1、安全与合规可观测性方案CONTENTS安全与合规可观测性背景常见安全与合规可观测性场景安全与合规可观测性案例安全与合规可观测性平台的能力要求PART 1PART 2PART 3PART 4PART 01安全与合规可观测性背景全行业约束力的合规性政策，从法律层面对日志数据管理提出强制要求注意：网络日志是指是指网络产品和服务在运行过程中产生的各类日志，也就是所有涉及网络运行的系统产生的全量日志！全行业：所有互联网的业务都属于网络安全法的管理范围，比如门户网站、对外业务等等；所有与网络产品/服务相关的基础设施、操作系统、平台和应用服务的日志都是“相关的”网络日志范畴；第二十一条国家实行网络安全等级保

2、护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。8.1.3 安全区域边界-8.1.3.5 安全审计a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户

3、，对重要的用户行为和重要安全事件进行审计b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息c)应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等d)应能对远程访问的用户行为，访问互联网的用户行为等单独进行行为审计和数据分析8.1.5 安全管理中心-8.1.5.4 集中管控c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测d)应对分散在各个设备上的审计数据进行收集汇总和集中分析f）应能对网络中发生的各类安全事件进行识别、报警和分析中华人民共和国网络安全法信息安全技术网络安全等级保护基本要求，即等保2.0当前企业的新形势：数字化

4、转型、业务模式创新、降本增效、生态融合企业数字化转型业务创新上云用数赋智用户公有云核心 IT第三方提供商企业数据中心私有云混合云商业服务公司内部公司外部IT团队CIO开发部门CPO业务部门CISO新业务模式新运营模式新安全模式十四五规划数字中国智能制造2025企业日志数据的现状日志数据不规范：无标准数据格式不统一各厂家的日志产生的标准不统一各厂家的日志格式不一致业务系统的日志分类不完整基础设施类日志源网络设备：华为、华三、cisco、迈普等中间件：Weblogic、IIS、Tuxedo等数据库：Oracle、DB2、informix等OS：Linux、AIX、Windows等云服务类日志源公有

5、云日志、私有云日志、混合云日志企业内IT环境较为复杂：类别多日志无分析：对日志数据深度加工分析的技术能力有限日志数据之间无联动：不同系统、设备间的日志数据信息孤岛化严重无基于日志信息的告警：日志突增、会影响系统正常运行无基于业务目标的告警：响应时间、返回码、交易超时等日志分析现状：无分析日志留存现状（常见）本地目录下日志文件，无备份网络设备类：已有一个日志服务器数据库类：本地目录下日志文件+数据库表OS系统类：本地目录下日志文件存在重要日志数据被清理或缺失的风险日志数据存储现状：无统一手工方式或传统的日志管理方式，已经不能满足当前的管理需要传统日志管理安全与合规等保1.0规范、行业网络安全规范

6、等保2.0规范被动防御，围绕一个中心三重防护主动防御、整体防控、感知预警覆盖传统数据中心管理范围覆盖云计算、大数据、物联网、移动互联网等合规留存和关键信息审计闭环的日志合规管理模式传统软件架构，扩展成本高云原生、弹性架构，可扩展人工分析、无法对多来源日志进行关联分析场景化可观测性、智能化分析信息不全、缺乏用户操作行为记录、缺少实时监控与响应能力全平台数据，大数据实时处理，合规告警处理无法区分一般审计和敏感审计敏感数据、关键数据访问控制只关注技术能力发展关注新技术能力、内审外查规范和人员能力培养的全面发展通过手工方式、传统日志管理方式无法满足要求新形势下企业安全与合规所面临的主要挑战环境挑战 多