我們運(yùn)維師傅經(jīng)常會(huì)因?yàn)槿罩颈4嫣M(fèi)錢而只保存1個(gè)月的日志����,有些運(yùn)維人員不清楚到底要保存哪些日志,導(dǎo)致有的日志比如Nginx日志保存了�,有的日志比如waf日志沒保存。
我這里就試著分析一下��,日志保存180天的要求是怎么來的����,以及在面對(duì)不同的合規(guī)時(shí)���,要保存哪些類型的日志����。
日志保存要求����,最最為大家熟知的應(yīng)該是來自《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
圖來自 https://www.cac.gov.cn/2016-11/07/c_1119867116_2.htm
我們看到,在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條中明確規(guī)定了“采取監(jiān)測(cè)���、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)�����、網(wǎng)絡(luò)安全事件的技術(shù)措施�,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月?!?br style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box !important; overflow-wrap: break-word !important; visibility: visible;"/>
也就是說,我們要有技術(shù)措施記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)(如CPU利用率��、內(nèi)存使用情況����、網(wǎng)絡(luò)流量等),也要有技術(shù)措施記錄網(wǎng)絡(luò)安全事件(如登錄嘗試�����、權(quán)限變更�����、安全漏洞等)�����。然后這些記錄日志要保存180天以上���。
在等保三級(jí)要求中(GB/T 28448-2019):
安全管理中心—集中管控—測(cè)評(píng)單元(L3-SMC1-10)
測(cè)評(píng)指標(biāo):應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析�����,并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求����。
其中這個(gè)法律法規(guī)要求一般就是指網(wǎng)絡(luò)安全法中的要求,至少6個(gè)月�。但也有一些行業(yè)有特殊要求,那暫且不表���。
注意,如果這里審計(jì)記錄存儲(chǔ)的時(shí)間不滿足6個(gè)月的要求�。那么可被判定為高風(fēng)險(xiǎn)。
圖來自團(tuán)體標(biāo)準(zhǔn)《T/ISEAA 001-2020 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引》
在通保中�����,也有類似要求�。
從這里我們可以這樣總結(jié):
等保三級(jí)需要對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備��、網(wǎng)絡(luò)設(shè)備和服務(wù)器的運(yùn)行狀況進(jìn)行集中監(jiān)測(cè)�����。對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析。
所以要有網(wǎng)絡(luò)流量分析���、入侵防御�、waf這類監(jiān)測(cè)數(shù)據(jù)����。需要在性能允許的情況下開啟網(wǎng)絡(luò)設(shè)備、安全設(shè)備��、主機(jī)設(shè)備���、數(shù)據(jù)庫(kù)的用戶操作類和安全事件類審計(jì)策略���。如果性能不允許,需要使用第三方日志審計(jì)工具�。
應(yīng)用系統(tǒng)操作類和安全類日志也要開啟并保存?�?梢圆渴鹑罩痉?wù)器�,統(tǒng)一收集各個(gè)設(shè)備的審計(jì)數(shù)據(jù),集中分析,保存6個(gè)月��。
在其他情況下����,比如通保二級(jí)以上的要求就需要各類安全監(jiān)測(cè)數(shù)據(jù)和操作系統(tǒng)以及中間件日志保存6個(gè)月。如果是在阿里云上�,就主要看云安全中心和云監(jiān)控?cái)?shù)據(jù)和相關(guān)日志信息。如果是機(jī)房��,那就需要有一定的設(shè)備來實(shí)現(xiàn)監(jiān)測(cè)數(shù)據(jù)的收集���。
說得還不夠具體�����,畢竟咱現(xiàn)在手里沒有一些具體的設(shè)備操作圖片,等有機(jī)會(huì)摸一些生產(chǎn)設(shè)備的時(shí)候�,脫敏出來給大家看看更清楚。
THE END
該文章在 2024/7/22 15:01:14 編輯過
400 186 1886
