基于日志审计服务解读网络数据时代新安全

本文涉及的产品
对象存储 OSS,20GB 3个月
网络型负载均衡 NLB,每月750个小时 15LCU
对象存储 OSS,内容安全 1000次 1年
简介: 《网络安全法》、《数据安全法》及《等保2.0》为网络时代数字化经济的安全健康发展提供了有力支撑,也对企业数字安全管理提出了更高要求。日志审计App可视、可控、可溯的日志全生命周期安全保护方案及阿里云各类云安全服务,全方位地帮助守护企业云上资产及数据安全,保障数字经济产业的健全发展。

《网络安全法》、《数据安全法》及《等保2.0》为网络时代数字化经济的安全健康发展提供了有力支撑,也对企业数字安全管理提出了更高要求。日志审计App可视、可控、可溯的日志全生命周期安全保护方案及阿里云各类云安全服务,全方位地帮助守护企业云上资产及数据安全,保障数字经济产业的健全发展。

背景介绍

网络安全和数据安全是数字经济时代最重要的安全支撑,为应对数字经济时代的网络安全和数据安全需求,加强网络安全管理和数据安全治理,国家于2016年11月7日在全国人大常委会通过了网络安全治理的国家基本法——《网络安全法》,又于2021年6月10日在全国人大通过了数据安全的国家基本法——《数据安全法》。

网络安全法和数据安全法,是我国新数字经济时代网络安全和数据安全规范治理方面的重要基础法律依据,下面本文将基于日志审计App的使用对网络安全法和数据安全法做出详细解读,对帮助企业安全合规提供理论依据和实践参考。

日志审计服务

日志,可以详细地描述和记录某种行为或某种状态,其丰富的内容信息和时间信息能够帮助企业进行事件分析,历史复盘,内容取证,同时从法律角度来讲,日志也是重要的电子证据,准确的日志记录和审计,能够帮助用户有效地减少信息破坏,信息泄漏,可以帮助和保障用户的数据信息安全。在SLS日志控制台开启日志审计服务如下图。开启日志审计应用

日志审计服务App是阿里云日志服务SLS((Simple Log Service))旗下的一款产品,它在继承了日志服务SLS的全部功能以外,还有强大的多账号管理及跨地域采集功能,支持通过资源目录(Resource Directory)的方式有组织性地统一地管理和记录多账号下云产品实例的日志信息,可以便于用户进行统一分析,问题排查,回溯复盘等操作。日志审计APP可以自动化、中心化地采集云产品日志并进行审计,其服务覆盖基础(操作审计、k8s)、存储(OSS、NAS)、网络(SLB、API网关)、数据库(RDS、PolarDB-X1.0,PolarDB)、安全(WAF、DDoS、SAS、CPS)等产品,还支持审计所需的存储、查询及信息汇总等功能。下图是SLS日志审计服务的整体架构。

image.png

《网络安全法》、《数据安全法》和《等保2.0》

网络安全法

《网络安全法》全称《中华人民共和国网络安全法》, 网络安全,是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。

数据安全法

《数据安全法》的制定是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权,安全和发展利益,其全称是《中华人民共和国数据安全法》。

等保2.0

信息安全技术-网络安全等级保护基本要求》由国家市场监督管理总局于2019年5月10日发布,于2019年12月1日正式实施,简称"等保2.0"。

2017年,《网络安全法》的正式实施,标志着等级保护2.0的正式启动。网络安全法第21条明确“国家实行网络安全等级保护制度” ,其第31条明确“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。

网络安全法

数据安全法

等保2.0

全称

中华人民共和国网络安全法

中华人民共和国数据安全法

信息安全技术-网络安全等级保护基本要求

通过时间

2016年11月7日

2021年6月10日

2019年5月10日

施行时间

自2017年6月1日起施行。

自2021年9月1日起施行。

自2019年12月1日起施行

法律意义

是我国第一部全面规范网络空间安全治理方面问题的基础性法律。

是我国第一部全面规范数据安全治理方面问题的基础性法律。

网络安全等级保护制度是国家的网络安全领域的基本国策、基本制度和基本方法。

解读与实践

上一章节主要是对日志审计以及相关法律法规的背景和内容进行简单介绍,下面我们将从日志审计的视角解析具体条例详情。

日志留存期限

条例详情

说明

第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

解读与实践

根据《网络安全法》第二十一条第三小节中明确规定了“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”, 日志审计App支持自定义数据保存180天,甚至数据可以永久保存,并且日志数据可以被溯源,无法进行篡改。日志审计App是客户安全合规依赖的基础,企业用户可以使用日志审计服务提供的审计功能,构建并输出合规的审计信息,如果客户有安全中心(SOC),可以直接消费日志审计中的日志,也可以使用阿里云安全中心消费日志。在日志审计App全局配置页面开启存储天数设定如下图所示。

image.png

账号管理要求

条例详情

第二十一条要求,国家实施网络安全等级保护制度; 第二十五条要求,网络运营者应当制定网络安全事件应急预案; 第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护。

对于各行各业的网上运营企业来讲,网络安全等级保护是刚需,无论是教育、医疗、金融、游戏、互联网还是政府、交通行业以及经营贸易、电子通信、财务税务、水电民生、国家防护体系建设等系统等都需要做网络安全等级保护。

等保2.0——标准号GB/T 22239-2019,其第一级安全的有关要求如下:

说明

网络和系统安全管理本项要求包括: 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制; 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。

解读与实践

在账号操作及登录保护方面,日志审计App集成了操作审计actiontrail 日志接入,并提供了内置的告警监控规则,例如可以对RAM密码过期策略异常进行告警,对密钥配置变更进行告警等。操作审计(ActionTrail)能够帮助用户监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。通过查看操作审计日志,可以对阿里云账号行为进行行为分析、安全分析,且能够对资源变更行为进行追踪,对行为合规性进行审计。

在多账号管理方面,日志审计多账号配置在此前提下支持资源目录管理模式以及用户自定义授权管理模式。其中资源目录管理模式是通过日志审计服务集成了阿里云资源目录实现的。用户可以通过管理账号或者委派管理员账号将企业内其他阿里云账号添加为成员,从而实现跨阿里云账号采集云产品日志。

例如,日志审计某车企用户,通过资源目录管理将其他组织中阿里云账号添加为成员,从而实现了跨账号一体化云产品日志采集,将采集到的日志进行中心化汇总和分析,从而帮助用户更好地分析和理解日志,深度挖掘用户需要的信息和价值。下图是在日志审计App中配置多账号的引导示例。

image.png

数据防篡改

条例详情

等保2.0 第二级别安全要求如下:

说明

网络和系统安全管理:应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; 应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据; 应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道。

解读与实践

等保2.0对于审计日志不可更改提出了新的要求,日志审计在防止审计数据篡改方面有特别的设定,配置云产品日志采集后,日志审计服务会创建专属Logstore,具备日志服务Logstore所有的功能,进行以下操作限制。

  • 保护数据不被篡改,您无法自行写入数据,修改或删除索引。

  • 只能通过日志审计服务的配置页面或接口修改存储周期、删除Logstore。

使用日志审计服务App可以更好地保障用户数据的真实性和有效性,达到等保2.0对于历史审计日志不可篡改的规定。

风险监测与预案

条例详情

网络安全法中第二十五条规定对于网络风险应具备应急预案制度,以抵抗和降低风险。

说明

第二十五条网络运营这应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

数据安全法中第二十九条规定。

说明

第二十九条开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

解读与实践

在前文中已经提到,日志审计App支持阿里云下WAF、Anti-DDoS、SAS、CPS等安全产品的日志接入,例如DDoS防护日志,包括DDoS原生防护日志、DDoS高级防护国际版日志、DDoS高级防护新BGP版日志均已接入日志审计App。SLS在很早就注意到了网络安全的合规问题及风险,因此当用户购买并使用阿里云此类云安全防护产品后,在日志审计App中开启此类安全产品的日志采集审计功能,用户就可根据对云产品防护的日志汇总、分析、查看攻击记录及日志防护详情,并对攻防处理进行电子存证,帮助分析网络漏洞,提升云上安全体验。例如,下图是一个在日志审计App中开启DDoS防护日志采集,根据采集到的日志分析攻击防护行为的实践案例。下图是一个通过对比cc_action字段判断某次页面访问是否被DDoS判定为cc攻击行为的示例。

image.png

威胁情报服务是阿里云提供的情报安全服务,结合威胁情报数据,通过对威胁来源进行实时自动化采集、分析、分类与关联,评估企业资产中存在的威胁并为改善安全状况提供建议。SLS日志审计服务与威胁情报服务深度集成,利用威胁情报服务提供的全球威胁情报评估能力,支持对接入SLS的多种云产品日志(Actiontrial、SLB、OSS、SAS等)进行威胁情报检测。​在日志审计App中,开启威胁情报功能后,当云产品存在潜在威胁时,对应的云产品日志中将生成威胁情报相关的字段,从而帮助用户有效识别资产中的潜在威胁,对威胁信息的相关内容进行关联、分析和处理,并将关联和分析结果提供给安全设备和相关安全人员使用,从而提升威胁检查效率和响应速度。

image.png

数据中心化要求

条例详情

等保2.0 在第四级安全要求,安全通用要求中有如下规定:

说明

应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求。

在第五级安全要求,大数据应用场景中也提出了如下建议:

说明

安全计大数据平台应保证不同客户大数据应用的审计数据隔离存放,并提供不同客户审计数据收集汇总和集中分析的能力。

解读与实践

就数据汇总和集中分析而言,日志审计APP支持中心化数据存储,从各个阿里云账号、各个地域采集到的日志,会存储到中心账号下的一个中心Project中,目前中心化存储可供选择的地域如下所示。

说明

中国:华北1(青岛)、华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)

说明

海外:新加坡、日本(东京)、德国(法兰克福)、印度尼西亚(雅加达)

日志审计中心区域选择

对于SLB、OSS、PolarDB-X 1.0等的访问日志,日志审计服务支持将各个主账号采集到的日志存储到中心主账号下的各个与SLB、OSS、PolarDB-X 1.0实例处于相同地域的日志服务Project中(例如:杭州的OSS访问日志,存储到杭州的日志服务Project中)。日志审计服务App支持将各个地域的Logstore同步到一个中心化的Logstore中,以便做中心化查询、分析、告警、可视化、二次开发等。

查询分析和告警

条例详情

网络安全法第二十八条规定:

说明

第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。

数据安全法第二十二条规定:

说明

第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。

网络安全法第二十九条规定:

说明

第二十九条国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。

等保2.0第二级安全要求条规定:

说明

网络和系统安全管理: 应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为。

解读与实践

形象的说,日志存储的主要目的除了用于记录历史操作,作为电子存证之外,更重要的功能是能够进行分析查询,帮助企业和用户利用好数据,不仅要知道数据的主体,更要将数据利用起来,无论是二次加工、汇总统计、还是分析溯源、深度挖掘,在网络安全和数据安全的框架下,日志数据应有更广阔和深远的应用前景和潜在价值。日志审计服务提供全数据生命周期的安全保护一栈式服务,客户可以在日志审计中使用所有的日志服务的功能,例如日志服务提供日志查询分析控制台,用户可以先对日志进行过滤、统计、分析或者更高级的处理方式,并且可以将查询语句保存成告警,配置告警通知等,从而帮助用户及时发现可疑行为。

image.png

SLS告警提供了超过数百个内置近百个安全合规、异常、配置最佳实践监测规则,开箱即用并持续增加中。这些规则库有覆盖了CIS(覆盖了账号安全、数据库安全等)和安全场景的最佳实践,用户仅需开启对应规则,即可享受到全天候的安全保障。用户可以在日志审计App中体验SLS告警带来的云上安全保障升级。如下图是一个日志审计App内置告警规则的示例。

image.png

参考文档

相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
相关文章
|
1天前
|
存储 监控 安全
网络安全视角:从地域到账号的阿里云日志审计实践
日志审计的必要性在于其能够帮助企业和组织落实法律要求,打破信息孤岛和应对安全威胁。选择 SLS 下日志审计应用,一方面是选择国家网络安全专用认证的日志分析产品,另一方面可以快速帮助大型公司统一管理多组地域、多个账号的日志数据。除了在日志服务中存储、查看和分析日志外,还可通过报表分析和告警配置,主动发现潜在的安全威胁,增强云上资产安全。
|
1月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
72 32
|
18天前
|
云安全 人工智能 安全
|
24天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
1月前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
59 11
|
25天前
|
算法 安全 网络安全
网络安全服务
机密主要利用密码学技术加密文件实现,完整主要利用验证码/Hash技术,可用**主要灾备来保障。 网络环境下的身份鉴别,当然还是依托于密码学,一种可以使用口令技术,另一种则是依托物理形式的鉴别,如身份卡等。其实更为安全的是实施多因子的身份认证,不只使用一种方式。数字签名可以用来保证信息的完整性,比如RSA就可以用于数字签名: 若A向B发送信息m则先用自己的保密密钥(私钥)对m加密,然后用B的公钥第二次加密,发送个B后,B先用自己的私钥解密一次,再用A的公钥解密即可。 Kerberos使用对称密码算法来实现通过可信第三方密钥分发中心的认证服务,已经成为工业界的事实标准。
36 3
|
1月前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
1月前
|
SQL 安全 算法
数字时代的守护者:网络安全与信息安全的现代策略
在数字化浪潮中,网络安全与信息安全如同航船上不可或缺的罗盘和舵。本文将探讨网络安全漏洞的成因、加密技术的重要性以及安全意识的培养,旨在为读者提供一套完整的网络自我保护指南。从基础概念到实用策略,我们将一起航行在安全的海洋上,确保每一位船员都能抵达信息保护的彼岸。
|
1月前
|
安全 算法 网络安全
量子计算与网络安全:保护数据的新方法
量子计算的崛起为网络安全带来了新的挑战和机遇。本文介绍了量子计算的基本原理,重点探讨了量子加密技术,如量子密钥分发(QKD)和量子签名,这些技术利用量子物理的特性,提供更高的安全性和可扩展性。未来,量子加密将在金融、政府通信等领域发挥重要作用,但仍需克服量子硬件不稳定性和算法优化等挑战。
|
1月前
|
云安全 人工智能 安全
阿里云稳居公共云网络安全即服务市占率第一
IDC发布《中国公有云网络安全即服务市场份额,2023:规模稳步增长,技术创新引领市场格局》报告,阿里云以27.0%的市场份额蝉联榜首。

热门文章

最新文章