浙江工商大学
数据安全审计管理制度
第一章 总则
第一条 编制目的
为保证浙江工商大学的主要网络设备、服务器和应用系统的操作日志都能得到完整和准确地收集,规范日志管理,便于日后管理与分析,特制定本规范。
第二条 适用范围
本制度适用于我校内部所有涉及数据处理活动的部门、人员以及相关的信息系统和数据资产。包括但不限于数据的收集、存储、使用、加工、传输、提供、公开等各个环节,涵盖了我校业务运营过程中产生和使用的各类数据,无论是结构化数据还是非结构化数据,均受本制度的约束和管理。
第三条 编制原则
(一)全面性:查验制度文件是否包括安全审计日志的采集内容、采集方式、标准化要求、日志存储要求、审计策略和规则、异常预警及处置工作流程等;
(二)可执行性:充分考虑政策背景、行业技术发展情况、我校实际情况等,推演判断文件规定内容是否可在该组织落地实施;
(三)动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订。
第二章 安全审计日志采集内容
第四条 采集内容
日志收集的范围包括:主要的网络设备,包括路由器、交换机等设备;主要的安全设备,包括防火墙、IPS、IDS;主要的服务器、主要的应用系统和数据库。
收集日志的记录内容包括系统的用户的登录成功失败的信息、日期、时间、类型、资源和目的地址、协议类型、危险程度等信息。
日志收集的内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件,主要包括:日志产生时间、日志ID、日志类型、源IP、源主机名、目的IP、目的端口、数据库类型、数据库名/实例名、表名、字段名、会话ID、SQL报文、影响行数、返回数据集、返回数据集长度、执行时长、执行结果码、SQL操作类型、数据库用户名、源设备IP、流量方向等。
第三章 安全审计日志收集方法
第五条 收集方法
(一)日志采集方式包括但不限于syslog、API接口、Netflow、SNMP等方式外送日志数据:
(二)支持全量、历史数据的外送采集服务;
(三)支持实时或定时增量日志外送采集服务;
(四)支持按照指定过滤条件的日志外送采集服务,例如字段内容。
第四章 安全审计日志标准化要求
第六条 标准化要求
日志格式应满足通用的格式要求,以便和第三方日志管理平台进行对接。
第五章 安全审计日志存储要求
第七条 存储要求
(一)日志保存的时限不少于六个月,对已另有安全管理规定的日志存储工作,原则上从其规定。
(二)日志具有保密性、完整性要求时,采取加密机制保证日志数据保密性、完整性,加密机制、校验机制符合相关法律法规要求。
(三)存储日志的位置应有足够的空间,防止生成日志过多对日志的覆盖,限制有权限可以查看日志的账户。
(四)保证只有安全管理员和审计管理员才可以查看日志,或是授权日志安全管理对日志进行操作。
(五)管理人员应具有所要审计日志的内容和日志记录的内容进行修改的权利,但仅限于对审计的优化,而不是简化。
(六)管理人员应对日志存放的空间进行限制,设定访问权限。
(七)管理人员对日志进行备份处理后,具有对日志存档、删除和清空的权利。
(八)安全管理员应定期对产生的日志进行备份处理,备份时间与统一的标准时间源保持同步。
第八条 权限管理
(一)规范权限设置,防止未经授权的用户访问,修改有关的信息。发挥最大限度的安全特性。
(二)对于系统而言按照最高权限用户,一般权限用户来进行权限的划分审核。
(三)系统最高权限可以拥有系统的一切权限,如读取、修改、添加、删除等,以对系统的各类文件等进行最完全的操作掌控。
(四)对于一般权限用户而言,进行严格的权限设置,使其对一些较为敏感的文件不能进行修改和删除,只赋予其读取的权限。
(五)对一些重要的文件进行加密措施,设置一定的较强的口令密码,密码要求结合数字、字母、符号,以防止口令被暴力破解。同时做到定期进行密码的修改。每个密码的使用期限不要超过一个月。
第六章 安全审计策略和规则
第九条 安全审计策略和规则
日志审计方可基于不同的维度开展审计工作,发现安全事件。至少包括:规则策略、关联分析、行为分析。
(一)审计策略和规则应至少支持对以下对象的审计:
l 主机安全审计;
l 数据库安全审计;
l 安全设备安全审计;
l 应用系统安全审计。
(二)审计策略和规则应至少支持对以下内容的审计:
l 未经授权的登录;
l 用户账号和权限变更;
l 操作系统的启动、停止信息;
l 系统服务和配置修改;
l 特殊权限使用和操作;
l 未经授权直连数据库后的增删改等操作;
l 用户的关键变更操作,如增删改用户及其权限;
l 数据库服务启动和停止;
l 数据库系统核心配置文件的修改;
l 高风险操作,如对批量数据的导入、导出等;
l 堡垒机安全审计包括长期未登录使用的账号、活跃度异常的账号、异常、高风险操作行为、多人共用账号等;
l VPN系统安全审计包括活跃度异常账号、异常登录地点、异常登录时间、多人共用账号等;
l 其他安全设备,应重点审计设备的异常告警行为:
l 重要操作记录,对关键配置信息和业务数据的增删改操作;
l 管理员操作行为,如增删改系统用户及其权限;
l 操作人员查询敏感信息的行为;
l API接口连接通信异常;
l 多次或连续性登录失败行为。
第七章 异常预警及处置工作流程
第十条 日志关联分析预警
日志关联分析预警主要对各种类型、多个设备的日志进行综合关联分析,结合实际场景开展安全审计,包括但不限于:
(一)操作人员未通过堡垒机直接登录主机/服务器、连接数据库/大数据处理分析平台的行为;
(二)操作人员远程上传文件、远程安装的行为;
(三)通过分析数据的下载、分发的情况,审计可能数据泄漏(被非法窃取)风险;
(四)对操作人员的高危指令、异常操作、敏感数据查询等行为进行威胁感知。
第十一条 行文分析预警
行为分析预警是通过持续对全量日志进行关联综合分析,不断掌握操作人员关键特征要素,迭代绘制出用户画像,并持续根据用户操作行为的波动情况加以动态调整。当出现疑似风险行为时,日志审计系统自动告警提示。行为分析特征维度包括但不限于异常行为、高危行为、API接口异常调用等,包括但不限于:
(一)特定时间段内,指定用户行为整体状态与该用户行为整体画像的对比分析;
(二)特定时间段内,指定用户单维度行为状态与该用户单维度行为画像的对比分析;
(三)指定用户行为基线与同组其他用户的平均行为基线对比分析;
(四)在特定时间段内,指定用户或应用系统调用同一API接口的频率对比分析。
第十二条 日志分析
网络管理员、系统管理员和应用系统管理员应每天查看日志记录,并对日志记录进行分析。
网络管理员、系统管理员对所分析的日志,若发现异常情况,应对系统进行检查,确认是否有入侵事件并上报。
安全管理员应每月对所分析的日志进行总结,以报表的形式对所分析的日志直观体现。
安全管理员、审计管理员应定期查看审计系统是否正常。
第八章 附则
第十三条 数字化办公室有权根据我校发展、技术更新以及法律法规的变化对本制度进行修订与完善。
第十四条 对于违反本制度的行为,将依据我校相关的奖惩制度进行处理,对造成严重数据安全事故的,将依法追究法律责任。
