法规解读:什么样的日志审计产品才能达到合规要求?

内容简介

2017年6月1日,《中华人民共和国网络安全法》正式实施,其对业务系统安全审计提出了新的要求。 原文摘录如下: “第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改: (一)不相关,此处略去; (二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施; (三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月; (四)采取数据分类、重要数据备份和加密等措施;”

按照新法规的要求,传统的运维做法及日志分析方式很难满足合规要求,传统方式存在以下弊端:

1、运维方面

  • 需要登陆每一台服务器,使用脚本命令或程序查看,操作繁琐,容易出错;
  • 数据是孤立分散的,无法进行关联,无法提取出其中的共性;
  • 只能做简单搜索和统计,无法满足分析要求;
  • 没有实时监控和报警,如程序出错日志。

2、安全方面

  • 黑客入侵后往往会删除、修改日志,抹除入侵痕迹,导致无法通过日志分析攻击行为;
  • 海量的 IDS/WAF 报警,根本无法辨别是否是误报。

3、存储日志性能方面

  • 数据库的 Schema 无法适应千变万化的日志格式;
  • 没有日志生命周期管理手段;
  • 无法提供海量日志全文检索和字段统计功能。

总结起来就是:日志数据复杂,管理难度大,难以集中管理,因此更无法进行关联分析。那么该法规所涉及的行业和企业,尤其是需要满足网络安全等级保护第三级要求的企业,专业的日志审计产品成为其满足合规的必然选择。

那选择什么样的日志分析产品,才能满足合规要求?

(1)提供数据脱敏功能。满足网络安全法要求,对用户数据进行脱敏处理。

(2)有数据备份、还原功能。按安全法要求,数据至少备份6个月,同时能够还原指定时间范围的日志数据,以便监管部门调取。

(3)有灵活的查询搜索功能。可以对数据进行实时搜索,历史数据还原搜索,满足监管部门的查询需求。

(4)网络安全事件实时预警,防控。可以对网络设备节点故障进行实时告警及故障快速分析溯源,发现传统安全设备没有发现或阻断的安全威胁,对线上故障及威胁快速响应。

(5)符合国家标准,并通过了具备资格机构的安全认证。

日志易作为国内领先的日志分析产品,能够提供以下功能,帮助用户满足日志审计合规要求。

第一,日志易对日志数据提供了脱敏功能,保证日志处理后再次下载后的结果也是脱敏的

支持日志全生命周期管理,支持配置不同种类日志的生命周期,支持索引备份,支持界面化日志恢复,支持全文检索。

使用日志易产品,用户可以实现:

1.满足网络安全法要求;

2.满足监管部门日志查询要求;

3.实现数据生命周期管理,既提供明文数据查询,也提供脱敏数据查询,既能实现实时数据快速搜索,也能实现历史数据还原搜索。

第二,日志易能够实现对网络设备、安全设备的日志审计。

(1)网络设备审计

实时监控所有网络设备日志:包括每台网络设备的日志量趋势,日志等级分布,通过 IP 地址和日志等级过滤,可以联动统计和查询某台异常网络设备的事件趋势,日志等级分别和日志详情,方便快速定位故障。

(2)防火墙日志审计

提供日志级别、事件代码、五元组(源地址、目的地址、源端口、目的端口、访问协议)供用户搜索过滤,用户可以根据源 IP、日志级别等快速进行日志溯源。

输出防火墙日志五元组巡检日报:

通过分析防火墙日志,识别可疑的扫描源 IP 信息、被扫描可疑目的 IP 和目的端口信息。

(3)IPS 日志审计实时攻击概况分析

另外,日志易还提供攻击明细分析、邮件攻击分析、SQL 注入攻击分析、Web 攻击分析等功能。

(4)安全设备日志分析场景

日志易可实现上百种安全设备事件统计规则,例如恶意软件访问信息的统计,包括恶意软件源 IP 分布、恶意软件目的 IP 分布、恶意软件服务分布、恶意软件名、服务、事件数及百分比等,每种统计可以自定义统计周期。

通过对网络设备、安全设备的审计功能,日志易可以帮助用户:

1.通过日志手段对网络设备进行实时健康度监控,有效补充网管软件的不足;

2.满足国家等级保护要求,对网络设备,安全设备日志进行集中收集和存储;

3.自动输出日常安全日报、周报、月报,提高安全运维人员工作效率;

4.通过对安全设备日志分析,有效实现安全日志和攻击溯源分析,加强网络安全管理,提高网络安全等级。

最后,合规并不仅仅是为了应对监管,所谓安全无小事,当前用户安全防御往往集中在外网,内网安全防范往往比较薄弱。然而2015年 FortScale 调查反馈85%的数据泄露是来于内部威胁,内部人员相对外部攻击更容易接近重要信息或系统,正所谓“祸起萧墙”,攻破堡垒的往往都是“自己人”,因此对内网各环节的用户行为审计(UBA)就显得愈发重要。

使用日志易通过系统用户登录行为分析、用户操作行为分析、文件访问行为分析、用户登录域控日志分析、DNS&DHCP 日志分析等全方位的内容用户行为分析,不仅能实现安全行为审计,还能协助内网运维分析,及时发现内网网络隐患,是安全运营中心(SOC)的重要组成部分,能有效补充内网安全防御薄弱环节,从内到外构建立体化安全防护堡垒。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

解决数据中心网速变慢的八个检查必备步骤

在数据中心运行过程中,不可避免会出现各种各样的问题。若网络发生信息不通、网页不能浏览等连通性故障时,这类故障现象的故障点很容易检查和定位, 解决起来并不困难。但...

3235
来自专栏猿人谷

云时代:区别云主机、虚拟主机和VPS

云计算时代,云主机其可扩展性、价格便宜、安全可靠的特性深受企业和开发者欢迎,但目前有些IDC企业,新瓶装旧酒,将虚拟主机、VPS进行包装推出所谓的云主机服务,为...

6486
来自专栏安恒信息

解密伪造钓鱼WiFi:安恒信息支招如何让WiFi使用更安全

央视3·15晚会再次关注手机应用安全问题,在晚会上曝光了免费WiFi的安全问题,并在现场给大家演示了利用伪造钓鱼WiFi技术窃取了台下观众的上网内容。坦白的说,...

32310
来自专栏何俊林

关于直播,所有的技术细节都在这里了(一)

网络视频直播存在已有很长一段时间,随着移动上下行带宽提升及资费的下调,视频直播被赋予了更多娱乐和社交的属性,人们享受随时随地进行直播和观看,主播不满足于单向的...

2046
来自专栏不止思考

如何应对线上故障

线上故障是我们技术同学经常遇到,也是技术成长中经常要经历的事。从故障中我们可以吸取到很多教训,变得越来越有经验。

1382
来自专栏视频加密

点量流媒体服务器的优势是什么?

先来介绍一下什么是流媒体服务器,把视频设备(如DVD,VCD,摄像机,监控头等)的视频信号采集到服务器,供网络访问。能够像Web服务器发布HTML文件一样发布流...

1373
来自专栏安恒信息

黑客利用162000家WordPress网站进行DDoS放大攻击

安全公司Sucuri在周一表示,由于WordPress的漏洞,黑客利用了超过162000家合法网站,向目标网站进行了DDoS“放大攻击”。目前尚不知本轮网络攻击...

2716
来自专栏云基础安全

主机安全防护:腾讯云云镜产品

腾讯云云镜是基于AI算法的轻量化主机安全软件,帮助用户解决木马感染(勒索,被篡改),被入侵(挖矿,数据窃取),漏洞,登陆密码爆破等主机安全问题。了解云镜: ht...

1880
来自专栏FreeBuf

浅谈拒绝服务攻击的原理与防御(6):拒绝服务攻击的防御

0×01前言 DDOS攻击是每个需要对外提供服务的公司最大的威胁之一,尤其是新兴的互联网公司与电信运行商对此尤其看重,每个公司的网络安全组都必须具备一定的防御D...

2425
来自专栏FreeBuf

2015年数据库漏洞威胁报告

互联网就像空气,彻底的融入我们的生活之中。因此我们愈发习惯把越来越多的数据保存在网上以换取更便捷的服务。不过,随之而来的安全事件无不让人触目惊心。 回忆2015...

1887

扫码关注云+社区