IT系統(tǒng)日志信息為啥要保存180天
當(dāng)前位置:點晴教程→知識管理交流
→『 技術(shù)文檔交流 』
我們運(yùn)維師傅經(jīng)常會因為日志保存太費(fèi)錢而只保存1個月的日志,有些運(yùn)維人員不清楚到底要保存哪些日志,導(dǎo)致有的日志比如Nginx日志保存了,有的日志比如waf日志沒保存。 我這里就試著分析一下,日志保存180天的要求是怎么來的,以及在面對不同的合規(guī)時,要保存哪些類型的日志。 日志保存要求,最最為大家熟知的應(yīng)該是來自《中華人民共和國網(wǎng)絡(luò)安全法》
圖來自 https://www.cac.gov.cn/2016-11/07/c_1119867116_2.htm 我們看到,在《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條中明確規(guī)定了“采取監(jiān)測、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安全事件的技術(shù)措施,并按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月。” 也就是說,我們要有技術(shù)措施記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)(如CPU利用率、內(nèi)存使用情況、網(wǎng)絡(luò)流量等),也要有技術(shù)措施記錄網(wǎng)絡(luò)安全事件(如登錄嘗試、權(quán)限變更、安全漏洞等)。然后這些記錄日志要保存180天以上。 在等保三級要求中(GB/T 28448-2019): 安全管理中心—集中管控—測評單元(L3-SMC1-10) 測評指標(biāo):應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析,并保證審計記錄的留存時間符合法律法規(guī)要求。 其中這個法律法規(guī)要求一般就是指網(wǎng)絡(luò)安全法中的要求,至少6個月。但也有一些行業(yè)有特殊要求,那暫且不表。 注意,如果這里審計記錄存儲的時間不滿足6個月的要求。那么可被判定為高風(fēng)險。
圖來自團(tuán)體標(biāo)準(zhǔn)《T/ISEAA 001-2020 網(wǎng)絡(luò)安全等級保護(hù)測評高風(fēng)險判定指引》 在通保中,也有類似要求。
從這里我們可以這樣總結(jié): 等保三級需要對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器的運(yùn)行狀況進(jìn)行集中監(jiān)測。對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析。 所以要有網(wǎng)絡(luò)流量分析、入侵防御、waf這類監(jiān)測數(shù)據(jù)。需要在性能允許的情況下開啟網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、數(shù)據(jù)庫的用戶操作類和安全事件類審計策略。如果性能不允許,需要使用第三方日志審計工具。 應(yīng)用系統(tǒng)操作類和安全類日志也要開啟并保存。可以部署日志服務(wù)器,統(tǒng)一收集各個設(shè)備的審計數(shù)據(jù),集中分析,保存6個月。 在其他情況下,比如通保二級以上的要求就需要各類安全監(jiān)測數(shù)據(jù)和操作系統(tǒng)以及中間件日志保存6個月。如果是在阿里云上,就主要看云安全中心和云監(jiān)控數(shù)據(jù)和相關(guān)日志信息。如果是機(jī)房,那就需要有一定的設(shè)備來實現(xiàn)監(jiān)測數(shù)據(jù)的收集。 說得還不夠具體,畢竟咱現(xiàn)在手里沒有一些具體的設(shè)備操作圖片,等有機(jī)會摸一些生產(chǎn)設(shè)備的時候,脫敏出來給大家看看更清楚。 THE END 該文章在 2024/7/22 15:01:14 編輯過 |
關(guān)鍵字查詢
相關(guān)文章
正在查詢... 
|
400 186 1886
