关于日志脱敏及修改的相关讨论与法规探究

‍‍

0x1本周话题

话题一：请问一下，关于日志脱敏的要求，auditlog 日志你们会要求做脱敏处理吗？
A1：审计日志写的是操作记录，没有业务数据，脱什么呢？涉及敏感数据的，需要出安全域、外部访问，就会脱敏。

A2：我们审计日志要求记录操作的对象，例如查询了什么客户的什么信息。

A3：没必要记录查询结果，量大又可能涉敏。应该记录查询条件，依然能够回溯。

Q：脱了敏，你还能审到啥？

A4：查询条件也会包含敏感信息。还是设计问题，为啥要用敏感信息查询，应该用客户编号等非敏感信息查询。不然为啥要要求敏感信息加密传输，不就是为了防止请求以任何形式被记录下来的时候不泄密呗。

A5：很多老旧系统一开始设计的时候并没考虑到这点，要让他们从源头整改也没那么容易的。

A6：两条路必然选一条，改造、例外。

A7：我个人是觉得auditlog日志没有脱敏必要，本身这个埋点日志就只有安全可以查看，并且日志查询平台前端也做了掩码，本地也不会留存，但是无奈集团有要求。
A8：理论上，确实应该脱敏，全打印不是个好的实践。实际上，还是得看看业务怎么跑和实际风险。比如抛异常再打印，访问控制后仅限少量人可接触，那么，实际利用和检查被发现的合规概率也低，优先级确实不高。

话题二：请教一下各位大佬，系统、应用日志以及堡垒机日志，是否有明确的法律或者监管规定禁止修改，如果修改了会收到什么处罚？除了网络安全法以为没找到明确的条文。

A1：《商业银行信息科技风险管理指引》第四十八条：商业银行应及时进行维护和适当的系统升级，以确保与技术相关服务的连续可用性，并完整保存记录（包括疑似和实际的故障、预防性和补救性维护记录），以确保有效维护设备和设施。

A2：但就是把堡垒机记录修改了呢。我查了裁判文书网，也没有判例。

A3：也不是所有判例都会公开吧。我们操作都在堡垒机上，按道理，我觉得堡垒机记录应该更重要。但后台admin进去也是可以改的，有的还能删。

A4：《商业银行数据中心监管指引》第四十六条：商业银行应加强对数据中心外包服务活动的安全管理，包括但不限于：（一）商业银行应将数据中心外包服务安全管理纳入数据中心的整体安全策略，保障业务、管理和客户敏感数据信息安全。（二）商业银行应按照“必需知道”和“最小授权”原则，严格控制外包服务商信息访问的权限，要求外包服务商不得对外泄露所接触的商业银行信息。（三）商业银行应要求外包服务商保留操作痕迹、记录完整的日志，相关内容和保存期限应满足事件分析、安全取证、独立审计和监督检查需要。（四）商业银行应要求外包服务商遵守商业银行有关信息科技风险管理制度和流程。（五）商业银行应要求外包服务商每年至少开展一次信息安全风险评估并提交评估报告。（六）商业银行应要求外包服务商聘请外部机构定期对其进行安全审计并提交审计报告，督促其及时整改发现的问题。

A5：不过还是没说怎么罚，一般确实都说不能删，但没说怎么罚，估计要根据实际情节，不是固定的。比如，调查后事实是硬件故障丢失了管理不足但没出问题，上头审计查不到现场，有人作案故意删了，情节肯定是从轻到重的，相关对抗检查、管理散乱的帽子都可以扣，罚款、加重也就来了。

A6：是的，还是没有明文。个人认为应该参考会计要求。
A7：《中华人民共和国银行业监督管理法》第四十七条：银行业金融机构不按照规定提供报表、报告等文件、资料的，由银行业监督管理机构责令改正，逾期不改正的，处十万元以上三十万元以下罚款。 这一条能稍微沾点边。

原文始发于微信公众号（君哥的体历）：关于日志脱敏及修改的相关讨论与法规探究| 总第252周