PA08监控安全态势之保护安全监视的记录数据

◇BP.08.07保护安全监视的记录数据

如果监视活动的成果不可信任，那么监视活动就没有价值，因此需要保证与安全监视有关的记录数据得到适当的保护。监视活动包括封存和归档相关的日志、审计报告和相关分析结果。

包括审计在内的大多数监视活动都产生结果数据，这种结果数据可以直接发挥作用，或者记录在案供以后分析和进一步采取行动。日志的内容应该设计成有助于理解在突发事件期间出现了什么，并探测出趋势和可能发生的变化。输出日志应该按与所用的策略和规则相一 致的原则进行管理。日志必须是可靠的和受到保护的，能抗篡改或偶然破坏。当日志存贮区被填满时，它必须换一个新日志存贮区或者将它清空。当日志改变时，任何不需要的记录都应被删除并执行其它需要的删简动作。日志应该封存以阻止不可探测的任何修改，还应该在法律保护期间内归档。

工作产品示例：

( 1)列出全部归档的日志和相应的保存周期——标识出与安全监视有关的活动应该存贮，以及什么时候进行处理。

(2)应提交归档的日志的定期现场检查结果——描述任何损失的报告并标识出恰当的响应。

(3)归档日志的使用——识别归档日志的使用者，包括访问时间、目的及任何注解。(4)定期检查随机选择的归档日志的有效性和可利用性结果——分析随机选取的日志并确定它们是否完整、正确和有用，以保证对系统安全的充分监视。