年。6.4.4 应该在系统上至少分配300M的空间保存系统日志;6.4.5 应该有机制监控用于存储日志的介质的容量变化,在容量耗尽之前报警;6.4.6 要定期将系统上保存的日志进行压缩处理或归档,避免因日志存储空间被沾满而导致日志记录的丢失;6.4.7 除非特别声明,所有日志的密级分类最低应标识为“秘密”。6.5 故障日志6.5.1 用户或系统程序报告的与信息处理或通信系统有关的故障应该被记录。6.5.2 应该建立清晰的规则来处理故障,包含但不限于:a)复审故障日志以保证故障已经满意的解决;b)复审纠正措施以保证没有违反原有的安全控制措施,而且采取的行动经过充分授权。6.5.3 所有故障记录都应该向上级汇报并记录归档。6.5.4 故障记录应妥善保管,防止被损坏,必要时应进行备份。6.5.5 如果系统包含记录错误日志这个功能,则必须保证这个功能被启用。7.附件无