《中華人民共和國網絡安全法》于2017年6月1日正式實施，對業務系統安全審計提出了新的要求。

“第二十一條 國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：

(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施;

(三)采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月;

(四)采取數據分類、重要數據備份和加密等措施;”

按照新法規的要求，傳統的運維做法及日志分析方式，很難滿足合規要求。傳統的運維及日志分析方法存在以下弊端：

1、運維方面

l 需要登陸每一臺服務器，使用腳本命令或程序查看，操作繁瑣，容易出錯。

l 數據是孤立分散的，無法進行關聯，無法提取出其中的共性。

l 只能做簡單搜索和統計，無法滿足分析要求。

l 沒有實時監控和報警，如程序出錯日志。

2、安全方面

l 黑客入侵后往往會刪除/修改日志，抹除入侵痕跡，導致無法通過日志分析攻擊行為。

l 海量的ids/waf報警，根本無法辨別是否是誤報。

3、存儲日志性能方面

l 數據庫的schema無法適應千變萬化的日志格式。

l 沒有日志生命周期管理手段。

l 無法提供海量日志全文檢索和字段統計功能。

總結起來，就是日志數據復雜，管理難度大，難以集中管理，因此更無法進行關聯分析。那么該法規所涉及的行業和企業，尤其是需要滿足網絡安全等級保護第三級要求的企業，專業的日志審計產品成為其滿足合規的必然選擇。

那么選擇什么樣的日志分析產品才能滿足審計合規?

(1)提供數據脫敏功能。滿足網絡安全法要求，對用戶數據進行脫敏處理。

(2)有數據備份/還原功能。按安全法要求，數據至少備份6個月，同時能夠還原指定時間范圍的日志數據，以便監管部門調取。

(3)有靈活的查詢搜索功能。可以對數據進行實時搜索，歷史數據還原搜索，滿足監管部門的查詢需求。

(4)網絡安全事件實時預警，防控。可以對網絡設備節點故障進行實時告警及故障快速分析溯源，發現傳統安全設備沒有發現或阻斷的安全威脅，對線上故障及威脅快速響應。

(5)符合國家標準，并通過了具備資格機構的安全認證。

日志易作為國內領先的日志分析產品，能夠幫助用戶很好的滿足日志審計合規要求。

第一，日志易對日志數據提供了脫敏功能，而且下載后的數據也是脫敏的。

第二，

日志分析日志脫敏(日志易)

日志易支持日志全生命周期管理，支持配置不同種類日志的生命周期，支持索引備份，支持界面化日志恢復，支持全文檢索。

這樣，使用日志易產品，用戶可以：

1.滿足網絡安全法要求。

2.滿足監管部門日志查詢要求。

3.實現數據生命周期管理，既提供明文數據查詢，也提供脫敏數據查詢，既能實現實時數據快速搜索，也能實現歷史數據還原搜索。

第二，日志易能夠實現對網絡設備、安全設備的日志審計。

(1)網絡設備審計。

實時監控所有網絡設備日志：包括每臺網絡設備的日志量趨勢，日志等級分布，通過ip地址和日志等級過濾，可以聯動統計和查詢某臺異常網絡設備的事件趨勢，日志等級分別和日志詳情，方便快速定位故障。

(2)防火墻日志審計。

提供日志級別、事件代碼，五元組(源地址、目的地址、源端口、目的端口、訪問協議)供用戶搜索過濾，用戶可以根據源ip、日志級別等快速進行日志溯源。

輸出防火墻日志五元組巡檢日報。

通過分析防火墻日志，識別可疑的掃描源ip信息，以及被掃描可疑目的ip和目的端口信息。

(3)IPS日志審計

實時攻擊概況分析

[[197339]]

另外，還有攻擊明細分析、郵件攻擊分析、SQL注入攻擊分析、Web攻擊分析等。

(4)安全設備日志分析場景

日志易可實現上百種安全設備事件統計規則，例如惡意軟件訪問信息的統計，包括惡意軟件源IP分布、惡意軟件目的IP分布、惡意軟件服務分布、惡意軟件名、服務、事件數及百分比等，每種統計可以自定義統計周期。

通過對網絡設備、安全設備的這些審計功能，日志易可以讓用戶：

1.通過日志手段對網絡設備進行實時健康度監控，有效補充網管軟件的不足;

2.滿足國家等級保護要求，對網絡設備，安全設備日志進行集中收集和存儲;

3.自動輸出日常安全日報/周報/月報，提供安全運維人員工作效率;

4.通過對安全設備日志分析，有效實現安全日志和攻擊溯源分析，加大加強網絡安全管理，提供網絡安全等級。

最后，合規并不僅是應對監管的事情，安全無小事，用戶安全防御往往集中在外網，內網安全防范往往比較薄弱，2015年的FortScale調查反饋85%的數據泄露是來于內部威脅，內部人員相對外部攻擊更容易接近重要信息或系統，并且內部人員也會有更大動力或傾向利用他們的職權去讓自己獲得利益，正所謂“禍起蕭墻”，攻破堡壘往往都是“自己人”，因為對內網各環節的用戶行為審計(UBA)就顯得愈發重要。

日志易通過系統用戶登錄行為分析、用戶操作行為分析、文件訪問行為分析、用戶登錄域控日志分析、DNS&DHCP日志分析等全方位的內容用戶行為分析，不僅能實現安全行為審計，還能協助內網運維分析，及時發現內網網絡隱患。有效補充內網安全防御薄弱環節，從內到外構建立體化安全防護堡壘，是安全運營中心(SOC)的重要組成部分。