网络攻击窃密案高发,没有留存网络日志小心越红线


  据新华社北京4月18日电,我国安全机关工作中已发现多个国家和地区的间谍情报机关对我国实施网络攻击窃密活动,攻击目标涉及计算机、电子邮箱、移动智能终端、重要信息系统、关键信息基础设施等;而就在近日,国家安全机关发布三起破获的境外间谍情报机关对我国实施的网络攻击窃密案件。



01 三起境外间谍案

案件一:N网络科技公司重要信息系统被境外间谍情报机关攻击窃密案。

  N网络科技公司是国内重要的电子邮件系统安全产品提供商,主要负责客户单位内部电子邮件系统的设计、开发和维护。
  但员工安全意识薄弱,经常把众多客户的地理位置、网管人员身份等敏感信息储存在公司的内网服务器中。
  与此同时,为节约成本,网络安全防范措施很不到位;国家安全机关工作发现,从2014年起,该公司的核心应用服务器先后被三家境外间谍情报机关实施了多次网络攻击,窃取了大量敏感数据资料,对我国网络安全和国家安全构成危害。
  该案发生后,N公司被责令停业整改,并被行业主管部门处以罚款,同时,国家安全机关要求N公司逐一对此次事件涉及的用户单位进行安全加固,消除危害影响。

案件二:W市某机关人员计算机违规存储涉密资料网络窃密案。

  2018年8月,国家安全机关工作发现,W市农业局人事科干部王某使用的办公计算机被境外间谍情报机关远程控制。
  经对王某的计算机进行核查取证,发现里面除了日常办公文档,还有多份标注密级的地形图。
  国家安全机关工作人员检测发现,王某电子邮箱曾收到一封异常邮件,在点击阅读后,导致其计算机被植入一款伪装成QQ的特种木马程序,从而导致其计算机被境外间谍情报机关远程控制。
  因案情重大,已对我国国家安全构成严重危害,该市立即启动追责工作。有关责任人员受到相应法律惩处和党纪政纪处分。

案件三:Z市某机关人员违规使用电子邮箱传递涉密文件资料网络窃密案。

  Z市地处我国边陲,边境线上驻扎着边防部队。调查发现,该单位长期将办公室电话号码作为邮箱密码使用,境外间谍情报机关利用技术手段从互联网上搜集到Z市某局电话号码和邮箱账号,猜解出密码并非法控制了该邮箱。
  对该案调查过程中发现,邮箱中存储的大量文档资料被境外间谍情报机关窃取,被窃的文件资料中记载了Z市的驻军分布信息。
  由于该单位违规使用互联网电子邮箱传输涉密文档资料,违反了保密安全相关规定,已构成危害国家安全的情形。有关单位对涉及此次网络窃密案件相关领导干部和多名相关工作人员进行追责、问责处理。



02 国家重视网络安全,无网络日志留存是违法

  这三起案件,足以为我们敲响警钟。随着互联网的高速发展,网络安全问题逐渐显现,在国家层面上,网络安全是整个国家信息安全的护城河,是国家长治久安的保障,对于企事业单位而言,网络安全是保证其稳定发展的关键要素。
  国家相关部门对网络安全问题的重视也在日益加强,从公安部令第82号升级到公安部令第151号,便可见一斑。
  公安部令第151号对企事业单位网络运营的要求可概括为:在使用合规产品的基础上,保留每一个企事业单位人员网络浏览记录至少6个月以上,也就是知道谁、在什么时间、在哪里、浏览或发布了何种内容,对网络或主机的活动轨迹进行记录形成日志,如若违规需第一时间提供记录审查支持。



  公安部令第151号透漏的信息就是:日志产品必须成为企事业单位的标配!没有网络日志留存就是违法行为!
  日志的管理与留存,是企事业单位网络安全的晴雨表,也是依法办案的重要依据。
  从安全主管部门的角度看,清晰有序的网络日志留存,可以协助公安机关获得网络违法犯罪者的踪迹和身份,是公安机关依法追查网络违法犯罪的重要线索。
  从企业运营的角度看,全面的记录日志信息,有利于管理员维护网络环境,系统把握网络安全状态,当发生安全事件时,相关负责人员也能“顺藤摸瓜”,快速找到问题根源。同时,对潜在的攻击者起到震慑或警告作用。
  所以说,日志产品是标配,一个合规高效的日志产品更是企业必须投入的运营成本。


03 Dr.COM统一日志管理平台

  城市热点通过不断技术迭代,推出"Dr.COM统一日志管理平台"。Dr.COM 统一日志管理平台是一款基于大数据系统存储框架设计,能实现海量日志数据存储和快速检索的日志管理平台。
  提供多样化日志源存储管理、快速联合检索、可视化数据分析和输出API等功能。
  支持第三方网络设备日志,用户访问行为、流量日志,系统运行状态日志等各类结构或非结构化日志,可为网络管理者提供流量闭环核查、安全事件“落地查人”及所有入库日志实名标签关联显示。
  系统采用主动和被动结合的告警管理,预定义丰富的告警配置,同时支持灵活的自定义的记录告警,便于监控特定的对象。当生成事件符合标准时,系统主动产生告警并自动通过短信、Email等方式通知用户,从而进行人工干预处理。管理员也可以通过搜索特定对象的告警信息。
  Dr.COM统一日志管理平台作为日志管理工具,采集认证计费平台、NAT日志、上网行为审计、DNS以及其他安全设备联动日志,为“落地查人”闭环查询奠定数据基础;Dr.COM日志管理平台统一入口查询,通过关联NAT日志记录、上网行为审计的“第七层”应用痕迹和DNS域名访问信息,匹配认证系统赋予的实名身份信息,从而缩小人群范围以致最终确定事件人员。
  借助Dr.COM统一日志管理平台,用户可以进行细致深入的安全日志查询、分析、审计,出具各种审计报表报告,实现网络安全的监控与防护。
  平台将人、信息、账户完全锁定,并将用户行为与轨迹完全匹配并进行清晰展示;通过相关协议,将信息打包上传,且与用户标签关联,一旦用户行为有所异常,管理员可以迅速找到人并采取相应对策。



  换言之,因事找人以及相关上网轨迹,也是一件非常简单的事。只要通过时间段、账号信息等关联要素查询,获取到该账号的URL记录或域名记录,进一步获取NAT的记录日志,筛选满足条件下的信息记录即可。
  Dr.COM统一日志管理平台,将企业的海量日志,通过系统化的运营与管理,实现网络安全的监控与防护。