2019年5月13日下午，國家召開新聞發(fā)布會(huì)，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0（簡稱等保2.0）正式發(fā)布。網(wǎng)絡(luò)安全等級(jí)保護(hù)為信息系統(tǒng)、云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等定級(jí)對(duì)象的網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，幫助用戶提高定級(jí)對(duì)象的安全防護(hù)能力。等保2.0在2019年12月1日正式實(shí)施，也就是說現(xiàn)在我們的企業(yè)、金融機(jī)構(gòu)、政府單位，都需要按照等保2.0的要求來對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)。

等保2.0從1到5共分為5級(jí)，見的第三級(jí)的框架，在等保2.0框架里面安全技術(shù)和運(yùn)維的部分對(duì)于安全審計(jì)、集中審計(jì)都有非常明確的要求。

具體來看等保2.0里面對(duì)安全日志審計(jì)有些什么樣的要求呢？這里摘錄了一些部分：

8.1.4.3 安全審計(jì)

1. 應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；

2. 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息；

3. 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；

4. 應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)的中斷。

8.1.5.2 審計(jì)管理

應(yīng)通過審計(jì)管理員對(duì)對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢等。

8.1.5.4 集中管控

應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

除了等保以外，在網(wǎng)絡(luò)安全法里面也對(duì)日志的留存、安全審計(jì)提出了非常具體的要求：

“第二十一條 國家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)”

審計(jì)過程是收集、整理和分析審計(jì)證據(jù)的過程，日志是最重要的審計(jì)證據(jù)。

審計(jì)的內(nèi)容包括各種操作日志、流量日志、會(huì)話日志、原始報(bào)文等，核心難點(diǎn)和關(guān)鍵技術(shù)是大數(shù)據(jù)的匯聚、存儲(chǔ)、索引和分析技術(shù)。

所以，安全審計(jì)就是收集和記錄信息系統(tǒng)的各種日志、事件和流量信息，對(duì)這些信息進(jìn)行比較分析，檢查用戶或系統(tǒng)是否按照要求正常運(yùn)行的工作過程。

針對(duì)日志的數(shù)據(jù)量大，結(jié)構(gòu)多樣，價(jià)值密度低的特點(diǎn)，以及審計(jì)所要求的長期留存，不丟失，不被篡改的要求。利用大數(shù)據(jù)技術(shù)來構(gòu)建日志審計(jì)和管理平臺(tái)是目前的，也是最主流的選擇。

大數(shù)據(jù)平臺(tái)有這樣一些優(yōu)點(diǎn)：

基于大數(shù)據(jù)技術(shù)的日志審計(jì)平臺(tái)還可以和企業(yè)身份管理系統(tǒng)進(jìn)行結(jié)合。在安全審計(jì)中一個(gè)重要的挑戰(zhàn)的就是數(shù)字身份怎樣能夠追溯到自然人，通過日志審計(jì)和身份管理系統(tǒng)的結(jié)合，我們不但可以審計(jì)系統(tǒng)中每個(gè)ID的操作行為，而且可以知道這個(gè)ID所對(duì)應(yīng)的自然人是誰，從而完成安全審計(jì)的閉環(huán)。

基于大數(shù)據(jù)技術(shù)的日志審計(jì)平臺(tái)是滿足等保和其他法規(guī)要求的一個(gè)非常重要的安全基礎(chǔ)架構(gòu)。當(dāng)然，實(shí)現(xiàn)安全審計(jì)和法規(guī)遵從，只是日志分析的一個(gè)應(yīng)用場景。除此之外，日志分析在安全和運(yùn)維等方面還可以有很多發(fā)揮作用的地方。

日志安全審計(jì)能夠結(jié)合統(tǒng)一身份管理，實(shí)現(xiàn)自然人身份的追溯，不僅如此，日志審計(jì)也可以幫助身份管理系統(tǒng)不只掌握用戶登錄到認(rèn)證系統(tǒng)的情況，也能夠知道用戶登錄了之后又訪問了哪些業(yè)務(wù)系統(tǒng)，在業(yè)務(wù)系統(tǒng)里面做了什么樣的操作，兩者的結(jié)合就是用戶行為分析UEBA。

UEBA，全稱是用戶和實(shí)體行為分析。UEBA結(jié)合了來自服務(wù)器、網(wǎng)絡(luò)設(shè)備、VPN等的訪問日志，來自身份管理系統(tǒng)的登錄信息，信息，登錄操作的時(shí)間、地點(diǎn)、頻率等各種維度，并且結(jié)合對(duì)于用戶行為的建模分析，構(gòu)建用戶的訪問模式的基線baseline，從而能夠識(shí)別出異常的訪問并且對(duì)異常訪問的行為進(jìn)行告警，幫助企業(yè)更好地識(shí)別和規(guī)避來自內(nèi)部的威脅和風(fēng)險(xiǎn)。

下面兩個(gè)用戶行為分析的例子：

1、異常訪問檢測

異常訪問包括異常內(nèi)容、異常時(shí)間、異常頻率、異常地點(diǎn)等各種異常情況。

異常訪問檢測的場景可以用于離職審計(jì)，例如有員工提出離職，我們可以回溯他過去一個(gè)月或者三個(gè)月的訪問行為，從中發(fā)現(xiàn)異常的情況，例如訪問與他平時(shí)工作無關(guān)的資料，非工作時(shí)間的訪問，大量的下載資料等等，以避免員工離職造成的信息泄露風(fēng)險(xiǎn)。

2、關(guān)于賬號(hào)的風(fēng)險(xiǎn)檢測

報(bào)告賬號(hào)的泄露，賬號(hào)的非法的共享等，如圖所示，用戶B使用了用戶A的賬號(hào)訪問他本身沒有權(quán)限訪問的數(shù)據(jù)，提示可能是用戶B了用戶A的賬戶信息，也可能是用戶A違規(guī)將賬戶分享給用戶B，無論哪種情況都是重要的安全風(fēng)險(xiǎn)。

其他的用戶行為分析的場景還包括：

◆ 同一賬號(hào)在不同地理位置登錄

◆ 已刪除或者掛起賬號(hào)的嘗試訪問

等等。

除此之外，日志分析平臺(tái)還可以應(yīng)用于更多的場景，包括安全方面、運(yùn)維方面等，發(fā)揮其的價(jià)值。例如：

◆ 對(duì)于安全事件的集中管理分析

◆ 幫助運(yùn)維人員快速進(jìn)行故障診斷

◆ 通過應(yīng)用交易日志的分析實(shí)現(xiàn)對(duì)于應(yīng)用性能的監(jiān)測。

等等。

關(guān)于日志分析平臺(tái)的更多的應(yīng)用場景，將在后續(xù)的分享中展開做詳細(xì)的分析。