安全資訊

網(wǎng)絡(luò )空間作為繼陸地、海洋、天空及太空之外的第五維空間，其安全問(wèn)題已經(jīng)上升到國家安全的高度。隨著(zhù)《網(wǎng)絡(luò )安全法》2017年6月1日正式實(shí)施，我國網(wǎng)絡(luò )安全法律法規體系基本法缺位的問(wèn)題得到了徹底解決。 

《網(wǎng)絡(luò )安全法》第二十一條：

（三）采取監測、記錄網(wǎng)絡(luò )運行狀態(tài)、網(wǎng)絡(luò )安全事件的技術(shù)措施，并按照規定留存相關(guān)的網(wǎng)絡(luò )日志不少于六個(gè)月。

日志審計的必要性

日志，作為行為或狀態(tài)詳細描述的載體，其時(shí)效性與信息豐富程度在企業(yè)安全事件分析、事件回溯和取證過(guò)程中起到重要作用。

在法律層，日志也是重要的電子證據，先進(jìn)的日志記錄、監控和審計手段，可以幫助客戶(hù)有效地減少信息破壞、信息泄露的問(wèn)題，對違法行為起到一定威懾作用。

日志應用現狀

等保合規核心要義是通過(guò)信息手段保障信息系統安全，目前企業(yè)在進(jìn)行日志側等保合規管理時(shí)落實(shí)不到位，突顯幾個(gè)問(wèn)題：

企業(yè)信息系統和設備多樣化，日志存儲分散，應用效率低，審計難度大。

需求：日志集中采集存儲，方便審計，并能根據要求進(jìn)行生命周期管理。

企業(yè)中專(zhuān)業(yè)日志分析人員較少，且自研系統往往導致高投入低回報。

需求：需要成熟的日志分析工具，具備靈活性和開(kāi)箱即用的日志分析功能。

隨著(zhù)業(yè)務(wù)發(fā)展，系統中越來(lái)越多的設備帶來(lái)更多的監控分析需求，而重復建設監控系統導致成本上升且效率難以保障。

需求：一個(gè)既能滿(mǎn)足等保合規日志管理需求，同時(shí)具備系統運維監控能力的綜合管理平臺。

信息安全和運維工作是持續優(yōu)化，不斷迭代的過(guò)程，固化的分析內容往往跟不上審計和運維優(yōu)化的需求。

需求：需要系統本身帶有豐富的報表功能，在此基礎上支持客戶(hù)自定義分析模型，采用低代碼模式滿(mǎn)足新增需求，避免附加成本的投入。

日志作為企業(yè)重要的數據資產(chǎn)，其安全性不可小覷。企業(yè)在做產(chǎn)品選型的時(shí)候也是慎之又慎，會(huì )考慮多方因素如政策導向、產(chǎn)品成熟度、價(jià)格以及公司實(shí)力與背景等。

需求：產(chǎn)品需要符合信創(chuàng )發(fā)展要求，能有效規避政策風(fēng)險，具備豐富的同業(yè)實(shí)施案例。企業(yè)往往更傾向于專(zhuān)項領(lǐng)域中專(zhuān)業(yè)的分析產(chǎn)品。
等保2.0要求下日志應用新視角
核心需求：等保合規是企業(yè)信息安全持續優(yōu)化的基石

企業(yè)每天產(chǎn)生上百GB至數十TB網(wǎng)絡(luò )安全日志及業(yè)務(wù)日志，這些日志散落存儲在各設備及服務(wù)器上。這種情況下，網(wǎng)絡(luò )安全事件一旦發(fā)生，事件的監測、回溯以及取證的難度都非常大。
數據采集與日志標準化

具備高性能吞吐和豐富的數據源采集能力，支持網(wǎng)絡(luò )安全設備、業(yè)務(wù)系統、操作系統、中間件、數據庫、以及Kafka或自定義接口的全域數據采集。此外，非標準格式的日志可以通過(guò)數據標準化功能進(jìn)行結構化處理后，實(shí)現進(jìn)一步的采集與分析。
審計與數據可視化
根據等級保護要求從安全審計、入侵防范以及監控管理等維度，對網(wǎng)絡(luò )安全設備、主機安全、應用安全和系統運維管理等多方面進(jìn)行指標細化，從而形成監控儀表盤(pán)和日報/周報/月報等。用戶(hù)也可以根據需要，通過(guò)簡(jiǎn)單的拖拽操作實(shí)現儀表盤(pán)或審計報表的調整。

利用日志的特性對運維或安全指標進(jìn)行量化，挖掘企業(yè)信息系統安全的薄弱環(huán)節，持續優(yōu)化改善。

專(zhuān)業(yè)日志分析套件開(kāi)箱即用
有些用戶(hù)也許并不了解所有設備的日志，也不知日志分析從何處入手，專(zhuān)家經(jīng)過(guò)多年實(shí)踐研究，將網(wǎng)絡(luò )安全設備、操作系統、中間件、數據庫等常規應用轉換為專(zhuān)業(yè)分析指標，用戶(hù)接入通用設備數據即可獲取審計或運維指標的呈現。
性能監控（系統監控）

用戶(hù)只需要開(kāi)啟性能系統采集功能，即可實(shí)現包括CPU負載，內存使用情況、磁盤(pán)IO、網(wǎng)絡(luò )流量等監控信息的自動(dòng)呈現，通過(guò)儀表板可以獲取該指標的歷史同期趨勢對比，以幫助用戶(hù)快速判斷設備健康程度。

用戶(hù)可以根據需要，查看當前進(jìn)程與前一日相比的增減情況，在安全事件定位方面非常有幫助。

性能監控（數據庫）

數據庫監控從性能、運行狀態(tài)、操作審計以及庫告警維度切入，能夠對庫狀態(tài)、實(shí)例狀態(tài)、表空間、SGA、連接數、慢查詢(xún)等數據庫關(guān)鍵指標進(jìn)行全方位監控分析。用戶(hù)通過(guò)平臺可以快速獲取數據庫健康狀態(tài)。

中間件日志監控分析

全面支持常用中間件，包括Apache、Tomcat、JBoss、Weblogic等。中間件日志監控分析從業(yè)務(wù)總體情況、中間件服務(wù)狀態(tài)、安全審計方向展開(kāi)。同時(shí)分析套件內嵌告警模塊，并已完成告警分級，用戶(hù)僅需配置告警通知方式即可。

用戶(hù)可以通過(guò)提供的專(zhuān)業(yè)分析指標實(shí)時(shí)掌握業(yè)務(wù)的健康狀態(tài)，如交易量、交易狀態(tài)、耗時(shí)、用戶(hù)地域等。當指標出現異常時(shí)，可以通過(guò)儀表板鉆取功能直接下鉆到詳細日志，從而實(shí)現故障快速定位。

業(yè)務(wù)監控分析

可以通過(guò)解析日志內容獲取業(yè)務(wù)系統狀態(tài)、交易狀態(tài)、交易量、趨勢、交易耗時(shí)、接口耗時(shí)等指標信息，再通過(guò)自建模型統計分析后可以有效反映出業(yè)務(wù)系統當前的狀態(tài)與健康程度。

日志實(shí)時(shí)監控分析在提高運維能力方面的優(yōu)勢：

日志使用旁路模式抓取，通過(guò)采集和分析日志時(shí)對業(yè)務(wù)并無(wú)影響；

日志的時(shí)效性更強，監控時(shí)效性有保障；

日志中包含豐富信息，可以直觀(guān)地反饋信息系統的狀態(tài)、安全事件或業(yè)務(wù)特征；

進(jìn)行日志分析或故障定位可以有效規避人為操作風(fēng)險，并提高運維效率。