PA08监控安全态势之保护安全监视的记录数据
2018-03-13 18:22:32 | 来源:中培企业IT培训网
◇BP.08.07保护安全监视的记录数据
如果监视活动的成果不可信任,那么监视活动就没有价值,因此需要保证与安全监视有关的记录数据得到适当的保护。监视活动包括封存和归档相关的日志、审计报告和相关分析结果。
包括审计在内的大多数监视活动都产生结果数据,这种结果数据可以直接发挥作用,或者记录在案供以后分析和进一步采取行动。日志的内容应该设计成有助于理解在突发事件期间出现了什么,并探测出趋势和可能发生的变化。输出日志应该按与所用的策略和规则相一 致的原则进行管理。日志必须是可靠的和受到保护的,能抗篡改或偶然破坏。当日志存贮区被填满时,它必须换一个新日志存贮区或者将它清空。当日志改变时,任何不需要的记录都应被删除并执行其它需要的删简动作。日志应该封存以阻止不可探测的任何修改,还应该在法律保护期间内归档。
工作产品示例:
( 1)列出全部归档的日志和相应的保存周期——标识出与安全监视有关的活动应该存贮,以及什么时候进行处理。
(2)应提交归档的日志的定期现场检查结果——描述任何损失的报告并标识出恰当的响应。
(3)归档日志的使用——识别归档日志的使用者,包括访问时间、目的及任何注解。(4)定期检查随机选择的归档日志的有效性和可利用性结果——分析随机选取的日志并确定它们是否完整、正确和有用,以保证对系统安全的充分监视。
- 上一篇:PA08监控安全态势之管理对安全突发事件的响应
- 下一篇:PA07协调安全