等级保护三级测评为什么建议日志审计

一旦公司的信息系统或者其他等保对象开展了首年的等保三级测评后，之后每一年都需要开展一次测评工作。因此，做等保三级测评不可马虎，否则之后麻烦还是公司本身。不仅容易带来网络安全隐患，还为之后第二年测评整改带来更多工作。如果，第一年你是请第三方公司进行的整改工作，建议还是尽可能把整改工作做得更好。为了把整改工作做得更好，一般都会建议公司配备日志审计系统，这是为什么呢?

等保2.0分为五个级别，在等保2.0框架里面安全技术和运维的部分对于安全审计、集中审计都有非常明确的要求，我们今天聊的等保三级也是有对应要求的。

等保2.0里面对安全日志审计有些什么样的要求呢?这里摘录了一些部分：

8.1.4.3 安全审计

1. 应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计;

2. 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息;

3. 应对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖等;

4. 应对审计进程进行保护，防止未经授权的中断。

8.1.5.2 审计管理

应通过审计管理员对对审计记录进行分析，并根据分析结果进行处理，包括根据安全审计策略对审计记录进行存储、管理和查询等。

8.1.5.4 集中管控

应对分散在各个设备上的审计数据进行收集汇总和集中分析，并保证审计记录的留存时间符合法律法规要求。

除了等保以外，在网络安全法里面也对日志的留存、安全审计提出了非常具体的要求：

“第二十一条国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

(一)制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务”

我们简单来了解一下什么是安全审计，这个有利于你了解为啥等保三级测评建议配备日志审计。

什么是安全审计

审计过程是收集、整理和分析审计证据的过程，日志是最重要的审计证据。

审计的内容包括各种操作日志、流量日志、会话日志、原始报文等，核心难点和关键技术是大数据的汇聚、存储、索引和分析技术。

所以，安全审计就是收集和记录信息系统的各种日志、事件和流量信息，对这些信息进行比较分析，检查用户或系统是否按照要求正常运行的工作过程。

针对等保三级测评这一要求，目前市面上有不少这方面的产品，该如何设置，选择了之后该如何结合等保三级测评整改清单，做好相关配置呢?日常要做好哪些日志审计工作呢?这些内容都是和等保三级合规建设相关的。想要找专业网络工程师和等保整改顾问协助完成相关的等保整改工作和网络安全设备采购，从而整体节约等保三级整改的时间成本和费用?欢迎在线咨询或者留言。