我們運維師傅經常會因為日志保存太費錢而只保存1個月的日志,有些運維人員不清楚到底要保存哪些日志�,導致有的日志比如Nginx日志保存了,有的日志比如waf日志沒保存����。
我這里就試著分析一下��,日志保存180天的要求是怎么來的�����,以及在面對不同的合規時,要保存哪些類型的日志�����。
日志保存要求�����,最最為大家熟知的應該是來自《中華人民共和國網絡安全法》
圖來自 https://www.cac.gov.cn/2016-11/07/c_1119867116_2.htm
我們看到�����,在《中華人民共和國網絡安全法》第二十一條中明確規定了“采取監測、記錄網絡運行狀態��、網絡安全事件的技術措施�,并按照規定留存相關的網絡日志不少于六個月?����!?br style="margin: 0px; padding: 0px; outline: 0px; max-width: 100%; box-sizing: border-box !important; overflow-wrap: break-word !important; visibility: visible;"/>
也就是說�����,我們要有技術措施記錄網絡運行狀態(如CPU利用率、內存使用情況�、網絡流量等)�,也要有技術措施記錄網絡安全事件(如登錄嘗試����、權限變更、安全漏洞等)����。然后這些記錄日志要保存180天以上��。
在等保三級要求中(GB/T 28448-2019):
安全管理中心—集中管控—測評單元(L3-SMC1-10)
測評指標:應對分散在各個設備上的審計數據進行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規要求����。
其中這個法律法規要求一般就是指網絡安全法中的要求��,至少6個月�。但也有一些行業有特殊要求�����,那暫且不表����。
注意����,如果這里審計記錄存儲的時間不滿足6個月的要求��。那么可被判定為高風險�。
圖來自團體標準《T/ISEAA 001-2020 網絡安全等級保護測評高風險判定指引》
在通保中�����,也有類似要求����。
從這里我們可以這樣總結:
等保三級需要對網絡鏈路����、安全設備、網絡設備和服務器的運行狀況進行集中監測。對分散在各個設備上的審計數據進行收集匯總和集中分析��。
所以要有網絡流量分析�����、入侵防御�、waf這類監測數據����。需要在性能允許的情況下開啟網絡設備、安全設備、主機設備���、數據庫的用戶操作類和安全事件類審計策略。如果性能不允許,需要使用第三方日志審計工具�����。
應用系統操作類和安全類日志也要開啟并保存����??梢圆渴鹑罩痉掌鳎y一收集各個設備的審計數據��,集中分析�,保存6個月。
在其他情況下����,比如通保二級以上的要求就需要各類安全監測數據和操作系統以及中間件日志保存6個月�。如果是在阿里云上��,就主要看云安全中心和云監控數據和相關日志信息�。如果是機房���,那就需要有一定的設備來實現監測數據的收集�。
說得還不夠具體,畢竟咱現在手里沒有一些具體的設備操作圖片����,等有機會摸一些生產設備的時候��,脫敏出來給大家看看更清楚。
THE END
該文章在 2024/7/22 15:01:14 編輯過
400 186 1886
