等级保护合规参考.docx

等级保护合规参考——日志管理与安全审计本文依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）、《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2008）、 《信息安全技术信息系统安全等级保护体系框架》（GA/T 708-2007）等相关标准规范，整合涉及日志管理和安全审计的管理要求，描述技术说明和执行 方法，供等级保护定级单位作为执行参考第二级要求（G2）：管理域管理内容说明管理要求实施要点网络安全运行状态主要指网络设备记录，保存周期（不少于1个月）采集网络设备Syslog网络流量各流量汇聚点采集网络设备Snmp用户行为客户端与服务器访问行为 互联网接入的上网访问行为流量协议内容还原互联网出口 NAT转换记录主机安全（仅针对 服务器）重要用户操作所有操作系统和数据库用户记录，保存周期（不少于1个月）定期检查报告应保证无法删除、修改和覆盖配置操作系统安全审核策略实时采集系统日志和安全日志实时采集操作系统Snmp实时采集数据库重要用户操作行为运维操作审计平台（支持RDP、VNC、TELNET、SSH、RLOGIN、FTP）第三方存储，报表功能重要系统命令主要指文件变化、系统变更和权限 与配置调整系统资源异常主要指CPU、内存和硬盘占用率应用安全用户操作日志应用日志中的用户操作记录，B/S应用包括WEB访问日志记录，保存周期（不少于1个月） 应保证无法删除、修改或覆盖应用日志必须包含用户操作日志和重要事件 实时采集应用日志，第三方存储应用重要事件应用日志中的系统日志， 包括启停、升级、配置第三级要求（G3）：安全域管理内容说明管理要求实施要点网络安全运行状态主要指网络设备记录，保存周期（不少于3个月） 实时分析和审计报表应保证无法删除、修改和覆盖同G2，第三方存储，增加分析报表功能网络流量各流量汇聚点网络行为客户端与服务器访问行为 互联网接入的上网访问行为主机安全（针对服 务器和重 要客户端）重要用户操作所有操作系统和数据库用户记录，保存周期（不少于3个月）定期分析和审计报表应保护审计进程不中断应保证无法删除、修改和覆盖同G2重要系统命令主要指文件变化、系统变更和权限 与配置调整系统资源异常主要指系统进程状态，CPU、内 存和硬盘占用率同G2，增加实时监控功能应用安全运行状态应用状态跟踪记录，保存周期（不少于3个月）提供统计、查询及审计报表应保护审计进程不中断应保证无法删除、修改或覆盖建议模拟应用访问方式用户操作日志应用日志中的用户操作记录，B/S应用包括WEB访问日志同G2，增加查询和报表功能应用重要事件应用日志中的系统日志， 包括启停、升级、配置外部人员访问管理操作对象与操 作内容外来人员对设备的访问控制策略和授权管理记录，保存周期（不少于3个月） 规定并控制操作对象和内容运维操作申计平台安全管理 中心所有安全事件包括设备状态、恶意代码、补丁 升级、安全审计集中记录、集中管理综合审计平台，安全事件分级第四级要求（G4）：安全域管理内容说明管理要求实施要点网络安全运行状态主要指网络设备记录，保存周期（不少于3个月） 实时分析和审计报表应保证无法删除、修改和覆盖定义审计存储空间阈值统一安全策略，集中审计时钟保持与时钟服务器同步同G3,综合审计平台，存彳储策略为满即停止， 内置时钟同步网络流量各流量汇聚点网络行为客户端与服务器访问行为 互联网接入的上网访问行为主机安全（针对服 务器和重 要客户端）重要用户操作所有操作系统和数据库用户记录，保存周期（不少于3个月）定期分析和审计报表应保护审计进程不中断应保证无法删除、修改和覆盖集中审计同G3，综合审计平台重要系统命令主要指文件变化、系统变更和权限 与配置调整系统资源异常主要指系统进程状态，CPU、内 存和硬盘占用率应用安全运行状态应用状态跟踪记录，保存周期（不少于3个月）提供统计、查询及审计报表应保护审计进程不中断应保证无法删除、修改或覆盖集中审计接口同G3,支持应用日志外发用户操作日志应用日志中的用户操作记录，B/S应用包括WEB访问日志应用重要事件应用日志中的系统日志， 包括启停、升级、配置访问管理操作对象与操 作内容所有人员对设备的访问控制策略和授权管理记录，保存周期（不少于3个月） 规定并控制操作对象和内容同G3安全管理 中心所有安全事件包括设备状态、恶意代码、补丁 升级、安全审计集中管理同G3。