一、要求内容
a)应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录;
b)审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;
c)应能够根据记录数据进行分析,并生成审计报表;
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等;
e)应定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间被耗尽时,终止可审计事件的发生;
f)应根据信息系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同步。
二、实施建议
首先需要制定完善的网络安全审计要求,至少覆盖网络设备运行状况、网络流量、用户行为等内容,审计记录的内容应当尽可能保证详细以便于事后问题的最终和审计检查;对与系统生成的日志可采取集中异地存储的形式,防止数据被破坏或篡改;应当设立单独的日志审计人员维护和管理数据。<