一、引子
在专栏开篇作中我有提到数据安全架构中的5A概念,5A概念中的其中一个A是可审计,因此,本篇我们来聊聊可审计相关的东西。
可审计就是记录所有的敏感操作,并可用于事件追溯。记录下来的内容一般是操作日志。
二、审计的目的
对于一款产品来说,它的审计功能主要体现在操作日志方面。当产品的安全事件发生后,需要确保能够通过操作日志来还原事件的真相,找到事件发生的真正原因并改进相关的薄弱环节。
审计的目的包括:
● 发现产品自身的安全缺陷,改进产品的安全特性,消除产品自身的安全隐患。
● 为安全防御体系的改进提供支持(例如为入侵检测提供事件样本、防护策略等)。
● 为诉讼或其他法律行动提供证据。
● 满足监管或外部认证的合规要求(提取安全系统拦截或阻断非法请求的证据,可用于合规性证明)。
三、操作日志内容
操作日志一般包括:
● 时间。
● 用户IP地址。
● 用户ID(用户名)。
● 操作(增删改查)和操作对象(数据或资源)。
其中,常见的操作和操作对象包括:
● 对数据的新增、删除、修改、查询。
● 对资源的申请、释放、扩容、授权等。
● 对流程的审批通过、驳回、转移。
● 对交易的发起、支付、撤销。
● 对人员的授权、吊销授权。
此外,操作日志应当排除敏感信息,因为记录敏感信息可能导致信息泄露,如业务一定需要记录的话,可采取脱敏措施。
四、操作日志的保存与清理
日志的保存:
实践中,对于安全性要求不高的应用,一般在应用自身保存操作日志即可。对于安全性要求较高的应用,应当提交日志或日志副本到独立于应用之外的日志管理系统,且无法从应用自身发起删除。
日志的清理:
实践中,一般至少需要保留六个月的操作日志,用于追溯。对于超时的日志,为了保障可维护性,应当配置成自动清理过期日志的机制,而不是人工清理。否则会由于人员的遗忘、疏忽,导致磁盘空间被占满的情况,影响应用的可用性。
五、供应商或第三方
5.1、明确和第三方的责任
在将业务转由第三方前,企业要做的第一件事是草拟一份关于公司和供应商或第三方的责任和义务的协议,这么做是为了让各方对各自的角色和责任达成一致,避免错误,将出现错误的风险降到最低。
在委派业务之前,企业要做的第二件事是确定协议中运营方面的内容,例如:
● 公司期望供应商或第三方提供的服务水平;
● 供应商或第三方需要定期汇报给公司的关键绩效指标;
● 出现问题后供应商或第三方的处理方法;
● 供应商或第三方的应急方案;
● 明确双方的职责和义务,以及违背任何条款时应做的赔偿;
● 建立反馈流程,第三方可将发生的事件或失误向企业发出预警。
5.2、供应商合同
公司应确保与供应商签订的每份合同都是根据供应商向公司提供的服务量身定制的,不得签署由供应商提供的标准版的合同,合同应至少包括以下要求:
● 供应商保护数据的措施;
● 出现数据泄露时供应商的责任;
● 公司有对供应商进行审核和调查的权力;
● 明确企业和供应商对数据泄露事件应负的责任;
● 合同终止或供应商不再需要提供合同中规定的服务时,数据应如何被销毁。
