来源条目

具体描述

日志易建议

第二十一条（三）

采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月

使用日志易归档功能，将原本无法存储的文件做永久保存

第二十一条（四）

采取数据分类、重要数据备份和加密等措施

日志易传输存储均加密，且数据均有备份，按照日志类型分类监控分析。

来源条目

具体描述

日志易建议

网络安全管理

a) 应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作

专人专岗，审计产品也应中立专用

b) 应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定

日志易完全满足日志保存，辅助制定相关制度文档及管理制度

网络安全

a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;

网络设备开启记录，日志易负责集中采集存储

b) 审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关信息;

原始日志里有记录审计阶段也无法统筹查看，需通过日志易解析出全部日志的审计要素

c) 应能够根据记录数据进行分析,并生成审计报表;

通过日志易解析记录数据生成审计报表

d)应对审计记录进行保护，避免受到未预期的删除、修改或覆盖等。

可设置为原始日志任何人不可读，日志易统一日志归口。日志易内的日志只可读不可写，分权查看，实时采集确保系统管理员更改原始日志也无法修改日志易内的记录

系统安全

d) 应建立系统安全管理制度，对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定;

日志易完全满足日志保存，辅助制定相关制度文档及管理制度

f) 应依据操作手册对系统进行维护，详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容，严禁进行未经授权的操作；

原始日志里有记录审计阶段也无法统筹查看，通过日志易解析出全部日志的审计要素，清晰的展示参数设置、修改。日志易对系统人员有详细的分权设置

g) 应定期对运行日志和审计数据进行分析，以便及时发现异常行为。

日志易能够进行用户行为分析，建立用户行为基线，对异常行为及时告警

安全审计

a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；

日志易能够直观展现所有操作系统用户和所有数据库用户的所有行为

b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；

日志接入日志易后能够有效生成用户行为基线，排查异常使用和重要命令具体执行情况

c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；

日志易能够从非结构化数据中清晰解析并展现日期、时间、类型、主题标识、客体标识及结果

d) 应能够根据记录数据进行分析,并生成审计报表；

日志易能够分析数据，周期性形成审计报表

e) 应保护审计进程,避免受到未预期的中断；

日志易的审计模块具备高可用性

f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。

可设置为原始日志任何人不可读，日志易统一日志归口。日志易内的日志只可读不可写，分权查看，实时采集确保系统管理员更改原始日志也无法修改日志易内的记录

来源条目

具体描述

日志易对标建议

运营安全/
日志和监视

日志信息的保护

应产生记录用户活动、异常、故障和信息安全事态的审核日志，并保持和定期评审

设备需记录，日志易提供异常、故障和信息安全事态的分析能力与相关报表

记录日志的设施和日志信息应给予保护，以防止篡改和未授权的访问

日志易上的日志只可读不可写，权限设置不允许未授权访问

系统管理员和系统操作员活动应记入日志，日志应被保护并定期评审

所有日志实时采集，基于管理员和操作人的标识可随时进行评审

来源条目

具体描述

日志易对标建议

跟踪并监控对网络资源和持卡人数据的所有访问

对所有系统组件实施自动检查记录

检查日志的初始化、关闭或暂停

日志易监控日志服务状态

保护检查记录，禁止进行更改

在日志中使用文件完整性监视或更改检测软件，以确保在不生成警报的情况下，不能更改现有的日志数据(添加的新数据不应引起警报)。

日志易实时收集数据，原始数据在日志易平台只可读不可写

审核所有系统组件的日志和安全事件以识别异常情况或可疑活动

至少每天审核一次以下内容：
* 所有业务系统服务器和系统组件的日志
* 执行安全功能的所有服务器和系统组件（例如，防火墙、入侵检测系统/入侵防御系统(IDS/IPS)、验证服务器、电子商务重定向服务器等）的日志

日志易每天生成当日的审计报表，监测日志记录中断情况

根据组织的年度风险评估结果，基于组织的政策和风险管理策略定期审核所有其他系统组件的日志。

日志易提供最便利的查询，纵览各类日志

来源条目

具体描述（某支付商案例）

日志易对标建议

网络安全

网络安全审计

未开启日志功能

应开启。日志易解决日志产生设备无法存储或发送日志的问题

没有专人定时查看并分析日志

需设立岗位。日志易提高分析效率，减轻查看工作

不对审计记录进行备份保存，日志信息循环记录

日志易默认备份保存，包括日志增量记录

未合理配置日志缓冲区大小

可通过日志转发到日志易的方式减轻缓冲区问题

日志中出现中断或明显跳跃情况。

可通过TCP的rsyslog或日志易Agent解决

网络设备、安全设备审计日志的内容不完善

若有其他设备或类型日志，可通过日志易关联查询补全

网络安全管理

未建立网络安全的相关管理制度，未对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定

日志易平台上的清晰统计有助于发现管理漏洞并建立配套制度

主机安全

访问控制

 日志文件权限设置不安全

可将原始日志转存为任何人不可访问，权限通过日志易设置

安全审计

主机系统未开启系统日志审计功能

需开启

没有专人定时检查系统日志

日志易定时输出报表，分配权限，随时可读

主机日志保存时间过短（低于3个月）

转入日志易可长期保存

未使用日志监控软件或日志服务器

使用日志易满足需求

没有单独为应用系统的日志建立文件系统，存在系统日志增长将文件系统耗尽的风险

通过日志易可准确评估日志增长量并提前规划以备不足

应用安全

身份鉴别

网络客户端日志中包含了明文的交易信息、用户口令、密钥及CVN/CVN2信息

原始日志转存后任何人不可读；存入日志易的日志按照人员权限设置脱敏。

Web页面安全

对应用系统没有提供日志记录，例如交易类和系统操作类等日志信息

需开启，日志易负责存储

安全日志记录不全或内容不详细，例如未包括非法访问记录、账户锁定等操作

原厂需整改，通过日志易分析提供需整改项

安全审计

目前未采用审计工具对应用系统操作日志进行分析

使用日志易满足需求

数据安全

交易数据及客户数据的安全性

系统没有相应审计工具对日志进行记录、分析和报告

使用日志易满足需求并接入相关日志

运维管理

设备管理

未规定网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期，网络设备升级前未对重要文件备份，网络设备漏洞扫描与修补的制度和落实记录，没有定期进行网络扫描

通过日志易完成日志生命周期管理。依靠设备本身提供的安全配置、漏洞及备份等操作日志，接入日志易即可发现问题

未明确系统安全策略、安全配置、日志管理和日常操作流程，缺少专人负责系统安全管理工作

日志易提供日志管理流程实施指南，需设立专人专岗负责。

未对网络设备、服务器等的使用操作进行记录，无设备的操作日志

使用日志易满足需求