系统运维和日志管理制度

XXXX 网络信息中心网络信息中心 系统运维与日志管理制度系统运维与日志管理制度 文件编号文件编号 使用部门使用部门 维护人维护人 初版日期初版日期 修订日期修订日期 X X 保留所有权利。未经版权所有者的书面许可，禁止通过直接复印机、缩微胶片、静电复印术或任何保留所有权利。未经版权所有者的书面许可，禁止通过直接复印机、缩微胶片、静电复印术或任何 其他方式以任何形式分发本文任何部分。其他方式以任何形式分发本文任何部分。 网络信息中心网络信息中心 X-12-15X-12-15 X-01-13X-01-13 修订及复核记录修订及复核记录 修订记录 版次起草复核批准发行日期摘要 审核栏 条目 批准 复核 起草 姓名审核日期 目目录录 第一章第一章 总总则则 .4 .4 第二章第二章 范围和职责范围和职责44 第三章第三章 内内容容 .4 .4 第四章第四章 检查表检查表 .6 .6 第五章第五章 相关记录相关记录. 7.7 第七章第七章 相关文件相关文件. 7.7 第八章第八章 附附则则 .7 .7 第一章第一章 总总则则 第一条第一条 本规范的制订正是为了从管理和技术的角度来规范XX网络信息中心管理的日志系 统的设计、实施和运维，使其在易用性和安全性之间尽可能达到平衡。 第二条第二条 日志可以按不同的类型进行分类，大致可以按日志的来源和日志的内容来分类。 （一）按日志的来源分类，日志可分为：主机系统日志，安全产品日志，网络产品日志， 应用系统日志和数据库日志。 （二）按日志的内容分类，日志可分为：访问日志，活动日志和备份日志。 （三）不论日志是如何分类的，基本上每一个日志记录中需要记录的内容为：事件发生的 日期和时间、事件描述，成功和失败操作，以及其它重要操作，如管理员账号的增加、删除， 日志的存档、删除、清空等。 第三条第三条 确保时钟同步机制在 XX 的网络信息系统中存在并可靠工作。 很多安全事件的分析是要通过不同系统的日志进行关联分析，如果没有同步的时间信息， 就无法准确分析复杂事件的发生过程。要实现这一点，需要系统有从时间服务器处同步获得的 精确的时钟信息。 第二章第二章 范围和职责范围和职责 第四条第四条 适用于 XX 内部网络设备、网络管理系统和各种应用系统。 第五条第五条 XX 网络信息中心的系统管理员和网络管理员各自负责管理各自所属设备的日志， 并定期向网络信息中心主任提交对日志的分析报告。 第三章第三章 内内容容 第六条第六条 日志格式的总体要求 日志的格式强烈建议使用单行的，有规则， 有格式的 CSV 文本格式。但也可以是下列方式 中的一种。 (一) Syslog 方式：Syslog 方式需要给出 syslog 的组成结构。 （二）SNMP 方式：SNMP 方式需要同时提供 MIB 信息。 为了便于 XX 的所有信息系统的日志将来都能由日志审计系统统一管理，将来各系统产生 的日志应符合日志审计系统能接受的日志格式的要求： 保证日志的可读性，如:日志的格式易被计算机进行处理，如不同种类的日志应该具有分 类标记。 日志可以有不同的格式，如果有相同的格式， 则一定要有分类标记来区分。每种格式的日 志记录的是: SNMP, syslog, file, database 第七条第七条 应用系统日志的要求 （一）记录应用系统的启动关闭信息。 （二）记录用户的访问信息。 （三）记录系统运行状态信息包括提示、出错信息。 （四）记录文件修改删除，更新等信息。 （五）该系统的其它信息。 第八条第八条 数据库日志的要求 （一）记录数据库系统的启动关闭情况。 （二）记录用户的访问情况。 （三）记录用户的操作。 （四）记录文件修改、增加、删除等信息。 （五）记录数据库的其他信息，包括状态、告警等信息。 第九条第九条 主机系统日志的要求 （一）记录主机上各应用程序状态信息。 （二）记录主机安全相关信息。 （三）记录系统相关信息，包括各系统进程状态。 第十条第十条 网络设备日志的要求 （一）记录设备的启动关闭信息。 （二）记录用户登陆信息。 （三）记录用户操作信息。 （四）记录端口相关信息。 （五）记录邻居变化信息。 （六）记录路由变更信息 （七）记录其他相关信息 第十一条第十一条安全产品日志的要求 记录相关安全产品的所有安全事件，包括登陆、配置、数据输入输出的发生、进程异常运 行、可疑信息流。 涉及信息流时要包括接收时间、源地址、目的地址、源端口、目的端口、协议类型、协议 的标示（如 ACK） 、信息流的方向。 第十二条第十二条日志的审计 对所有日志定期进行检查审计，审计周期为每 3 个月。 第十三条第十三条日志的保存和备份 日志的保存和备份应每月进行一次，具体内容参考《数据备份与恢复管理规定》 。 第十四条第十四条日志的失效 日志在通常情况下，保存 12 个月之后，可以进行失效处理。如果有系统对日志的保留要 求超过 12 个月，则在超过其系统对日志保留的有效期后再作失效处理。对于日志保存的介质 的具体处理方法可以参见《介质安全管理规定》 。 第四章第四章 检查表检查表 第十五条第十五条日志管理规定检查表： 任务编号任务编号检查点检查点检查内容检查内容 对照日志管理制度和 系统产生的日志记录， 各系统的日志 查看系统输出的日志 输出内容 是否符合本制度的要 求 各系统管理员生成的 日志时是否做了保存 日志的备份 记录（网络设备的配置 文件和日志文件） 网络设备的配置文件 和日志文件备份文件 必须保留至少12个月， 不能被改变，并且仅能 日志的保存 由授权的用户调用查 看。 检查备份介质是否保 存的安全的区域 对失效日志的处理是 日志的失效否安全介质管理规定 的相关要求进行的 检查方法检查方法检查周期检查周期 1查阅资料每月 2 查看保存 每周 记录 查阅记录按需 3 查看备份 每季度 介质实物 查询记录每季度4 第五章第五章 相关记录相关记录 第十六条第十六条关于系统运维的变更记录必须纳入配置管理项。对与日志的管理，严格执行审 计流程中要求的相关规定。 第七章第七章 相关文件相关文件 《信息安全审计管理规定》、《介质安全管理规定》、《数据备份与恢复管理规定》 第八章第八章 附附则则 第十七条第十七条本管理规定自发布之日起开始实施； 第十八条第十八条本管理规定的解释和修改权属于 X 网络信息中心； 第十九条第十九条X 网络信息中心每年统一检查和评估本管理规定，并做出适当更新。在业务环 境和安全需求发生重大变化时，也将对本规定进行检查和更新。