網(wǎng)絡(luò)信息安全日志記錄規(guī)則一、概述

網(wǎng)絡(luò)信息安全日志記錄是保障信息系統(tǒng)安全運(yùn)行的重要手段，通過系統(tǒng)化、規(guī)范化的日志記錄與審計(jì)，可以有效監(jiān)控異常行為、追蹤安全事件、分析潛在威脅，并為事后調(diào)查提供依據(jù)。本規(guī)則旨在明確日志記錄的范圍、標(biāo)準(zhǔn)、流程及管理要求，確保日志信息的完整性、準(zhǔn)確性和可用性。

二、日志記錄的基本原則

（一）完整性原則

日志記錄應(yīng)覆蓋所有關(guān)鍵操作和安全事件，包括但不限于系統(tǒng)登錄、權(quán)限變更、數(shù)據(jù)訪問、安全設(shè)備告警等。日志數(shù)據(jù)不得被隨意篡改或刪除，確保原始記錄的不可抵賴性。

（二）準(zhǔn)確性原則

日志記錄的格式、時(shí)間戳、來源IP等關(guān)鍵信息必須準(zhǔn)確無誤，避免因系統(tǒng)故障或配置錯(cuò)誤導(dǎo)致記錄失真。采用統(tǒng)一的時(shí)間基準(zhǔn)（如NTP同步），確保日志時(shí)間戳的權(quán)威性。

（三）時(shí)效性原則

日志數(shù)據(jù)應(yīng)及時(shí)生成并存儲(chǔ)，避免延遲過長時(shí)間。建議日志生成后5分鐘內(nèi)完成初步存儲(chǔ)，長期存儲(chǔ)周期根據(jù)業(yè)務(wù)需求設(shè)定（如：系統(tǒng)日志保留6個(gè)月，安全日志保留12個(gè)月）。

（四）最小化原則

僅記錄必要的安全相關(guān)信息，避免過度收集無關(guān)數(shù)據(jù)，以降低存儲(chǔ)壓力和隱私風(fēng)險(xiǎn)。

三、日志記錄的范圍與內(nèi)容

（一）系統(tǒng)日志

1.用戶登錄/退出記錄：包括用戶名、登錄時(shí)間、IP地址、設(shè)備類型等。

2.權(quán)限變更記錄：如用戶角色調(diào)整、訪問控制策略修改等。

3.系統(tǒng)錯(cuò)誤日志：記錄系統(tǒng)崩潰、服務(wù)中斷等異常情況，包含錯(cuò)誤代碼、發(fā)生時(shí)間、影響范圍等。

（二）應(yīng)用日志

1.交易操作記錄：如數(shù)據(jù)庫查詢、文件寫入等關(guān)鍵業(yè)務(wù)操作，包含操作類型、時(shí)間、數(shù)據(jù)ID等。

2.異常行為記錄：如權(quán)限超限、重復(fù)提交等異常操作，需標(biāo)注觸發(fā)條件和處理結(jié)果。

（三）安全日志

1.防火墻/IDS告警：記錄入侵檢測事件，包括攻擊類型、來源IP、目標(biāo)端口、告警級(jí)別等。

2.惡意軟件檢測：記錄病毒、木馬等惡意代碼的掃描結(jié)果及處理措施。

3.拒絕服務(wù)攻擊（DDoS）日志：記錄攻擊流量特征、持續(xù)時(shí)間、緩解措施等。

四、日志記錄的實(shí)施流程

（一）日志生成

1.設(shè)備或應(yīng)用在執(zhí)行關(guān)鍵操作時(shí)自動(dòng)生成日志條目。

2.日志格式統(tǒng)一采用Syslog或JSON標(biāo)準(zhǔn)，包含時(shí)間戳、源地址、事件類型等字段。

（二）日志傳輸

1.采用安全傳輸協(xié)議（如TLS/SSL）將日志實(shí)時(shí)發(fā)送至中央日志服務(wù)器。

2.若網(wǎng)絡(luò)中斷，啟用本地緩存機(jī)制，確保日志不丟失。

（三）日志存儲(chǔ)

1.中央日志服務(wù)器采用分布式存儲(chǔ)架構(gòu)，支持熱備份和冷歸檔。

2.定期校驗(yàn)存儲(chǔ)完整性，如通過哈希校驗(yàn)防止數(shù)據(jù)損壞。

（四）日志審計(jì)

1.每日自動(dòng)掃描高危日志事件（如未授權(quán)訪問、敏感數(shù)據(jù)操作），生成審計(jì)報(bào)告。

2.安全團(tuán)隊(duì)每周抽樣核查日志記錄的準(zhǔn)確性，對(duì)異常情況及時(shí)溯源。

五、日志管理的維護(hù)要求

（一）定期備份

1.日志數(shù)據(jù)每日增量備份，每周全量備份。

2.備份文件存儲(chǔ)在物理隔離的存儲(chǔ)設(shè)備中，保留至少3個(gè)月。

（二）訪問控制

1.僅授權(quán)管理員可訪問日志服務(wù)器，采用多因素認(rèn)證。

2.審計(jì)日志操作記錄，防止未授權(quán)訪問或篡改。

（三）異常處理

1.若發(fā)現(xiàn)日志記錄中斷或失真，立即排查原因并恢復(fù)記錄。

2.生成故障報(bào)告，分析日志系統(tǒng)性能瓶頸。

六、附則

本規(guī)則適用于所有信息系統(tǒng)，包括但不限于服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等。各業(yè)務(wù)部門需根據(jù)實(shí)際需求調(diào)整日志記錄范圍，并定期更新本規(guī)則。如遇技術(shù)變更，需經(jīng)安全部門審核后執(zhí)行。

---

一、概述

網(wǎng)絡(luò)信息安全日志記錄是保障信息系統(tǒng)安全運(yùn)行的核心基礎(chǔ)工作，通過系統(tǒng)化、規(guī)范化的日志生成、收集、存儲(chǔ)、分析和審計(jì)，能夠?qū)崿F(xiàn)對(duì)系統(tǒng)狀態(tài)的實(shí)時(shí)監(jiān)控、異常行為的及時(shí)發(fā)現(xiàn)、安全事件的準(zhǔn)確定位與追溯，并為安全事件的響應(yīng)處置、事后分析以及安全策略的優(yōu)化提供關(guān)鍵數(shù)據(jù)支撐。有效的日志管理有助于降低安全風(fēng)險(xiǎn)、滿足合規(guī)性要求（如特定行業(yè)的審計(jì)標(biāo)準(zhǔn)），并提升整體信息系統(tǒng)的安全防護(hù)能力。本規(guī)則旨在為組織內(nèi)所有信息系統(tǒng)的日志記錄活動(dòng)提供統(tǒng)一的指導(dǎo)，確保日志信息的可靠性、完整性和可用性，從而構(gòu)建縱深防御體系的重要組成部分。

二、日志記錄的基本原則

（一）完整性原則

1.覆蓋范圍:日志記錄必須全面覆蓋所有與信息安全相關(guān)的活動(dòng)。這包括但不限于：

用戶身份認(rèn)證與訪問控制（成功與失敗嘗試）。

系統(tǒng)啟動(dòng)、關(guān)閉、配置變更。

權(quán)限分配與回收。

數(shù)據(jù)的創(chuàng)建、讀取、修改、刪除（CRUD操作）。

重要業(yè)務(wù)流程的關(guān)鍵節(jié)點(diǎn)記錄。

安全設(shè)備的告警與事件響應(yīng)操作（如防火墻策略執(zhí)行、入侵檢測系統(tǒng)（IDS）/入侵防御系統(tǒng)（IPS）觸發(fā)、防病毒軟件掃描結(jié)果）。

網(wǎng)絡(luò)連接狀態(tài)變化（如VPN連接、端口掃描檢測）。

惡意軟件檢測與清除活動(dòng)。

外部接口交互（如API調(diào)用、第三方服務(wù)集成）的關(guān)鍵操作。

2.不可篡改:確保生成的日志在傳輸和存儲(chǔ)過程中不被非法修改。采用加密傳輸、數(shù)字簽名或基于角色的訪問控制（RBAC）等機(jī)制來保障日志的完整性。

3.源地址可靠性:記錄產(chǎn)生日志事件的設(shè)備或應(yīng)用的唯一標(biāo)識(shí)符（如MAC地址、UUID），以便追溯源頭。

（二）準(zhǔn)確性原則

1.格式標(biāo)準(zhǔn)化:所有日志條目應(yīng)遵循統(tǒng)一的、標(biāo)準(zhǔn)化的格式，例如使用Syslog協(xié)議（RFC5424）、JSON或XML格式。標(biāo)準(zhǔn)化格式便于后續(xù)的解析、查詢和自動(dòng)化處理。

2.字段規(guī)范:日志必須包含足夠的信息字段，常見的核心字段應(yīng)包括：

時(shí)間戳（精確到毫秒，并需與統(tǒng)一時(shí)間源同步）。

事件類型/級(jí)別（如INFO,WARNING,ERROR,ALERT,CRITICAL）。

事件來源（設(shè)備/IP地址/應(yīng)用名稱/進(jìn)程ID）。

事件描述（清晰、簡潔地說明發(fā)生的事件）。

用戶標(biāo)識(shí)（如用戶名、會(huì)話ID）。

請(qǐng)求/響應(yīng)內(nèi)容摘要（在脫敏前提下，根據(jù)需要記錄）。

事件ID或參考編號(hào)（用于關(guān)聯(lián)分析）。

3.時(shí)間同步:所有產(chǎn)生日志的設(shè)備和應(yīng)用必須與權(quán)威的時(shí)間服務(wù)器（如使用NTP協(xié)議）進(jìn)行時(shí)間同步，確保所有日志的時(shí)間戳具有一致性，便于進(jìn)行跨系統(tǒng)的關(guān)聯(lián)分析。

4.避免歧義:使用明確、無歧義的術(shù)語描述事件，避免使用模糊或主觀性強(qiáng)的語言。

（三）時(shí)效性原則

1.實(shí)時(shí)性要求:日志事件發(fā)生后，應(yīng)盡快完成記錄。對(duì)于需要實(shí)時(shí)監(jiān)控的告警事件，日志生成和傳輸?shù)难舆t應(yīng)控制在可接受范圍內(nèi)（例如，核心安全事件日志傳輸延遲不應(yīng)超過2分鐘）。

2.存儲(chǔ)周期:根據(jù)業(yè)務(wù)重要性、合規(guī)要求以及存儲(chǔ)成本，設(shè)定合理的日志存儲(chǔ)期限。例如：

一般操作日志：可存儲(chǔ)3-6個(gè)月。

安全事件日志：建議存儲(chǔ)6-12個(gè)月，甚至更長，以支持深度調(diào)查。

系統(tǒng)崩潰/錯(cuò)誤日志：根據(jù)分析需求存儲(chǔ)6-12個(gè)月。

3.及時(shí)歸檔:超過即時(shí)查詢需求的日志，應(yīng)及時(shí)歸檔到長期存儲(chǔ)介質(zhì)中，同時(shí)確保歸檔過程不影響在線日志系統(tǒng)的正常運(yùn)行。

（四）最小化原則

1.必要記錄:僅記錄與信息安全直接相關(guān)或滿足業(yè)務(wù)審計(jì)、合規(guī)性要求所必需的信息。避免記錄與安全無關(guān)的、可能泄露敏感個(gè)人信息（如PII）或商業(yè)秘密的非必要細(xì)節(jié)。

2.數(shù)據(jù)脫敏:對(duì)于日志中包含的敏感信息（如用戶真實(shí)姓名、詳細(xì)位置、完整IP地址、密碼哈希等），在存儲(chǔ)、傳輸和展示時(shí)應(yīng)進(jìn)行適當(dāng)?shù)拿撁籼幚恚ㄈ缪诖a、哈希、泛化），但需確保脫敏后仍能用于安全分析和審計(jì)。

3.避免過度收集:定期評(píng)估日志記錄策略，移除冗余或不必要的日志類型，平衡安全需求與資源消耗。

三、日志記錄的范圍與內(nèi)容

（一）系統(tǒng)日志

1.操作系統(tǒng)日志:

(1)用戶登錄/注銷：記錄用戶名、登錄/注銷時(shí)間（精確到秒）、來源IP、成功/失敗狀態(tài)、使用的設(shè)備信息（若可獲?。?/p>

(2)認(rèn)證失敗嘗試：記錄嘗試登錄的用戶名、時(shí)間、IP、失敗原因（如密碼錯(cuò)誤、賬戶鎖定）。

(3)權(quán)限變更：記錄進(jìn)行變更的用戶、時(shí)間、變更內(nèi)容（如用戶組添加、文件權(quán)限修改）、目標(biāo)對(duì)象。

(4)服務(wù)啟動(dòng)/停止：記錄服務(wù)名稱、狀態(tài)（啟動(dòng)/停止）、時(shí)間、執(zhí)行者、結(jié)果。

(5)系統(tǒng)錯(cuò)誤/警告：記錄錯(cuò)誤代碼、描述、發(fā)生時(shí)間、影響的進(jìn)程或模塊、嚴(yán)重程度。

2.數(shù)據(jù)庫日志:

(1)連接記錄：記錄客戶端IP、連接時(shí)間、用戶名、會(huì)話ID。

(2)DDL/DML操作：記錄執(zhí)行時(shí)間、用戶、執(zhí)行的SQL語句類型（SELECT,INSERT,UPDATE,DELETE）、影響的表/記錄。

(3)安全相關(guān)操作：記錄密碼修改、角色授權(quán)、審計(jì)日志查詢等。

(4)錯(cuò)誤與死鎖：記錄錯(cuò)誤信息、時(shí)間戳、涉及的事務(wù)ID、死鎖發(fā)生情況。

3.中間件日志(如應(yīng)用服務(wù)器、消息隊(duì)列):

(1)請(qǐng)求處理：記錄請(qǐng)求入口、方法、URL、響應(yīng)狀態(tài)碼、處理時(shí)長、客戶端IP。

(2)配置變更：記錄變更時(shí)間、執(zhí)行者、變更內(nèi)容。

(3)錯(cuò)誤與異常：記錄異常類型、堆棧信息、發(fā)生時(shí)間、影響范圍。

（二）應(yīng)用日志

1.業(yè)務(wù)操作日志:

(1)關(guān)鍵業(yè)務(wù)流程：記錄流程啟動(dòng)、關(guān)鍵節(jié)點(diǎn)處理、結(jié)束時(shí)間、處理結(jié)果。

(2)數(shù)據(jù)變更：記錄數(shù)據(jù)項(xiàng)（如訂單號(hào)、用戶信息）的變更前狀態(tài)（脫敏）、變更后狀態(tài)（脫敏）、變更時(shí)間、操作人/系統(tǒng)。

(3)事務(wù)狀態(tài)：記錄事務(wù)提交/回滾、時(shí)間、原因。

2.應(yīng)用內(nèi)部安全日志:

(1)訪問控制命中：記錄訪問嘗試、目標(biāo)資源、是否授權(quán)、結(jié)果、時(shí)間、來源。

(2)風(fēng)險(xiǎn)檢測：記錄應(yīng)用內(nèi)部風(fēng)險(xiǎn)規(guī)則觸發(fā)情況、相關(guān)事件、處理措施。

(3)會(huì)話管理：記錄會(huì)話創(chuàng)建、銷毀、超時(shí)、異常中斷。

（三）安全日志

1.防火墻/網(wǎng)絡(luò)設(shè)備日志:

(1)包過濾/狀態(tài)檢測：記錄匹配的規(guī)則號(hào)、動(dòng)作（允許/拒絕）、源/目的IP、源/目的端口、協(xié)議、時(shí)間。

(2)VPN連接：記錄連接建立/斷開時(shí)間、用戶、源/目的地址、狀態(tài)。

(3)網(wǎng)絡(luò)攻擊檢測：記錄掃描探測（如端口掃描、服務(wù)探測）、DDoS攻擊特征流量（如連接數(shù)、包速率）、入侵嘗試。

2.入侵檢測/防御系統(tǒng)（IDS/IPS）日志:

(1)告警事件：記錄事件ID、攻擊類型（如SQL注入、跨站腳本）、目標(biāo)IP/端口、來源IP、檢測時(shí)間、告警級(jí)別、檢測引擎版本。

(2)防御動(dòng)作：記錄針對(duì)告警采取的行動(dòng)（如阻斷連接、發(fā)送告警）。

3.防病毒/終端安全產(chǎn)品日志:

(1)掃描結(jié)果：記錄掃描時(shí)間、目標(biāo)文件/進(jìn)程、病毒/威脅名稱（若檢測到）、處理動(dòng)作（隔離/清除/刪除）。

(2)實(shí)時(shí)防護(hù)事件：記錄嘗試訪問惡意文件的進(jìn)程/用戶、時(shí)間、結(jié)果。

4.Web應(yīng)用防火墻（WAF）日志:

(1)惡意請(qǐng)求攔截：記錄請(qǐng)求時(shí)間、URL、HTTP方法、用戶Agent、來源IP、攔截的攻擊類型（如CC攻擊、SQL注入）、請(qǐng)求體關(guān)鍵信息（脫敏）。

(2)誤報(bào)/放行記錄：記錄被誤判為正常的惡意請(qǐng)求，用于優(yōu)化規(guī)則。

四、日志記錄的實(shí)施流程

（一）日志生成

1.配置源設(shè)備:在所有需要記錄日志的設(shè)備（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)）上啟用日志記錄功能。

2.參數(shù)設(shè)置:根據(jù)本規(guī)則第二部分“日志記錄的范圍與內(nèi)容”的要求，配置具體的日志類型、詳細(xì)程度（日志級(jí)別）和輸出格式。

3.時(shí)間同步:確保設(shè)備上配置了NTP客戶端，并指向可信的時(shí)間服務(wù)器，定期檢查時(shí)間同步狀態(tài)。

4.測試驗(yàn)證:在正式上線前，對(duì)日志生成功能進(jìn)行測試，驗(yàn)證日志內(nèi)容、格式和時(shí)間戳是否正確。

（二）日志傳輸

1.選擇傳輸方式:

(1)專用日志收集器：通過Syslog協(xié)議（支持TLS/SSL加密）、NetFlow/sFlow、SNMPTrap等方式將日志推送到中央日志服務(wù)器或SIEM平臺(tái)。

(2)文件上傳：將日志文件定期或?qū)崟r(shí)上傳到指定存儲(chǔ)路徑（需考慮傳輸安全）。

(3)數(shù)據(jù)庫寫入：將結(jié)構(gòu)化日志直接寫入數(shù)據(jù)庫。

2.配置傳輸協(xié)議:優(yōu)先使用加密傳輸協(xié)議（如TLS/SSL）或端到端加密工具，防止日志在傳輸過程中被竊聽。

3.設(shè)置重試機(jī)制:配置傳輸失敗時(shí)的重試策略（如指數(shù)退避），確保日志不丟失。

4.傳輸源配置:在源設(shè)備上配置目標(biāo)日志服務(wù)器的地址、端口和認(rèn)證信息（如需）。

5.傳輸目標(biāo)配置:在中央日志服務(wù)器上配置接收日志的端口、協(xié)議和存儲(chǔ)路徑。

（三）日志存儲(chǔ)

1.部署日志服務(wù)器:部署中央日志服務(wù)器（可以是物理服務(wù)器、虛擬機(jī)或云服務(wù)），安裝日志收集、存儲(chǔ)和管理軟件（如ELKStack、Loki、SplunkEnterpriseSecurity）。

2.選擇存儲(chǔ)方案:

(1)熱存儲(chǔ)：使用高性能存儲(chǔ)（如SSD）存儲(chǔ)最近需要快速檢索的日志（如過去幾小時(shí)或幾天的日志）。

(2)溫存儲(chǔ)：使用成本較低的存儲(chǔ)（如HDD陣列）存儲(chǔ)中期日志（如過去幾天到幾個(gè)月）。

(3)冷存儲(chǔ)：使用歸檔存儲(chǔ)介質(zhì)（如磁帶庫、云歸檔服務(wù)）存儲(chǔ)長期日志。

3.索引與搜索:對(duì)日志數(shù)據(jù)建立索引，優(yōu)化查詢性能，支持快速檢索和關(guān)聯(lián)分析。

4.數(shù)據(jù)保留策略:根據(jù)第三部分“日志記錄的基本原則”中（三）2.的要求，配置自動(dòng)歸檔和刪除策略。

5.高可用與備份:

(1)配置日志服務(wù)器集群或使用RAID技術(shù)，確保存儲(chǔ)的高可用性。

(2)定期對(duì)日志數(shù)據(jù)進(jìn)行備份，并將備份數(shù)據(jù)存儲(chǔ)在異地或獨(dú)立的存儲(chǔ)系統(tǒng)中。

（四）日志審計(jì)與分析

1.日常監(jiān)控:

(1)實(shí)時(shí)告警：配置規(guī)則，對(duì)高風(fēng)險(xiǎn)事件（如多次登錄失敗、權(quán)限提升、異常數(shù)據(jù)訪問）進(jìn)行實(shí)時(shí)告警通知。

(2)趨勢分析：定期（如每日/每周）生成日志趨勢報(bào)告，分析訪問量、錯(cuò)誤率、安全事件發(fā)生頻率等變化。

2.深度分析:

(1)關(guān)聯(lián)分析：跨設(shè)備、跨系統(tǒng)的日志進(jìn)行關(guān)聯(lián)，構(gòu)建完整的攻擊鏈或事件場景（如結(jié)合防火墻和Web應(yīng)用日志分析某個(gè)IP的攻擊行為）。

(2)用戶行為分析：對(duì)特定用戶或用戶組的操作日志進(jìn)行分析，識(shí)別異常行為模式。

3.報(bào)告生成:定期（如每月）生成日志審計(jì)報(bào)告，匯總安全事件、系統(tǒng)運(yùn)行狀況、日志系統(tǒng)運(yùn)行情況等。

4.調(diào)查支持:當(dāng)發(fā)生安全事件或系統(tǒng)故障時(shí)，提供全面的日志數(shù)據(jù)支持，協(xié)助進(jìn)行事件調(diào)查和根源分析。

五、日志管理的維護(hù)要求

（一）定期備份

1.備份計(jì)劃:制定詳細(xì)的日志數(shù)據(jù)備份計(jì)劃，包括全量備份和增量備份的頻率（如每日全備、每小時(shí)增備）。

2.備份執(zhí)行:自動(dòng)化執(zhí)行備份任務(wù)，并記錄備份成功或失敗的結(jié)果。

3.備份驗(yàn)證:定期（如每月）對(duì)備份數(shù)據(jù)進(jìn)行恢復(fù)測試，驗(yàn)證備份數(shù)據(jù)的完整性和可用性。

4.備份存儲(chǔ):將備份數(shù)據(jù)存儲(chǔ)在安全、可靠且與生產(chǎn)環(huán)境隔離的位置，防止備份數(shù)據(jù)被同一攻擊者訪問。

（二）訪問控制

1.最小權(quán)限原則:僅授權(quán)必要的運(yùn)維和管理人員訪問日志服務(wù)器和日志數(shù)據(jù)。遵循“職責(zé)分離”原則，不同角色的用戶應(yīng)有不同的訪問權(quán)限（如查看、分析、管理）。

2.身份認(rèn)證:對(duì)所有訪問日志系統(tǒng)的用戶實(shí)施強(qiáng)身份認(rèn)證（如密碼復(fù)雜度要求、多因素認(rèn)證）。

3.權(quán)限管理:使用基于角色的訪問控制（RBAC）或類似機(jī)制管理用戶權(quán)限，定期審查權(quán)限分配。

4.操作審計(jì):記錄所有對(duì)日志系統(tǒng)的訪問和操作行為（誰、何時(shí)、何地、做了什么），并定期審計(jì)這些操作日志。

（三）異常處理

1.日志中斷監(jiān)控:部署監(jiān)控機(jī)制，實(shí)時(shí)檢測關(guān)鍵設(shè)備或應(yīng)用的日志生成和傳輸是否中斷。一旦發(fā)現(xiàn)中斷，立即通知相關(guān)負(fù)責(zé)人。

2.中斷排查:對(duì)于日志中斷，迅速排查原因，可能的原因包括：網(wǎng)絡(luò)故障、設(shè)備宕機(jī)、日志配置錯(cuò)誤、存儲(chǔ)空間耗盡、傳輸協(xié)議問題等。

3.應(yīng)急恢復(fù):采取應(yīng)急措施恢復(fù)日志記錄，如重啟服務(wù)、調(diào)整配置、清理存儲(chǔ)空間等。對(duì)于已丟失的日志，根據(jù)備份進(jìn)行恢復(fù)。

4.根本原因分析:分析導(dǎo)致日志中斷的根本原因，制定預(yù)防措施，避免類似問題再次發(fā)生。

5.故障報(bào)告:生成詳細(xì)的故障報(bào)告，記錄事件時(shí)間線、影響范圍、處理過程和解決方案。

六、附則

本規(guī)則適用于組織內(nèi)所有信息系統(tǒng)，包括但不限于IT基礎(chǔ)設(shè)施、業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備等。各業(yè)務(wù)部門在開發(fā)新系統(tǒng)或修改現(xiàn)有系統(tǒng)時(shí)，必須遵守本規(guī)則中關(guān)于日志記錄的要求，并在系統(tǒng)設(shè)計(jì)階段就考慮日志的需求。

網(wǎng)絡(luò)安全部門負(fù)責(zé)本規(guī)則的制定、修訂、推廣和監(jiān)督執(zhí)行。各部門需根據(jù)實(shí)際業(yè)務(wù)變化和技術(shù)發(fā)展，定期（建議每年）對(duì)本規(guī)則進(jìn)行評(píng)估和更新，確保其持續(xù)有效性。任何對(duì)日志記錄策略的調(diào)整，應(yīng)事先經(jīng)過網(wǎng)絡(luò)安全部門的審核和批準(zhǔn)。如遇新的技術(shù)標(biāo)準(zhǔn)或最佳實(shí)踐，需及時(shí)納入本規(guī)則。

一、概述

網(wǎng)絡(luò)信息安全日志記錄是保障信息系統(tǒng)安全運(yùn)行的重要手段，通過系統(tǒng)化、規(guī)范化的日志記錄與審計(jì)，可以有效監(jiān)控異常行為、追蹤安全事件、分析潛在威脅，并為事后調(diào)查提供依據(jù)。本規(guī)則旨在明確日志記錄的范圍、標(biāo)準(zhǔn)、流程及管理要求，確保日志信息的完整性、準(zhǔn)確性和可用性。

二、日志記錄的基本原則

（一）完整性原則

日志記錄應(yīng)覆蓋所有關(guān)鍵操作和安全事件，包括但不限于系統(tǒng)登錄、權(quán)限變更、數(shù)據(jù)訪問、安全設(shè)備告警等。日志數(shù)據(jù)不得被隨意篡改或刪除，確保原始記錄的不可抵賴性。

（二）準(zhǔn)確性原則

日志記錄的格式、時(shí)間戳、來源IP等關(guān)鍵信息必須準(zhǔn)確無誤，避免因系統(tǒng)故障或配置錯(cuò)誤導(dǎo)致記錄失真。采用統(tǒng)一的時(shí)間基準(zhǔn)（如NTP同步），確保日志時(shí)間戳的權(quán)威性。

（三）時(shí)效性原則

日志數(shù)據(jù)應(yīng)及時(shí)生成并存儲(chǔ)，避免延遲過長時(shí)間。建議日志生成后5分鐘內(nèi)完成初步存儲(chǔ)，長期存儲(chǔ)周期根據(jù)業(yè)務(wù)需求設(shè)定（如：系統(tǒng)日志保留6個(gè)月，安全日志保留12個(gè)月）。

（四）最小化原則

僅記錄必要的安全相關(guān)信息，避免過度收集無關(guān)數(shù)據(jù)，以降低存儲(chǔ)壓力和隱私風(fēng)險(xiǎn)。

三、日志記錄的范圍與內(nèi)容

（一）系統(tǒng)日志

1.用戶登錄/退出記錄：包括用戶名、登錄時(shí)間、IP地址、設(shè)備類型等。

2.權(quán)限變更記錄：如用戶角色調(diào)整、訪問控制策略修改等。

3.系統(tǒng)錯(cuò)誤日志：記錄系統(tǒng)崩潰、服務(wù)中斷等異常情況，包含錯(cuò)誤代碼、發(fā)生時(shí)間、影響范圍等。

（二）應(yīng)用日志

1.交易操作記錄：如數(shù)據(jù)庫查詢、文件寫入等關(guān)鍵業(yè)務(wù)操作，包含操作類型、時(shí)間、數(shù)據(jù)ID等。

2.異常行為記錄：如權(quán)限超限、重復(fù)提交等異常操作，需標(biāo)注觸發(fā)條件和處理結(jié)果。

（三）安全日志

1.防火墻/IDS告警：記錄入侵檢測事件，包括攻擊類型、來源IP、目標(biāo)端口、告警級(jí)別等。

2.惡意軟件檢測：記錄病毒、木馬等惡意代碼的掃描結(jié)果及處理措施。

3.拒絕服務(wù)攻擊（DDoS）日志：記錄攻擊流量特征、持續(xù)時(shí)間、緩解措施等。

四、日志記錄的實(shí)施流程

（一）日志生成

1.設(shè)備或應(yīng)用在執(zhí)行關(guān)鍵操作時(shí)自動(dòng)生成日志條目。

2.日志格式統(tǒng)一采用Syslog或JSON標(biāo)準(zhǔn)，包含時(shí)間戳、源地址、事件類型等字段。

（二）日志傳輸

1.采用安全傳輸協(xié)議（如TLS/SSL）將日志實(shí)時(shí)發(fā)送至中央日志服務(wù)器。

2.若網(wǎng)絡(luò)中斷，啟用本地緩存機(jī)制，確保日志不丟失。

（三）日志存儲(chǔ)

1.中央日志服務(wù)器采用分布式存儲(chǔ)架構(gòu)，支持熱備份和冷歸檔。

2.定期校驗(yàn)存儲(chǔ)完整性，如通過哈希校驗(yàn)防止數(shù)據(jù)損壞。

（四）日志審計(jì)

1.每日自動(dòng)掃描高危日志事件（如未授權(quán)訪問、敏感數(shù)據(jù)操作），生成審計(jì)報(bào)告。

2.安全團(tuán)隊(duì)每周抽樣核查日志記錄的準(zhǔn)確性，對(duì)異常情況及時(shí)溯源。

五、日志管理的維護(hù)要求

（一）定期備份

1.日志數(shù)據(jù)每日增量備份，每周全量備份。

2.備份文件存儲(chǔ)在物理隔離的存儲(chǔ)設(shè)備中，保留至少3個(gè)月。

（二）訪問控制

1.僅授權(quán)管理員可訪問日志服務(wù)器，采用多因素認(rèn)證。

2.審計(jì)日志操作記錄，防止未授權(quán)訪問或篡改。

（三）異常處理

1.若發(fā)現(xiàn)日志記錄中斷或失真，立即排查原因并恢復(fù)記錄。

2.生成故障報(bào)告，分析日志系統(tǒng)性能瓶頸。

六、附則

本規(guī)則適用于所有信息系統(tǒng)，包括但不限于服務(wù)器、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)等。各業(yè)務(wù)部門需根據(jù)實(shí)際需求調(diào)整日志記錄范圍，并定期更新本規(guī)則。如遇技術(shù)變更，需經(jīng)安全部門審核后執(zhí)行。

---

一、概述

網(wǎng)絡(luò)信息安全日志記錄是保障信息系統(tǒng)安全運(yùn)行的核心基礎(chǔ)工作，通過系統(tǒng)化、規(guī)范化的日志生成、收集、存儲(chǔ)、分析和審計(jì)，能夠?qū)崿F(xiàn)對(duì)系統(tǒng)狀態(tài)的實(shí)時(shí)監(jiān)控、異常行為的及時(shí)發(fā)現(xiàn)、安全事件的準(zhǔn)確定位與追溯，并為安全事件的響應(yīng)處置、事后分析以及安全策略的優(yōu)化提供關(guān)鍵數(shù)據(jù)支撐。有效的日志管理有助于降低安全風(fēng)險(xiǎn)、滿足合規(guī)性要求（如特定行業(yè)的審計(jì)標(biāo)準(zhǔn)），并提升整體信息系統(tǒng)的安全防護(hù)能力。本規(guī)則旨在為組織內(nèi)所有信息系統(tǒng)的日志記錄活動(dòng)提供統(tǒng)一的指導(dǎo)，確保日志信息的可靠性、完整性和可用性，從而構(gòu)建縱深防御體系的重要組成部分。

二、日志記錄的基本原則

（一）完整性原則

1.覆蓋范圍:日志記錄必須全面覆蓋所有與信息安全相關(guān)的活動(dòng)。這包括但不限于：

用戶身份認(rèn)證與訪問控制（成功與失敗嘗試）。

系統(tǒng)啟動(dòng)、關(guān)閉、配置變更。

權(quán)限分配與回收。

數(shù)據(jù)的創(chuàng)建、讀取、修改、刪除（CRUD操作）。

重要業(yè)務(wù)流程的關(guān)鍵節(jié)點(diǎn)記錄。

安全設(shè)備的告警與事件響應(yīng)操作（如防火墻策略執(zhí)行、入侵檢測系統(tǒng)（IDS）/入侵防御系統(tǒng)（IPS）觸發(fā)、防病毒軟件掃描結(jié)果）。

網(wǎng)絡(luò)連接狀態(tài)變化（如VPN連接、端口掃描檢測）。

惡意軟件檢測與清除活動(dòng)。

外部接口交互（如API調(diào)用、第三方服務(wù)集成）的關(guān)鍵操作。

2.不可篡改:確保生成的日志在傳輸和存儲(chǔ)過程中不被非法修改。采用加密傳輸、數(shù)字簽名或基于角色的訪問控制（RBAC）等機(jī)制來保障日志的完整性。

3.源地址可靠性:記錄產(chǎn)生日志事件的設(shè)備或應(yīng)用的唯一標(biāo)識(shí)符（如MAC地址、UUID），以便追溯源頭。

（二）準(zhǔn)確性原則

1.格式標(biāo)準(zhǔn)化:所有日志條目應(yīng)遵循統(tǒng)一的、標(biāo)準(zhǔn)化的格式，例如使用Syslog協(xié)議（RFC5424）、JSON或XML格式。標(biāo)準(zhǔn)化格式便于后續(xù)的解析、查詢和自動(dòng)化處理。

2.字段規(guī)范:日志必須包含足夠的信息字段，常見的核心字段應(yīng)包括：

時(shí)間戳（精確到毫秒，并需與統(tǒng)一時(shí)間源同步）。

事件類型/級(jí)別（如INFO,WARNING,ERROR,ALERT,CRITICAL）。

事件來源（設(shè)備/IP地址/應(yīng)用名稱/進(jìn)程ID）。

事件描述（清晰、簡潔地說明發(fā)生的事件）。

用戶標(biāo)識(shí)（如用戶名、會(huì)話ID）。

請(qǐng)求/響應(yīng)內(nèi)容摘要（在脫敏前提下，根據(jù)需要記錄）。

事件ID或參考編號(hào)（用于關(guān)聯(lián)分析）。

3.時(shí)間同步:所有產(chǎn)生日志的設(shè)備和應(yīng)用必須與權(quán)威的時(shí)間服務(wù)器（如使用NTP協(xié)議）進(jìn)行時(shí)間同步，確保所有日志的時(shí)間戳具有一致性，便于進(jìn)行跨系統(tǒng)的關(guān)聯(lián)分析。

4.避免歧義:使用明確、無歧義的術(shù)語描述事件，避免使用模糊或主觀性強(qiáng)的語言。

（三）時(shí)效性原則

1.實(shí)時(shí)性要求:日志事件發(fā)生后，應(yīng)盡快完成記錄。對(duì)于需要實(shí)時(shí)監(jiān)控的告警事件，日志生成和傳輸?shù)难舆t應(yīng)控制在可接受范圍內(nèi)（例如，核心安全事件日志傳輸延遲不應(yīng)超過2分鐘）。

2.存儲(chǔ)周期:根據(jù)業(yè)務(wù)重要性、合規(guī)要求以及存儲(chǔ)成本，設(shè)定合理的日志存儲(chǔ)期限。例如：

一般操作日志：可存儲(chǔ)3-6個(gè)月。

安全事件日志：建議存儲(chǔ)6-12個(gè)月，甚至更長，以支持深度調(diào)查。

系統(tǒng)崩潰/錯(cuò)誤日志：根據(jù)分析需求存儲(chǔ)6-12個(gè)月。

3.及時(shí)歸檔:超過即時(shí)查詢需求的日志，應(yīng)及時(shí)歸檔到長期存儲(chǔ)介質(zhì)中，同時(shí)確保歸檔過程不影響在線日志系統(tǒng)的正常運(yùn)行。

（四）最小化原則

1.必要記錄:僅記錄與信息安全直接相關(guān)或滿足業(yè)務(wù)審計(jì)、合規(guī)性要求所必需的信息。避免記錄與安全無關(guān)的、可能泄露敏感個(gè)人信息（如PII）或商業(yè)秘密的非必要細(xì)節(jié)。

2.數(shù)據(jù)脫敏:對(duì)于日志中包含的敏感信息（如用戶真實(shí)姓名、詳細(xì)位置、完整IP地址、密碼哈希等），在存儲(chǔ)、傳輸和展示時(shí)應(yīng)進(jìn)行適當(dāng)?shù)拿撁籼幚恚ㄈ缪诖a、哈希、泛化），但需確保脫敏后仍能用于安全分析和審計(jì)。

3.避免過度收集:定期評(píng)估日志記錄策略，移除冗余或不必要的日志類型，平衡安全需求與資源消耗。

三、日志記錄的范圍與內(nèi)容

（一）系統(tǒng)日志

1.操作系統(tǒng)日志:

(1)用戶登錄/注銷：記錄用戶名、登錄/注銷時(shí)間（精確到秒）、來源IP、成功/失敗狀態(tài)、使用的設(shè)備信息（若可獲取）。

(2)認(rèn)證失敗嘗試：記錄嘗試登錄的用戶名、時(shí)間、IP、失敗原因（如密碼錯(cuò)誤、賬戶鎖定）。

(3)權(quán)限變更：記錄進(jìn)行變更的用戶、時(shí)間、變更內(nèi)容（如用戶組添加、文件權(quán)限修改）、目標(biāo)對(duì)象。

(4)服務(wù)啟動(dòng)/停止：記錄服務(wù)名稱、狀態(tài)（啟動(dòng)/停止）、時(shí)間、執(zhí)行者、結(jié)果。

(5)系統(tǒng)錯(cuò)誤/警告：記錄錯(cuò)誤代碼、描述、發(fā)生時(shí)間、影響的進(jìn)程或模塊、嚴(yán)重程度。

2.數(shù)據(jù)庫日志:

(1)連接記錄：記錄客戶端IP、連接時(shí)間、用戶名、會(huì)話ID。

(2)DDL/DML操作：記錄執(zhí)行時(shí)間、用戶、執(zhí)行的SQL語句類型（SELECT,INSERT,UPDATE,DELETE）、影響的表/記錄。

(3)安全相關(guān)操作：記錄密碼修改、角色授權(quán)、審計(jì)日志查詢等。

(4)錯(cuò)誤與死鎖：記錄錯(cuò)誤信息、時(shí)間戳、涉及的事務(wù)ID、死鎖發(fā)生情況。

3.中間件日志(如應(yīng)用服務(wù)器、消息隊(duì)列):

(1)請(qǐng)求處理：記錄請(qǐng)求入口、方法、URL、響應(yīng)狀態(tài)碼、處理時(shí)長、客戶端IP。

(2)配置變更：記錄變更時(shí)間、執(zhí)行者、變更內(nèi)容。

(3)錯(cuò)誤與異常：記錄異常類型、堆棧信息、發(fā)生時(shí)間、影響范圍。

（二）應(yīng)用日志

1.業(yè)務(wù)操作日志:

(1)關(guān)鍵業(yè)務(wù)流程：記錄流程啟動(dòng)、關(guān)鍵節(jié)點(diǎn)處理、結(jié)束時(shí)間、處理結(jié)果。

(2)數(shù)據(jù)變更：記錄數(shù)據(jù)項(xiàng)（如訂單號(hào)、用戶信息）的變更前狀態(tài)（脫敏）、變更后狀態(tài)（脫敏）、變更時(shí)間、操作人/系統(tǒng)。

(3)事務(wù)狀態(tài)：記錄事務(wù)提交/回滾、時(shí)間、原因。

2.應(yīng)用內(nèi)部安全日志:

(1)訪問控制命中：記錄訪問嘗試、目標(biāo)資源、是否授權(quán)、結(jié)果、時(shí)間、來源。

(2)風(fēng)險(xiǎn)檢測：記錄應(yīng)用內(nèi)部風(fēng)險(xiǎn)規(guī)則觸發(fā)情況、相關(guān)事件、處理措施。

(3)會(huì)話管理：記錄會(huì)話創(chuàng)建、銷毀、超時(shí)、異常中斷。

（三）安全日志

1.防火墻/網(wǎng)絡(luò)設(shè)備日志:

(1)包過濾/狀態(tài)檢測：記錄匹配的規(guī)則號(hào)、動(dòng)作（允許/拒絕）、源/目的IP、源/目的端口、協(xié)議、時(shí)間。

(2)VPN連接：記錄連接建立/斷開時(shí)間、用戶、源/目的地址、狀態(tài)。

(3)網(wǎng)絡(luò)攻擊檢測：記錄掃描探測（如端口掃描、服務(wù)探測）、DDoS攻擊特征流量（如連接數(shù)、包速率）、入侵嘗試。

2.入侵檢測/防御系統(tǒng)（IDS/IPS）日志:

(1)告警事件：記錄事件ID、攻擊類型（如SQL注入、跨站腳本）、目標(biāo)IP/端口、來源IP、檢測時(shí)間、告警級(jí)別、檢測引擎版本。

(2)防御動(dòng)作：記錄針對(duì)告警采取的行動(dòng)（如阻斷連接、發(fā)送告警）。

3.防病毒/終端安全產(chǎn)品日志:

(1)掃描結(jié)果：記錄掃描時(shí)間、目標(biāo)文件/進(jìn)程、病毒/威脅名稱（若檢測到）、處理動(dòng)作（隔離/清除/刪除）。

(2)實(shí)時(shí)防護(hù)事件：記錄嘗試訪問惡意文件的進(jìn)程/用戶、時(shí)間、結(jié)果。

4.Web應(yīng)用防火墻（WAF）日志:

(1)惡意請(qǐng)求攔截：記錄請(qǐng)求時(shí)間、URL、HTTP方法、用戶Agent、來源IP、攔截的攻擊類型（如CC攻擊、SQL注入）、請(qǐng)求體關(guān)鍵信息（脫敏）。

(2)誤報(bào)/放行記錄：記錄被誤判為正常的惡意請(qǐng)求，用于優(yōu)化規(guī)則。

四、日志記錄的實(shí)施流程

（一）日志生成

1.配置源設(shè)備:在所有需要記錄日志的設(shè)備（服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用系統(tǒng)）上啟用日志記錄功能。

2.參數(shù)設(shè)置:根據(jù)本規(guī)則第二部分“日志記錄的范圍與內(nèi)容”的要求，配置具體的日志類型、詳細(xì)程度（日志級(jí)別）和輸出格式。

3.時(shí)間同步:確保設(shè)備上配置了NTP客戶端，并指向可信的時(shí)間服務(wù)器，定期檢查時(shí)間同步狀態(tài)。

4.測試驗(yàn)證:在正式上線前，對(duì)日志生成功能進(jìn)行測試，驗(yàn)證日志內(nèi)容、格式和時(shí)間戳是否正確。

（二）日志傳輸

1.選擇傳輸方式:

(1)專用日志收集器：通過Syslog協(xié)議（支持TLS/SSL加密）、NetFlow/sFlow、SNMPTrap等方式將日志推送到中央日志服務(wù)器或SIEM平臺(tái)。

(2)文件上傳：將日志文件定期或?qū)崟r(shí)上傳到指定存儲(chǔ)路徑（需考慮傳輸安全）。

(3)數(shù)據(jù)庫寫入：將結(jié)構(gòu)化日志直接寫入數(shù)據(jù)庫。

2.配置傳輸協(xié)議:優(yōu)先使用加密傳輸協(xié)議（如TLS/SSL）或端到端加密工具，防止日志在傳輸過程中被竊聽。

3.設(shè)置重試機(jī)制:配置傳輸失敗時(shí)的重試策略（如指數(shù)退避），確保日志不丟失。

4.傳輸源配置:在源設(shè)備上配置目標(biāo)日志服務(wù)器的地址、端口和認(rèn)證信息（如需）。

5.傳輸目標(biāo)配置:在中央日志服務(wù)器上配置接收日志的端口、協(xié)議和存儲(chǔ)路徑。

（三）日志存儲(chǔ)

1.部署日志服務(wù)器:部署中央日志服務(wù)器（可以是物理服務(wù)器、虛擬機(jī)或云服務(wù)），安裝日志收集、存儲(chǔ)和管理軟件（如ELKStack、Loki、SplunkEnterpriseSecurity）。

2.選擇存儲(chǔ)方案:

(1)熱存儲(chǔ)：使用高性能存儲(chǔ)（如SSD）存儲(chǔ)最近需要快速檢索的日志（如過去幾小時(shí)或幾天的日志）。

(2)溫存儲(chǔ)：使用成本較低的存儲(chǔ)（如HDD陣列）存儲(chǔ)中期日志（如過去幾天到幾個(gè)月）。

(3)冷存儲(chǔ)：使用歸檔存儲(chǔ)介質(zhì)（如磁帶庫、云歸檔服務(wù)）存儲(chǔ)長期日志。

3.索引與搜索:對(duì)日志數(shù)據(jù)建立索引，優(yōu)化查詢性能，支持快速檢索和關(guān)聯(lián)分析。

4.數(shù)據(jù)保留策略:根據(jù)第三部分“日志記錄的基本原則”中（三）2.的要求，配置自動(dòng)歸檔和刪除策略。

5.高可用與備份:

(1)配置日志服務(wù)器集群