国家标准计划《网络安全技术 日志分析产品技术规范》由 TC260(全国网络安全标准化技术委员会)归口 ,主管部门为国家标准委。
主要起草单位 上海辰锐信息科技有限公司 、公安部第三研究所 、华为技术有限公司 、新华三技术有限公司 、西安交大捷普网络科技有限公司 、北京神州泰岳软件股份有限公司 、蓝盾信息安全技术股份有限公司 、北京神州绿盟科技有限公司 、沈阳东软系统集成工程有限公司 、启明星辰信息技术集团股份有限公司 、深信服科技股份有限公司 、中国科学院软件研究所 、北京邮电大学 、北京天融信网络安全技术有限公司 、奇安信网神信息技术(北京)股份有限公司 、中国网络安全审查技术与认证中心 、厦门市美亚柏科信息股份有限公司 、上海市信息安全测评认证中心 。
35 信息技术、办公机械 |
日志数据是非常有价值的信息宝库,能够保护和提高网络安全。
通过收集和分析各类服务器、应用系统、网络设备和安全产品的日志数据,能够帮助企事业单位的安全管理员提前发现和避开安全隐患,并且找到安全事件的根本原因。
但是在对企事业单位实施网络安全测评过程经常发现,很多单位仅仅还停留在日志收集的阶段,并没有对收集日志数据进行统计分析。
因为缺少日志数据监测分析、潜在的攻击信息也许会被忽略而失去时效;同时,日志数据量大且涉及的日志数据源种类繁多,运维人员没有经过技术培训或者不会查看这些数据,保留日志数据也没有太大的意义了。
众所周知,不同类型的日志源产生的日志,其书写格式、表述习惯存在很大差异。
另外,日志通常是非结构化或半结构化描述的,也不利于进行分析处理,故需要使用日志解析技术将各类日志进行归一化处理,实现日志结构化形式的统一表述。
经过归一化处理的日志,可以实现跨日志数据源的综合分析,发现隐藏在日志信息中的行为特征、事件线索等。
日志分析产品是对操作系统、数据库、网络及安全设备等资产的日志数据进行收集,经归一化处理后集中存储,并提供日志数据分析处理的安全产品。
它可以通过定义日志筛选规则和策略,帮助安全管理员从海量日志数据中精确查找关键有用的事件数据,准确定位网络故障并提前识别安全威胁,从而降低系统宕机时间、提升网络性能、保障企业网络安全。
日志分析产品的用途包括以下几个方面: 1、解决日志信息“孤岛”问题:日志分析产品可以对信息系统的各个资产生成的日志进行集中存储,包括服务器操作系统、数据库、网络及安全设备和应用(通常需二次开发)等。
收集不同类型日志源数据,经过归一化处理,可以实现跨日志数据源的综合分析,深入分析,发现隐藏在日志信息中的行为特征、事件线索等,从而揭示违规操作行为、潜在网络攻击等安全问题。
2、节省时间和人力资源:人工对各类资产的日志数据进行分析和统计是一项繁琐且耗时的工作。
日志分析产品能够自动化这个过程,减少了人工干预所需的时间和资源,提高了效率的同时也减少了人为引入的风险。
3、用于内控及威胁管理:日志分析产品可以解决网络运营者在合规性、运维支撑、威胁检测、取证分析方面的需求,通过日志分析,鉴别出来自外部的入侵和内部的违规、误操作行为,从而实现IT资源合规性管理的目标,提升网络运营者安全运营、威胁管理和应急响应能力。
日志分析产品可以向安全管理员提供详细统计分析的报告和安全预警,使管理员能够更好地了解和应对安全威胁。
目前,并没有相关的国家标准对日志分析产品提供的功能进行规范,严重影响了该类产品的设计、开发及测试工作。
因此需要制定《信息安全技术 日志分析产品技术规范》,用于指导日志分析产品的设计、开发、测试和评价。
经过全面的调研分析,根据日志分析产品的技术发展和应用场景,从安全功能要求、自身安全要求、环境适应性要求和安全保障要求几方面,研究制定《信息安全技术 日志分析产品技术规范》,形成相应的国家标准。 本标准适用于日志分析产品的设计、开发、测试和评价。该标准为生产、测试和评估日志分析产品提供了指导性意见,建议在全国推荐性实施。在具体贯彻实施该标准时,首先可要求测试机构使用该标准作为日志分析产品的测试依据,如:可用于网络安全专用产品测试、政府采购的准入测试、不同需求单位的招标选型测试等。由此可以进一步推动此类产品的生产厂商以该标准为依据,更全面地应用到产品的研发生产过程中,达到业界内全面使用该标准的局面。