《网络安全法》解读： 你的安全合规离“违法”有多远？

前言：
这两天被各大新闻网站一条来自重庆公安局网安总队的新闻吸引，因为它和以往我们印象中的网警新闻不同，包含了一个很有意思的关键词：《网络安全法》。辗转来到源头重庆网警公众号，我们找到详细的内容：重庆市某科技发展有限公司自2017年6月1日后，在提供互联网数据中心服务时，存在未依法留存用户登录相关网络日志的违法行为，根据《网络安全法》第二十一条（三）项、第五十九条之规定，决定给予该公司警告处罚，并责令限期十五日内进行整改。

**
正文：**

不是涉黄不是反动不是版权，只是未依法留存用户登录相关网络日志，这和我们心目当中的“违法”好像挨不上边，但是就是这么一个看似简单的理由让这家公司吃了苦头。那么这关于网络日志的第二十一条（三）项到底是什么内容呢？翻阅6月1号发布的《中华人民共和国网络安全法》（下称《网络安全法》）后我们发现，第二十一条（三）项规定：采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

看起来还是那么简单明了，虽然这是重庆《网络安全法》第一案，但并不是《网络安全法》的第一次亮相，短短两个月的时间里，全国范围内就有多起和《网络安全法》相关的处罚，那么《网络安全法》到底是什么呢？

什么是《网络安全法》？为什么“第一案”发生在第二十一条？

《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。《网络安全法》包含了网络安全支持与促进、网络运行安全、关键信息基础设施的运行安全、网络信息安全、监测预警与应急处置等几大章节，这次违法所涉及的第二十一条就在第三章，网络运行安全。

那么《网络安全法》的七章数十条条款里，为什么“第一案”发生在第二十一条呢？我们先来看看第二十一条的详细内容：

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：
（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；
（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；
（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；
（四）采取数据分类、重要数据备份和加密等措施；
（五）法律、行政法规规定的其他义务。

从第二十一条的详细内容我们可以看到，和重庆网警所描述网络日志相关的不只是第（三）项，第（二）项里的“技术措施”和第（四）项里的“备份与加密”都是和日志相关，并且这还不是全部，查看《网络安全法》我们能发现关于实时性要求的第二十五条：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险； 关于数据脱敏的第四十条：网络运营者应当对其收集的用户信息严格保密(脱敏)，并建立健全用户信息保护制度；甚至还有关于供应商要求的第二十三条：网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

这些规定看起来都很“简单”，但是为什么还会出错呢？其实从《网络安全法》的解读里我们就能找到答案：“《网络安全法》将近年来一些成熟的好做法制度化，并为将来可能的制度创新做了原则性规定，为网络安全工作提供切实法律保障。”这些看似简单的法规其实是将一些成熟的好做法制度化，但是新法规下，传统运维的做法及日志分析方式，很难满足合规要求，这也是“第一案”发生的主要原因。

面对新《网络安全法》 我们该如何自处？

然而新《网络安全法》已经实施，大部分企业运维以及日志处理能力并没有及时跟上，我们难道要坐看第二案第三案不断发生吗？在讨论处理办法之前我们还需要来看看传统的运维及日志分析方法存在的弊端：

1、运维方面
需要登陆每一台服务器，使用脚本命令或程序查看，操作繁琐，容易出错。
数据是孤立分散的，无法进行关联，无法提取出其中的共性。
只能做简单搜索和统计，无法满足分析要求。
没有实时监控和报警，如程序出错日志。
2、安全方面
黑客入侵后往往会删除／修改日志，抹除入侵痕迹，导致无法通过日志分析攻击行为。
海量的ids／waf报警，根本无法辨别是否是误报。
3、存储日志性能方面
数据库的schema无法适应千变万化的日志格式。
没有日志生命周期管理手段。
无法提供海量日志全文检索和字段统计功能。

总结一下就是日志数据复杂，管理难度大，难以集中管理，更无法进行关联分析，实时性和安全性也无法保障。《网络安全法》所涉及的行业和企业，尤其是需要满足网络安全等级保护第三级要求的企业，和“第一案”里公司一样的所处的境地一样，急需专业的日志审计产品。

那么选择什么样的日志分析产品才能满足审计合规？我们根据《网络安全法》可以归纳出五条基本要求：

（1）提供数据脱敏功能。满足网络安全法要求，对用户数据进行脱敏处理。

（2）有数据备份／还原功能。按安全法要求，数据至少备份6个月，同时能够还原指定时间范围的日志数据，以便监管部门调取。
（3）有灵活的查询搜索功能。可以对数据进行实时搜索，历史数据还原搜索，满足监管部门的查询需求。

（4）网络安全事件实时预警，防控。可以对网络设备节点故障进行实时告警及故障快速分析溯源，发现传统安全设备没有发现或阻断的安全威胁，对线上故障及威胁快速响应。

（5）符合国家标准，并通过了具备资格机构的安全认证。

日志易作为国内领先的日志分析产品，能够很好的满足用户日志审计合规要求。首先，日志易提供了日志数据脱敏功能，而且做到下载后的数据也是脱敏的。

日志分析日志脱敏（日志易）
日志易支持日志全生命周期管理，支持配置不同种类日志的生命周期，支持索引备份，支持界面化日志恢复，支持全文检索。

其次，日志易能够实现对网络设备、安全设备的日志审计。包括网络设备审计、防火墙日志审计、IPS日志审计等。

最后，日志易还可实现上百种安全设备事件统计规则，例如恶意软件访问信息的统计，包括恶意软件源IP分布、恶意软件目的IP分布、恶意软件服务分布、恶意软件名、服务、事件数及百分比等，每种统计可以自定义统计周期。

这样，用户可以在短时间之内满足《网络安全法》以及监管部门日志查询要求，同时还能从多维度提升自身运维与安全能力：

通过日志手段对网络设备进行实时健康度监控，有效补充网管软件的不足；
实现数据生命周期管理，既提供明文数据查询，也提供脱敏数据查询，既能实现实时数据快速搜索，也能实现历史数据还原搜索。
满足国家等级保护要求，对网络设备，安全设备日志进行集中收集和存储；
自动输出日常安全日报／周报／月报，提供安全运维人员工作效率；
通过对安全设备日志分析，有效实现安全日志和攻击溯源分析，加大加强网络安全管理，提供网络安全等级。

再看《网络安全法》第二十一条 安全之路并没有走完

也许我们从“第一案”发生的角度解决了问题，但是再回头去仔细分析第二十一条，还会发现很多细节：我们需要防范的不止是计算机病毒和网络攻击、网络侵入，监测的也不应该只是外网的网络运行状态、网络安全事件，安全是一个不分内外的事。

以往用户安全防御往往集中在外网，内网安全防范往往比较薄弱，2015年的FortScale调查反馈85%的数据泄露是来于内部威胁，内部人员相对外部攻击更容易接近重要信息或系统，并且内部人员也会有更大动力或倾向利用他们的职权去让自己获得利益，正所谓“祸起萧墙”，攻破堡垒往往都是“自己人”，因为对内网各环节的用户行为审计（UBA）也显得愈发重要。

日志易通过系统用户登录行为分析、用户操作行为分析、文件访问行为分析、用户登录域控日志分析、DNS&DHCP日志分析等全方位的内容用户行为分析，不仅能实现安全行为审计，还能协助内网运维分析，及时发现内网网络隐患。有效补充内网安全防御薄弱环节，从内到外构建立体化安全防护堡垒，是安全运营中心（SOC）的重要组成部分。

最后借用“重庆网警”的一句话来做个结尾：网络安全靠大家，学法用法关乎你我他，关于网络安全，我们未来的路还很长。