日志很早就有,日志对于信息安全的重要性也早已众所周知,但是对日志的真正重视却是最近几年的事情。
当今的企业和组织在IT信息安全领域面临比以往更为复杂的局面。这既有来自于企业和组织外部的层出不穷的入侵和攻击,也有来自于企业和组织内部的违规和泄漏。
为了不断应对新的安全挑战,企业和组织先后部署了防病毒系统、防火墙、入侵检测系统、漏洞扫描系统、UTM,等等。这些安全系统都仅仅防堵来自某个方面的安全威胁,形成了一个个安全防御孤岛,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。
另一方面,企业和组织日益迫切的信息系统审计和内控、以及不断增强的业务持续性需求,也对当前日志审计提出了严峻的挑战。企业和组织迫切需要一个全面的、面向企业和组织IT资源(信息系统保护环境)的、集中的安全审计平台及其系统,这个系统能够收集来自企业和组织IT资源中各种设备和应用的安全日志,并进行存储、监控、审计、分析、报警、响应和报告。
日志审计系统的基本组成
由于一款综合性的日志审计系统必须能够收集网络中异构设备的日志,因此日志收集的手段应要丰富,建议至少应支持通过Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等协议采集日志,支持从Log文件或者数据库中获取日志。
1. 日志收集的性能也是要考虑的。一般来说,如果网络中的日志量非常大,对日志系统的性能要求也就比较高,如果因为性能的问题造成日志大量丢失的话,就完全起不到审计的作用的了。目前,国际上评价一款日志审计产品的最重要指标叫做“事件数每秒”,英文是Event per Second,即EPS,表明系统每秒钟能够收集的日志条数,通常以每条日志0.5K~1K字节数为基准。一般而言,EPS数值越高,表明系统性能越好。
2. 应提供精确的查询手段,不同类型日志信息的格式差异非常大,日志审计系统对日志进行收集后,应进行一定的处理,例如对日志的格式进行统一,这样不同厂家的日志可以放在一起做统计分析和审计,必须注意的是,统一格式不能把原始日志破坏,否则日志的法律效力就大打折扣了。
3.要让收集的日志发挥更强的安全审计的作用,有一定技术水平的管理员会希望获得对日志进行关联分析的工具,能主动挖掘隐藏在大量日志中的安全问题。因此,有这方面需求的用户可以重点考察产品的实时关联分析能力。
4. 应提供大容量的存储管理方法,用户的日志数据量是非常庞大的,如果没有好的管理手段,不仅审计查询困难,占用过多的存储空间对用户的投资也是浪费。
5.日志系统存储的冗余非常重要,如果集中收集的日志数据因硬件或系统损坏而丢失,损失就大了,如果选购的是软件的日志审计系统,用户在配备服务器的时候一定要保证存储的冗余,如使用RAID5,或专用的存储设备,如果选购的是硬件的日志审计系统,就必须考查硬件的冗余,防止出现问题。
6. 应提供多样化的实时告警手段,发现安全问题应及时告警,还要提供自定义报表的功能,能让用户做出符合自身需求的报表。
总之,信息安全基础设施的日趋复杂,使得我们已经从简单的日志管理时代迈入了系统性的日志综合审计时代,日志对于网络与信息安全的价值和作用必将越发重要。