新乡两单位被罚款：《网络安全法》的合规要求如何落地？

信息来源：网信新乡

事件概述：两个案例暴露的安全管理问题

这两个处罚案例反映了网络安全管理中的一些常见问题。

案例一：防火墙配置不当与主机日志缺失导致溯源受困

• 违规情况：一家公司所属主机遭到攻击，但其网络日志留存时间未满足法律规定的六个月，导致无法对攻击行为进行完整的溯源调查。
• 原因分析：
• a.边界防护配置不当：通报中提到的“防火墙配置存在问题”，在实际场景中通常指向几个具体问题。首先是入站策略过于宽松，例如将远程桌面（RDP）、SSH等高风险管理端口直接对公网开放，这为攻击者提供了直接的攻击入口。其次，也是本案中导致被控主机能持续与境外通信8个月的关键原因，是缺乏有效的出站策略（Egress Filtering）。防火墙不仅要防范外部攻击的“进”，也要管控内部设备向外的“出”。如果没有配置出站访问控制规则，中毒主机就可以无限制地与外部的命令与控制服务器（C2）建立连接，持续接受指令或回传数据。
• b.日志管理制度缺失：工作人员未依法配置日志留存策略，导致无法提供有效的追溯证据。
• 事件后果：现有日志显示，9台设备已被控制，并与境外地址持续通信，已确认的时间跨度有8个月。

该案例的核心问题在于，安全事件发生后，缺乏必要的日志记录来支撑调查取证工作。

案例二：未修复漏洞导致系统被入侵

• 违规情况：某中心因未落实必要的网络安全技术措施，系统存在安全漏洞，被攻击者利用并成功植入木马。
• 原因分析：
• a.网络安全主体责任意识不足：对当前网络安全威胁的严峻性认识不到位。
• b.缺乏常态化风险排查：未能定期进行风险排查与评估，导致系统存在的安全漏洞未被及时修复。

该问题的根源在于被动的安全策略，未能采取主动的风险预防措施。

法律依据：《网络安全法》的相关条款

此次处罚的法律依据指向《网络安全法》第二十一条，其中规定了网络运营者的安全保护义务。

• 相关条款一：技术防护措施《网络安全法》第二十一条第二款要求，网络运营者应“采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施”。案例二中“未及时修复”安全漏洞的行为，违反了此项规定。
• 相关条款二：日志留存《网络安全法》第二十一条第三款规定，网络运营者应“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”。案例一“日志留存不足6个月”的行为，违反了此项规定。

根据《网络安全法》第五十九条，违反上述义务，将由主管部门责令改正并给予警告；若拒不改正或已导致危害网络安全等后果，则处以罚款。

信息来源：中华人民共和国网络安全法

从法规到实践：构建日志留存与审计体系的四个步骤

要建立一个有效的日志体系以满足合规要求，需要覆盖四个环节：确定记录范围、进行技术配置、实施集中管理、执行分析与应用。

以下将进行简单的日志留存与审计体系介绍，仅供学习参考。

第一步：确定日志记录范围

根据网络安全等级保护制度的要求，以下几类日志是必须记录的关键信息：

• 登录与认证事件：记录所有用户登录系统的成功与失败信息。
• 账户管理活动：记录所有创建、删除、修改用户账户以及变更权限的操作。
• 进程创建事件：记录操作系统中所有新进程的启动信息。
• 安全策略变更：记录对系统安全策略的任何修改，例如防火墙规则的变更。
• 对象访问：对已定义的重要文件、目录或注册表项的访问和修改操作。

第二步：在Windows系统中进行技术配置

在确定记录范围后，需在操作系统层面进行具体配置。

1.配置高级审核策略

• 在“运行”框中输入 gpedit.msc，打开“本地组策略编辑器”。
• 导航至 计算机配置 -> Windows 设置 -> 安全设置 -> 高级审核策略配置。
• 根据第一步确定的范围，启用对应的审核子类别，例如“审核进程创建”、“审核安全组管理”等。

不应为：未配置

应记录：成功/失败事件

2.调整日志容量与保留策略

• 在“运行”框中输入 eventvwr.msc，打开“事件查看器”。
• 在左侧导航栏展开 Windows 日志，右键点击“安全性”日志，选择“属性”。
• 设置最大日志大小：根据服务器的日志生成速率和磁盘空间，设定一个足以存储六个月以上日志的容量值（单位为KB）。
• 选择日志保留策略：选择“按需要覆盖事件(旧事件优先)”选项，以确保日志文件写满后，新日志可以覆盖旧日志，保证记录的连续性。

日志大小应根据使用环境具体评估

第三步：实施日志的集中化管理

日志分散存储存在被攻击者篡改或清除的风险。因此，日志的集中化管理是必要的安全措施。

• Windows事件转发 (WEF)：利用Windows系统内置功能，将多台源计算机的事件日志，统一收集到一台中央日志服务器上。
• 部署SIEM平台：部署安全信息和事件管理（SIEM）平台，用于从服务器、网络设备等多种来源收集、存储和关联分析日志数据。

如使用ELK进行日志收集

第四步：日志的分析与应用

日志记录的目的是用于分析和使用，将原始日志数据转化为可操作的安全信息。

• 建立行为基线：分析系统在正常运行状态下的日志模式，作为识别异常行为的参照标准。
• 配置告警规则：在SIEM或日志分析平台中，根据已知的攻击技术模型（如MITRE ATT&CK框架）设置告警规则，用于自动发现可疑行为。
• 定期审计与威胁狩猎：安全人员应定期对日志数据进行审查，并主动在日志中搜索潜在的攻击迹象和异常模式。

结论

此次通报的案例表明，网络运营者必须履行《网络安全法》规定的安全保护义务。一个完整的日志管理体系，从策略定义、技术配置，到集中存储和持续分析，是一个闭环流程。完成这些步骤，将法律条文转化为具体的技术动作和管理流程，是保障业务连续性和数据资产安全的基础要求。