這兩天被各大新聞網(wǎng)站一條來(lái)自重慶公安局網(wǎng)安總隊(duì)的新聞吸引,因?yàn)樗鸵酝覀冇∠笾械木W(wǎng)警新聞差別���,包羅了一個(gè)很有意思的關(guān)鍵詞:《網(wǎng)絡(luò)安適法》�。輾轉(zhuǎn)來(lái)到源頭重慶網(wǎng)警公眾號(hào)我們找到詳細(xì)的內(nèi)容:重慶市某科技發(fā)展有限公司自 2017 年 6 月 1 日后��,在提供互聯(lián)網(wǎng)數(shù)據(jù)中心辦事時(shí)���,存在未依法留存用戶登錄相關(guān)網(wǎng)絡(luò)日志的違法行為��,按照《網(wǎng)絡(luò)安適法》第二十一條(三)項(xiàng)�����、第五十九條之規(guī)定���,決定給予該公司警告處罰�����,并責(zé)令限期十五日內(nèi)進(jìn)行整改�����。
不是涉黃不是反動(dòng)不是版權(quán)�,只是未依法留存用戶登錄相關(guān)網(wǎng)絡(luò)日志�����,這和我們心目傍邊的“違法”好像挨不上邊�����,但是就是這么一個(gè)看似簡(jiǎn)單的理由讓這家公司吃了苦頭。那么這關(guān)于網(wǎng)絡(luò)日志的第二十一條(三)項(xiàng)到底是什么內(nèi)容呢?翻閱 6 月 1 號(hào)發(fā)布的《中華人民共和國(guó)網(wǎng)絡(luò)安適法》(下稱《網(wǎng)絡(luò)安適法》)后我們發(fā)現(xiàn)���,第二十一條(三)項(xiàng)規(guī)定:采取監(jiān)測(cè)���、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)、網(wǎng)絡(luò)安適事件的技術(shù)辦法����,并根據(jù)規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月。
看起來(lái)還是那么簡(jiǎn)單明了��,雖然這是重慶《網(wǎng)絡(luò)安適法》第一案����,但并不是《網(wǎng)絡(luò)安適法》的第一次表態(tài),短短兩個(gè)月的時(shí)間里���,全國(guó)范圍內(nèi)就有多起和《網(wǎng)絡(luò)安適法》相關(guān)的處罰���,那么《網(wǎng)絡(luò)安適法》到底是什么呢?
什么是《網(wǎng)絡(luò)安適法》?為什么“第一案”發(fā)生在第二十一條?
《中華人民共和國(guó)網(wǎng)絡(luò)安適法》是為保障網(wǎng)絡(luò)安適����,維護(hù)網(wǎng)絡(luò)空間主權(quán)和國(guó)家安適���、社會(huì)公共利益,掩護(hù)公民����、法人和其他組織的合法權(quán)益,促進(jìn)經(jīng)濟(jì)社會(huì)信息化健康發(fā)展制定��。由全國(guó)人民代表大會(huì)常務(wù)委員會(huì)于 2016 年 11 月 7 日發(fā)布���,自 2017 年 6 月 1 日起施行����?����!毒W(wǎng)絡(luò)安適法》包羅了網(wǎng)絡(luò)安適支持與促進(jìn)���、網(wǎng)絡(luò)運(yùn)行安適�����、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安適�、網(wǎng)絡(luò)信息安適、監(jiān)測(cè)預(yù)警與應(yīng)急處置等幾大章節(jié)�����,這次違法所涉及的第二十一條就在第三章����,網(wǎng)絡(luò)運(yùn)行安適。
那么《網(wǎng)絡(luò)安適法》的七章數(shù)十條條款里��,為什么“第一案”發(fā)生在第二十一條呢?我們先來(lái)看看第二十一條的詳細(xì)內(nèi)容:
第二十一條 國(guó)家實(shí)行網(wǎng)絡(luò)安適等級(jí)掩護(hù)制度�。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)根據(jù)網(wǎng)絡(luò)安適等級(jí)掩護(hù)制度的要求,履行下列安適掩護(hù)義務(wù)�����,保障網(wǎng)絡(luò)免受干擾�、破壞或者未經(jīng)授權(quán)的拜候,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取���、篡改:
(一)制定內(nèi)部安適辦理制度和操作規(guī)程�����,確定網(wǎng)絡(luò)安適負(fù)責(zé)人�����,落實(shí)網(wǎng)絡(luò)安適掩護(hù)責(zé)任;
(二)采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊��、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安適行為的技術(shù)辦法;
(三)采取監(jiān)測(cè)�、記錄網(wǎng)絡(luò)運(yùn)行狀態(tài)��、網(wǎng)絡(luò)安適事件的技術(shù)辦法�����,并根據(jù)規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月;
(四)采取數(shù)據(jù)分類�、重要數(shù)據(jù)備份和加密等辦法;
(五)法律、行政法規(guī)規(guī)定的其他義務(wù)����。
從第二十一條的詳細(xì)內(nèi)容我們可以看到,和重慶網(wǎng)警所描述網(wǎng)絡(luò)日志相關(guān)的不只是第(三)項(xiàng)�����,第(二)項(xiàng)里的“技術(shù)辦法”和第(四)項(xiàng)里的“備份與加密”都是和日志相關(guān)��,而且這還不是全部,查看《網(wǎng)絡(luò)安適法》我們能發(fā)現(xiàn)關(guān)于實(shí)時(shí)性要求的第二十五條:網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)制定網(wǎng)絡(luò)安適事件應(yīng)急預(yù)案�,及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒�����、網(wǎng)絡(luò)攻擊��、網(wǎng)絡(luò)侵入等安適風(fēng)險(xiǎn);關(guān)于數(shù)據(jù)脫敏的第四十條:網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密(脫敏)��,并建立健全用戶信息掩護(hù)制度;甚至還有關(guān)于供應(yīng)商要求的第二十三條:網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安適專用產(chǎn)品應(yīng)當(dāng)根據(jù)相關(guān)國(guó)家尺度的強(qiáng)制性要求�����,由具備資格的機(jī)構(gòu)安適認(rèn)證合格或者安適檢測(cè)符合要求后���,方可銷售或者提供�����。
這些規(guī)定看起來(lái)都很“簡(jiǎn)單”�,但是為什么還會(huì)出錯(cuò)呢?其實(shí)從《網(wǎng)絡(luò)安適法》的解讀里我們就能找到答案:“《網(wǎng)絡(luò)安適法》將近年來(lái)一些成熟的好做法制度化����,并為將來(lái)可能的制度創(chuàng)新做了原則性規(guī)定����,為網(wǎng)絡(luò)安適工作提供切實(shí)法律保障����?�!边@些看似簡(jiǎn)單的法規(guī)其實(shí)是將一些成熟的好做法制度化����,但是新法規(guī)下,傳統(tǒng)運(yùn)維的做法及日志分析方式���,很難滿足合規(guī)要求�,這也是“第一案”發(fā)生的主要原因�����。
面對(duì)新《網(wǎng)絡(luò)安適法》我們?cè)撊绾巫蕴?
然而新《網(wǎng)絡(luò)安適法》已經(jīng)實(shí)施�����,大部分企業(yè)運(yùn)維以及日志處理能力并沒(méi)有及時(shí)跟上���,我們難道要坐看第二案第三案不停發(fā)生嗎?在討論處理措施之前我們還需要來(lái)看看傳統(tǒng)的運(yùn)維及日志分析方法存在的毛?。?/p>
1、運(yùn)維方面
需要登陸每一臺(tái)辦事器�����,使用腳本命令或程序查看����,操作繁瑣,容易出錯(cuò)�����。
數(shù)據(jù)是孤立分散的���,���,無(wú)法進(jìn)行關(guān)聯(lián),無(wú)法提取出其中的共性��。
只能做簡(jiǎn)單搜索和統(tǒng)計(jì)�,無(wú)法滿足分析要求。
沒(méi)有實(shí)時(shí)監(jiān)控和報(bào)警��,如程序出錯(cuò)日志。
2�����、安適方面
黑客入侵后往往會(huì)刪除/修改日志�����,抹除入侵痕跡���,導(dǎo)致無(wú)法通過(guò)日志分析攻擊行為。
海量的ids/waf報(bào)警����,根本無(wú)法鑒別是否是誤報(bào)。
3�、存儲(chǔ)日志性能方面
數(shù)據(jù)庫(kù)的schema無(wú)法適應(yīng)千變?nèi)f化的日志格式。
沒(méi)有日志生命周期辦理手段���。
無(wú)法提供海量日志全文檢索和字段統(tǒng)計(jì)功能��。
