《网络安全法》、《数据安全法》及《等保2.0》为网络时代数字化经济的安全健康发展提供了有力支撑，也对企业数字安全管理提出了更高要求。日志审计App可视、可控、可溯的日志全生命周期安全保护方案及阿里云各类云安全服务，全方位地帮助守护企业云上资产及数据安全，保障数字经济产业的健全发展。

背景介绍

网络安全和数据安全是数字经济时代最重要的安全支撑，为应对数字经济时代的网络安全和数据安全需求，加强网络安全管理和数据安全治理，国家于2016年11月7日在全国人大常委会通过了网络安全治理的国家基本法——《网络安全法》，又于2021年6月10日在全国人大通过了数据安全的国家基本法——《数据安全法》。网络安全法和数据安全法，是我国新数字经济时代网络安全和数据安全规范治理方面的重要基础法律依据，下面本文将基于日志审计App的使用对网络安全法和数据安全法做出详细解读，对帮助企业安全合规提供理论依据和实践参考。

日志审计服务

日志，可以详细地描述和记录某种行为或某种状态，其丰富的内容信息和时间信息能够帮助企业进行事件分析，历史复盘，内容取证，同时从法律角度来讲，日志也是重要的电子证据，准确的日志记录和审计，能够帮助用户有效地减少信息破坏，信息泄漏，可以帮助和保障用户的数据信息安全。在SLS日志控制台开启日志审计服务如下图。日志审计服务App是阿里云日志服务SLS(（Simple Log Service））旗下的一款产品，它在继承了日志服务SLS的全部功能以外，还有强大的多账号管理及跨地域采集功能，支持通过资源目录（Resource Directory）的方式有组织性地统一地管理和记录多账号下云产品实例的日志信息，可以便于用户进行统一分析，问题排查，回溯复盘等操作。日志审计APP可以自动化、中心化地采集云产品日志并进行审计，其服务覆盖基础（操作审计、k8s)、存储（OSS、NAS)、网络（SLB、API网关）、数据库（RDS、PolarDB-X1.0，PolarDB）、安全（WAF、DDoS、SAS、CPS）等产品，还支持审计所需的存储、查询及信息汇总等功能。下图是SLS日志审计服务的整体架构。

《网络安全法》、《数据安全法》和《等保2.0》

网络安全法

《网络安全法》全称《中华人民共和国网络安全法》, 网络安全，是指通过采取必要措施，防范对网络的攻击、入侵、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络存储、传输、处理信息的完整性、保密性、可用性的能力。

数据安全法

《数据安全法》的制定是为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权，安全和发展利益，其全称是《中华人民共和国数据安全法》。

等保2.0

《信息安全技术-网络安全等级保护基本要求》由国家市场监督管理总局于2019年5月10日发布，于2019年12月1日正式实施，简称”等保2.0″。2017年，《网络安全法》的正式实施，标志着等级保护2.0的正式启动。网络安全法第21条明确“国家实行网络安全等级保护制度” ，其第31条明确“国家对一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护”。

解读与实践

上一章节主要是对日志审计以及相关法律法规的背景和内容进行简单介绍，下面我们将从日志审计的视角解析具体条例详情。

日志留存期限

条例详情

说明 第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改： （一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任； （二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施； （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月。

解读与实践

根据《网络安全法》第二十一条第三小节中明确规定了“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”, 日志审计App支持自定义数据保存180天，甚至数据可以永久保存，并且日志数据可以被溯源，无法进行篡改。日志审计App是客户安全合规依赖的基础，企业用户可以使用日志审计服务提供的审计功能，构建并输出合规的审计信息，如果客户有安全中心（SOC），可以直接消费日志审计中的日志，也可以使用阿里云安全中心消费日志。在日志审计App全局配置页面开启存储天数设定如下图所示。

账号管理要求

条例详情

等保2.0为《网络安全法》中网络安全的保证提供了具体的实施执行标准, 因此企业不开展等级保护等于违反网络安全法。以下是《网络安全法》中等级保护的相关规定：说明 第二十一条要求，国家实施网络安全等级保护制度； 第二十五条要求，网络运营者应当制定网络安全事件应急预案； 第三十一条则要求，关键基础设施，在网络安全等级保护制度的基础上，实行重点保护。对于各行各业的网上运营企业来讲，网络安全等级保护是刚需，无论是教育、医疗、金融、游戏、互联网还是政府、交通行业以及经营贸易、电子通信、财务税务、水电民生、国家防护体系建设等系统等都需要做网络安全等级保护。等保2.0——标准号GB/T 22239-2019，其第一级安全的有关要求如下：说明 网络和系统安全管理本项要求包括： 应指定专门的部门或人员进行账户管理，对申请账户、建立账户、删除账户等进行控制； 应建立网络和系统安全管理制度，对安全策略、账户管理、配置管理、日志管理、日常操作、升级与打补丁、口令更新周期等方面作出规定。

解读与实践

在账号操作及登录保护方面，日志审计App集成了操作审计actiontrail 日志接入，并提供了内置的告警监控规则，例如可以对RAM密码过期策略异常进行告警，对密钥配置变更进行告警等。操作审计（ActionTrail）能够帮助用户监控并记录阿里云账号的活动，包括通过阿里云控制台、OpenAPI、开发者工具对云上产品和服务的访问和使用行为。通过查看操作审计日志，可以对阿里云账号行为进行行为分析、安全分析，且能够对资源变更行为进行追踪，对行为合规性进行审计。在多账号管理方面，日志审计多账号配置在此前提下支持资源目录管理模式以及用户自定义授权管理模式。其中资源目录管理模式是通过日志审计服务集成了阿里云资源目录实现的。用户可以通过管理账号或者委派管理员账号将企业内其他阿里云账号添加为成员，从而实现跨阿里云账号采集云产品日志。例如，日志审计某车企用户，通过资源目录管理将其他组织中阿里云账号添加为成员，从而实现了跨账号一体化云产品日志采集，将采集到的日志进行中心化汇总和分析，从而帮助用户更好地分析和理解日志，深度挖掘用户需要的信息和价值。下图是在日志审计App中配置多账号的引导示例。

数据防篡改

条例详情

等保2.0 第二级别安全要求如下：说明 网络和系统安全管理：应严格控制变更性运维，经过审批后才可改变连接、安装系统组件或调整配置参数，操作过程中应保留不可更改的审计日志，操作结束后应同步更新配置信息库； 应严格控制运维工具的使用，经过审批后才可接入进行操作，操作过程中应保留不可更改的审计日志，操作结束后应删除工具中的敏感数据； 应严格控制远程运维的开通，经过审批后才可开通远程运维接口或通道，操作过程中应保留不可更改的审计日志，操作结束后立即关闭接口或通道。

解读与实践

等保2.0对于审计日志不可更改提出了新的要求，日志审计在防止审计数据篡改方面有特别的设定，配置云产品日志采集后，日志审计服务会创建专属Logstore，具备日志服务Logstore所有的功能，进行以下操作限制。

• 保护数据不被篡改，您无法自行写入数据，修改或删除索引。
• 只能通过日志审计服务的配置页面或接口修改存储周期、删除Logstore。

使用日志审计服务App可以更好地保障用户数据的真实性和有效性，达到等保2.0对于历史审计日志不可篡改的规定。

风险监测与预案

条例详情

网络安全法中第二十五条规定对于网络风险应具备应急预案制度，以抵抗和降低风险。说明 第二十五条网络运营这应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络入侵、网络攻击等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。数据安全法中第二十九条规定。说明 第二十九条开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

解读与实践

在前文中已经提到，日志审计App支持阿里云下WAF、Anti-DDoS、SAS、CPS等安全产品的日志接入，例如DDoS防护日志，包括DDoS原生防护日志、DDoS高级防护国际版日志、DDoS高级防护新BGP版日志均已接入日志审计App。SLS在很早就注意到了网络安全的合规问题及风险，因此当用户购买并使用阿里云此类云安全防护产品后，在日志审计App中开启此类安全产品的日志采集审计功能，用户就可根据对云产品防护的日志汇总、分析、查看攻击记录及日志防护详情，并对攻防处理进行电子存证，帮助分析网络漏洞，提升云上安全体验。例如，下图是一个在日志审计App中开启DDoS防护日志采集，根据采集到的日志分析攻击防护行为的实践案例。下图是一个通过对比cc_action字段判断某次页面访问是否被DDoS判定为cc攻击行为的示例。威胁情报服务是阿里云提供的情报安全服务，结合威胁情报数据，通过对威胁来源进行实时自动化采集、分析、分类与关联，评估企业资产中存在的威胁并为改善安全状况提供建议。SLS日志审计服务与威胁情报服务深度集成，利用威胁情报服务提供的全球威胁情报评估能力，支持对接入SLS的多种云产品日志（Actiontrial、SLB、OSS、SAS等）进行威胁情报检测。​在日志审计App中，开启威胁情报功能后，当云产品存在潜在威胁时，对应的云产品日志中将生成威胁情报相关的字段，从而帮助用户有效识别资产中的潜在威胁，对威胁信息的相关内容进行关联、分析和处理，并将关联和分析结果提供给安全设备和相关安全人员使用，从而提升威胁检查效率和响应速度。​​

数据中心化要求

条例详情

等保2.0 在第四级安全要求，安全通用要求中有如下规定：说明 应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。在第五级安全要求，大数据应用场景中也提出了如下建议：说明 安全计大数据平台应保证不同客户大数据应用的审计数据隔离存放，并提供不同客户审计数据收集汇总和集中分析的能力。

解读与实践

就数据汇总和集中分析而言，日志审计APP支持中心化数据存储，从各个阿里云账号、各个地域采集到的日志，会存储到中心账号下的一个中心Project中，目前中心化存储可供选择的地域如下所示。说明 中国：华北1（青岛）、华北2（北京）、华北5（呼和浩特）、华东1（杭州）、华东2（上海）、华南1（深圳）、中国（香港）说明 海外：新加坡、日本（东京）、德国（法兰克福）、印度尼西亚（雅加达）对于SLB、OSS、PolarDB-X 1.0等的访问日志，日志审计服务支持将各个主账号采集到的日志存储到中心主账号下的各个与SLB、OSS、PolarDB-X 1.0实例处于相同地域的日志服务Project中（例如：杭州的OSS访问日志，存储到杭州的日志服务Project中）。日志审计服务App支持将各个地域的Logstore同步到一个中心化的Logstore中，以便做中心化查询、分析、告警、可视化、二次开发等。

查询分析和告警

条例详情

网络安全法第二十八条规定：说明 第二十八条网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。数据安全法第二十二条规定：说明 第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。网络安全法第二十九条规定：说明 第二十九条国家支持网络运营者之间开展网络安全信息收集、分析、通报和应急处置等方面的合作，提高网络运营者的安全保障能力。等保2.0第二级安全要求条规定：说明 网络和系统安全管理： 应详细记录运维操作日志，包括日常巡检工作、运行维护记录、参数的设置和修改等内容；应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计，及时发现可疑行为。

解读与实践

形象的说，日志存储的主要目的除了用于记录历史操作，作为电子存证之外，更重要的功能是能够进行分析查询，帮助企业和用户利用好数据，不仅要知道数据的主体，更要将数据利用起来，无论是二次加工、汇总统计、还是分析溯源、深度挖掘，在网络安全和数据安全的框架下，日志数据应有更广阔和深远的应用前景和潜在价值。日志审计服务提供全数据生命周期的安全保护一栈式服务，客户可以在日志审计中使用所有的日志服务的功能，例如日志服务提供日志查询分析控制台，用户可以先对日志进行过滤、统计、分析或者更高级的处理方式，并且可以将查询语句保存成告警，配置告警通知等，从而帮助用户及时发现可疑行为。SLS告警提供了超过数百个内置近百个安全合规、异常、配置最佳实践监测规则，开箱即用并持续增加中。这些规则库有覆盖了CIS（覆盖了账号安全、数据库安全等）和安全场景的最佳实践，用户仅需开启对应规则，即可享受到全天候的安全保障。用户可以在日志审计App中体验SLS告警带来的云上安全保障升级。如下图是一个日志审计App内置告警规则的示例。

参考文档

• 数据安全法 。
• 网络安全法。
• 日志审计服务 。
• 日志服务。
• 资源目录。
• 操作审计 。
• 威胁情报服务 。
• 网络安全等级保护2.0解读。
• 信息安全技术-网络安全等级保护基本要求。
• 等保2.0 标准细则 。
• 日志服务告警 。

​