1. 背景介紹
網絡安全和資料安全是數字經濟時代最重要的安全支撐,融合大資料、雲計算和物聯網等新技術在内的數字經濟早已上升至保障國家發展,服務國際民生的核心戰略。為應對數字經濟時代的網絡安全和資料安全需求,加強網絡安全管理和資料安全治理,國家于2016年11月7日在全國人大常委會通過了網絡安全治理的國家基本法——《網絡安全法》,又于2021年6月10日在全國人大通過了資料安全的國家基本法——《資料安全法》。網絡安全法和資料安全法,是我國新數字經濟時代網絡安全和資料安全規範治理方面的重要基礎法律依據,下面本文将從日志審計的角度對網絡安全法和資料安全法做出詳細解讀,對幫助企業上雲提供理論依據和實踐參考。
1.1 日志審計
日志,可以詳細地描述和記錄某種行為或某種狀态,其豐富的内容資訊和時間資訊能夠幫助企業進行事件分析,曆史複盤,内容驗證,同時從法律角度來講,日志也是重要的電子證據,準确的日志記錄和審計,能夠幫助使用者有效地減少資訊破壞,資訊洩漏,可以幫助和保障使用者的資料資訊安全。
日志審計服務App是阿裡雲
日志服務SLS(Simple Log Service)旗下的一款産品,它在繼承了日志服務SLS的全部功能以外,還有強大的多賬号管理及跨地域采集功能,支援通過
資源目錄(Resource Directory)的方式有組織性地統一地管理和記錄多賬号下雲産品執行個體的日志資訊,可以便于使用者進行統一分析,問題排查,回溯複盤等操作。日志審計APP可以自動化、中心化地采集雲産品日志并進行審計,其服務覆寫基礎(操作審計、k8s)、存儲(OSS、NAS)、網絡(SLB、API網關)、資料庫(RDS、PolarDB-X1.0,PolarDB)、安全(WAF、DDOS、SAS、CPS)等産品,還支援審計所需的存儲、查詢及資訊彙總等功能。
圖1 SLS日志審計服務整體架構
1.2 《網絡安全法》、《資料安全法》和《等保2.0》
網絡安全法
《網絡安全法》全稱《中華人民共和國網絡安全法》,其不少内容針對近年的網絡安全隐患,如個人資訊洩漏等。網絡安全,是指通過采取必要措施,防範對網絡的攻擊、入侵、幹擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運作的狀态,以及保障網絡存儲、傳輸、處理資訊的完整性、保密性、可用性的能力。該法明确了網絡詐騙等行為的定義和刑罰,明确了網絡營運商的責任,要求其處置違法資訊,配合偵查機關工作等。該法旨在防止網絡恐怖襲擊,網絡詐騙等行為,并賦予了政府在緊急情況下斷網的權力。
資料安全法
《資料安全法》的制定是為了規範資料處理活動,保障資料安全,促進資料開發利用,保護個人、組織的合法權益,維護國家主權,安全和發展利益,其全稱是《中華人民共和國資料安全法》。該法中所稱的資料是指任何以電子或者其他方式對資訊的記錄。其中,資料處理,包括資料的收集、存儲、使用、加工、傳輸、提供、公開等。資料安全,是指通過采取必要措施,明确資料處于有效保護和合法利用的狀态,以及具備保障持續安全狀态的能力。
等保2.0
《
資訊安全技術-網絡安全等級保護基本要求》由國家市場監督管理總局于2019年5月10日釋出,于2019年12月1日正式實施,簡稱"等保2.0"。2017年,《網絡安全法》的正式實施,标志着等級保護2.0的正式啟動。網絡安全法第21條明确“國家實行網絡安全等級保護制度” ,其第31條明确“國家對一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的關鍵資訊基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”。上述要求為網絡安全等級保護賦予了新的含義,重新調整和修訂等級保護1.0标準體系,配合網絡安全法的實施和落地,指導使用者按照網絡安全等級保護制度的新要求,履行網絡安全保護義務的意義重大。等級保護标準在1.0時代标準的基礎上,注重主動防禦,從被動防禦到事前、事中、事後全流程的安全可信、動态感覺和全面審計,實作了對傳統資訊系統、基礎資訊網絡、大資料、雲計算、移動網際網路、物聯網和工業控制資訊系統等級保護對象的全覆寫。
| 全稱 | 中華人民共和國網絡安全法 | 中華人民共和國資料安全法 | |
| 通過時間 | 2016年11月7日 | 2021年6月10日 | 2019年5月10日 |
| 施行時間 | 自2017年6月1日起施行。 | 自2021年9月1日起施行。 | 自2019年12月1日起施行 |
| 法律地位 | 第十二屆全國人民代表大會大常委會第二十四次會議表決通過,網絡安全治理的國家級基本法。 | 第十三屆全國人民代表大會常務委員會第二十九次會議通過。資料安全的國家級基本法。 | 全國資訊安全标準化技術委員會上報并執行,主管部門為國家标準化管理委員會 |
| 法律意義 | 是我國第一部全面規範網絡空間安全治理方面問題的基礎性法律。 | 是我國第一部全面規範資料安全治理方面問題的基礎性法律。 | 網絡安全等級保護制度是國家的網絡安全領域的基本國策、基本制度和基本方法。 |
| 側重點 | 網絡以及網絡中的資料。 網絡安全法保障網絡安全,維護網絡空間主權和國家安全、社會公共利益,重點關注“網絡自身的安全”,資料安全在網絡安全法中處于從屬地位。 | 資料以及資料所在的網絡。 确立了資料分類分級管理、資料安全審查、資料安全風險評估、監測預警和應急處置等基本制度,以提升國家資料安全能力,有效應對資料這一非傳統領域的國家安全挑戰,切實維護國家主權、安全和發展利益。首次将資料作為“關鍵要素”寫入法律,首次确認“資料權益”。 | 等級保護對象是指網絡安全等級保護工作中的對象,通常是指由計算機或者其他資訊終端及相關裝置 組成的按照一定的規則和程式對資訊進行收集、存儲、傳輸、交換、處理的系統,主要包括基礎資訊網絡、 雲計算平台/系統、大資料應用/平台/資源、物聯網、工業控制系統和采用移動互聯技術的系統等。 |
| 關系 | 網絡安全其最終目的是保障資料安全,如果資料安全做得到位,尤其是與網絡使用者鑒權有關的使用者密碼及關聯資訊、網絡配置和網絡漏洞資訊等資料獲得足夠安全保護,則網絡安全水準也獲得巨大提升。 資料安全有差別于網絡安全的範圍和價值,當資料通過網絡進行傳輸、處理時則嚴重依賴網絡安全。 資料安全法補充和細化了網絡安全法中關于資料安全的内容部分,具體包括資料的确權、經營、政務大資料等。資料安全法和網絡安全法相輔相成,使我國進入雙法互補、協同治理的大網絡空間安全新時代。 |
2.内容解讀
上一章節主要是對日志審計以及相關法律法規的背景和内容進行簡單介紹,下面我們将從日志審計的視角解析具體條例詳情。
2.1 日志留存期限
條例詳情
第二十一條 國家實行網絡安全等級保護制度。網絡營運者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受幹擾、破壞或者未經授權的通路,防止網絡資料洩露或者被竊取、篡改:
(一)制定内部安全管理制度和操作規程,确定網絡安全負責人,落實網絡安全保護責任;
(二)采取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;
(三)采取監測、記錄網絡運作狀态、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月;
細節解讀
根據《網絡安全法》第二十一條第三小節中明确規定了“采取監測、記錄網絡運作狀态、網絡安全事件的技術措施,并按照規定留存相關的網絡日志不少于六個月", 日志審計支援自定義資料儲存180天,甚至資料可以永久儲存,并且日志資料可以被溯源,無法進行篡改。日志審計是客戶安全合規依賴的基礎,企業使用者可以使用日志審計服務提供的審計功能,建構并輸出合規的審計資訊,如果客戶有安全中心(SOC), 可以直接消費日志審計中的日志,也可以使用阿裡雲安全中心消費日志。
圖2 日志審計全局配置頁面及存儲方式設定
2.2 賬号管理要求
為《網絡安全法》中網絡安全的保證提供了具體的實施執行标準, 是以企業不開展等級保護等于違反網絡安全法。以下是《網絡安全法》中等級保護的相關規定:
第二十一條要求,國家實施網絡安全等級保護制度;
第二十五條要求,網絡營運者應當制定網絡安全事件應急預案;
第三十一條則要求,關鍵基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護;
對于各行各業的網上營運企業來講,網絡安全等級保護是剛需,無論是教育、醫療、金融、遊戲、網際網路還是政府、交通行業以及經營貿易、電子通信、财務稅務、水電民生、國家防護體系建設等系統等都需要做網絡安全等級保護。
等保2.0——标準号GB/T 22239-2019,其第一級安全的有關要求如下
7.1.10.6 網絡和系統安全管理 本項要求包括:
b) 應指定專門的部門或人員進行賬戶管理,對申請賬戶、建立賬戶、删除賬戶等進行控制;
c) 應建立網絡和系統安全管理制度,對安全政策、賬戶管理、配置管理、日志管理、日常操作、升 級與打更新檔、密碼更新周期等方面作出規定;
在賬号操作及登入保護方面,日志審計內建了
操作審計actiontrail,并提供了内置的告警監控規則,例如可以對RAM密碼過期政策異常進行告警,對密鑰配置變更進行告警等。操作審計(ActionTrail)能夠幫助使用者監控并記錄阿裡雲賬号的活動,包括通過阿裡雲控制台、OpenAPI、開發者工具對雲上産品和服務的通路和使用行為。通過檢視操作審計日志,可以對阿裡雲賬号行為進行行為分析、安全分析,且能夠對資源變更行為進行追蹤,對行為合規性進行審計。
在多賬号管理方面,日志審計多賬号配置在此前提下支援資源目錄管理模式以及使用者自定義授權管理模式。其中資源目錄管理模式是通過日志審計服務內建了阿裡雲資源目錄實作的。使用者可以通過管理賬号或者委派管理者賬号将企業内其他阿裡雲賬号添加為成員,進而實作跨阿裡雲賬号采集雲産品日志。資源目錄(Resource Directory)是阿裡雲面向企業客戶提供的一套多級資源(賬号)關系管理服務。其本質是建立一套與使用者企業相關的,基于資源使用的關系結構。基于資源目錄全局一緻性的特點,企業使用者可以更友善地對企業内多個應用服務所對應的各種資源進行高效的規劃、建構和管理。
例如,日志審計某車企使用者,通過資源目錄管理将其他組織中阿裡雲賬号添加為成員,進而實作了跨賬号一體化雲産品日志采集,将采集到的日志進行中心化彙總和分析,進而幫助使用者更好地分析和了解日志,深度挖掘使用者需要的資訊和價值。
圖3 日志審計多賬号配置方案
2.3 資料防篡改
等保2.0 第二級别安全要求如下
8.1.10.6 網絡和系統安全管理
g)應嚴格控制變更性運維,經過審批後才可改變連接配接、安裝系統元件或調整配置參數,操作過程中應保留不可更改的審計日志,操作結束後應同步更新配置資訊庫;
h)應嚴格控制運維工具的使用,經過審批後才可接入進行操作,操作過程中應保留不可更改的審計日志,操作結束後應删除工具中的敏感資料;
i)應嚴格控制遠端運維的開通,經過審批後才可開通遠端運維接口或通道,操作過程中應保留不可更改的審計日志,操作結束後立即關閉接口或通道;
等保2.0對于審計日志不可更改提出了新的要求,日志審計在防止審計資料篡改方面有特别的設定,配置雲産品日志采集後,日志審計服務會建立專屬Logstore,具備日志服務Logstore所有的功能,進行以下操作限制。
- 保護資料不被篡改,您無法自行寫入資料,修改或删除索引。
- 隻能通過日志審計服務的配置頁面或接口修改存儲周期、删除Logstore。
使用日志審計服務可以更好地保障使用者資料的真實性和有效性,達到等保2.0對于曆史審計日志不可篡改的規定。
2.4 風險監測與預案
網絡安全法中第二十五條規定對于網絡風險應具備應急預案制度,以抵抗和降低風險。
第二十五條 網絡營運這應當制定網絡安全事件應急預案,及時處置系統漏洞、計算機病毒、網絡入侵、網絡攻擊等安全風險;在發生危害網絡安全的事件時,立即啟動應急預案,采取相應的補救措施,并按照規定向有關主管部門報告。
資料安全法中第二十九條規定
第二十九條 開展資料處理活動應當加強風險監測,發現資料安全缺陷、漏洞等風險時,應當立即采取補救措施;發生資料安全事件時,應當立即采取處置措施,按照規定及時告知使用者并向有關主管部門報告。
在前文中已經提到,日志審計支援阿裡雲下WAF、Anti-DDOS、SAS、CPS等安全産品的日志審計功能,例如DDoS防護日志又包括DDoS原生防護日志、DDoS進階防護國際版日志、DDoS進階防護新BGP版日志。SLS在很早就注意到了網絡安全的合規問題及風險,是以當使用者購買并使用阿裡雲此類雲安全防護産品後,在日志審計中開啟此類安全産品的日志采集審計功能,使用者就可根據對雲産品防護的日志彙總、分析、檢視攻擊記錄及日志防護詳情,并對攻防處理進行電子存證,幫助分析網絡漏洞,提升雲上安全體驗。
圖4 通過對比cc_action字段判斷某次頁面通路是否被DDoS判定為cc攻擊行為
威脅情報服務是阿裡雲提供的情報安全服務,結合威脅情報資料,通過對威脅來源進行實時自動化采集、分析、分類與關聯,評估企業資産中存在的威脅并為改善安全狀況提供建議。SLS日志審計服務與威脅情報服務深度內建,利用威脅情報服務提供的全球威脅情報評估能力,支援對接入SLS的多種雲産品日志(Actiontrial、SLB、OSS、SAS等)進行威脅情報檢測。在日志審計中,開啟威脅情報功能後,當雲産品存在潛在威脅時,對應的雲産品日志中将生成威脅情報相關的字段,進而幫助使用者有效識别資産中的潛在威脅,對威脅資訊的相關内容進行關聯、分析和處理,并将關聯和分析結果提供給安全裝置和相關安全人員使用,進而提升威脅檢查效率和響應速度。
圖5 日志審計與威脅情報的內建
2.5 資料中心化要求
等保2.0 在第四級安全要求,安全通用要求中有如下規定:
9.1.5.4 集中管控
d)應對分散在各個裝置上的審計資料進行收集彙總和集中分析,并保證審計記錄的 留存時間符合法律法規要求;
在第五級安全要求,大資料應用場景中也提出了如下建議:
H.5.3 安全計算環境
n) 大資料平台應保證不同客戶大資料應用的審計資料隔離存放,并提供不同客戶審計數 據收集彙總和集中分析的能力;
就資料彙總和集中分析而言,日志審計APP支援中心化資料存儲,從各個阿裡雲賬号、各個地域采集到的日志,會存儲到中心賬号下的一個中心Project中,目前中心化存儲可供選擇的地域如下所示。
- 中國:華北2(北京)、華北5(呼和浩特)、華東1(杭州)、華東2(上海)、華南1(深圳)、中國(香港)
- 海外:新加坡、日本(東京)、德國(法蘭克福)、印尼(雅加達)
對于SLB、OSS、PolarDB-X 1.0的通路日志,日志審計服務支援将各個主賬号采集到的日志存儲到中心主賬号下的各個與SLB、OSS、PolarDB-X 1.0執行個體處于相同地域的日志服務Project中(例如:杭州的OSS通路日志,存儲到杭州的日志服務Project中)。日志審計服務支援将各個地域的Logstore同步到一個中心化的Logstore中,以便做中心化查詢、分析、告警、可視化、二次開發等。使用日志審計服務能滿足資料存儲出境管理的有關規定,保障資料的地域性,符合網絡安全法和資料安全法的要求。
2.6 查詢分析和告警
網絡安全法第二十八條規定
第二十八條 網絡營運者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支援和協助。
資料安全法第二十二條規定
第二十二條 國家建立集中統一、高效權威的資料安全風險評估、報告、資訊共享、監測預警機制。國家資料安全工作協調機制統籌協調有關部門加強資料安全風險資訊的擷取、分析、研判、預警工作。
網絡安全法第二十九條規定
第二十九條 國家支援網絡營運者之間開展網絡安全資訊收集、分析、通報和應急處置等方面的合作,提高網絡營運者的安全保障能力。
等保2.0第二級安全要求條例規定
e)應詳細記錄運維記錄檔,包括日常巡檢工作、運作維護記錄、參數的設定和修改等内容;
f)應指定專門的部門或人員對日志、監測和報警資料等進行分析、統計,及時發現 可疑行為;
内容解讀
形象的說,日志存儲的主要目的除了用于記錄曆史操作,作為電子存證之外,更重要的功能是能夠進行分析查詢,幫助企業和使用者利用好資料,不僅要知道資料的主體,更要将資料利用起來,無論是二次加工、彙總統計、還是分析溯源、深度挖掘,在網絡安全和資料安全的架構下,日志資料應有更廣闊和深遠的應用前景和潛在價值。日志審計服務提供全資料生命周期的安全保護一棧式服務,客戶可以在日志審計中使用所有的日志服務的功能,例如日志服務提供日志查詢分析控制台,使用者可以先對日志進行過濾、統計、分析或者更進階的處理方式,并且可以将查詢語句儲存成告警,配置告警通知等,進而幫助使用者及時發現可疑行為。
圖6 日志審計繼承了日志服務的搜尋、查詢分析、告警、可視化等功能
SLS告警提供了超過數百個内置近百個安全合規、異常、配置最佳實踐監測規則,開箱即用并持續增加中。這些規則庫有覆寫了CIS(覆寫了賬号安全、資料庫安全等)和安全場景的最佳實踐,使用者僅需開啟對應規則,即可享受到全天候的安全保障。使用者可以在日志審計中體驗SLS告警帶來的雲上安全保障更新。
圖7 日志審計内置告警規則示例
《網絡安全法》、《資料安全法》及《等保2.0》為網絡時代數字化經濟的安全健康發展提供了有力支撐,也對企業數字安全管理提出了更高要求。日志審計可視、可控、可溯的日志全生命周期安全保護方案及阿裡雲各類雲安全服務,全方位地幫助守護企業雲上資産及資料安全,保障數字經濟産業的健全發展。
3. 參考文檔
- http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- http://www.cac.gov.cn/2016-11/07/c_1119867116.htm
- https://help.aliyun.com/document_detail/164065.html
- 日志服務 https://help.aliyun.com/document_detail/48869.html
- https://help.aliyun.com/document_detail/94475.html
- 操作審計 https://help.aliyun.com/document_detail/28804.html
- 威脅情報服務 https://help.aliyun.com/document_detail/176242.html
- 網絡安全等級保護2.0解讀 http://www.djbh.net/webdev/web/HomeWebAction.do?p=getGzjb&id=8a81825674296d130174bdf702c8002e
- http://std.samr.gov.cn/gb/search/gbDetailed?id=88F4E6DA63434198E05397BE0A0ADE2D
- 等保2.0 标準細則 https://www.tanovo.com/upload/ckfiles/2019/05/16/090738-299.pdf
- 日志服務告警 https://help.aliyun.com/document_detail/209951.html