近日,国家市场监督管理总局、国家标准化管理委员会发布了《GB/T22239-2019网络安全等级保护基本要求》等标准(以下简称:等保2.0),并将于今年12月1日正式实施。《网络安全法》中要求相关网络日志留存不少于6个月,而在等保2.0中对日志管理要求更加严苛,三级通用要求中新增了日志集中管控及分析。
国家对日志管理要求的升级,意味着公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和企业,均须开展日志合规留存管理工作。安全合规要求改变了日志在IT运营管理中作为“事后追责”助手的定位,日志将成为构建“事前预防、事中响应,事后审计”动态保障安全体系的关键工具。
AnyRobot聚焦安全合规,为广大客户和用户提供统一日志管理解决方案,打造安全监管前提下的“采-存-用”日志数据管理闭环。
基于安全建设的日志数据统一管理规划
根据IT运维管理的安全建设需求,在日志采集阶段就需要做好统一规划,使得采集后的日志数据能够满足监管部门的合规审计。
- 按照日志来源主机不同设定主机及主机分组计划;
- 在日志数据采集模块为日志做好标签管理规范,记录其所属分类,以便后期进行日志分组和统一管理;
- 按照日志数据来源分类进行日志分组管理:安全设备、网络设备、应用系统、数据库等;
- 日志数据采集后,按需对源端日志做好备份或者清除工作。
某一业务场景举例
基于安全可控的日志数据集中留存管理
IT管理部门需要做好日志数据的合规留存,方便监管部门进行安全事件事后审计和取证工作。
AnyRobot统一日志管理解决方案提供以下合规留存功能特性:
- 设计冷温热分级存储方案,满足海量日志数据合规存储和数据加速处理需求,合理使用存储资源。
- 根据日志数据的使用频率和使用周期建立日志库做好日志存储的生命周期管理;对于超过其生命周期的日志数据进行归档管理。
- 为满足存储日志的高性能查询需求,设计分布式存储架构,快速响应运维审计人员的数据查询需求,及时输出审计报表。
基于安全运维的故障告警和定位
AnyRobot通过对日志数据的集中管理,为安全事件提供日志视角的端到端可见性,简化安全事件运维管理工作流程,快速定位事故根源。
- 按照用户部门和角色设定不同的日志数据管理权限,并根据故障定位、风险预测、安全事件事后定责等不同使用场景,设计多索引日志数据处理流程,满足各部门用户对日志数据的分析需求。
- 通过对已留存的安全事件日志进行关联分析,快速定位事件根源,满足事后审计和追溯取证的需求。
- 基于对日志数据的全程监控,可设置可触发故障和安全事件的告警规则,实现安全事件的实时响应。
- 可构建基于对过往告警日志、异常日志等全量日志的机器学习算法模型,实现事前预防:预测异常,及时采取措施进行防范。
随着数字化转型的战略部署推进,IT管理安全合规工作提出的要求也越来越高。在未来,AnyRobot将持续立足于数字化转型背景下的信息化运维需求,依托自身强大的技术研发实力和本地化服务能力,为更多行业客户打造在满足日志数据合规留存前提下的全量日志数据分析平台及解决方案。