1. 背景介绍
网络安全和数据安全是数字经济时代最重要的安全支撑,融合大数据、云计算和物联网等新技术在内的数字经济早已上升至保障国家发展,服务国际民生的核心战略。为应对数字经济时代的网络安全和数据安全需求,加强网络安全管理和数据安全治理,国家于2016年11月7日在全国人大常委会通过了网络安全治理的国家基本法——《网络安全法》,又于2021年6月10日在全国人大通过了数据安全的国家基本法——《数据安全法》。网络安全法和数据安全法,是我国新数字经济时代网络安全和数据安全规范治理方面的重要基础法律依据,下面本文将从日志审计的角度对网络安全法和数据安全法做出详细解读,对帮助企业上云提供理论依据和实践参考。
1.1 日志审计
日志,可以详细地描述和记录某种行为或某种状态,其丰富的内容信息和时间信息能够帮助企业进行事件分析,历史复盘,内容取证,同时从法律角度来讲,日志也是重要的电子证据,准确的日志记录和审计,能够帮助用户有效地减少信息破坏,信息泄漏,可以帮助和保障用户的数据信息安全。
日志审计服务App是阿里云日志服务SLS(Simple Log Service)旗下的一款产品,它在继承了日志服务SLS的全部功能以外,还有强大的多账号管理及跨地域采集功能,支持通过资源目录(Resource Directory)的方式有组织性地统一地管理和记录多账号下云产品实例的日志信息,可以便于用户进行统一分析,问题排查,回溯复盘等操作。日志审计APP可以自动化、中心化地采集云产品日志并进行审计,其服务覆盖基础(操作审计、k8s)、存储(OSS、NAS)、网络(SLB、API网关)、数据库(RDS、PolarDB-X1.0,PolarDB)、安全(WAF、DDOS、SAS、CPS)等产品,还支持审计所需的存储、查询及信息汇总等功能。
图1 SLS日志审计服务整体架构
1.2 《网络安全法》、《数据安全法》和《等保2.0》
网络安全法
《网络安全法》全称《*网络安全法》,其不少内容针对近年的网络安全隐患,如个人信息泄漏等。网络安全,是指通过采取必要措施,防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。该法明确了网络诈骗等行为的定义和刑罚,明确了网络运营商的责任,要求其处置违法信息,配合侦查机关工作等。该法旨在防止网络恐怖袭击,网络诈骗等行为,并赋予了*在紧急情况下断网的权力。
数据安全法
《数据安全法》的制定是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权,安全和发展利益,其全称是《*数据安全法》。该法中所称的数据是指任何以电子或者其他方式对信息的记录。其中,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。数据安全,是指通过采取必要措施,明确数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
等保2.0
《信息安全技术-网络安全等级保护基本要求》由国家市场监督管理总局于2019年5月10日发布,于2019年12月1日正式实施,简称"等保2.0"。2017年,《网络安全法》的正式实施,标志着等级保护2.0的正式启动。网络安全法第21条明确“国家实行网络安全等级保护制度” ,其第31条明确“国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。上述要求为网络安全等级保护赋予了新的含义,重新调整和修订等级保护1.0标准体系,配合网络安全法的实施和落地,指导用户按照网络安全等级保护制度的新要求,履行网络安全保护义务的意义重大。等级保护标准在1.0时代标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计,实现了对传统信息系统、基础信息网络、大数据、云计算、移动互联网、物联网和工业控制信息系统等级保护对象的全覆盖。
网络安全法 |
数据安全法 |
等保2.0 |
|
全称 |
*网络安全法 |
*数据安全法 |
信息安全技术-网络安全等级保护基本要求 |
通过时间 |
2016年11月7日 |
2021年6月10日 |
2019年5月10日 |
施行时间 |
自2017年6月1日起施行。 |
自2021年9月1日起施行。 |
自2019年12月1日起施行 |
法律地位 |
第十二届全国人民代表大会大常委会第二十四次会议表决通过,网络安全治理的*基本法。 |
第十三届全国人民代表大会常务委员会第二十九次会议通过。数据安全的*基本法。 |
全国信息安全标准化技术委员会上报并执行,主管部门为国家标准化管理委员会 |
法律意义 |
是我国第一部全面规范网络空间安全治理方面问题的基础性法律。 |
是我国第一部全面规范数据安全治理方面问题的基础性法律。 |
网络安全等级保护制度是国家的网络安全领域的基本国策、基本制度和基本方法。 |
侧重点 |
网络以及网络中的数据。 网络安全法保障网络安全,维护网络空间主权和国家安全、社会公共利益,重点关注“网络自身的安全”,数据安全在网络安全法中处于从属地位。 |
数据以及数据所在的网络。 确立了数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,以提升国家数据安全能力,有效应对数据这一非传统领域的国家安全挑战,切实维护国家主权、安全和发展利益。首次将数据作为“关键要素”写入法律,首次确认“数据权益”。 |
等级保护对象是指网络安全等级保护工作中的对象,通常是指由计算机或者其他信息终端及相关设备 组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统,主要包括基础信息网络、 云计算平台/系统、大数据应用/平台/资源、物联网、工业控制系统和采用移动互联技术的系统等。 |
关系 |
网络安全其最终目的是保障数据安全,如果数据安全做得到位,尤其是与网络用户鉴权有关的用户密码及关联信息、网络配置和网络漏洞信息等数据获得足够安全保护,则网络安全水平也获得巨大提升。 数据安全有区别于网络安全的范围和价值,当数据通过网络进行传输、处理时则严重依赖网络安全。 数据安全法补充和细化了网络安全法中关于数据安全的内容部分,具体包括数据的确权、经营、政务大数据等。数据安全法和网络安全法相辅相成,使我国进入双法互补、协同治理的大网络空间安全新时代。 |
2.内容解读
上一章节主要是对日志审计以及相关法律法规的背景和内容进行简单介绍,下面我们将从日志审计的视角解析具体条例详情。
2.1 日志留存期限
条例详情
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
细节解读
根据《网络安全法》第二十一条第三小节中明确规定了“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月", 日志审计支持自定义数据保存180天,甚至数据可以永久保存,并且日志数据可以被溯源,无法进行篡改。日志审计是客户安全合规依赖的基础,企业用户可以使用日志审计服务提供的审计功能,构建并输出合规的审计信息,如果客户有安全中心(SOC), 可以直接消费日志审计中的日志,也可以使用阿里云安全中心消费日志。
图2 日志审计全局配置页面及存储方式设定
2.2 账号管理要求
条例详情
等保2.0为《网络安全法》中网络安全的保证提供了具体的实施执行标准, 因此企业不开展等级保护等于违反网络安全法。以下是《网络安全法》中等级保护的相关规定:
第二十一条要求,国家实施网络安全等级保护制度;
第二十五条要求,网络运营者应当制定网络安全事件应急预案;
第三十一条则要求,关键基础设施,在网络安全等级保护制度的基础上,实行重点保护;
对于各行各业的网上运营企业来讲,网络安全等级保护是刚需,无论是教育、医疗、金融、游戏、互联网还是*、交通行业以及经营贸易、电子通信、财务税务、水电民生、国家防护体系建设等系统等都需要做网络安全等级保护。
等保2.0——标准号GB/T 22239-2019,其第一级安全的有关要求如下
7.1.10.6 网络和系统安全管理 本项要求包括:
b) 应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户等进行控制;
c) 应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升 级与打补丁、口令更新周期等方面作出规定;
细节解读
在账号操作及登录保护方面,日志审计集成了操作审计actiontrail,并提供了内置的告警监控规则,例如可以对RAM密码过期策略异常进行告警,对密钥配置变更进行告警等。操作审计(ActionTrail)能够帮助用户监控并记录阿里云账号的活动,包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。通过查看操作审计日志,可以对阿里云账号行为进行行为分析、安全分析,且能够对资源变更行为进行追踪,对行为合规性进行审计。
在多账号管理方面,日志审计多账号配置在此前提下支持资源目录管理模式以及用户自定义授权管理模式。其中资源目录管理模式是通过日志审计服务集成了阿里云资源目录实现的。用户可以通过管理账号或者委派管理员账号将企业内其他阿里云账号添加为成员,从而实现跨阿里云账号采集云产品日志。资源目录(Resource Directory)是阿里云面向企业客户提供的一套多级资源(账号)关系管理服务。其本质是建立一套与用户企业相关的,基于资源使用的关系结构。基于资源目录全局一致性的特点,企业用户可以更方便地对企业内多个应用服务所对应的各种资源进行高效的规划、构建和管理。
例如,日志审计某车企用户,通过资源目录管理将其他组织中阿里云账号添加为成员,从而实现了跨账号一体化云产品日志采集,将采集到的日志进行中心化汇总和分析,从而帮助用户更好地分析和理解日志,深度挖掘用户需要的信息和价值。
图3 日志审计多账号配置方案
2.3 数据防篡改
条例详情
等保2.0 第二级别安全要求如下
8.1.10.6 网络和系统安全管理
g)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库;
h)应严格控制运维工具的使用,经过审批后才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工具中的敏感数据;
i)应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道;
细节解读
等保2.0对于审计日志不可更改提出了新的要求,日志审计在防止审计数据篡改方面有特别的设定,配置云产品日志采集后,日志审计服务会创建专属Logstore,具备日志服务Logstore所有的功能,进行以下操作限制。
- 保护数据不被篡改,您无法自行写入数据,修改或删除索引。
- 只能通过日志审计服务的配置页面或接口修改存储周期、删除Logstore。
使用日志审计服务可以更好地保障用户数据的真实性和有效性,达到等保2.0对于历史审计日志不可篡改的规定。
2.4 风险监测与预案
条例详情
网络安全法中第二十五条规定对于网络风险应具备应急预案制度,以抵抗和降低风险。
第二十五条 网络运营这应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。
数据安全法中第二十九条规定
第二十九条 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
细节解读
在前文中已经提到,日志审计支持阿里云下WAF、Anti-DDOS、SAS、CPS等安全产品的日志审计功能,例如DDoS防护日志又包括DDoS原生防护日志、DDoS高级防护国际版日志、DDoS高级防护新BGP版日志。SLS在很早就注意到了网络安全的合规问题及风险,因此当用户购买并使用阿里云此类云安全防护产品后,在日志审计中开启此类安全产品的日志采集审计功能,用户就可根据对云产品防护的日志汇总、分析、查看攻击记录及日志防护详情,并对攻防处理进行电子存证,帮助分析网络漏洞,提升云上安全体验。
图4 通过对比cc_action字段判断某次页面访问是否被DDoS判定为cc攻击行为
威胁情报服务是阿里云提供的情报安全服务,结合威胁情报数据,通过对威胁来源进行实时自动化采集、分析、分类与关联,评估企业资产中存在的威胁并为改善安全状况提供建议。SLS日志审计服务与威胁情报服务深度集成,利用威胁情报服务提供的全球威胁情报评估能力,支持对接入SLS的多种云产品日志(Actiontrial、SLB、OSS、SAS等)进行威胁情报检测。在日志审计中,开启威胁情报功能后,当云产品存在潜在威胁时,对应的云产品日志中将生成威胁情报相关的字段,从而帮助用户有效识别资产中的潜在威胁,对威胁信息的相关内容进行关联、分析和处理,并将关联和分析结果提供给安全设备和相关安全人员使用,从而提升威胁检查效率和响应速度。
图5 日志审计与威胁情报的集成
2.5 数据中心化要求
条例详情
等保2.0 在第四级安全要求,安全通用要求中有如下规定:
9.1.5.4 集中管控
d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的 留存时间符合法律法规要求;
在第五级安全要求,大数据应用场景中也提出了如下建议:
H.5.3 安全计算环境
n) 大数据平台应保证不同客户大数据应用的审计数据隔离存放,并提供不同客户审计数 据收集汇总和集中分析的能力;
细节解读
就数据汇总和集中分析而言,日志审计APP支持中心化数据存储,从各个阿里云账号、各个地域采集到的日志,会存储到中心账号下的一个中心Project中,目前中心化存储可供选择的地域如下所示。
- 中国:华北2(北京)、华北5(呼和浩特)、华东1(杭州)、华东2(上海)、华南1(深圳)、中国(香港)
- 海外:新加坡、日本(东京)、德国(法兰克福)、印尼(雅加达)
对于SLB、OSS、PolarDB-X 1.0的访问日志,日志审计服务支持将各个主账号采集到的日志存储到中心主账号下的各个与SLB、OSS、PolarDB-X 1.0实例处于相同地域的日志服务Project中(例如:杭州的OSS访问日志,存储到杭州的日志服务Project中)。日志审计服务支持将各个地域的Logstore同步到一个中心化的Logstore中,以便做中心化查询、分析、告警、可视化、二次开发等。使用日志审计服务能满足数据存储出境管理的有关规定,保障数据的地域性,符合网络安全法和数据安全法的要求。
2.6 查询分析和告警
条例详情
网络安全法第二十八条规定
第二十八条 网络运营者应当为*机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。
数据安全法第二十二条规定
第二十二条 国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
网络安全法第二十九条规定
第二十九条 国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作,提高网络运营者的安全保障能力。
等保2.0第二级安全要求条例规定
8.1.10.6 网络和系统安全管理
e)应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置和修改等内容;
f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现 可疑行为;
内容解读
形象的说,日志存储的主要目的除了用于记录历史操作,作为电子存证之外,更重要的功能是能够进行分析查询,帮助企业和用户利用好数据,不仅要知道数据的主体,更要将数据利用起来,无论是二次加工、汇总统计、还是分析溯源、深度挖掘,在网络安全和数据安全的框架下,日志数据应有更广阔和深远的应用前景和潜在价值。日志审计服务提供全数据生命周期的安全保护一栈式服务,客户可以在日志审计中使用所有的日志服务的功能,例如日志服务提供日志查询分析控制台,用户可以先对日志进行过滤、统计、分析或者更高级的处理方式,并且可以将查询语句保存成告警,配置告警通知等,从而帮助用户及时发现可疑行为。
图6 日志审计继承了日志服务的搜索、查询分析、告警、可视化等功能
SLS告警提供了超过数百个内置近百个安全合规、异常、配置最佳实践监测规则,开箱即用并持续增加中。这些规则库有覆盖了CIS(覆盖了账号安全、数据库安全等)和安全场景的最佳实践,用户仅需开启对应规则,即可享受到全天候的安全保障。用户可以在日志审计中体验SLS告警带来的云上安全保障升级。
图7 日志审计内置告警规则示例
《网络安全法》、《数据安全法》及《等保2.0》为网络时代数字化经济的安全健康发展提供了有力支撑,也对企业数字安全管理提出了更高要求。日志审计可视、可控、可溯的日志全生命周期安全保护方案及阿里云各类云安全服务,全方位地帮助守护企业云上资产及数据安全,保障数字经济产业的健全发展。
3. 参考文档
- 数据安全法 http://www.npc.gov.cn/npc/c30834/202106/7c9af12f51334a73b56d7938f99a788a.shtml
- 网络安全法 http://www.cac.gov.cn/2016-11/07/c_1119867116.htm
- 日志审计服务 https://help.aliyun.com/document_detail/164065.html
- 日志服务 https://help.aliyun.com/document_detail/48869.html
- 资源目录 https://help.aliyun.com/document_detail/94475.html
- 操作审计 https://help.aliyun.com/document_detail/28804.html
- 威胁情报服务 https://help.aliyun.com/document_detail/176242.html
- 网络安全等级保护2.0解读http://www.djbh.net/webdev/web/HomeWebAction.do?p=getGzjb&id=8a81825674296d130174bdf702c8002e
- 信息安全技术-网络安全等级保护基本要求 http://std.samr.gov.cn/gb/search/gbDetailed?id=88F4E6DA63434198E05397BE0A0ADE2D
- 等保2.0 标准细则 https://www.tanovo.com/upload/ckfiles/2019/05/16/090738-299.pdf
- 日志服务告警 https://help.aliyun.com/document_detail/209951.html