這兩天被各大新聞網站一條來自重慶公安局網安總隊的新聞吸引,因為它和以往我們印象中的網警新聞不同,包含了一個很有意思的關鍵詞:《網絡安全法》。輾轉來到源頭重慶網警公眾號我們找到詳細的內容:重慶市某科技發展有限公司自 2017 年 6 月 1 日後,在提供網際網路數據中心服務時,存在未依法留存用戶登錄相關網絡日誌的違法行為,根據《網絡安全法》第二十一條(三)項、第五十九條之規定,決定給予該公司警告處罰,並責令限期十五日內進行整改。
不是涉黃不是反動不是版權,只是未依法留存用戶登錄相關網絡日誌,這和我們心目當中的「違法」好像挨不上邊,但是就是這麼一個看似簡單的理由讓這家公司吃了苦頭。那麼這關於網絡日誌的第二十一條(三)項到底是什麼內容呢?翻閱 6 月 1 號發布的《中華人民共和國網絡安全法》(下稱《網絡安全法》)後我們發現,第二十一條(三)項規定:採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月。
看起來還是那麼簡單明了,雖然這是重慶《網絡安全法》第一案,但並不是《網絡安全法》的第一次亮相,短短兩個月的時間裡,全國範圍內就有多起和《網絡安全法》相關的處罰,那麼《網絡安全法》到底是什麼呢?
什麼是《網絡安全法》?為什麼「第一案」發生在第二十一條?
《中華人民共和國網絡安全法》是為保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經濟社會信息化健康發展制定。由全國人民代表大會常務委員會於 2016 年 11 月 7 日發布,自 2017 年 6 月 1 日起施行。《網絡安全法》包含了網絡安全支持與促進、網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全、監測預警與應急處置等幾大章節,這次違法所涉及的第二十一條就在第三章,網絡運行安全。
那麼《網絡安全法》的七章數十條條款裡,為什麼「第一案」發生在第二十一條呢?我們先來看看第二十一條的詳細內容:
第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據洩露或者被竊取、篡改:
(一)制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任;
(二)採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月;
(四)採取數據分類、重要數據備份和加密等措施;
(五)法律、行政法規規定的其他義務。
從第二十一條的詳細內容我們可以看到,和重慶網警所描述網絡日誌相關的不只是第(三)項,第(二)項裡的「技術措施」和第(四)項裡的「備份與加密」都是和日誌相關,並且這還不是全部,查看《網絡安全法》我們能發現關於實時性要求的第二十五條:網絡運營者應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險;關於數據脫敏的第四十條:網絡運營者應當對其收集的用戶信息嚴格保密(脫敏),並建立健全用戶信息保護制度;甚至還有關於供應商要求的第二十三條:網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求,由具備資格的機構安全認證合格或者安全檢測符合要求後,方可銷售或者提供。
這些規定看起來都很「簡單」,但是為什麼還會出錯呢?其實從《網絡安全法》的解讀裡我們就能找到答案:「《網絡安全法》將近年來一些成熟的好做法制度化,並為將來可能的制度創新做了原則性規定,為網絡安全工作提供切實法律保障。」這些看似簡單的法規其實是將一些成熟的好做法制度化,但是新法規下,傳統運維的做法及日誌分析方式,很難滿足合規要求,這也是「第一案」發生的主要原因。
面對新《網絡安全法》我們該如何自處?
然而新《網絡安全法》已經實施,大部分企業運維以及日誌處理能力並沒有及時跟上,我們難道要坐看第二案第三案不斷發生嗎?在討論處理辦法之前我們還需要來看看傳統的運維及日誌分析方法存在的弊端:
1、運維方面
需要登陸每一臺伺服器,使用腳本命令或程序查看,操作繁瑣,容易出錯。
數據是孤立分散的,無法進行關聯,無法提取出其中的共性。
只能做簡單搜索和統計,無法滿足分析要求。
沒有實時監控和報警,如程序出錯日誌。
2、安全方面
黑客入侵後往往會刪除/修改日誌,抹除入侵痕跡,導致無法通過日誌分析攻擊行為。
海量的ids/waf報警,根本無法辨別是否是誤報。
3、存儲日誌性能方面
資料庫的schema無法適應千變萬化的日誌格式。
沒有日誌生命周期管理手段。
無法提供海量日誌全文檢索和欄位統計功能。
總結一下就是日誌數據複雜,管理難度大,難以集中管理,更無法進行關聯分析,實時性和安全性也無法保障。《網絡安全法》所涉及的行業和企業,尤其是需要滿足網絡安全等級保護第三級要求的企業,和「第一案」裡公司一樣的所處的境地一樣,急需專業的日誌審計產品。
那麼選擇什麼樣的日誌分析產品才能滿足審計合規?我們根據《網絡安全法》可以歸納出五條基本要求:
(1)提供數據脫敏功能。滿足網絡安全法要求,對用戶數據進行脫敏處理。
(2)有數據備份/還原功能。按安全法要求,數據至少備份 6 個月,同時能夠還原指定時間範圍的日誌數據,以便監管部門調取。
(3)有靈活的查詢搜索功能。可以對數據進行實時搜索,歷史數據還原搜索,滿足監管部門的查詢需求。
(4)網絡安全事件實時預警,防控。可以對網絡設備節點故障進行實時告警及故障快速分析溯源,發現傳統安全設備沒有發現或阻斷的安全威脅,對線上故障及威脅快速響應。
(5)符合國家標準,並通過了具備資格機構的安全認證。
日誌易作為國內領先的日誌分析產品,能夠很好的滿足用戶日誌審計合規要求。首先,日誌易提供了日誌數據脫敏功能,而且做到下載後的數據也是脫敏的。
日誌分析日誌脫敏(日誌易)
日誌易支持日誌全生命周期管理,支持配置不同種類日誌的生命周期,支持索引備份,支持界面化日誌恢復,支持全文檢索。
其次,日誌易能夠實現對網絡設備、安全設備的日誌審計。包括網絡設備審計、防火牆日誌審計、IPS日誌審計等。
最後,日誌易還可實現上百種安全設備事件統計規則,例如惡意軟體訪問信息的統計,包括惡意軟體源IP分布、惡意軟體目的IP分布、惡意軟體服務分布、惡意軟體名、服務、事件數及百分比等,每種統計可以自定義統計周期。
這樣,用戶可以在短時間之內滿足《網絡安全法》以及監管部門日誌查詢要求,同時還能從多維度提升自身運維與安全能力:
通過日誌手段對網絡設備進行實時健康度監控,有效補充網管軟體的不足;
實現數據生命周期管理,既提供明文數據查詢,也提供脫敏數據查詢,既能實現實時數據快速搜索,也能實現歷史數據還原搜索。
滿足國家等級保護要求,對網絡設備,安全設備日誌進行集中收集和存儲;
自動輸出日常安全日報/周報/月報,提供安全運維人員工作效率;
通過對安全設備日誌分析,有效實現安全日誌和攻擊溯源分析,加大加強網絡安全管理,提供網絡安全等級。
再看《網絡安全法》第二十一條安全之路並沒有走完
也許我們從「第一案」發生的角度解決了問題,但是我們再回頭去仔細分析第二十一條,我們還會發現很多細節:我們需要防範的不止是計算機病毒和網絡攻擊、網絡侵入,監測的也不應該只是外網的網絡運行狀態、網絡安全事件,安全是一個不分內外的事。
以往用戶安全防禦往往集中在外網,內網安全防範往往比較薄弱, 2015 年的FortScale調查反饋85%的數據洩露是來於內部威脅,內部人員相對外部攻擊更容易接近重要信息或系統,並且內部人員也會有更大動力或傾向利用他們的職權去讓自己獲得利益,正所謂「禍起蕭牆」,攻破堡壘往往都是「自己人」,因為對內網各環節的用戶行為審計(UBA)也顯得愈發重要。
日誌易通過系統用戶登錄行為分析、用戶操作行為分析、文件訪問行為分析、用戶登錄域控日誌分析、DNS&DHCP日誌分析等全方位的內容用戶行為分析,不僅能實現安全行為審計,還能協助內網運維分析,及時發現內網網絡隱患。有效補充內網安全防禦薄弱環節,從內到外構建立體化安全防護堡壘,是安全運營中心(SOC)的重要組成部分。
最後借用「重慶網警」的一句話來做個結尾:網絡安全靠大家,學法用法關乎你我他,關於網絡安全,我們未來的路還很長。