日志安全管理设置机制.doc
《日志安全管理设置机制.doc》由会员分享,可在线阅读,更多相关《日志安全管理设置机制.doc(6页珍藏版)》请在冰点文库上搜索。
日志安全管理设置机制
1、windows日志配置操作
1.1日志配置
1.1.1审核登录
安全基线项目名称
操作系统审核登录策略安全基线要求项
安全基线项说明
设备应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号,登录是否成功,登录时间,以及远程登录时,用户使用的IP地址。
检测操作步骤
开始->运行->执行“控制面板->管理工具->本地安全策略->审核策略”
审核登录事件。
基线符合性判定依据
审核登录事件,设置为成功和失败都审核。
备注
1.1.2审核策略更改
安全基线项目名称
操作系统审核策略更改安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核策略更改,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中
查看“审核策略更改”设置。
基线符合性判定依据
“审核策略更改”设置为“成功”和“失败”都要审核。
备注
1.1.3审核对象访问
安全基线项目名称
操作系统审核对象访问安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核对象访问,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核对象访问”设置。
基线符合性判定依据
“审核对象访问”设置为“成功”和“失败”都要审核。
备注
1.1.4审核事件目录服务器访问
安全基线项目名称
操作系统审核事件目录服务器访问策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核目录服务访问,失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核目录服务器访问”设置。
基线符合性判定依据
“审核目录服务器访问”设置为“成功”和“失败”都要审核。
备注
1.1.5审核特权使用
安全基线项目名称
操作系统审核特权使用策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核特权使用,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核特权使用”设置。
基线符合性判定依据
“审核特权使用”设置为“成功”和“失败”都要审核。
备注
1.1.6审核系统事件
安全基线项目名称
操作系统审核系统事件策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核系统事件,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核系统事件”设置。
基线符合性判定依据
“审核系统事件”设置为“成功”和“失败”都要审核。
备注
1.1.7审核账户管理
安全基线项目名称
操作系统审核账户管理策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核帐户管理,成功和失败都要审核。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核账户管理”设置。
基线符合性判定依据
“审核账户管理”设置为“成功”和“失败”都要审核。
备注
1.1.8审核过程追踪
安全基线项目名称
操作系统审核过程追踪策略安全基线要求项
安全基线项说明
启用组策略中对Windows系统的审核过程追踪失败。
检测操作步骤
进入“控制面板->管理工具->本地安全策略”,在“本地策略->审核策略”中:
查看“审核过程追踪”设置。
基线符合性判定依据
“审核过程追踪”设置为“失败”需要审核。
备注
1.1.9日志文件大小
安全基线项目名称
操作系统日志容量安全基线要求项
安全基线项说明
设置应用日志文件大小至少为8192KB,设置当达到最大的日志尺寸时,按需要改写事件。
检测操作步骤
进入“控制面板->管理工具->事件查看器”,在“事件查看器(本地)”中:
查看“应用日志”“系统日志”“安全日志”属性中的日志大小,以及设置当达到最大的日志尺寸时的相应策略。
基线符合性判定依据
“应用日志”“系统日志”“安全日志”属性中的日志大小设置不小于“8192KB”,设置当达到最大的日志尺寸时,“按需要改写事件”
备注
2、linux日志审计
1.2日志
1.2.1syslog登录事件记录
安全基线项目名称
操作系统Linux登录审计安全基线要求项
安全基线项说明
日志审计-syslog登录事件记录
检测操作步骤
执行命令:
more/etc/syslog.conf
查看参数authpriv值
基线符合性判定依据
若未对所有登录事件都记录,则低于安全要求;
备注
1.3审计
1.3.1Syslog.conf的配置审核
安全基线项目名称
操作系统Linux配置审计安全基线要求项
安全基线项说明
日志审计-Syslog.conf的配置审核
检测操作步骤
执行:
more/etc/syslog.conf,查看是否设置了下列项:
kern.warning;*.err;authpriv.none\t@loghost
*.info;mail.none;authpriv.none;cron.none\t@loghost
*.emerg\t@loghost
local7.*\t@loghost
基线符合性判定依据
若未设置,则低于安全要求;
备注
补充操作说明
建议配置专门的日志服务器,加强日志信息的异地同步备份
3、SQLServer日志
3.1日志审计
3.1.1SQLServer登录审计
安全基线项目名称
数据库管理系统SQLServer登录审计安全基线要求项
安全基线项说明
数据库应配置日志功能,对用户登录进行记录,记录内容包括用户登录使用的账号、登录是否成功、登录时间。
检测操作步骤
打开数据库属性,选择安全性,将安全性中的审计级别调整为“全部”
基线符合性判定依据
登录成功和失败测试,检查相关信息是否被记录
备注
3.1.2SQLServer安全事件审计
安全基线项目名称
数据库管理系统SQLServer安全事件审计安全基线要求项
安全基线项说明
数据库应配置日志功能,记录对与数据库相关的安全事件。
检测操作步骤
打开企业管理器,查看数据库“管理”中的“SQLServer日志”,查看当前的日志记录和存档的日志记录是否包含相关数据库安全事件
1、参考配置操作
数据库默认开启日志记录
2、补充操作说明
增加帐号登陆审计:
打开数据库属性,选择安全性,将安全性中的审计级别调整为“全部”。
基线符合性判定依据
SQLServer日志中是否存在数据库相关事件日志信息。
备注
4、Oracle日志
4.1日志审计
4.1.1数据库审计策略
安全基线项目名称
数据库管理系统Oracle数据审计策略安全基线要求项
安全基线项说明
根据业务要求制定数据库审计策略。
检测操作步骤
1.以Oracle用户登陆到系统中。
2.以sqlplus‘/assysdba’登陆到sqlplus环境中。
3.使用showparameter命令来检查参数audit_trail是否设置。
4.检查dba_audit_trail视图中或$ORACLE_BASE/admin/adump目录下是否有数据。
基线符合性判定依据
参数audit_trail不能设置为NONE。
备注