658
什麼樣的日誌審計產品才能達到合規要求——日誌易
內容簡介
2017年6月1日,《中華人民共和國網絡安全法》正式實施,其對業務係統安全審計提出了新的要求。
原文摘錄如下:
“第二十一條 國家實行網絡安全等級保護製度。網絡運營者應當按照網絡安全等級保護製度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:
(一)不相關,此處略去;
(二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月;
(四)采取數據分類、重要數據備份和加密等措施;”
按照新法規的要求,傳統的運維做法及日誌分析方式很難滿足合規要求,傳統方式存在以下弊端:
1、運維方麵
需要登陸每一台服務器,使用腳本命令或程序查看,操作繁瑣,容易出錯;
數據是孤立分散的,無法進行關聯,無法提取出其中的共性;
隻能做簡單搜索和統計,無法滿足分析要求;
沒有實時監控和報警,如程序出錯日誌。
2、安全方麵
黑客入侵後往往會刪除、修改日誌,抹除入侵痕跡,導致無法通過日誌分析攻擊行為;
海量的 IDS/WAF 報警,根本無法辨別是否是誤報。
3、存儲日誌性能方麵
數據庫的 Schema 無法適應千變萬化的日誌格式;
沒有日誌生命周期管理手段;
無法提供海量日誌全文檢索和字段統計功能。
總結起來就是:**日誌數據複雜,管理難度大,難以集中管理,因此更無法進行關聯分析**。那麼該法規所涉及的行業和企業,尤其是需要滿足網絡安全等級保護第三級要求的企業,專業的日誌審計產品成為其滿足合規的必然選擇。
那選擇什麼樣的日誌分析產品,才能滿足合規要求?
(1)提供數據脫敏功能。滿足網絡安全法要求,對用戶數據進行脫敏處理。
(2)有數據備份、還原功能。按安全法要求,數據至少備份6個月,同時能夠還原指定時間範圍的日誌數據,以便監管部門調取。
(3)有靈活的查詢搜索功能。可以對數據進行實時搜索,曆史數據還原搜索,滿足監管部門的查詢需求。
(4)網絡安全事件實時預警,防控。可以對網絡設備節點故障進行實時告警及故障快速分析溯源,發現傳統安全設備沒有發現或阻斷的安全威脅,對線上故障及威脅快速響應。
(5)符合國家標準,並通過了具備資格機構的安全認證。
日誌易作為國內領先的日誌分析產品,能夠提供以下功能,幫助用戶滿足日誌審計合規要求。
第一,日誌易對日誌數據提供了脫敏功能,保證日誌處理後再次下載後的結果也是脫敏的
支持日誌全生命周期管理,支持配置不同種類日誌的生命周期,支持索引備份,支持界麵化日誌恢複,支持全文檢索。
使用日誌易產品,用戶可以實現:
1.滿足網絡安全法要求;
2.滿足監管部門日誌查詢要求;
3.實現數據生命周期管理,既提供明文數據查詢,也提供脫敏數據查詢,既能實現實時數據快速搜索,也能實現曆史數據還原搜索。
第二,日誌易能夠實現對網絡設備、安全設備的日誌審計。
(1)網絡設備審計
實時監控所有網絡設備日誌:包括每台網絡設備的日誌量趨勢,日誌等級分布,通過 IP 地址和日誌等級過濾,可以聯動統計和查詢某台異常網絡設備的事件趨勢,日誌等級分別和日誌詳情,方便快速定位故障。
(2)防火牆日誌審計
提供日誌級別、事件代碼、五元組(源地址、目的地址、源端口、目的端口、訪問協議)供用戶搜索過濾,用戶可以根據源 IP、日誌級別等快速進行日誌溯源。
輸出防火牆日誌五元組巡檢日報:
通過分析防火牆日誌,識別可疑的掃描源 IP 信息、被掃描可疑目的 IP 和目的端口信息。
(3)IPS 日誌審計實時攻擊概況分析
另外,日誌易還提供攻擊明細分析、郵件攻擊分析、SQL 注入攻擊分析、Web 攻擊分析等功能。
(4)安全設備日誌分析場景
日誌易可實現上百種安全設備事件統計規則,例如惡意軟件訪問信息的統計,包括惡意軟件源 IP 分布、惡意軟件目的 IP 分布、惡意軟件服務分布、惡意軟件名、服務、事件數及百分比等,每種統計可以自定義統計周期。
通過對網絡設備、安全設備的審計功能,日誌易可以幫助用戶:
1.通過日誌手段對網絡設備進行實時健康度監控,有效補充網管軟件的不足;
2.滿足國家等級保護要求,對網絡設備,安全設備日誌進行集中收集和存儲;
3.自動輸出日常安全日報、周報、月報,提高安全運維人員工作效率;
4.通過對安全設備日誌分析,有效實現安全日誌和攻擊溯源分析,加強網絡安全管理,提高網絡安全等級。
最後,合規並不僅僅是為了應對監管,所謂安全無小事,當前用戶安全防禦往往集中在外網,內網安全防範往往比較薄弱。然而2015年 FortScale 調查反饋85%的數據泄露是來於內部威脅,內部人員相對外部攻擊更容易接近重要信息或係統,正所謂“禍起蕭牆”,攻破堡壘的往往都是“自己人”,因此對內網各環節的用戶行為審計(UBA)就顯得愈發重要。
使用日誌易通過係統用戶登錄行為分析、用戶操作行為分析、文件訪問行為分析、用戶登錄域控日誌分析、DNS&DHCP 日誌分析等全方位的內容用戶行為分析,不僅能實現安全行為審計,還能協助內網運維分析,及時發現內網網絡隱患,是安全運營中心(SOC)的重要組成部分,能有效補充內網安全防禦薄弱環節,從內到外構建立體化安全防護堡壘。
最後更新:2017-07-27 09:03:14