Libra edited

How can public agencies legally implement log management?

在多變的全球局勢中,數位領域的戰爭早已開始,隨著科技快速演進,資安威脅的情勢越發嚴峻。

當資訊科技的力量,被少數國家用來攻擊其他主權國家,惡意癱瘓該國關鍵基礎設施的內部系統,竊取國家機密與企業的智慧財產、窺探個人隱私、奪取金錢資產。此時,資訊安全即是國家安全。

從資安事件案例,看日誌管理的價值

回望過去 3 年,自 2022 年烏俄戰爭爆發,俄國對烏克蘭關鍵基礎設施發動網路攻擊;同年裴洛西訪台,台灣公私部門陸續遭受網路侵擾;2024 年美國揭露代號「鹽颱風」的駭客組織,入侵全美至少 9 家電信業者,企圖監聽川普等高層人物,竊取國家資料。

而中國在網際空間的各種行為,也引發國際高度戒備。來自中國的網路攻擊遍布全球,他們鎖定美國、英國、日本等國的關鍵基礎建設與研究機構進行滲透。這些駭客組織豐富,手段縝密,善於隱藏。這都凸顯出日誌紀錄在事件追蹤與取證上,扮演著關鍵的角色。

資通安全管理法與日誌保存規範

行政院在 2019 年正式公布並實施《資通安全管理法》,目的是強化公務機關與特定非公務機關的資安治理與營運韌性。

本文將聚焦於資訊安全法對日誌的要求與罰則,再說明機關該如何滿足法規要求。

資通系統防護準則中的日誌(Log)管理要求

依《資通安全責任等級分級辦法》中,附表十「資通系統防護準則」,機關必須做到以下與日誌相關的規範:

  1. 事件紀錄:紀錄資通系統事件與系統管理者帳號所執行的各項功能,且日誌至少保留 6 個月。
  2. 日誌紀錄內容:必須包含事件類型、發生時間、發生位置、與使用者身分識別。
  3. 日誌處理失效之回應:當日誌處理失效時,應立即採取行動,對高防護需求的系統必須即時發出告警給管理員。
  4. 日誌資料之保護
    • 僅限有權限的使用者存取日誌
    • 定期將高防護需求的日誌備份到不同實體系統(意即日誌的異地備援。)

資通安全責任等級與威脅偵測機制

A、B 級的公務機關與特定非公務機關,必須建立資通安全威脅偵測管理機制,並監控核心業務系統的資通設備紀錄與應用程式 Log,以達成完整威脅偵測建置。

違反資通安全管理法的結果

  • 稽核缺失:若稽核時發現缺失,必須在 1 個月內提交改善報告,內容應包含事件、原因、解決方案、預計完成改善的期限,並限期改善。逾期未改善,按次處新台幣 10 萬–100 萬元罰鍰。
  • 資料安全事件:若業務資訊遭洩漏、竄改或業務系統停頓則視為資料安全事件。應於 1 小時內完成資通事件通報,並於 1.5 天– 3 天內完成損害控制或復原作業,並在1 個月內提交改善報告。 特定非公務機關未通報,處 30 萬– 500 萬罰鍰,並可按次處罰。

Graylog 日誌管理平台的資安功能

為協助機關符合法遵要求的日誌管理平台,齊瑞推薦Graylog。以下列舉與法規有互映的部分。

  • 日誌集中化收集 Graylog支援多種輸入格式,能蒐集來自伺服器、網路設備、應用程式等來源的日誌(Log),這滿足法規要求,集中監控核心業務系統與資通設備紀錄的需求。
支援多種輸入格式
  • 長期封存 Graylog具有日誌長期保存策略的設定,能滿足法規要求,須保存6個月以上的規定。當然也可以依特殊需求保存更久。
設定保存與archiving的天數
  • 權限控管(RBAC) 法規要求,僅限有權限的使用者存取日,Graylog有明確的權限控管設定,可依職務設定不同日誌存取權限,並支援 LDAP/AD 整合,防止未授權人員存取或竄改日誌。
AD_LDAP設定
角色設定
  • 即時告警 應法規需求,當日誌失效時需通知系統管理員。這部分可以設定,當 Log 接收速率為 0 或出現異常關鍵字時,立即透過 Email、Webhook、Slack、Teams 發送告警通知管理員。
事件定義(發生時需告警或通知)
通知設定
  • 備份機制 具水平佈署功能,可跨機房佈署,符合定期將高防護需求的日誌,備份到不同實體系統的備份規範。
Archived檔案放置位置設定檔案掛載到NFS server
  • 自動化合規報表 為準備相關資料以證明所屬的機關有符合資通安全管理法,齊瑞建議定期產出季報表。而Graylog內建報表模板,可自動化撈取剖析且有意義的Log資訊,並匯集成報表。降低人工彙整錯誤率,讓準備稽核時不會手忙腳亂。
報告設定

以上僅針對《資通安全管理法》特別擷取了部分功能,實際上Graylog還有關聯性分析、行為學習等等,功能可說是族繁不及備載。做好日誌管理,除可以消弭被罰鍰的風險,還可以建置基礎的SOC,以優化SIEM、SOAR作為應變措施。這些強大的功能,不僅強化機關的資安治理,更能提升公信力!

Graylog 日誌管理平台為機關打造的資安優勢

《資通安全管理法》已將日誌保存與應變機制明確納入公務機關與特定非公務機關的責任範疇。資訊安全從 Log 開始落實,已是刻不容緩的任務。

齊瑞科技身為 Graylog 原廠代理商,擁有原廠認證工程師,我們熟悉Graylog 功能與參數,並提供進階服務方案,協助機關依需求,讓它的功能可以充分發揮。幫助機關落實合法合規的同時,也能有效且敏捷得使用這個工具。

如需深入了解,歡迎到Index關注最新一期的 Graylog 主題講座,一次掌握日誌管理平台的完整訊息與最佳實務。

Tags
Susan
Susan
Articles: 3

Related Posts