我們運(yùn)維師傅經(jīng)常會(huì)因?yàn)槿罩颈4嫣M(fèi)錢(qián)而只保存1個(gè)月的日志�,有些運(yùn)維人員不清楚到底要保存哪些日志�����,導(dǎo)致有的日志比如Nginx日志保存了����,有的日志比如waf日志沒(méi)保存����。
我這里就試著分析一下,日志保存180天的要求是怎么來(lái)的�����,以及在面對(duì)不同的合規(guī)時(shí)����,要保存哪些類(lèi)型的日志���。
日志保存要求,最最為大家熟知的應(yīng)該是來(lái)自《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
圖來(lái)自 https://www.cac.gov.cn/2016-11/07/c_1119867116_2.htm
我們看到��,在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條中明確規(guī)定了“采取監(jiān)測(cè)�����、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)�����、網(wǎng)絡(luò)安全事件的技術(shù)措施�,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月?��!?br style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box !important; overflow-wrap: break-word !important; visibility: visible;"/>
也就是說(shuō)��,我們要有技術(shù)措施記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)(如CPU利用率���、內(nèi)存使用情況、網(wǎng)絡(luò)流量等)�,也要有技術(shù)措施記錄網(wǎng)絡(luò)安全事件(如登錄嘗試、權(quán)限變更、安全漏洞等)�。然后這些記錄日志要保存180天以上。
在等保三級(jí)要求中(GB/T 28448-2019):
安全管理中心—集中管控—測(cè)評(píng)單元(L3-SMC1-10)
測(cè)評(píng)指標(biāo):應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析�����,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求�����。
其中這個(gè)法律法規(guī)要求一般就是指網(wǎng)絡(luò)安全法中的要求����,至少6個(gè)月��。但也有一些行業(yè)有特殊要求�����,那暫且不表����。
注意,如果這里審計(jì)記錄存儲(chǔ)的時(shí)間不滿(mǎn)足6個(gè)月的要求��。那么可被判定為高風(fēng)險(xiǎn)。
圖來(lái)自團(tuán)體標(biāo)準(zhǔn)《T/ISEAA 001-2020 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》
在通保中����,也有類(lèi)似要求。
從這里我們可以這樣總結(jié):
等保三級(jí)需要對(duì)網(wǎng)絡(luò)鏈路�����、安全設(shè)備�、網(wǎng)絡(luò)設(shè)備和服務(wù)器的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)。對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析����。
所以要有網(wǎng)絡(luò)流量分析、入侵防御��、waf這類(lèi)監(jiān)測(cè)數(shù)據(jù)�。需要在性能允許的情況下開(kāi)啟網(wǎng)絡(luò)設(shè)備、安全設(shè)備���、主機(jī)設(shè)備����、數(shù)據(jù)庫(kù)的用戶(hù)操作類(lèi)和安全事件類(lèi)審計(jì)策略���。如果性能不允許�,需要使用第三方日志審計(jì)工具。
應(yīng)用系統(tǒng)操作類(lèi)和安全類(lèi)日志也要開(kāi)啟并保存��?�?梢圆渴鹑罩痉?wù)器�����,統(tǒng)一收集各個(gè)設(shè)備的審計(jì)數(shù)據(jù)�,集中分析,保存6個(gè)月����。
在其他情況下���,比如通保二級(jí)以上的要求就需要各類(lèi)安全監(jiān)測(cè)數(shù)據(jù)和操作系統(tǒng)以及中間件日志保存6個(gè)月��。如果是在阿里云上��,就主要看云安全中心和云監(jiān)控?cái)?shù)據(jù)和相關(guān)日志信息�����。如果是機(jī)房�,那就需要有一定的設(shè)備來(lái)實(shí)現(xiàn)監(jiān)測(cè)數(shù)據(jù)的收集。
說(shuō)得還不夠具體��,畢竟咱現(xiàn)在手里沒(méi)有一些具體的設(shè)備操作圖片�����,等有機(jī)會(huì)摸一些生產(chǎn)設(shè)備的時(shí)候�����,脫敏出來(lái)給大家看看更清楚�。
THE END
該文章在 2024/7/22 15:01:14 編輯過(guò)
400 186 1886
