操作指南

文档中心 > 数据安全审计 > 最佳实践 > 等保最佳实践传统型

等保最佳实践传统型

最近更新时间:2021-12-27 11:33:17

为助力企业等保合规,本文为您介绍数据安全审计传统型各能力与等保相关条款的对应关系,以便有针对性地提供佐证材料。

说明:

若您使用的是数据安全审计 SaaS型,请参见 数据安全审计 SaaS 型 文档。

前提条件

已购买 数据安全审计传统型,并按照 快速入门 完成产品初始化和部署工作。

等保二级

a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

本条款主要考察如下三点:

  • 是否开启了安全审计功能

    1. 登录 数据安全审计控制台,单击查看传统型,进入数据安全审计传统型控制台,查看数据安全审计产品列表,证明已购买相关产品。
    2. 单击操作列下的管理,跳转至登录页面,使用 useradmin 账号登录数据安全审计。在左侧导航栏中,选择安全审计与分析 > 审计概览,进入审计概览页面。
    3. 查看审计概览页,证明产品已正常运行。
  • 审计范围是否覆盖到每个用户
    在审计日志页面,可以审计到每个用户名。

  • 是否对重要的用户行为和重要安全事件进行审计
    使用 useradmin 账号登录数据安全审计,通过审计日志页面,可以筛选风险等级(即重要的用户行为和重要安全事件)查看日志。

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

在审计日志页面,单击任意一条日志后方的操作,弹出审计日志详情,可以查看相关的信息。

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

使用 sysadmin 账号登录数据安全审计,在备份服务器设置页面,查看备份服务器设置,具有备份功能及数据恢复功能。

其他:《网络安全法》要求网络日志保留六个月以上。

在审计日志页面,选中自定义,选择近六个月的区间,可以查看近六个月的日志。

等保三级

a) 应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计;

本条款主要考察如下三点:

  • 是否开启了安全审计功能

    1. 登录 数据安全审计控制台,单击查看传统型,进入数据安全审计传统型控制台,查看数据安全审计产品列表,证明已购买相关产品。
    2. 单击操作列下的管理,跳转至登录页面,使用 useradmin 账号登录数据安全审计。在左侧导航栏中,选择安全审计与分析 > 审计概览,进入审计概览页面。
    3. 查看审计概览页,证明产品已正常运行。
  • 审计范围是否覆盖到每个用户
    在审计日志页面,可以审计到每个用户名。

  • 是否对重要的用户行为和重要安全事件进行审计
    使用 useradmin 账号登录数据安全审计,通过审计日志页面,可以筛选风险等级(即重要的用户行为和重要安全事件)查看日志。

b) 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

在审计日志页面,单击任意一条日志后方的操作,弹出审计日志详情,可以查看相关的信息。

c) 应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等。

使用 sysadmin 账号登录数据安全审计,在备份服务器设置页面,查看备份服务器设置,具有备份功能及数据恢复功能。

d) 应对审计进程进行保护,防止未经授权的中断。

审计进程包含两部分:审计服务器的进程和 Agent 进程。

  • 审计服务器的进程
    审计服务器部署在腾讯云侧,由腾讯云进行相关安全保障,用户不具有直接进入产品后台操作的权限。当确有必要,需要进入后台操作时,根据腾讯云流程,需要用户 提交工单,由腾讯云技术人员得到授权后进行操作。会留存详细的工单记录,便于事后查证。

  • Agent 进程
    Agent 部署在用户的数据库或云服务器上,数据安全审计将对其进行守护检测,当检测到 Agent 中断时,将及时产生告警。

其他:《网络安全法》要求网络日志保留六个月以上。

在审计日志页面,选中自定义,选择近六个月的区间,可以查看近六个月的日志。

目录