大数据时代计算机信息处理技术研究
             Research on Computer Information Processing Technology in the Era of Big Data


             不同的安全监管要求，设置日志的生命周期，如对于数据库和应用日志按照监管
             要求保留一年以上。
                 二是对日志的安全管理。收集的日志需要进行严格的安全管理，例如：对数
             据库和应用的日志进行加密，防止日志里的敏感信息外泄；对日志进行设置删除

             预警操作，数据库和应用日志删除需要多次确认，并将删除日志放置在缓冲区，
             设置十天之内可以取回。
                 日志的分析能力可以从以下几个维度提升：
                 一是对收集日志进行综合关联分析。通过对收集过来的各类日志按照一定的

             规则进行关联分析，目的在于降低海量日志的分析成本，降低攻击的误报率和漏
             报率，尤其是在漏报率这个维度。借助日志关联分析平台，主动去发现潜在的异
             常行为，并对异常行为进行持续跟进分析，对异常行为的检测可以借助云端的安
             全威胁情报平台和沙箱等工具进行综合判断，一旦判定为攻击行为，立即阻断，

             减少损失。在此基础上，构建完善的检测与响应中心，能够在第一时间将未知威
             胁和攻击进行阻隔，提升计算机信息安全的检测和响应能力。
                 二是优化威胁预警通知能力。集合日志综合关联分析平台，可以对威胁提供
             及时的预警和通知。通知方式可以集成公司企业微信，可以短信告警还以集成邮

             件安全告警。对于重要紧急的告警以短信和企业微信的方式进行及时通知，被通
             知负责人手机端会设置非常紧急的告警铃声，确保第一时间收到威胁预警，并进
             行及时跟进处理。
                 （二）加大运维审计力度

                 在加强 A 公司运维审计力度方面，可以从以下几个维度进行优化：
                 一是对运维账号进行集中管理，为运维账号进行分类并赋予对应的角色权限，
             不使用针对每个账号的权限设计，而是采用基于角色的权限设计方式进行授权，
             对特定账号进行角色赋予，使其具备角色的权限，角色回收时，该账号的权限也

             被收回。为运维账号设计三种分类：日志账号、读写账号、只读账号。日志账号
             只能对日志进行操作，如存取日志、日志存档、对日志分析等操作，对于网络设
             备、服务器设备、业务系统无权限操作。读写账号设计为变更账号，用于网络变
             更，系统变更等需要读写操作的变更使用，但读写账号不具备创建用户账号的权

             限。只读账号，用于整体运维监控，可以查看相关运维相关的任何信息，但不具
             有写操作的权限。


             ·160·