2017-10-09 09:59:34 来源:互联网
国家层面举办网络安全宣传周,今年已是第四届,宣传周期间,开幕式、博览会、高峰论坛、表彰嘉奖等重要活动设置在上海,举行了一系列的评选和优秀人才表彰等,同时还开展了校园日、电信日、法治日、金融日、青少年日、个人信息保护日等主题日活动。各省(区、市)还结合各地实际,制定了网络安全宣传周实施方案,在全国范围内,同步开展充满知识性、趣味性、参与性、体验性的线上线下活动,一时间热闹非凡。然而网络安全宣传周刚过去,关于网络安全的话题才刚刚开始,尤其是对企业而言。
对于企业网络安全永远有说不完的痛
前不久网上就有一条关于《网络安全法》的热点新闻,重庆市某科技发展有限公司自2017年6月1日后,在提供互联网数据中心服务时,存在未依法留存用户登录相关网络日志的违法行为,根据《网络安全法》第二十一条(三)项、第五十九条之规定,决定给予该公司警告处罚,并责令限期十五日内进行整改。
不是涉黄不是反动不是版权,只是未依法留存用户登录相关网络日志,这家公司就引来了可能是他们公司创立以来的第一次触法。这还不是特例,短短一段时间内,全国范围内就有多起和《网络安全法》相关的处罚,而且除了《网络安全法》以外还有很多很多其他法规在考验着企业,企业必须处处小心。面对这种情况,企业应该怎么应对才好呢?没关系,日志易来帮你。
轻松合规从日志开始
日志易是国内从事IT运维日志、业务日志实时采集、搜索、分析和可视化系统研发的大数据公司,目前已帮助上百家企业完成日志安全合规,日志审计,日志统计等相关项目的实施,多年的一线服务经验让我们在面对审计合规时都能给出最好的解决方案,下面就是一些关于相关法规的合规整理,涉及网络安全法、三级等保、ISO 27001:2013、PCI DSS、中金国盛等,希望能够给您带来帮助。
1,网络安全法
来源条目 |
具体描述 |
日志易建议 |
第二十一条(三) |
采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月 |
使用日志易归档功能,将原本无法存储的文件做永久保存 |
第二十一条(四) |
采取数据分类、重要数据备份和加密等措施 |
日志易传输存储均加密,且数据均有备份,按照日志类型分类监控分析。 |
2,三级等保
来源条目 |
具体描述 |
日志易建议 |
网络安全管理 |
a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作 |
专人专岗,审计产品也应中立专用 |
|
b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定 |
日志易完全满足日志保存,辅助制定相关制度文档及管理制度 |
网络安全 |
a) 应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; |
网络设备开启记录,日志易负责集中采集存储 |
|
b) 审计记录应包括:事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关信息; |
原始日志里有记录审计阶段也无法统筹查看,需通过日志易解析出全部日志的审计要素 |
|
c) 应能够根据记录数据进行分析,并生成审计报表; |
通过日志易解析记录数据生成审计报表 |
|
d)应对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。 |
可设置为原始日志任何人不可读,日志易统一日志归口。日志易内的日志只可读不可写,分权查看,实时采集确保系统管理员更改原始日志也无法修改日志易内的记录 |
系统安全 |
d) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定; |
日志易完全满足日志保存,辅助制定相关制度文档及管理制度 |
|
f) 应依据操作手册对系统进行维护,详细记录操作日志,包括重要的日常操作、运行维护记录、参数的设置和修改等内容,严禁进行未经授权的操作; |
原始日志里有记录审计阶段也无法统筹查看,通过日志易解析出全部日志的审计要素,清晰的展示参数设置、修改。日志易对系统人员有详细的分权设置 |
|
g) 应定期对运行日志和审计数据进行分析,以便及时发现异常行为。 |
日志易能够进行用户行为分析,建立用户行为基线,对异常行为及时告警 |
安全审计 |
a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户; |
日志易能够直观展现所有操作系统用户和所有数据库用户的所有行为 |
|
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件; |
日志接入日志易后能够有效生成用户行为基线,排查异常使用和重要命令具体执行情况 |
|
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等; |
日志易能够从非结构化数据中清晰解析并展现日期、时间、类型、主题标识、客体标识及结果 |
|
d) 应能够根据记录数据进行分析,并生成审计报表; |
日志易能够分析数据,周期性形成审计报表 |
|
e) 应保护审计进程,避免受到未预期的中断; |
日志易的审计模块具备高可用性 |
|
f) 应保护审计记录,避免受到未预期的删除、修改或覆盖等。 |
可设置为原始日志任何人不可读,日志易统一日志归口。日志易内的日志只可读不可写,分权查看,实时采集确保系统管理员更改原始日志也无法修改日志易内的记录 |
3,ISO 27001 2013
来源条目 |
具体描述 |
日志易对标建议 |
|
运营安全/ |
日志信息的保护 |
应产生记录用户活动、异常、故障和信息安全事态的审核日志,并保持和定期评审 |
设备需记录,日志易提供异常、故障和信息安全事态的分析能力与相关报表 |
记录日志的设施和日志信息应给予保护,以防止篡改和未授权的访问 |
日志易上的日志只可读不可写,权限设置不允许未授权访问 |
||
系统管理员和系统操作员活动应记入日志,日志应被保护并定期评审 |
所有日志实时采集,基于管理员和操作人的标识可随时进行评审 |
4,PCI DSS
来源条目 |
具体描述 |
日志易对标建议 |
|
跟踪并监控对网络资源和持卡人数据的所有访问 |
对所有系统组件实施自动检查记录 |
检查日志的初始化、关闭或暂停 |
日志易监控日志服务状态 |
保护检查记录,禁止进行更改 |
在日志中使用文件完整性监视或更改检测软件,以确保在不生成警报的情况下,不能更改现有的日志数据(添加的新数据不应引起警报)。 |
日志易实时收集数据,原始数据在日志易平台只可读不可写 |
|
审核所有系统组件的日志和安全事件以识别异常情况或可疑活动 |
至少每天审核一次以下内容: |
日志易每天生成当日的审计报表,监测日志记录中断情况 |
|
根据组织的年度风险评估结果,基于组织的政策和风险管理策略定期审核所有其他系统组件的日志。 |
日志易提供最便利的查询,纵览各类日志 |
5,中金国盛
来源条目 |
具体描述(某支付商案例) |
日志易对标建议 |
|
网络安全 |
网络安全审计 |
未开启日志功能 |
应开启。日志易解决日志产生设备无法存储或发送日志的问题 |
没有专人定时查看并分析日志 |
需设立岗位。日志易提高分析效率,减轻查看工作 |
||
不对审计记录进行备份保存,日志信息循环记录 |
日志易默认备份保存,包括日志增量记录 |
||
未合理配置日志缓冲区大小 |
可通过日志转发到日志易的方式减轻缓冲区问题 |
||
日志中出现中断或明显跳跃情况。 |
可通过TCP的rsyslog或日志易Agent解决 |
||
网络设备、安全设备审计日志的内容不完善 |
若有其他设备或类型日志,可通过日志易关联查询补全 |
||
网络安全管理 |
未建立网络安全的相关管理制度,未对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定 |
日志易平台上的清晰统计有助于发现管理漏洞并建立配套制度 |
|
主机安全 |
访问控制 |
日志文件权限设置不安全 |
可将原始日志转存为任何人不可访问,权限通过日志易设置 |
安全审计 |
主机系统未开启系统日志审计功能 |
需开启 |
|
没有专人定时检查系统日志 |
日志易定时输出报表,分配权限,随时可读 |
||
主机日志保存时间过短(低于3个月) |
转入日志易可长期保存 |
||
未使用日志监控软件或日志服务器 |
使用日志易满足需求 |
||
没有单独为应用系统的日志建立文件系统,存在系统日志增长将文件系统耗尽的风险 |
通过日志易可准确评估日志增长量并提前规划以备不足 |
||
应用安全 |
身份鉴别 |
网络客户端日志中包含了明文的交易信息、用户口令、密钥及CVN/CVN2信息 |
原始日志转存后任何人不可读;存入日志易的日志按照人员权限设置脱敏。 |
Web页面安全 |
对应用系统没有提供日志记录,例如交易类和系统操作类等日志信息 |
需开启,日志易负责存储 |
|
安全日志记录不全或内容不详细,例如未包括非法访问记录、账户锁定等操作 |
原厂需整改,通过日志易分析提供需整改项 |
||
安全审计 |
目前未采用审计工具对应用系统操作日志进行分析 |
使用日志易满足需求 |
|
数据安全 |
交易数据及客户数据的安全性 |
系统没有相应审计工具对日志进行记录、分析和报告 |
使用日志易满足需求并接入相关日志 |
运维管理 |
设备管理 |
未规定网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期,网络设备升级前未对重要文件备份,网络设备漏洞扫描与修补的制度和落实记录,没有定期进行网络扫描 |
通过日志易完成日志生命周期管理。依靠设备本身提供的安全配置、漏洞及备份等操作日志,接入日志易即可发现问题 |
未明确系统安全策略、安全配置、日志管理和日常操作流程,缺少专人负责系统安全管理工作 |
日志易提供日志管理流程实施指南,需设立专人专岗负责。 |
||
未对网络设备、服务器等的使用操作进行记录,无设备的操作日志 |
使用日志易满足需求 |
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。