网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

这两天被各大新闻网站一条来自重庆公安局网安总队的新闻吸引，因为它和以往我们印象中的网警新闻不同，包含了一个很有意思的关键词：《网络安全法》。辗转来到源头重庆网警公众号我们找到详细的内容：重庆市某科技发展有限公司自2017年6月1日后，在提供互联网数据中心服务时，存在未依法留存用户登录相关网络日志的违法行为，根据《网络安全法》第二十一条(三)项、第五十九条之规定，决定给予该公司警告处罚，并责令限期十五日内进行整改。

不是涉黄不是反动不是版权，只是未依法留存用户登录相关网络日志，这和我们心目当中的“违法”好像挨不上边，但是就是这么一个看似简单的理由让这家公司吃了苦头。那么这关于网络日志的第二十一条(三)项到底是什么内容呢?翻阅6月1号发布的《中华人民共和国网络安全法》(下称《网络安全法》)后我们发现，第二十一条(三)项规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

看起来还是那么简单明了，虽然这是重庆《网络安全法》第一案，但并不是《网络安全法》的第一次亮相，短短两个月的时间里，全国范围内就有多起和《网络安全法》相关的处罚，那么《网络安全法》到底是什么呢?

什么是《网络安全法》?为什么“第一案”发生在第二十一条?

《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。《网络安全法》包含了网络安全支持与促进、网络运行安全、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置等几大章节，这次违法所涉及的第二十一条就在第三章，网络运行安全。

那么《网络安全法》的七章数十条条款里，为什么“第一案”发生在第二十一条呢?我们先来看看第二十一条的详细内容：

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。

从第二十一条的详细内容我们可以看到，和重庆网警所描述网络日志相关的不只是第(三)项，第(二)项里的“技术措施”和第(四)项里的“备份与加密”都是和日志相关，并且这还不是全部，查看《网络安全法》我们能发现关于实时性要求的第二十五条：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;关于数据脱敏的第四十条：网络运营者应当对其收集的用户信息严格保密(脱敏)，并建立健全用户信息保护制度;甚至还有关于供应商要求的第二十三条：网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

这些规定看起来都很“简单”，但是为什么还会出错呢?其实从《网络安全法》的解读里我们就能找到答案：“《网络安全法》将近年来一些成熟的好做法制度化，并为将来可能的制度创新做了原则性规定，为网络安全工作提供切实法律保障。”这些看似简单的法规其实是将一些成熟的好做法制度化，但是新法规下，传统运维的做法及日志分析方式，很难满足合规要求，这也是“第一案”发生的主要原因。

面对新《网络安全法》我们该如何自处?

然而新《网络安全法》已经实施，大部分企业运维以及日志处理能力并没有及时跟上，我们难道要坐看第二案第三案不断发生吗?在讨论处理办法之前我们还需要来看看传统的运维及日志分析方法存在的弊端：

1、运维方面

需要登陆每一台服务器，使用脚本命令或程序查看，操作繁琐，容易出错。

数据是孤立分散的，无法进行关联，无法提取出其中的共性。

只能做简单搜索和统计，无法满足分析要求。

没有实时监控和报警，如程序出错日志。

2、安全方面

黑客入侵后往往会删除/修改日志，抹除入侵痕迹，导致无法通过日志分析攻击行为。

海量的ids/waf报警，根本无法辨别是否是误报。

3、存储日志性能方面

数据库的schema无法适应千变万化的日志格式。

没有日志生命周期管理手段。

无法提供海量日志全文检索和字段统计功能。