2019年5月13日下午，國(guó)家召開(kāi)新聞發(fā)布會(huì)，網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0（簡(jiǎn)稱(chēng)等保2.0）正式發(fā)布。網(wǎng)絡(luò)安全等級(jí)保護(hù)為信息系統(tǒng)、云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)等定級(jí)對(duì)象的網(wǎng)絡(luò)安全建設(shè)和管理提供系統(tǒng)性、針對(duì)性、可行性的指導(dǎo)和服務(wù)，幫助用戶(hù)提高定級(jí)對(duì)象的安全防護(hù)能力。等保2.0在2019年12月1日正式實(shí)施，也就是說(shuō)現(xiàn)在我們的企業(yè)、金融機(jī)構(gòu)、政府單位，都需要按照等保2.0的要求來(lái)對(duì)信息系統(tǒng)進(jìn)行安全保護(hù)。

等保2.0從1到5共分為5級(jí)，見(jiàn)的第三級(jí)的框架，在等保2.0框架里面安全技術(shù)和運(yùn)維的部分對(duì)于安全審計(jì)、集中審計(jì)都有非常明確的要求。

具體來(lái)看等保2.0里面對(duì)安全日志審計(jì)有些什么樣的要求呢？這里摘錄了一些部分：

8.1.4.3 安全審計(jì)

1. 應(yīng)啟用安全審計(jì)功能，審計(jì)覆蓋到每個(gè)用戶(hù)，對(duì)重要的用戶(hù)行為和重要安全事件進(jìn)行審計(jì)；

2. 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信息；

3. 應(yīng)對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；

4. 應(yīng)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)的中斷。

8.1.5.2 審計(jì)管理

應(yīng)通過(guò)審計(jì)管理員對(duì)對(duì)審計(jì)記錄進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計(jì)策略對(duì)審計(jì)記錄進(jìn)行存儲(chǔ)、管理和查詢(xún)等。

8.1.5.4 集中管控

應(yīng)對(duì)分散在各個(gè)設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計(jì)記錄的留存時(shí)間符合法律法規(guī)要求。

除了等保以外，在網(wǎng)絡(luò)安全法里面也對(duì)日志的留存、安全審計(jì)提出了非常具體的要求：

“第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)的訪問(wèn)，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改：

（一）制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

（二）采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；

（三）采取監(jiān)測(cè)、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月；

（四）采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施；

（五）法律、行政法規(guī)規(guī)定的其他義務(wù)”

審計(jì)過(guò)程是收集、整理和分析審計(jì)證據(jù)的過(guò)程，日志是最重要的審計(jì)證據(jù)。

審計(jì)的內(nèi)容包括各種操作日志、流量日志、會(huì)話日志、原始報(bào)文等，核心難點(diǎn)和關(guān)鍵技術(shù)是大數(shù)據(jù)的匯聚、存儲(chǔ)、索引和分析技術(shù)。

所以，安全審計(jì)就是收集和記錄信息系統(tǒng)的各種日志、事件和流量信息，對(duì)這些信息進(jìn)行比較分析，檢查用戶(hù)或系統(tǒng)是否按照要求正常運(yùn)行的工作過(guò)程。

針對(duì)日志的數(shù)據(jù)量大，結(jié)構(gòu)多樣，價(jià)值密度低的特點(diǎn)，以及審計(jì)所要求的長(zhǎng)期留存，不丟失，不被篡改的要求。利用大數(shù)據(jù)技術(shù)來(lái)構(gòu)建日志審計(jì)和管理平臺(tái)是目前的，也是最主流的選擇。

大數(shù)據(jù)平臺(tái)有這樣一些優(yōu)點(diǎn)：

基于大數(shù)據(jù)技術(shù)的日志審計(jì)平臺(tái)還可以和企業(yè)身份管理系統(tǒng)進(jìn)行結(jié)合。在安全審計(jì)中一個(gè)重要的挑戰(zhàn)的就是數(shù)字身份怎樣能夠追溯到自然人，通過(guò)日志審計(jì)和身份管理系統(tǒng)的結(jié)合，我們不但可以審計(jì)系統(tǒng)中每個(gè)ID的操作行為，而且可以知道這個(gè)ID所對(duì)應(yīng)的自然人是誰(shuí)，從而完成安全審計(jì)的閉環(huán)。

基于大數(shù)據(jù)技術(shù)的日志審計(jì)平臺(tái)是滿(mǎn)足等保和其他法規(guī)要求的一個(gè)非常重要的安全基礎(chǔ)架構(gòu)。當(dāng)然，實(shí)現(xiàn)安全審計(jì)和法規(guī)遵從，只是日志分析的一個(gè)應(yīng)用場(chǎng)景。除此之外，日志分析在安全和運(yùn)維等方面還可以有很多發(fā)揮作用的地方。

日志安全審計(jì)能夠結(jié)合統(tǒng)一身份管理，實(shí)現(xiàn)自然人身份的追溯，不僅如此，日志審計(jì)也可以幫助身份管理系統(tǒng)不只掌握用戶(hù)登錄到認(rèn)證系統(tǒng)的情況，也能夠知道用戶(hù)登錄了之后又訪問(wèn)了哪些業(yè)務(wù)系統(tǒng)，在業(yè)務(wù)系統(tǒng)里面做了什么樣的操作，兩者的結(jié)合就是用戶(hù)行為分析UEBA。

UEBA，全稱(chēng)是用戶(hù)和實(shí)體行為分析。UEBA結(jié)合了來(lái)自服務(wù)器、網(wǎng)絡(luò)設(shè)備、VPN等的訪問(wèn)日志，來(lái)自身份管理系統(tǒng)的登錄信息，信息，登錄操作的時(shí)間、地點(diǎn)、頻率等各種維度，并且結(jié)合對(duì)于用戶(hù)行為的建模分析，構(gòu)建用戶(hù)的訪問(wèn)模式的基線baseline，從而能夠識(shí)別出異常的訪問(wèn)并且對(duì)異常訪問(wèn)的行為進(jìn)行告警，幫助企業(yè)更好地識(shí)別和規(guī)避來(lái)自?xún)?nèi)部的威脅和風(fēng)險(xiǎn)。

下面兩個(gè)用戶(hù)行為分析的例子：

1、異常訪問(wèn)檢測(cè)

異常訪問(wèn)包括異常內(nèi)容、異常時(shí)間、異常頻率、異常地點(diǎn)等各種異常情況。

異常訪問(wèn)檢測(cè)的場(chǎng)景可以用于離職審計(jì)，例如有員工提出離職，我們可以回溯他過(guò)去一個(gè)月或者三個(gè)月的訪問(wèn)行為，從中發(fā)現(xiàn)異常的情況，例如訪問(wèn)與他平時(shí)工作無(wú)關(guān)的資料，非工作時(shí)間的訪問(wèn)，大量的下載資料等等，以避免員工離職造成的信息泄露風(fēng)險(xiǎn)。

2、關(guān)于賬號(hào)的風(fēng)險(xiǎn)檢測(cè)

報(bào)告賬號(hào)的泄露，賬號(hào)的非法的共享等，如圖所示，用戶(hù)B使用了用戶(hù)A的賬號(hào)訪問(wèn)他本身沒(méi)有權(quán)限訪問(wèn)的數(shù)據(jù)，提示可能是用戶(hù)B了用戶(hù)A的賬戶(hù)信息，也可能是用戶(hù)A違規(guī)將賬戶(hù)分享給用戶(hù)B，無(wú)論哪種情況都是重要的安全風(fēng)險(xiǎn)。

其他的用戶(hù)行為分析的場(chǎng)景還包括：

◆ 同一賬號(hào)在不同地理位置登錄

◆ 已刪除或者掛起賬號(hào)的嘗試訪問(wèn)

等等。

除此之外，日志分析平臺(tái)還可以應(yīng)用于更多的場(chǎng)景，包括安全方面、運(yùn)維方面等，發(fā)揮其*的價(jià)值。例如：

◆ 對(duì)于安全事件的集中管理分析

◆ 幫助運(yùn)維人員快速進(jìn)行故障診斷

◆ 通過(guò)應(yīng)用交易日志的分析實(shí)現(xiàn)對(duì)于應(yīng)用性能的監(jiān)測(cè)。

等等。

關(guān)于日志分析平臺(tái)的更多的應(yīng)用場(chǎng)景，將在后續(xù)的分享中展開(kāi)做詳細(xì)的分析。