第1章 概述

第1条  为规范九州注册信息系统日志审计工作的流程，落实安全审计任务，提高日志审计工作的成效，特制定本管理办法。

第2条  适用客体范围：适用于九州注册信息系统的主机设备、网络设备、安全设备、数据库以及系统软件、应用软件等。

第3条  适用主体范围：适用于九州注册图书信息管理中心所辖系统。（各业务系统自身已有管理细则的情况下，参照原有细则执行）

第2章 组织与职责

第4条  安全管理小组：组织制定日志审计策略，监督日常日志安全审计流程的实施。

第5条  安全运维厂商：日常日志安全审计工作的开展

第6条  网络运维小组、业务运维小组、系统集成商：负责各自范围内系统设备的日志审计配合工作。

第7条  日志审计工作量通常较大，在有条件采购第三方日常安全服务的情况下，日志审计工作应主要由安全服务厂商来完成。

第3章 日志信息

第8条  日志的分类包括：操作系统日志、应用系统日志、数据库日志、网络设备日志和信息安全设备日志等。每一类日志记录中都必须记录以下基本内容：事件发生的日期和时间、事件描述，操作者信息，成功和失败操作。

第9条  操作系统日志还应记录以下信息：

□  操作系统的启动/关闭信息；

□  用户登录/退出信息；

□  特殊权限使用；

□  系统运行状态信息(包括报警、故障信息)；

□  主机系统服务或配置变更信息。

第10条  应用系统日志还应记录以下信息:

□  应用系统的启动/关闭信息；

□  关键模块的启动/关闭信息；

□  用户的登录/退出信息；

□  用户的关键操作信息(如修改密码)；

□  应用系统运行状态信息(包括报警、故障信息)；

□  服务和配置参数的变更信息。

第11条  数据库日志还应记录以下信息：

□  数据库系统的启动/关闭信息；

□  用户的登录/退出信息；

□  用户的关键操作信息（如添加或删除数据库）；

□  数据库运行状态信息(包括报警、故障信息)。

第12条 网络设备日志还应记录以下信息

□  设备的启动/关闭信息；

□  用户登录/退出信息；

□  端口变化信息；

□  设备运行状态信息(包括报警、故障信息)。

第13条  信息安全设备日志还应记录以下信息

□  设备的启动/关闭信息；

□  用户登录/退出信息；

□  端口变化信息；

□  信息安全事件信息（如病毒爆发、攻击事件）；

□  设备运行状态信息(包括报警、故障信息)。

第14条  为满足日志审计的需求，每类日志源设备均应参照上述要求，配置日志审计记录策略。

第4章 日志审计管理

第15条  应部署外部日志服务器系统，集中收集信息系统的主要日志记录。通过日志服务器系统的集中存储、过滤、范式化、关联分析，大幅度提高日志审计工作的成效。

第16条  核心业务系统、设备的日志应配置成实时发送到外部日志服务器，避免恶意用户篡改、删除原始日志记录。

第17条  日志记录存储的周期，原则上建议如下：

□  核心业务系统、设备日志存储6-12个月；

□  重要业务系统、设备日志存储3-6个月；

□  一般业务系统、设备日志存储1-3个月；

第18条  日志服务器系统必须保持时钟信息与全网统一的时钟同步服务器同步，并定期（每月）检查同步情况。

第19条  根据触发原因，日志记录审计可划分为定期、不定期两类。针对突发安全事件，经相关责任人许可后，可立即启动日志审计流程。

第20条  安全审计员定期完成日志审计任务，原则上建议如下：

□  核心业务系统、设备日志每日进行审计；

□  重要业务系统、设备日志每周进行审计；

□  一般业务系统、设备日志每月进行审计；

第21条  日志审计实施内容包含：

1. 根据安全审计要求对相关的日志和记录进行搜集。

2. 对搜集到的相关日志和记录进行整理和初步分析。

3. 确定是否有违反安全策略的事件或行为。如果有违反安全策略的事件或行为则需要遵照安全事件处理流程进行处理、上报。

4. 填写日志审计报告（参见附件2）。

总体实施流程参见附件1。