日志易:新网络安全法下如何做好安全审计
这两天被各大新闻网站一条来自重庆网安总队的新闻吸引,因为它和以往我们印象中的网警新闻不同,包含了一个很有意思的关键词:《法》。辗转来到源头重庆网我们找到详细的内容:某科技发展有限公司自2017年6月1日后,在提供服务时,存在未依法留存用户登录相关网络日志的违法行为,根据《网络安全法》第二十一条(三)项、第五十九条之,决定给予该公司处罚,并责令限期十五日内进行整改。
不是涉黄不是不是版权,只是未依法留存用户登录相关网络日志,这和我们心目当中的“违法”好像挨不上边,但是就是这么一个看似简单的理由让这家公司吃了苦头。那么这关于网络日志的第二十一条(三)项到底是什么内容呢?翻阅6月1号发布的《中华人民国网络安全法》(下称《网络安全法》)后我们发现,第二十一条(三)项:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照留存相关的网络日志不少于六个月。
看起来还是那么简单明了,虽然这是重庆《网络安全法》第一案,但并不是《网络安全法》的第一次亮相,短短两个月的时间里,全国范围内就有多起和《网络安全法》相关的处罚,那么《网络安全法》到底是什么呢?
《中华人民国网络安全法》是为保障网络安全,网络空间主权和、社会公共利益,、法人和其他组织的权益,促进经济社会信息化健康发展制定。由常务委员会于2016年11月7日发布,自2017年6月1日起施行。《网络安全法》包含了网络安全支持与促进、网络运行安全、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置等几大章节,这次违法所涉及的第二十一条就在第三章,网络运行安全。
那么《网络安全法》的七章数十条条款里,为什么“第一案”发生在第二十一条呢?我们先来看看第二十一条的详细内容:
第二十一条 国家实行网络安全等级制度。网络运营者应当按照网络安全等级制度的要求,履行下列安全义务,保障网络免受干扰、或者未经授权的访问,防止网络数据泄露或者被窃取、:
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照留存相关的网络日志不少于六个月;
从第二十一条的详细内容我们可以看到,和重庆网警所描述网络日志相关的不只是第(三)项,第(二)项里的“技术措施”和第(四)项里的“备份与加密”都是和日志相关,并且这还不是全部,查看《网络安全法》我们能发现关于实时性要求的第二十五条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络、网络侵入等安全风险;关于数据脱敏的第四十条:网络运营者应当对其收集的用户信息严格保密(脱敏),并建立健全用户信息制度;甚至还有关于供应商要求的第二十:网络关键设备和网络安全专用产品应当按关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
这些看起来都很“简单”,但是为什么还会出错呢?其实从《网络安全法》的解读里我们就能找到答案:“《网络安全法》将近年来一些成熟的好做法制,并为将来可能的制度创新做了原则性,为网络安全工作提供切实法律保障。”这些看似简单的法规其实是将一些成熟的好做法制,但是新法规下,传统运维的做法及日志分析方式,很难满足合规要求,这也是“第一案”发生的主要原因。
然而新《网络安全法》已经实施,大部分企业运维以及日志处理能力并没有及时跟上,我们难道要坐看第二案第三案不断发生吗?在讨论处理办法之前我们还需要来看看传统的运维及日志分析方法存在的弊端:
总结一下就是日志数据复杂,管理难度大,难以集中管理,更无法进行关联分析,实时性和安全性也无法保障。《网络安全法》所涉及的行业和企业,尤其是需要满足网络安全等级第要求的企业,和“第一案”里公司一样的所处的境地一样,急需专业的日志审计产品。
那么选择什么样的日志分析产品才能满足审计合规?我们根据《网络安全法》可以归纳出五条基本要求:
(2)有数据备份/还原功能。按安全法要求,数据至少备份6个月,同时能够还原指定时间范围的日志数据,以便监管部门调取。
(3)有灵活的查询搜索功能。可以对数据进行实时搜索,历史数据还原搜索,满足监管部门的查询需求。
(4)网络安全事件实时预警,防控。可以对网络设备节点故障进行实时告警及故障快速分析溯源,发现传统安全设备没有发现或阻断的安全,对线上故障及快速响应。
日志易作为国内领先的日志分析产品,能够很好的满足用户日志审计合规要求。首先,日志易提供了日志数据脱敏功能,而且做到下载后的数据也是脱敏的。
日志易支持日志全生命周期管理,支持配置不同种类日志的生命周期,支持索引备份,支持界面化日志恢复,支持全文检索。
其次,日志易能够实现对网络设备、安全设备的日志审计。包括网络设备审计、防火墙日志审计、IPS日志审计等。
最后,日志易还可实现上百种安全设备事件统计规则,例如恶意软件访问信息的统计,包括恶意软件源IP分布、恶意软件目的IP分布、恶意软件服务分布、恶意软件名、服务、事件数及百分比等,每种统计可以自定义统计周期。
这样,用户可以在短时间之内满足《网络安全法》以及监管部门日志查询要求,同时还能从度提升自身运维与安全能力:
实现数据生命周期管理,既提供数据查询,也提供脱敏数据查询,既能实现实时数据快速搜索,也能实现历史数据还原搜索。
通过对安全设备日志分析,有效实现安全日志和溯源分析,加大加强网络安全管理,提供网络安全等级。
也许我们从“第一案”发生的角度解决了问题,但是我们再回头去仔细分析第二十一条,我们还会发现很多细节:我们需要防范的不止是计算机病毒和网络、网络侵入,监测的也不应该只是外网的网络运行状态、网络安全事件,安全是一个不分内外的事。
以往用户安全防御往往集中在外网,内网安全防范往往比较薄弱,2015年的FortScale调查反馈85%的数据泄露是来于内部,内部人员相对外部更容易接近重要信息或系统,并且内部人员也会有更大动力或倾向利用他们的职权去让自己获得利益,正所谓“祸起萧墙”,攻破堡垒往往都是“自己人”,因为对内网各环节的用户行为审计(UBA)也显得愈发重要。
日志易通过系统用户登录行为分析、用户操作行为分析、文件访问行为分析、用户登录域控日志分析、DNS&DHCP日志分析等全方位的内容用户行为分析,不仅能实现安全行为审计,还能协助内网运维分析,及时发现内网网络隐患。有效补充内网安全防御薄弱环节,从内到外构建立体化安全防护堡垒,是安全运营中心(SOC)的重要组成部分。
最后借用“重庆网警”的一句话来做个结尾:网络安全靠大家,用法关乎你我他,关于网络安全,我们未来的还很长。
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、度的宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加,对信息安全界的动态新闻更新更快。
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的途径。
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
推荐: