GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》之73:

“8技術(shù)控制-8.15日志”專業(yè)深度解讀和應(yīng)用指導(dǎo)材料(編制-2025A0)

《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8技術(shù)控制GB/T22081-2024

8.15日志

8.15.1屬性表

日志屬性表見表75.

表75:日志屬性表

控制類型信息安全屬性網(wǎng)絡(luò)空間安全概念運(yùn)行能力安全領(lǐng)域

#保密性

#防護(hù)

#檢測(cè)#完整性喜發(fā)現(xiàn)#信息安全事態(tài)管理

#防御

#可用性

8技術(shù)控制-8.15日志-8.15.1屬性表

日志見表75.

“表75;日志”屬性表解析

屬性維度屬性值屬性涵義解讀屬性應(yīng)用說明與實(shí)施要點(diǎn)

一明確日志采集范圍，包括操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系

(1)通用涵義：通過技術(shù)手段對(duì)系統(tǒng)活動(dòng)進(jìn)行實(shí)時(shí)或事后監(jiān)

統(tǒng)等關(guān)鍵資產(chǎn)：

測(cè)，識(shí)別可能的安全風(fēng)險(xiǎn)，異常行為或違規(guī)操作；

-配置關(guān)鍵事件觸發(fā)機(jī)制(如登錄失敗、權(quán)限變更、數(shù)據(jù)訪問);

控制類型#檢測(cè)(2)特定涵義：日志作為核心檢測(cè)機(jī)制，通過記錄用戶行為、

一引入SIEM系統(tǒng)實(shí)現(xiàn)日志集中化、標(biāo)準(zhǔn)化管理；

系統(tǒng)事件、資源訪問等信息，支撐對(duì)安全事件的發(fā)現(xiàn)與響應(yīng)

,是檢測(cè)控制落地的關(guān)鍵載體。-定期開展日志完整性檢查，確保日志不可篡改或刪除：

一建立日志分析機(jī)制，結(jié)合規(guī)則與模型識(shí)別潛在威脅。

加油努力你行的

屬性維度屬性值屬性涵義解讀屬性應(yīng)用說明與實(shí)施要點(diǎn)

(1)通用涵義：

-保密性：確保信息僅被授權(quán)人員訪問：

完整性：確保信息在存儲(chǔ)與傳輸過程中未被未烴授權(quán)的修

一對(duì)日志數(shù)據(jù)進(jìn)行加密傳輸(如TLS)、加密存儲(chǔ)：

改：

-實(shí)施日志訪問控制策略，基于最小權(quán)限原則分配日志查看權(quán)限：

-可用性：確保信息在需要時(shí)可被授權(quán)人員訪問和使用。

#保密性-采用數(shù)字簽名、哈希校驗(yàn)等技術(shù)確保日志完整性；

信息安全(2)特定涵義：

#完整性一部署日志異地備份機(jī)制，保障日志在故障或攻擊下的可用性；

屬性一保密性：日志本身包含敏感信息，如用戶登錄行為、訪問

#可用性-明確日志保留期限，符合《中華人民共和國(guó)數(shù)據(jù)安全法》中數(shù)據(jù)

路徑等，需加密存儲(chǔ)與傳輸；

留存相關(guān)規(guī)定；

-完整性：日志記錄不可篡改，需通過技術(shù)手段確保其真實(shí)

-采用日志歸檔機(jī)制，確保長(zhǎng)期可用且不影響系統(tǒng)性能。

性：

-可用性：日志應(yīng)具備高可用性與可恢復(fù)性，以支持審計(jì)、

調(diào)查與響應(yīng)。

一建立日志關(guān)聯(lián)分析機(jī)制，整合不同系統(tǒng)日志進(jìn)行綜合研判；

(1)通用涵義：指通過技術(shù)手段識(shí)別網(wǎng)絡(luò)空間中潛在的安全

-利用威脅情報(bào)平臺(tái)(如STIX/TAXII)進(jìn)行日志特征匹配：

威脅或異常行為：

網(wǎng)絡(luò)空間部署基于AI/ML的日志異常行為檢測(cè)模型；

#發(fā)現(xiàn)(2)特定涵義；日志是“發(fā)現(xiàn)”威脅的核心數(shù)據(jù)源，通過日

安全概念一建立日志事件分類機(jī)制，依據(jù)GB/T20986-2023《信息安全技術(shù)網(wǎng)

志分析、日志關(guān)聯(lián)、日志挖據(jù)等手段，識(shí)別出攻擊行為、異

絡(luò)安全事件分類分級(jí)指南》進(jìn)行事件分級(jí)：

常模式、安全事件等。

實(shí)施日志自動(dòng)告警機(jī)制，提升響應(yīng)效率與準(zhǔn)確性。

(1)通用涵義：對(duì)信息安全事件進(jìn)行識(shí)別、評(píng)估、響應(yīng)、恢一建立日志驅(qū)動(dòng)的事件響應(yīng)機(jī)制，確保事件響應(yīng)流程可追溯：

#信息安全

運(yùn)行能力復(fù)等全生命周期管理；在日志中記錄完整事件生命周期信息(時(shí)問戮、操作賬號(hào)、資源、

事態(tài)管理

(2)特定涵義：日志為信息安全事態(tài)管理提供完整的事件證影響范圍等);

加油努力你行的

屬性維度屬性值屬性涵義解讀屬性應(yīng)用說明與實(shí)施要點(diǎn)

據(jù)鏈，支持事件溯源、責(zé)任認(rèn)定、響應(yīng)處置、整改驗(yàn)證等全一配合IS0/IEC27035標(biāo)準(zhǔn)建立事件響應(yīng)流程與日志記錄機(jī)制；

過程管理。-每次事件響應(yīng)后，進(jìn)行日志復(fù)盤，優(yōu)化日志采集與分析策略：

定期開展日志審計(jì)，形成安全事態(tài)管理評(píng)估報(bào)告；

-接入監(jiān)管平臺(tái)，滿足合規(guī)性審計(jì)和監(jiān)管報(bào)送要求。

(1)通用涵義；

-防護(hù)：通過技術(shù)手段防止未授權(quán)訪問、數(shù)據(jù)泄露或系統(tǒng)破一部署專用日志服務(wù)器，設(shè)置獨(dú)立網(wǎng)絡(luò)隔離與訪問控制：

壞；-實(shí)施日志訪問審計(jì)，記錄誰、何時(shí)、訪問了哪些日志內(nèi)容：

-防御：建立多層次、動(dòng)態(tài)化的安全架構(gòu)，抵御已知與未知-將日志分析結(jié)果用于安全策略優(yōu)化(如更新防火墻規(guī)則、IDS簽名

#防護(hù)威脅。);

安全領(lǐng)域

#防御(2)特定涵義；結(jié)合零信任架構(gòu)，將日志作為訪問控制決策的輸入；

-防護(hù)：確保日志自身安全，防止被篡改、刪除或非法訪問-與態(tài)勢(shì)感知平臺(tái)聯(lián)動(dòng)，實(shí)現(xiàn)基于日志的威脅感知與防御加固；

1-若使用第三方云日志服務(wù)，需簽訂數(shù)據(jù)安全協(xié)議，明確日志管理

-防御：通過日志分析提升整體防御能力，優(yōu)化安全策略，責(zé)任邊界。

形成動(dòng)態(tài)防御閉環(huán)。

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.15.2控制

宜生成、存儲(chǔ)、保護(hù)和分祈用于記錄活動(dòng)、異常、故障及其他相關(guān)事態(tài)的日志。

8.15.2控制

(1)“8.15.2控制”解讀和應(yīng)用說明表

加油努力你行的

“8.15.2(日志)控制”解讀和應(yīng)用說明表

內(nèi)容雄度“8.15.2(日志)控制”解讀和應(yīng)用說明

本條款核心控制目標(biāo)通過規(guī)范日志的生成、存儲(chǔ)、保護(hù)和分析全流程，確保系統(tǒng)活動(dòng)、異常，故障及相關(guān)事態(tài)可追瀾、可審計(jì)，為信息安全事件識(shí)別、調(diào)

和意圖查取證、合規(guī)審計(jì)提供可信依據(jù)，同時(shí)保障日志信息的完整性和保密性，支持跨系統(tǒng)日志關(guān)聯(lián)分析(需結(jié)合8.17時(shí)鐘同步)。

本條款實(shí)施的核心價(jià)實(shí)現(xiàn)信息系統(tǒng)活動(dòng)的全程記錄與迫溯，提升安全事件響應(yīng)效率：為法律合規(guī)、責(zé)任認(rèn)定提供證據(jù)支掉：通過日志分析識(shí)別潛在威脅，

值強(qiáng)化主動(dòng)防御能力；滿足等級(jí)保護(hù)、數(shù)據(jù)安全法等法律法規(guī)對(duì)日志留存與保護(hù)的要求，

“宜生成、奪儲(chǔ)、保護(hù)和分析用于記錄活動(dòng)、異常、故障及其他相關(guān)事態(tài)的日志。”

1)生成；雷覆蓋所有關(guān)鍵活動(dòng)(如訪問嘗試、配置變更、特權(quán)使用)、異常(如登錄失敗、流量異常)、故障(如系統(tǒng)崩漬、存儲(chǔ)不

足)及相關(guān)事態(tài)(如安全設(shè)備啟停),確保日志要素完整(用戶ID、時(shí)間、設(shè)備標(biāo)識(shí)等);

本條款深度解讀與內(nèi)

2)存緒：雷保證足夠容量和留存周期，采用冗余存儲(chǔ)防止丟失，并與時(shí)鐘同步機(jī)制結(jié)合確保時(shí)間戳一致：

涵解析

3)保護(hù)：通過密碼雜湊、只讀文件、透明日志等技術(shù)防止算改或刪除，限制特權(quán)用戶操作自身日志的權(quán)限，對(duì)含坂感信息的日志需脫

敏(見8.11);

4)分析；雷結(jié)合SIEN工具、UEBA技術(shù)識(shí)別異常模式，關(guān)聯(lián)物理監(jiān)視日志提升準(zhǔn)確性，并利用威脅情報(bào)輔助研判。

1)制度建設(shè)：制定日志管理專項(xiàng)策略，明確采集范圍、格式、留存期限(參考5.28證據(jù)保留要求);

2)技術(shù)支撐：部署集中日志管理平臺(tái)(如SIEM),啟用時(shí)間同步(NTP/PTP)確保跨系統(tǒng)關(guān)聯(lián)，采用加密和哈希技術(shù)保護(hù)日志完整性；

本條款實(shí)施要點(diǎn)與組

3)權(quán)限管控：嚴(yán)格限制日志訪問權(quán)限，實(shí)施日志操作審計(jì)(如誰訪問、何時(shí)訪問);

織應(yīng)用建議

4)分析機(jī)制：建立自動(dòng)化告警規(guī)則，定期開展趨勢(shì)分析和脆弱性研判，云環(huán)境中明確客戶與服務(wù)商的日志管理責(zé)任劃分：

5)合規(guī)適配：確保日志留存滿足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等要求(如關(guān)鍵信息基礎(chǔ)設(shè)施日志留存≥6個(gè)月),

(2)“8.15.2控制”條款與GB/T22080-2025相關(guān)條款的邏輯關(guān)聯(lián)關(guān)系；

“8.15.2控制”與GB/T22080相關(guān)條款的邏輯關(guān)聯(lián)關(guān)系分析表

加油努力你行的

關(guān)聯(lián)GB/T22080—2025條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

8.1運(yùn)行策劃和控制日志控制是運(yùn)行控制的一部分，用于確保信息處理過程的可追溯性和安全性，支持運(yùn)行控制的實(shí)施。實(shí)施支持

8.2信息安全風(fēng)險(xiǎn)評(píng)估日志數(shù)據(jù)是風(fēng)險(xiǎn)評(píng)估的重要輸入，用于識(shí)別異常行為、安全事件和潛在威脅，支持風(fēng)險(xiǎn)分析。輸入/證據(jù)

8.3信息安全風(fēng)險(xiǎn)處置日志分析結(jié)果可用于驗(yàn)證風(fēng)險(xiǎn)處置措施的有效性，并指導(dǎo)后續(xù)處置活動(dòng)的調(diào)整。反饋/驗(yàn)證

日志是監(jiān)視網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用程序活動(dòng)的核心數(shù)據(jù)載體，監(jiān)視活動(dòng)通過分析日志發(fā)現(xiàn)異常行為，二者直

8.16監(jiān)視活動(dòng)數(shù)據(jù)支撐

接支撐。

9.1監(jiān)視、測(cè)量、分析和評(píng)價(jià)日志是監(jiān)視和測(cè)量信息安全績(jī)效的關(guān)鍵數(shù)據(jù)源，用于分析事件、評(píng)估控制有效性、支持管理決策。數(shù)據(jù)來源

9.2內(nèi)部審核日志記錄是內(nèi)部審核的重要證據(jù)，用于驗(yàn)證信息安全管理體系是否符合標(biāo)準(zhǔn)要求和組織自身規(guī)定。審計(jì)證據(jù)

9.3管理評(píng)審日志分析結(jié)果可作為管理評(píng)審的輸入，用于評(píng)估體系的有效性、識(shí)別改進(jìn)機(jī)會(huì)。評(píng)審輸入

5.24信息安全事件管理策劃和準(zhǔn)日志的生成與存儲(chǔ)是事件管理策劃的基礎(chǔ)，為事件識(shí)別、響應(yīng)提供可追溯的記錄支持?；A(chǔ)支撐

備

5.25信息安全事態(tài)的評(píng)估和日志記錄的活動(dòng)、異常等事態(tài)是評(píng)估其是否為信息安全事件的直接依據(jù)。評(píng)估依據(jù)

5.26信息安全事件的響應(yīng)日志分析可為事件響應(yīng)提供事件發(fā)生過程、影響范圍等關(guān)鍵信息，支持響應(yīng)措施的制定與執(zhí)行。響應(yīng)支持

7.5成文信息日志屬于成文信息的一種，需按照標(biāo)準(zhǔn)要求進(jìn)行創(chuàng)建、保護(hù)、存儲(chǔ)和訪問控制。文件化要求

10.2不符合與糾正措施日志可用于識(shí)別不符合項(xiàng)、分析根本原因，并驗(yàn)證糾正措施的有效性。證據(jù)/反饋

加油努力你行的

(3)“8.15.2控制”與GB/T22081-2024其他條款邏輯關(guān)聯(lián)關(guān)系。

“8.15.2控制”與GB/T22081-2024其他條款邏輯關(guān)聯(lián)關(guān)系分析表

關(guān)聯(lián)68/T22081條款邏輯關(guān)聯(lián)關(guān)系分析關(guān)聯(lián)性質(zhì)

5.25信息安全事態(tài)的評(píng)估和決日志是評(píng)估事態(tài)嚴(yán)重程度、決策是否歸類為事件的關(guān)鍵依據(jù)，評(píng)估結(jié)果可指導(dǎo)日志分析的重點(diǎn)調(diào)整決策支撐

策

5.26信息安全事件的響應(yīng)日志用于還原事件發(fā)生過程，支撐事件調(diào)查和處置；響應(yīng)過程中的操作需被日志記錄，形成閉環(huán)過程還原與記錄

5.28證據(jù)收集日志可作為信息安全事件的電子證據(jù)，需確保日志的完整性和真實(shí)性以滿足證據(jù)要求證據(jù)支撐

日志的生成、存儲(chǔ)和分析需道循文件化的操作規(guī)程，確保一致性和規(guī)范性；操作規(guī)程需明確日志管理的

5.37文件化的操作規(guī)程支撐與被支撐

流程和責(zé)任

6.8信息安全事態(tài)的報(bào)告日志記錄的信息安全事態(tài)是報(bào)告的重要依據(jù)，報(bào)告過程需依賴日志數(shù)據(jù)進(jìn)行事態(tài)描述和分析數(shù)據(jù)依賴

7.4物理安全監(jiān)視物理安全監(jiān)視活動(dòng)需生成日志，與8.15的日志形成跨領(lǐng)域的安全記錄體系，共同支撐安全事件分析協(xié)同互補(bǔ)

監(jiān)視活動(dòng)依賴日志數(shù)據(jù)進(jìn)行異常識(shí)別和態(tài)勢(shì)分析，日志是監(jiān)視活動(dòng)的核心數(shù)據(jù)來源；監(jiān)視結(jié)果可反哺日

8.16監(jiān)視活動(dòng)相互依賴

志分析的優(yōu)化

日志需基于同步的時(shí)鐘生成時(shí)間戳，時(shí)鐘同步確保日志時(shí)間的準(zhǔn)確性和一致性，是日志完整性和可追溯

8.17時(shí)鐘同步技術(shù)支撐

性的基礎(chǔ)

特許訪問的操作需被日志記錄，日志可審計(jì)特許權(quán)限的使用情況，防止濫用；同時(shí)需保護(hù)特許訪問相關(guān)

8.2特許訪問權(quán)限監(jiān)督與被監(jiān)督

日志的保密性

加油努力你行的

8.3信息訪問限制信息訪問的授權(quán)與限制操作需被日志記錄，日志可驗(yàn)證訪問控制的有效性，追蹤未授權(quán)訪問嘗試驗(yàn)證支撐

8.5安全鑒別鑒別過程(如登錄、權(quán)限變更)需被日志記錄，日志可追溯鑒別行為的合法性，支持鑒別異常的識(shí)別行為記錄與分析

8.7惡意軟件防范惡意軟件檢測(cè)和處置活動(dòng)雷生成日志，日志可用于分析惡意軟件傳播路徑和影響范圍，優(yōu)化防范策略數(shù)據(jù)互通

8.8技術(shù)脆弱性管理脆弱性掃描、修復(fù)等活動(dòng)需被日志記錄，日志可跟蹤脆弱性處置進(jìn)度，驗(yàn)證修復(fù)效果過程追蹤

8.24密碼技術(shù)的使用日志的存儲(chǔ)和傳輸雷采用密碼技術(shù)(如加密、哈希)保護(hù)其保密性和完整性，防止日志被算改或泄露安全保障

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

8.15.3日的

記錄事態(tài)，生成證據(jù)，確保日志信息的完整性，防止未經(jīng)授權(quán)的訪問，識(shí)別可能導(dǎo)致信息安全事件的信息安全事態(tài)，并支持調(diào)查。

8.15.3目的

“8.15.3(日志)目的”解讀說明表

內(nèi)容維度“8.15.3(日志)目的”解讀說明

總述(本條款的核本條款旨在通過規(guī)范日志信息的記錄、保護(hù)與使用，提升組織對(duì)信息安全事件的識(shí)別、響應(yīng)與調(diào)查能力，建立可追溯、可驗(yàn)證、可審計(jì)的

心意圖與定位)信息安全管理體系，保障信息系統(tǒng)運(yùn)行的可控性與合規(guī)性，同時(shí)為法律合規(guī)、責(zé)任認(rèn)定及安全策略優(yōu)化提供基礎(chǔ)支撐。

-實(shí)現(xiàn)對(duì)信息安全事態(tài)的全程記錄與追蹤；

本條款實(shí)施的核一為安全事件提供可信賴的電子證據(jù)，滿足《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法律法規(guī)對(duì)證據(jù)留存的要求；

心價(jià)值與預(yù)期結(jié)-提升日志信息完整性與保密性。防止篡改與非法訪問。確保日志作為審計(jì)依據(jù)的可信度：

果支持事后審計(jì)、合規(guī)檢查與責(zé)任追溯，滿足等級(jí)保護(hù)等合規(guī)性要求；

一建立安全事件預(yù)警與響應(yīng)機(jī)制，提升組織整體安全態(tài)勢(shì)感知能力；

加油努力你行的

內(nèi)容維度“8.15.3(日志)目的”解讀說明

-為安全策略優(yōu)化(如更新防火墻規(guī)則、IDS簽名)提供數(shù)據(jù)支撐，形成動(dòng)態(tài)防御閉環(huán)。

“記錄事態(tài)，生成證據(jù)，確保日志信息的完整性，防止未經(jīng)授權(quán)的訪問，識(shí)別可能導(dǎo)致信息安全事件的信息安全事態(tài)，并支持調(diào)查?！?

強(qiáng)調(diào)組織需建立系統(tǒng)性、持續(xù)性的日志記錄機(jī)制，涵蓋用戶行為、系統(tǒng)操作、網(wǎng)絡(luò)連接、異?；顒?dòng)、設(shè)備狀態(tài)、安全設(shè)備啟停等各類信息

系統(tǒng)事態(tài)，需包含用戶ID、時(shí)間戳，設(shè)備標(biāo)識(shí)、網(wǎng)絡(luò)地址等關(guān)健要素。

內(nèi)涵：通過日志記錄實(shí)現(xiàn)對(duì)信息系統(tǒng)運(yùn)行狀態(tài)的“全生命周期”監(jiān)控，確保任何操作、變更、異常均可被追蹤、回溯，不僅包括成功操

作，還需覆蓋失敗嘗試(如登錄失敗、訪問拒絕),便于事后分析與責(zé)任定位；

-意圖：強(qiáng)化對(duì)信息系統(tǒng)運(yùn)行全過程的可審計(jì)性，為后續(xù)的事件識(shí)別、分析提供基礎(chǔ)數(shù)據(jù)，提升組織對(duì)內(nèi)部與外部威脅的響應(yīng)能力。

生成證據(jù)：日志不僅是技術(shù)操作記錄，更是法律、合規(guī)與審計(jì)中的關(guān)鍵證據(jù)材料，具有法律效力，需滿足證據(jù)的真實(shí)性、完整性、關(guān)聯(lián)性

要求。

本條款深度解讀一內(nèi)涵：日志應(yīng)具備可驗(yàn)證性(如時(shí)間截同步、哈希校驗(yàn))、不可篡改性(如只讀存儲(chǔ)、數(shù)字簽名)與鏈條完整性，確保在發(fā)生安全事件

與內(nèi)涵解析時(shí)能夠作為有效證據(jù)用于調(diào)查、仲裁或司法程序，符合GB/T20986-2023《網(wǎng)絡(luò)安全事件分類分級(jí)指南》中對(duì)事件取證的要求：

-意圖：通過規(guī)范日志格式、存儲(chǔ)與管理，使其具備證據(jù)效力，支撐組織在風(fēng)險(xiǎn)事件中的法律責(zé)任規(guī)避與合規(guī)性證明，滿足5.28證據(jù)收集

條款對(duì)電子證據(jù)的要求。

一確保日志信息的完整性：日志數(shù)據(jù)必須完整無缺，不得被刪除、修改或損壞，包括內(nèi)容完整性(記錄未算改)、時(shí)序完整性(時(shí)間連續(xù)

無斷裂)和范圍完整性(覆蓋關(guān)鍵活動(dòng)),以確保其作為審計(jì)與調(diào)查依據(jù)的可信度。

-內(nèi)涵：完整性不僅指數(shù)據(jù)內(nèi)容不被慕改，還包括日志記錄的連續(xù)性(避免因存儲(chǔ)不足導(dǎo)致覆蓋),覆蓋范圍(涵蓋操作系統(tǒng)、數(shù)據(jù)庫(kù)、

網(wǎng)絡(luò)設(shè)備等關(guān)鍵資產(chǎn)》和時(shí)間準(zhǔn)確性(基于8.17時(shí)鐘同步機(jī)制);

一意圖：通過技術(shù)手段(如密碼雜湊、數(shù)字簽名、追加型只讀文件》與管理控制(如權(quán)限分級(jí)、訪間審計(jì)),保障日志系統(tǒng)的可信度，為

事件溯源和責(zé)任認(rèn)定提供可靠依據(jù)。

加油努力你行的

內(nèi)容維度“8.15.3《日志)目的”解讀說明

防止未經(jīng)授權(quán)的訪問：日志系統(tǒng)應(yīng)受到嚴(yán)格訪問控制，僅授權(quán)人員方可查看或操作日志內(nèi)容，需基于最小權(quán)限原則分配訪問權(quán)限，同時(shí)記

錄日志訪問行為本身。

-內(nèi)涵：日志本身可能包含坂感信息(如用戶身份、系統(tǒng)配置、操作指令、扳感數(shù)據(jù)訪問路徑),防止未授權(quán)訪問是保護(hù)組織隱私與安全

的基礎(chǔ)，尤其需限制特權(quán)用戶操作自身日志的權(quán)限；

-意圖：防止日志被惡意篡改或刪除，避免攻擊者撞蓋行為痕跡，同時(shí)保護(hù)組織的合規(guī)性與業(yè)務(wù)秘密，確保日志自身的保密性符合信息安

全屬性要求。

識(shí)別可能導(dǎo)致信息安全事件的信息安全事態(tài)：通過對(duì)日志的實(shí)時(shí)分析與監(jiān)控，識(shí)別潛在的安全隱患或異常行為(如異常登錄、權(quán)限變更、

大量數(shù)據(jù)訪問、與惡意服務(wù)器通信等),結(jié)合威脅情報(bào)與行為模型提升識(shí)別準(zhǔn)確性。

-內(nèi)涵：日志不僅是事后追湖工具，更應(yīng)作為安全態(tài)勢(shì)感知與威脅預(yù)警的前端手段，支持主動(dòng)防御策略，需關(guān)聯(lián)不同系統(tǒng)日志進(jìn)行綜合研

判，依據(jù)GB/T20986-2023進(jìn)行事件分級(jí)；

-意圖：提升組織對(duì)安全風(fēng)險(xiǎn)的預(yù)判能力，實(shí)現(xiàn)從“被動(dòng)響應(yīng)”向“主動(dòng)防御”的轉(zhuǎn)變，降低安全事件發(fā)生的可能性，為信息安全事態(tài)管

理提供數(shù)據(jù)支撐。

并支持調(diào)查：日志應(yīng)具備足夠的細(xì)節(jié)與結(jié)構(gòu)化特征，便于進(jìn)行技術(shù)分析、事件重建與責(zé)任追溯，需包含事件全生命周期信息(如操作賬號(hào)、

資源、影響范圍等);

內(nèi)涵：日志支持調(diào)查不僅包括事件發(fā)生后的回溯分析，也包括合規(guī)性審計(jì)、事故復(fù)盤、司法取證等多場(chǎng)景應(yīng)用，需配合1S0/IEC27035等

事件響應(yīng)標(biāo)準(zhǔn)形成閉環(huán)。

-意圖：建立以日志為核心的事忤響應(yīng)與調(diào)查機(jī)制，提升組織在面對(duì)安全事件時(shí)的應(yīng)對(duì)效率與合規(guī)水平，為整改驗(yàn)證和安全策略優(yōu)化提供

依據(jù)。

GB/T22081-2024《網(wǎng)絡(luò)安全技術(shù)——信息安全控制》

加油努力你行的

8.15.4指南

總則

組織宜確定創(chuàng)建日志的目的、收集和記錄的數(shù)據(jù)以及保護(hù)、處理日志數(shù)據(jù)時(shí)對(duì)日志的任何特定要求。這些宜在日志的特定主題策略中文件化。

適用時(shí)，事態(tài)日志宜包括每個(gè)事態(tài)的以下事項(xiàng)：

a)用戶ID;

b)系統(tǒng)活動(dòng)；

e)相關(guān)事態(tài)的日期、時(shí)間和四節(jié)，例如登錄和退出；

d)設(shè)備標(biāo)識(shí)、系統(tǒng)標(biāo)識(shí)和位置；

e)網(wǎng)絡(luò)地址和協(xié)議。

記錄日志時(shí)宜考慮下列事態(tài)；

a)成功的和被拒絕的對(duì)系統(tǒng)的訪問嘗試；

b)成功的和被拒絕的對(duì)數(shù)據(jù)以及其他資源的訪問嘗試；

a)系統(tǒng)配置的變更；

d)特權(quán)的使用；

e)實(shí)用程序和應(yīng)用程序的使用；

f)被訪問的文件和坊問類型，包括重要數(shù)據(jù)文件的刪除；

g)由訪問控制系統(tǒng)發(fā)出的警報(bào)；

h)安全系統(tǒng)的激活和停用，例如防病毒系統(tǒng)和入侵檢測(cè)系統(tǒng)；

i)標(biāo)識(shí)的創(chuàng)建、修改或刪除；

j)用戶在應(yīng)用程序中執(zhí)行的事務(wù)。在某些情況下，應(yīng)用程序是由第三方提供或運(yùn)行的服務(wù)或產(chǎn)品。

重要的是，所有系統(tǒng)均具備同步的時(shí)間源(見B.17),這樣可使系統(tǒng)之間日志相互關(guān)聯(lián)，以便對(duì)事件進(jìn)行分析、告警和調(diào)查，

日志的保護(hù)

用戶，包括擁有特許訪問權(quán)限的用戶，不宜擁有刪除或停用其自身活動(dòng)日戀的權(quán)限。他們可能會(huì)操飄其直接控制的信息處理設(shè)施上的日志。因此，有必要保

護(hù)和評(píng)審這些日志，以維護(hù)對(duì)特權(quán)用戶的問責(zé)。

加油努力你行的

宜實(shí)施控制以防止日志信息的未經(jīng)授權(quán)變更和日志設(shè)施的運(yùn)行問題，包括；

a)對(duì)已記錄的消息類型的更改；

b)日志文件被編輯或刪除；

c)存放日志文件的存儲(chǔ)媒體空間不足時(shí)，導(dǎo)致無法記錄事態(tài)或過去記錄的事態(tài)被覆蓋，

為了保護(hù)日志，宜考慮使用以下技術(shù)：密碼雜湊、在追加型和只讀文件中進(jìn)行記錄和在公開透明文件中進(jìn)行記錄。

一些審計(jì)日志可能由于數(shù)據(jù)保存委求或證據(jù)收集和保留委求(見5.28)進(jìn)行歸檔。

若紐織需要向廠商發(fā)送系統(tǒng)或應(yīng)用程序日志以協(xié)助調(diào)試成插除錯(cuò)誤，在發(fā)送廠商前，宜盡可能使用數(shù)據(jù)脫敏技術(shù)(兄8.11)對(duì)日志進(jìn)行去標(biāo)識(shí)化處理，包括用

戶名、互聯(lián)網(wǎng)協(xié)議地址(IP)、主機(jī)名或組織名等信息。

事態(tài)日志可能包含敏感數(shù)據(jù)和個(gè)人可識(shí)別信息。宜采取適當(dāng)?shù)碾[私保護(hù)措施(見5.34),

日志分析

日志分析宜覆蓋對(duì)信息安全事態(tài)的分析和解釋，以幫助識(shí)別異?；顒?dòng)或異常行為，從而反映出受損的進(jìn)象，

對(duì)信息安全事態(tài)的分析宜考慮以下事項(xiàng)：

a)執(zhí)行分析的專家所需的技能；

b)確定日志分析規(guī)程；

e)每個(gè)安全相關(guān)事態(tài)所要求的屬性；

d)通過使用預(yù)先確定的規(guī)則[例如，安全信息和事件管理(SIEM或防火墻規(guī)則以及入侵檢測(cè)系統(tǒng)(1DS)或悉意軟件簽名等]所識(shí)別的異常情況；

e)相較于異?；顒?dòng)和行為的已知行為模式和標(biāo)準(zhǔn)網(wǎng)絡(luò)流量[用戶和實(shí)體行為分析(UEBA)];

f)趨勢(shì)或模式分析的結(jié)果(例如，使用數(shù)據(jù)分析、大數(shù)據(jù)技術(shù)和專業(yè)分析工具等產(chǎn)生的結(jié)果);

g)可用的威脅情報(bào)。

日志分析宜得到特定監(jiān)視活動(dòng)的支持，以幫助識(shí)別和分析異常行為，包括：

a)評(píng)審成功的和失敗的對(duì)受保護(hù)資源[例如，城名系統(tǒng)(DNS)服務(wù)器、門戶網(wǎng)站和文件共享等]的訪問嘗試；

b)檢查DNS日志，以識(shí)別與惡意服務(wù)器的出站網(wǎng)絡(luò)連接，例如與僵尸網(wǎng)絡(luò)命令和控制服務(wù)器相關(guān)的連接；

e)檢查服務(wù)提供者的使用情況報(bào)告《例如，費(fèi)用清單或服務(wù)報(bào)告),以確定系統(tǒng)和網(wǎng)絡(luò)內(nèi)的異?；顒?dòng)(例如，通過評(píng)審活動(dòng)模式);

d)包括物理監(jiān)視《諸如出入口)的事態(tài)日態(tài)，以確保更準(zhǔn)確的異常發(fā)現(xiàn)和事件分析；

e)關(guān)聯(lián)日志以實(shí)現(xiàn)有效且高度準(zhǔn)確的分析。

加油努力你行的

宜識(shí)別可疑和實(shí)際的信息安全事件(例如，惡意軟件感染或防火墻探測(cè)),并開展進(jìn)一步調(diào)查《例如，作為估息安全事件管理過程的一部分，見5.25)。

8.15.4指南

總則

(1)本指南條款核心涵義解析(理解要點(diǎn)解讀);

“總則”條款核心涵義解析(理解要點(diǎn)解讀)說明表

條款內(nèi)容總體概述子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

1日志管理的目的性：要求組織明確日志創(chuàng)建的具體目標(biāo)，如安全事件監(jiān)測(cè)、合規(guī)審

本條款確立了日志管理的

計(jì)、責(zé)任追溯等，確保日志管理與業(yè)務(wù)需求和安全目標(biāo)一致：

基礎(chǔ)性原則，明確組織在日

組織宜確定創(chuàng)建日志的日的、收集和記2)數(shù)據(jù)范圍的確定性：需清晰界定收集和記錄的日志數(shù)據(jù)類型，包括但不限于用戶操

志創(chuàng)建、數(shù)據(jù)收集、保護(hù)處

錄的數(shù)據(jù)以及保護(hù)、處理日志數(shù)據(jù)時(shí)對(duì)作、系統(tǒng)事件等，避免數(shù)據(jù)冗余或缺失；

理等方面的核心要求，強(qiáng)調(diào)

日志的任何特定要求。這些宜在日志的3)保護(hù)與處理要求的明確性：針對(duì)日志數(shù)據(jù)的保密性、完整性、可用性制定專項(xiàng)要求，

通過制度化策略規(guī)范日志

特定主題策略中文件化。如加密傳輸、訪問控制等；

全生命周期管理，為事件分

4)策略文件化的強(qiáng)制性：上述內(nèi)容需納入專門的日志管理策略文檔，作為正式制度規(guī)

析、審計(jì)和合規(guī)提供支撐。

范組織內(nèi)所有日志活動(dòng)，確保一致性和可迫溯性。

適用時(shí)，事態(tài)日志宜包括每個(gè)事態(tài)的以1)用戶身份遍溯(用戶ID):記錄操作主體的唯一標(biāo)識(shí)，確保任何行為可定位到具體

本部分規(guī)定了事態(tài)日志應(yīng)

下事項(xiàng)：用戶，是責(zé)任認(rèn)定的基礎(chǔ)；

包含的核心信息要素，旨在

a)用戶ID;2)行為描述(系統(tǒng)活動(dòng)》;詳細(xì)記錄用戶或系統(tǒng)執(zhí)行的操作類型，如文件訪問、配置

確保日志記錄的完整性和

b)系統(tǒng)活動(dòng)；修改等，明確事件性質(zhì)；

可追溯性，為事件分析提供

c)相關(guān)事態(tài)的日期、時(shí)間和細(xì)節(jié)，例如3)時(shí)間與細(xì)節(jié)(日期、時(shí)間和細(xì)節(jié)):精確的時(shí)間戳(雷結(jié)合8.17時(shí)鐘同步)和操作

充分的上下文信息，

登錄和退出；細(xì)節(jié)(如登錄IP、退出原因),用于建立事件時(shí)間線和還原場(chǎng)景；

加油努力你行的

條款內(nèi)容總體概述子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

d)設(shè)備標(biāo)識(shí)、系統(tǒng)標(biāo)識(shí)和位置；4)設(shè)備與系統(tǒng)定位(設(shè)備標(biāo)識(shí)、系統(tǒng)標(biāo)識(shí)和位置):記錄涉及的硬件設(shè)備ID、所屬系

e)網(wǎng)絡(luò)地址和協(xié)議。統(tǒng)及物理/邏輯位置，便于定位事件發(fā)生源：

5)網(wǎng)絡(luò)上下文(網(wǎng)絡(luò)地址和協(xié)議);記錄源/目的IP、端口、傳輸協(xié)議等網(wǎng)絡(luò)信息，支

持網(wǎng)絡(luò)層異常行為分析，如異常連接檢測(cè)：

核心邏輯：上述要素共同構(gòu)成事件的“完整指紋”,缺一不可，確保日志具備可分析

性和可追潮性。

記錄日態(tài)時(shí)宜考慮下列事態(tài)；1)訪問控制事件(a、b):同時(shí)記錄成功與失敗的訪問嘗試，失敗嘗試可提示暴力破

a)成功的和被拒絕的對(duì)系統(tǒng)的訪問嘗試解、權(quán)限濫用等風(fēng)險(xiǎn)，成功訪問則用于追蹤正常操作軌跡；

2)系統(tǒng)配置變更(c):涵蓋硬件、軟件、網(wǎng)絡(luò)等配置修改，如防火墻規(guī)則變更、數(shù)據(jù)

b)成功的和被拒絕的對(duì)數(shù)據(jù)以及其他資庫(kù)參數(shù)調(diào)整，防止未授權(quán)算改；

源的訪問嘗試；3)特權(quán)操作(d):針對(duì)管理員、root等特權(quán)賬號(hào)的操作記錄，因特權(quán)操作風(fēng)險(xiǎn)高，需

本部分明確了日志應(yīng)記錄e)系統(tǒng)配置的變更；重點(diǎn)審計(jì)其合法性：

的關(guān)鍵事態(tài)類型，覆蓋系統(tǒng)d)特權(quán)的使用；4)程序使用(e);記錄系統(tǒng)工具(如命令行工具)和應(yīng)用程序的啟用與操作，防范通

運(yùn)行和安全管理的核心場(chǎng)e)實(shí)用程序和應(yīng)用程序的使用；過合法工具實(shí)施的惡意行為：

景，確保潛在安全事件可被f)枝訪問的文件和訪問類型，包括重要5)文件操作(f):跟蹤文件訪問、修改、測(cè)除等行為，特別是重要數(shù)據(jù)文件，防止數(shù)

全面捕獲。數(shù)據(jù)文件的刪除；據(jù)泄露或破壞；

g)由訪問控制系統(tǒng)發(fā)出的警報(bào)；6)安全警報(bào)(g):記錄訪問控制系統(tǒng)(如門禁、IMM系統(tǒng))的告警信息，作為安全事

h)安全系統(tǒng)的激活和停用，例如防病毒件的直接線索；

系統(tǒng)和入侵檢測(cè)系蜿；7)安全設(shè)備狀態(tài)(h):記錄防病毒、IDS等安全工具的啟停、升級(jí)等狀態(tài)變更，確保

i)標(biāo)識(shí)的創(chuàng)建、修改或刪除；防護(hù)機(jī)制有效性可驗(yàn)證；

j)用戶在應(yīng)用程序中執(zhí)行的事務(wù)。在某8)身份管理(i);涵蓋用戶賬號(hào)、角色的創(chuàng)建、修改、刪除，防范賬號(hào)盜用或越權(quán)；

加油努力你行的

條款內(nèi)容總體概述子條款原文子條款核心涵義解析(理解要點(diǎn)詳細(xì)解讀)

些情況下，應(yīng)用程序是由第三方提供或9)應(yīng)用事務(wù)(j):包括自研及第三方應(yīng)用中的用戶操作(如交易、數(shù)據(jù)提交),延伸

運(yùn)行的服務(wù)或產(chǎn)品。日志覆蓋范圍至業(yè)務(wù)層，滿足端到端審計(jì)需求。

1)時(shí)間同步的必要性：若各系統(tǒng)時(shí)間不同步，日志中的時(shí)間戳將失去一致性，導(dǎo)致事

件時(shí)序混亂，無法準(zhǔn)確還原跨系統(tǒng)操作鏈條(如分布式攻擊路徑):

本部分強(qiáng)調(diào)時(shí)間同步對(duì)日重要的是，所有系統(tǒng)均具備同步的時(shí)間

2)技術(shù)實(shí)現(xiàn)要求：需基于8.17時(shí)鐘同步機(jī)制(如NTP/PTP協(xié)議),采用可信時(shí)間源(如

志關(guān)聯(lián)性的核心作用，是實(shí)源《見8.17),這樣可使系統(tǒng)之間日志相

國(guó)家授時(shí)中心