第一章 总则
第一条为进一步贯彻《中华人民共和国网络安全法》,规范学校信息系统运行过程中的日志安全管理,为系统运行监控、安全事件跟踪溯源、系统审计等提供真实的日志数据,特制定本规定。
第二条本规定适用于学校各类信息化相关设备、信息化系统日志安全管理过程。
第三条学校网络安全日志工作的主管部门是信息化处,由信息化处提供相关的业务指导、支持与服务;由学校各单位业务系统的系统管理员负责日志相关配置操作。
第二章 日志产生管理
第四条为了实时有效地产生法律法规要求的相关日志信息,应开启网络设备、安全设备、主机操作系统、数据库系统、应用系统等日志功能。
第五条一般需开启的日志功能项:
(一)记录用户登录、登出,会话操作、系统配置变更等操作;
(二)记录用户认证失败信息、无成功授权的操作以及系统中的异常行为;
(三)记录由应用程序产生的事件;
(四)记录数据库服务器、数据库实例启动、关闭、备份、恢复、修改操作等事件。
第六条安全设备需开启的日志功能项:
(一)网络流量、会话访问的日志信息;
(二)威胁告警的日志信息;
(三)用户登录的日志信息;
本地日志文件不可以全局可写,通过修改日志的默认权限提高日志系统的安全性,防止非授权用户修改日志信息。
第三章 日志采集管理
第七条为了更好地保存日志以便后续处理,学校建设部署专用的日志采集服务器,各单位配合信息化处做好相关日志的采集与监控。
第八条日志信息根据重要性可按级别、用户、源IP、目的IP、事件、模块进行信息过滤。
第九条日志要统一考虑各种设备类型、日志类型,将各种日志输出格式、统计信息等内容进行规范,从而保证日志风格的统一和日志功能的严肃性。
第四章 日志审计
第十条对敏感信息操作的相关日志,应对其加大审核的力度和频率。
第十一条网络设备、安全设备的系统和报警日志由安全管理员进行至少每月一次的安全审核,及时发现问题,并根据问题采取相应措施。
第十二条重点服务器操作系统的操作记录由系统管理员根据操作系统记录文件对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每季度一次的安全审核。
第十三条数据库由数据库管理员对用户操作时的用户识别符、登陆时间、注销时间、操作结果等要素进行至少每季度一次的安全审核。
第十四条应用系统管理员应根据应用系统自身的日志记录,对应用系统用户操作时的对用户账号、权限的增加、修改、删除、用户识别符、登陆时间、注销时间、操作结果等要素进行每月一次的安全审核。
第十五条相关管理员配合信息化处对系统日志进行定期审计。
第十六条对审计日志中的敏感数据进行处理,保障其数据安全。不得包含:密码、身份证号、银行卡号、手机号码、姓名、住址、邮箱、教育背景等敏感数据,保护审计的日志程序和文件,严格控制访问权限。
第十七条要建立全网统一的时钟服务器(NTP),所有的服务器要同步时钟服务器,以保证审计日志中时间戳的有效性。
第五章 日志保存
第十八条操作系统、数据库系统、业务应用系统等的系统日志由相关管理员进行定期转存和清理,以保障系统日志有足够的存储空间,安全管理员及相关管理员保存和管理转存的日志,确保这些数据的安全。
第十九条日志进行集中存放和管理,各类相关的网络日志至少保留180天。
第二十条在日志保留期内,任何人都不得对所有的原始日志和记录进行更改、删除等操作。
第二十一条日志除了在本地保存以外,还要传输到安全的日志服务器上,日志服务器不提供其它服务。不得将日志保存于共享的文件系统中。
第六章 附则
第二十二条本规定由信息化处负责解释。
第二十三条本规定自印发之日起执行。
