8.2 日志管理

8.2.1　目的

發現攻擊線索，用作內部紀律處罰依據或司法證據。

8.2.2　要求

全面收集并管理信息系統及相關設備的運行日志，包括系統日志、操作日志、錯誤日志等。

8.2.3　實施指南

全面收集信息系統的運行日志，并進行歸一化預處理，以便后續存儲和處理。

原始日志信息和歸一化處理后的日志信息分別進行存儲。原始日志信息存儲應進行防篡改簽名，以便可以作為司法證據；已歸一化的日志進行結構化存儲，以便檢索和深度處理。

對日志信息進行多種分析：一是攻擊線索查找分析。在系統受到攻擊后，需要通過日志分析找到攻擊源和攻擊路徑，以便清除木馬和病毒，并恢復系統正常運行；二是日志交叉深度分析。通過定期的交叉分析，以發現并阻斷潛在攻擊；三是對攻擊日志進行歷史分析，發現攻擊趨勢，以實現早期防御。