网络安全法要求的日志审计是怎么回事？

   上网行为安全审计是指根据一定的安全策略，通过记录和分析历史操作事件及数据，发现能够改进系统性能和系统安全的一种手段。目前大多数用户均配备了一定数量的网络安全审计类设备。 

   用户会问这么多审计设备都是做什么用的？我们先来做个科普。 

   运维审计：通常叫做堡垒机，主要针对运维人员对被管理信息资产操作进行记录和管理，通常还有账号管理功能。 

   数据库审计：对用户访问数据库行为的记录、分析和汇报，用来帮助用户事后生成合规报告、事故追根溯源，同时加强内外部网络行为记录，提高数据资产安全。 

   行为审计：通常又称为上网行为管理，主要是记录用户互联网上网行为，顺便对用户带宽、非法站点、访问时长进行综合管理。 

   网络审计：通过网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件。

   应用审计：又成业务审计系统，对业务人员访问应用系统的行为进行解析、分析、记录、汇报，以帮助用户事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源，加强内外部网络行为监管、促进核心资产的正常运营。 

   1-业务方面需求，包括自身运行情况了解、对BUG问题及从日志视角看运维操作： 

   2-网络安全需求分析，每一个非授权入侵者要做到工作是对日志删除/修改日志，抹除入侵痕迹，导致无法通过日志分析攻击行为，网络安全事故发生后往往无法进行取证。 OWASP TOP 10已经把“不足的日志记录及监控”作为十大应用安全风险之一，具统计检测出发生数据泄漏的时间通常需要超过200天，而且通常是外部机构率先发现数据泄漏的事实，而不是通过内部的审计流程或监控发现的。 

   3-法律法规及标准要求，《中华人民共和国网络安全法》自2017年6月1日起施行，第二十一条“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；”其他如《信息安全等级保护》 、《信息安全风险管理规范》 、《基于互联网电子政务信息安全指南》、《银行业金融机构信息系统管理指引》等等均有要求。 

   因此日志审计应该成为用户关心、必须配置的一类安全系统，日志审计对象应该包含七类即网络设备日志、安全设备日志、操作系统日志、数据库日志、中间件日志、应用系统日志、终端日志。有人提出这么多日志，还要保持六个月，能存取下来吗？读取时候速度怎么样？ 

   幸亏现在有大数据技术，所以基于大数据技术的日志产品应该是客户选择日志平台的首要要求。 

   我们建议采购日志审计情况应该关注如下几点： 

   适合任何平台：支持服务器部署、各种平台虚拟化部署、硬件形态部署。 

   大数据架构：摆脱传统盒子架构，实现快速入库，毫秒查询。 

   全类型覆盖：网络设备、安全设备、操作系统、数据库、中间件、业务系统、终端设备的七大类型日志存取 

   二次开发：支持用户二次开发包括对报表、展现形式、报警、分类等。 

   服务能力：最好能够为用户提供安全日志事件分析服务，协助用户进行日志取证和数据分析。