等保2.0中日志审计的作用
网络空间作为继陆地、海洋、天空及太空之外的第五维空间,其安全问题已经上升到国家安全的高度。随着《网络安全法》2017年6月1日正式实施,我国网络安全法律法规体系基本法缺位的问题得到了彻底解决。
《网络安全法》第二十一条:
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
日志审计的必要性
日志,作为行为或状态详细描述的载体,其时效性与信息丰富程度在企业安全事件分析、事件回溯和取证过程中起到重要作用。
在法律层,日志也是重要的电子证据,先进的日志记录、监控和审计手段,可以帮助客户有效地减少信息破坏、信息泄露的问题,对违法行为起到一定威慑作用。
日志应用现状
等保合规核心要义是通过信息手段保障信息系统安全,目前企业在进行日志侧等保合规管理时落实不到位,突显几个问题:
企业信息系统和设备多样化,日志存储分散,应用效率低,审计难度大。
需求:日志集中采集存储,方便审计,并能根据要求进行生命周期管理。
企业中专业日志分析人员较少,且自研系统往往导致高投入低回报。
需求:需要成熟的日志分析工具,具备灵活性和开箱即用的日志分析功能。
随着业务发展,系统中越来越多的设备带来更多的监控分析需求,而重复建设监控系统导致成本上升且效率难以保障。
需求:一个既能满足等保合规日志管理需求,同时具备系统运维监控能力的综合管理平台。
信息安全和运维工作是持续优化,不断迭代的过程,固化的分析内容往往跟不上审计和运维优化的需求。
需求:需要系统本身带有丰富的报表功能,在此基础上支持客户自定义分析模型,采用低代码模式满足新增需求,避免附加成本的投入。
日志作为企业重要的数据资产,其安全性不可小觑。企业在做产品选型的时候也是慎之又慎,会考虑多方因素如政策导向、产品成熟度、价格以及公司实力与背景等。
需求:产品需要符合信创发展要求,能有效规避政策风险,具备丰富的同业实施案例。企业往往更倾向于专项领域中专业的分析产品。
等保2.0要求下日志应用新视角
核心需求:等保合规是企业信息安全持续优化的基石
企业每天产生上百GB至数十TB网络安全日志及业务日志,这些日志散落存储在各设备及服务器上。这种情况下,网络安全事件一旦发生,事件的监测、回溯以及取证的难度都非常大。
数据采集与日志标准化
具备高性能吞吐和丰富的数据源采集能力,支持网络安全设备、业务系统、操作系统、中间件、数据库、以及Kafka或自定义接口的全域数据采集。此外,非标准格式的日志可以通过数据标准化功能进行结构化处理后,实现进一步的采集与分析。
审计与数据可视化
根据等级保护要求从安全审计、入侵防范以及监控管理等维度,对网络安全设备、主机安全、应用安全和系统运维管理等多方面进行指标细化,从而形成监控仪表盘和日报/周报/月报等。用户也可以根据需要,通过简单的拖拽操作实现仪表盘或审计报表的调整。
利用日志的特性对运维或安全指标进行量化,挖掘企业信息系统安全的薄弱环节,持续优化改善。
专业日志分析套件开箱即用
有些用户也许并不了解所有设备的日志,也不知日志分析从何处入手,专家经过多年实践研究,将网络安全设备、操作系统、中间件、数据库等常规应用转换为专业分析指标,用户接入通用设备数据即可获取审计或运维指标的呈现。
性能监控(系统监控)
用户只需要开启性能系统采集功能,即可实现包括CPU负载,内存使用情况、磁盘IO、网络流量等监控信息的自动呈现,通过仪表板可以获取该指标的历史同期趋势对比,以帮助用户快速判断设备健康程度。
用户可以根据需要,查看当前进程与前一日相比的增减情况,在安全事件定位方面非常有帮助。
性能监控(数据库)
数据库监控从性能、运行状态、操作审计以及库告警维度切入,能够对库状态、实例状态、表空间、SGA、连接数、慢查询等数据库关键指标进行全方位监控分析。用户通过平台可以快速获取数据库健康状态。
中间件日志监控分析
全面支持常用中间件,包括Apache、Tomcat、JBoss、Weblogic等。中间件日志监控分析从业务总体情况、中间件服务状态、安全审计方向展开。同时分析套件内嵌告警模块,并已完成告警分级,用户仅需配置告警通知方式即可。
用户可以通过提供的专业分析指标实时掌握业务的健康状态,如交易量、交易状态、耗时、用户地域等。当指标出现异常时,可以通过仪表板钻取功能直接下钻到详细日志,从而实现故障快速定位。
业务监控分析
可以通过解析日志内容获取业务系统状态、交易状态、交易量、趋势、交易耗时、接口耗时等指标信息,再通过自建模型统计分析后可以有效反映出业务系统当前的状态与健康程度。
日志实时监控分析在提高运维能力方面的优势:
日志使用旁路模式抓取,通过采集和分析日志时对业务并无影响;
日志的时效性更强,监控时效性有保障;
日志中包含丰富信息,可以直观地反馈信息系统的状态、安全事件或业务特征;
进行日志分析或故障定位可以有效规避人为操作风险,并提高运维效率。
《网络安全法》第二十一条:
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。
日志审计的必要性
日志,作为行为或状态详细描述的载体,其时效性与信息丰富程度在企业安全事件分析、事件回溯和取证过程中起到重要作用。
在法律层,日志也是重要的电子证据,先进的日志记录、监控和审计手段,可以帮助客户有效地减少信息破坏、信息泄露的问题,对违法行为起到一定威慑作用。
日志应用现状
等保合规核心要义是通过信息手段保障信息系统安全,目前企业在进行日志侧等保合规管理时落实不到位,突显几个问题:
企业信息系统和设备多样化,日志存储分散,应用效率低,审计难度大。
需求:日志集中采集存储,方便审计,并能根据要求进行生命周期管理。
企业中专业日志分析人员较少,且自研系统往往导致高投入低回报。
需求:需要成熟的日志分析工具,具备灵活性和开箱即用的日志分析功能。
随着业务发展,系统中越来越多的设备带来更多的监控分析需求,而重复建设监控系统导致成本上升且效率难以保障。
需求:一个既能满足等保合规日志管理需求,同时具备系统运维监控能力的综合管理平台。
信息安全和运维工作是持续优化,不断迭代的过程,固化的分析内容往往跟不上审计和运维优化的需求。
需求:需要系统本身带有丰富的报表功能,在此基础上支持客户自定义分析模型,采用低代码模式满足新增需求,避免附加成本的投入。
日志作为企业重要的数据资产,其安全性不可小觑。企业在做产品选型的时候也是慎之又慎,会考虑多方因素如政策导向、产品成熟度、价格以及公司实力与背景等。
需求:产品需要符合信创发展要求,能有效规避政策风险,具备丰富的同业实施案例。企业往往更倾向于专项领域中专业的分析产品。
等保2.0要求下日志应用新视角
核心需求:等保合规是企业信息安全持续优化的基石
企业每天产生上百GB至数十TB网络安全日志及业务日志,这些日志散落存储在各设备及服务器上。这种情况下,网络安全事件一旦发生,事件的监测、回溯以及取证的难度都非常大。
数据采集与日志标准化
具备高性能吞吐和丰富的数据源采集能力,支持网络安全设备、业务系统、操作系统、中间件、数据库、以及Kafka或自定义接口的全域数据采集。此外,非标准格式的日志可以通过数据标准化功能进行结构化处理后,实现进一步的采集与分析。
审计与数据可视化
根据等级保护要求从安全审计、入侵防范以及监控管理等维度,对网络安全设备、主机安全、应用安全和系统运维管理等多方面进行指标细化,从而形成监控仪表盘和日报/周报/月报等。用户也可以根据需要,通过简单的拖拽操作实现仪表盘或审计报表的调整。
利用日志的特性对运维或安全指标进行量化,挖掘企业信息系统安全的薄弱环节,持续优化改善。
专业日志分析套件开箱即用
有些用户也许并不了解所有设备的日志,也不知日志分析从何处入手,专家经过多年实践研究,将网络安全设备、操作系统、中间件、数据库等常规应用转换为专业分析指标,用户接入通用设备数据即可获取审计或运维指标的呈现。
性能监控(系统监控)
用户只需要开启性能系统采集功能,即可实现包括CPU负载,内存使用情况、磁盘IO、网络流量等监控信息的自动呈现,通过仪表板可以获取该指标的历史同期趋势对比,以帮助用户快速判断设备健康程度。
用户可以根据需要,查看当前进程与前一日相比的增减情况,在安全事件定位方面非常有帮助。
性能监控(数据库)
数据库监控从性能、运行状态、操作审计以及库告警维度切入,能够对库状态、实例状态、表空间、SGA、连接数、慢查询等数据库关键指标进行全方位监控分析。用户通过平台可以快速获取数据库健康状态。
中间件日志监控分析
全面支持常用中间件,包括Apache、Tomcat、JBoss、Weblogic等。中间件日志监控分析从业务总体情况、中间件服务状态、安全审计方向展开。同时分析套件内嵌告警模块,并已完成告警分级,用户仅需配置告警通知方式即可。
用户可以通过提供的专业分析指标实时掌握业务的健康状态,如交易量、交易状态、耗时、用户地域等。当指标出现异常时,可以通过仪表板钻取功能直接下钻到详细日志,从而实现故障快速定位。
业务监控分析
可以通过解析日志内容获取业务系统状态、交易状态、交易量、趋势、交易耗时、接口耗时等指标信息,再通过自建模型统计分析后可以有效反映出业务系统当前的状态与健康程度。
日志实时监控分析在提高运维能力方面的优势:
日志使用旁路模式抓取,通过采集和分析日志时对业务并无影响;
日志的时效性更强,监控时效性有保障;
日志中包含丰富信息,可以直观地反馈信息系统的状态、安全事件或业务特征;
进行日志分析或故障定位可以有效规避人为操作风险,并提高运维效率。