《中華人民共和國(guó)網(wǎng)絡(luò)安全法》于2017年6月1日正式實(shí)施，對(duì)業(yè)務(wù)系統(tǒng)安全審計(jì)提出了新的要求。

“第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施;

(三)采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;

(四)采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施;”

按照新法規(guī)的要求，傳統(tǒng)的運(yùn)維做法及日志分析方式，很難滿足合規(guī)要求。傳統(tǒng)的運(yùn)維及日志分析方法存在以下弊端：

1、運(yùn)維方面

l 需要登陸每一臺(tái)服務(wù)器，使用腳本命令或程序查看，操作繁瑣，容易出錯(cuò)。

l 數(shù)據(jù)是孤立分散的，無(wú)法進(jìn)行關(guān)聯(lián)，無(wú)法提取出其中的共性。

l 只能做簡(jiǎn)單搜索和統(tǒng)計(jì)，無(wú)法滿足分析要求。

l 沒(méi)有實(shí)時(shí)監(jiān)控和報(bào)警，如程序出錯(cuò)日志。

2、安全方面

l 黑客入侵后往往會(huì)刪除/修改日志，抹除入侵痕跡，導(dǎo)致無(wú)法通過(guò)日志分析攻擊行為。

l 海量的ids/waf報(bào)警，根本無(wú)法辨別是否是誤報(bào)。

3、存儲(chǔ)日志性能方面

l 數(shù)據(jù)庫(kù)的schema無(wú)法適應(yīng)千變?nèi)f化的日志格式。

l 沒(méi)有日志生命周期管理手段。

l 無(wú)法提供海量日志全文檢索和字段統(tǒng)計(jì)功能。

總結(jié)起來(lái)，就是日志數(shù)據(jù)復(fù)雜，管理難度大，難以集中管理，因此更無(wú)法進(jìn)行關(guān)聯(lián)分析。那么該法規(guī)所涉及的行業(yè)和企業(yè)，尤其是需要滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)要求的企業(yè)，專業(yè)的日志審計(jì)產(chǎn)品成為其滿足合規(guī)的必然選擇。

那么選擇什么樣的日志分析產(chǎn)品才能滿足審計(jì)合規(guī)?

(1)提供數(shù)據(jù)脫敏功能。滿足網(wǎng)絡(luò)安全法要求，對(duì)用戶數(shù)據(jù)進(jìn)行脫敏處理。

(2)有數(shù)據(jù)備份/還原功能。按安全法要求，數(shù)據(jù)至少備份6個(gè)月，同時(shí)能夠還原指定時(shí)間范圍的日志數(shù)據(jù)，以便監(jiān)管部門調(diào)取。

(3)有靈活的查詢搜索功能。可以對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)搜索，歷史數(shù)據(jù)還原搜索，滿足監(jiān)管部門的查詢需求。

(4)網(wǎng)絡(luò)安全事件實(shí)時(shí)預(yù)警，防控?？梢詫?duì)網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)故障進(jìn)行實(shí)時(shí)告警及故障快速分析溯源，發(fā)現(xiàn)傳統(tǒng)安全設(shè)備沒(méi)有發(fā)現(xiàn)或阻斷的安全威脅，對(duì)線上故障及威脅快速響應(yīng)。

(5)符合國(guó)家標(biāo)準(zhǔn)，并通過(guò)了具備資格機(jī)構(gòu)的安全認(rèn)證。

日志易作為國(guó)內(nèi)領(lǐng)先的日志分析產(chǎn)品，能夠幫助用戶很好的滿足日志審計(jì)合規(guī)要求。

第一，日志易對(duì)日志數(shù)據(jù)提供了脫敏功能，而且下載后的數(shù)據(jù)也是脫敏的。

第二，

日志分析日志脫敏(日志易)

日志易支持日志全生命周期管理，支持配置不同種類日志的生命周期，支持索引備份，支持界面化日志恢復(fù)，支持全文檢索。

這樣，使用日志易產(chǎn)品，用戶可以：

1.滿足網(wǎng)絡(luò)安全法要求。

2.滿足監(jiān)管部門日志查詢要求。

3.實(shí)現(xiàn)數(shù)據(jù)生命周期管理，既提供明文數(shù)據(jù)查詢，也提供脫敏數(shù)據(jù)查詢，既能實(shí)現(xiàn)實(shí)時(shí)數(shù)據(jù)快速搜索，也能實(shí)現(xiàn)歷史數(shù)據(jù)還原搜索。

第二，日志易能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的日志審計(jì)。

(1)網(wǎng)絡(luò)設(shè)備審計(jì)。

實(shí)時(shí)監(jiān)控所有網(wǎng)絡(luò)設(shè)備日志：包括每臺(tái)網(wǎng)絡(luò)設(shè)備的日志量趨勢(shì)，日志等級(jí)分布，通過(guò)ip地址和日志等級(jí)過(guò)濾，可以聯(lián)動(dòng)統(tǒng)計(jì)和查詢某臺(tái)異常網(wǎng)絡(luò)設(shè)備的事件趨勢(shì)，日志等級(jí)分別和日志詳情，方便快速定位故障。

(2)防火墻日志審計(jì)。

提供日志級(jí)別、事件代碼，五元組(源地址、目的地址、源端口、目的端口、訪問(wèn)協(xié)議)供用戶搜索過(guò)濾，用戶可以根據(jù)源ip、日志級(jí)別等快速進(jìn)行日志溯源。

輸出防火墻日志五元組巡檢日?qǐng)?bào)。

通過(guò)分析防火墻日志，識(shí)別可疑的掃描源ip信息，以及被掃描可疑目的ip和目的端口信息。

(3)IPS日志審計(jì)

實(shí)時(shí)攻擊概況分析

[[197339]]

另外，還有攻擊明細(xì)分析、郵件攻擊分析、SQL注入攻擊分析、Web攻擊分析等。

(4)安全設(shè)備日志分析場(chǎng)景

日志易可實(shí)現(xiàn)上百種安全設(shè)備事件統(tǒng)計(jì)規(guī)則，例如惡意軟件訪問(wèn)信息的統(tǒng)計(jì)，包括惡意軟件源IP分布、惡意軟件目的IP分布、惡意軟件服務(wù)分布、惡意軟件名、服務(wù)、事件數(shù)及百分比等，每種統(tǒng)計(jì)可以自定義統(tǒng)計(jì)周期。

通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的這些審計(jì)功能，日志易可以讓用戶：

1.通過(guò)日志手段對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行實(shí)時(shí)健康度監(jiān)控，有效補(bǔ)充網(wǎng)管軟件的不足;

2.滿足國(guó)家等級(jí)保護(hù)要求，對(duì)網(wǎng)絡(luò)設(shè)備，安全設(shè)備日志進(jìn)行集中收集和存儲(chǔ);

3.自動(dòng)輸出日常安全日?qǐng)?bào)/周報(bào)/月報(bào)，提供安全運(yùn)維人員工作效率;

4.通過(guò)對(duì)安全設(shè)備日志分析，有效實(shí)現(xiàn)安全日志和攻擊溯源分析，加大加強(qiáng)網(wǎng)絡(luò)安全管理，提供網(wǎng)絡(luò)安全等級(jí)。

最后，合規(guī)并不僅是應(yīng)對(duì)監(jiān)管的事情，安全無(wú)小事，用戶安全防御往往集中在外網(wǎng)，內(nèi)網(wǎng)安全防范往往比較薄弱，2015年的FortScale調(diào)查反饋85%的數(shù)據(jù)泄露是來(lái)于內(nèi)部威脅，內(nèi)部人員相對(duì)外部攻擊更容易接近重要信息或系統(tǒng)，并且內(nèi)部人員也會(huì)有更大動(dòng)力或傾向利用他們的職權(quán)去讓自己獲得利益，正所謂“禍起蕭墻”，攻破堡壘往往都是“自己人”，因?yàn)閷?duì)內(nèi)網(wǎng)各環(huán)節(jié)的用戶行為審計(jì)(UBA)就顯得愈發(fā)重要。

日志易通過(guò)系統(tǒng)用戶登錄行為分析、用戶操作行為分析、文件訪問(wèn)行為分析、用戶登錄域控日志分析、DNS&DHCP日志分析等全方位的內(nèi)容用戶行為分析，不僅能實(shí)現(xiàn)安全行為審計(jì)，還能協(xié)助內(nèi)網(wǎng)運(yùn)維分析，及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)網(wǎng)絡(luò)隱患。有效補(bǔ)充內(nèi)網(wǎng)安全防御薄弱環(huán)節(jié)，從內(nèi)到外構(gòu)建立體化安全防護(hù)堡壘，是安全運(yùn)營(yíng)中心(SOC)的重要組成部分。