LOGO OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 开发文档 其他文档  
 
网站管理员

IT系统日志信息为啥要保存180天

admin
2024年7月22日 1:12 本文热度 688

我们运维师傅经常会因为日志保存太费钱而只保存1个月的日志,有些运维人员不清楚到底要保存哪些日志,导致有的日志比如Nginx日志保存了,有的日志比如waf日志没保存。

我这里就试着分析一下,日志保存180天的要求是怎么来的,以及在面对不同的合规时,要保存哪些类型的日志。

日志保存要求,最最为大家熟知的应该是来自《中华人民共和国网络安全法》

图来自  https://www.cac.gov.cn/2016-11/07/c_1119867116_2.htm

我们看到,在《中华人民共和国网络安全法》第二十一条中明确规定了“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。”

也就是说,我们要有技术措施记录网络运行状态(如CPU利用率、内存使用情况、网络流量等),也要有技术措施记录网络安全事件(如登录尝试、权限变更、安全漏洞等)。然后这些记录日志要保存180天以上。

等保三级要求中(GB/T 28448-2019):

安全管理中心—集中管控—测评单元(L3-SMC1-10)

测评指标:应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。

其中这个法律法规要求一般就是指网络安全法中的要求,至少6个月。但也有一些行业有特殊要求,那暂且不表。

注意,如果这里审计记录存储的时间不满足6个月的要求。那么可被判定为高风险。

图来自团体标准《T/ISEAA 001-2020 网络安全等级保护测评高风险判定指引

在通保中,也有类似要求。

从这里我们可以这样总结:

等保三级需要对网络链路、安全设备、网络设备和服务器的运行状况进行集中监测。对分散在各个设备上的审计数据进行收集汇总和集中分析。

所以要有网络流量分析、入侵防御、waf这类监测数据。需要在性能允许的情况下开启网络设备、安全设备、主机设备、数据库的用户操作类和安全事件类审计策略。如果性能不允许,需要使用第三方日志审计工具。

应用系统操作类和安全类日志也要开启并保存。可以部署日志服务器,统一收集各个设备的审计数据,集中分析,保存6个月。

在其他情况下,比如通保二级以上的要求就需要各类安全监测数据和操作系统以及中间件日志保存6个月。如果是在阿里云上,就主要看云安全中心和云监控数据和相关日志信息。如果是机房,那就需要有一定的设备来实现监测数据的收集。

说得还不够具体,毕竟咱现在手里没有一些具体的设备操作图片,等有机会摸一些生产设备的时候,脱敏出来给大家看看更清楚。

THE END


该文章在 2024/7/22 15:01:14 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2024 ClickSun All Rights Reserved