如何選擇日誌審計系統

【摘要】本文分析了日誌審計的需求，並針對日誌審計系統的選型給出了一套基本的評價指標。

日誌審計系統的需求分析

日誌很早就有，日誌對於信息安全的重要性也早已衆所周知，可是對日誌的真正重視倒是最近幾年的事情。

當今的企業和組織在IT信息安全領域面臨比以往更爲複雜的局面。這既有來自於企業和組織外部的層出不窮的***和***，也有來自於企業和組織內部的違規和泄漏。

爲了避免斷應對新的安全挑戰，企業和組織前後部署了防病毒系統、防火牆、***檢測系統、漏洞掃描系統、UTM，等等。這些安全系統都僅僅防堵來自某個方面的安全威脅，造成了一個個安全防護孤島，沒法產生協同效應。更爲嚴重地，這些複雜的IT資源及其安全防護設施在運行過程當中不斷產生大量的安全日誌和事件，安全管理人員面對這些數量巨大、彼此割裂的安全信息，操做着各類產品自身的控制檯界面和告警窗口，顯得一籌莫展，工做效率極低，難以發現真正的安全隱患。

另外一方面，企業和組織日益迫切的信息系統審計和內控、以及不斷加強的業務持續性需求，也對當前日誌審計提出了嚴峻的挑戰。下表簡要列舉了部分相關法律法規對於日誌審計的要求:

 

法律法規	相關條款	與日誌審計相關的主要內容
《信息系統安全等級化保護基本要求》	對於網絡安全、主機安全和應用安所有分	從二級開始，到四級都明確要求進行日誌審計。
ISO27001:2005	4.3.3記錄控制	記錄應創建並加以保持，以提供符合ISMS要求和有效運行的證據。
《企業內部控制基本規範》	第四十一條	企業應當增強對信息系統的開發與維護、訪問與變動、數據輸入與輸出、文件存儲與保管、網絡安全等方面的控制，保證信息系統安全穩定運行。（注：間接要求安全審計）
《商業銀行內部控制指引》	第一百二十六條	商業銀行的網絡設備、操做系統、數據庫系統、應用程序等均當設置必要的日誌。日誌應當可以知足各種內部和外部審計的須要。
《銀行業信息科技風險管理指引》	第二十五條	對於全部計算機操做系統和系統軟件的安全，在系統日誌中記錄不成功的登陸、重要系統文件的訪問、對用戶帳戶的修改等有關重要事項，手動或自動監控系統出現的任何異常事件，按期彙報監控狀況。
	第二十六條	對於全部信息系統的安全，以書面或者電子格式保存審計痕跡；要求用戶管理員監控和審查未成功的登陸和用戶帳戶的修改。
	第二十七條	銀行業應制定相關策略和流程，管理全部生產系統的日誌，以支持有效的審覈、安全取證分析和預防欺詐。
《證券公司內部控制指引》	第一百一十七條	證券公司應保證信息系統日誌的完備性，確保全部重大修改被完整地記錄，確保開啓審計留痕功能。證券公司信息系統日誌應至少保存15年。
《互聯網安全保護技術措施規定》（公安部82號令）	第八條	記錄、跟蹤網絡運行狀態，監測、記錄用戶各類信息、網絡安全事件等安全審計功能。
薩班斯（SOX）法案	第404款	公司管理層創建和維護內部控制系統及相應控制程序充分有效的責任；發行人管理層最近財政年度末對內部控制體系及控制程序有效性的評價。（注：在SOX中，信息系統日誌審計系統及其審計結果是評判內控評價有效性的一個重要工具和佐證）

尤爲是國家信息系統等級保護制度的出臺，明確要求二級以上的信息系統必須對網絡、主機和應用進行安全審計。

綜上所述，企業和組織迫切須要一個全面的、面向企業和組織IT資源（信息系統保護環境）的、集中的安全審計平臺及其系統，這個系統可以收集來自企業和組織IT資源中各類設備和應用的安全日誌，並進行存儲、監控、審計、分析、報警、響應和報告。

日誌審計系統的基本組成

對於一個日誌審計系統，從功能組成上至少應該包括信息採集、信息分析、信息存儲、信息展現四個基本功能：

1)   日誌採集功能：系統可以經過某種技術手段獲取須要審計的日誌信息。對於該功能，關鍵在於採集信息的手段種類、採集信息的範圍、採集信息的粒度（細緻程度）。

2)   日誌分析功能： 是指對於採集上來的信息進行分析、審計。這是日誌審計系統的核心，審計效果好壞直接由此體現出來。在實現信息分析的技術上，簡單的技術能夠是基於數據庫的 信息查詢和比較；複雜的技術則包括實時關聯分析引擎技術，採用基於規則的審計、基於統計的審計、基於時序的審計，以及基於人工智能的審計算法，等等。

3)   日誌存儲功能：對於採集到原始信息，以及審計後的信息都要進行保存，備查，並能夠做爲取證的依據。在該功能的實現上，關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。

4)   信息展現功能：包括審計結果展現界面、統計分析報表功能、告警響應功能、設備聯動功能，等等。這部分功能是審計效果的最直接體現，審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。 

日誌審計系統的選型指南

       那麼，咱們如何選擇一款合適的日誌審計系統呢？評價一款日誌審計系統須要關注哪些方面呢？筆者認爲至少應該從如下幾個方面來考慮：

一、  因爲一款綜合性的日誌審計系統必須可以收集網絡中異構設備的日誌，所以日誌收集的手段應要豐富，建議至少應支持經過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等協議採集日誌，支持從Log文件或者數據庫中獲取日誌。

二、  日誌收集的性能也是要考慮的。通常來講，若是網絡中的日誌量很是大，對日誌系統的性能要求也就比較高，若是由於性能的問題形成日誌大量丟失的話，就徹底起不到審計的做用的了。目前，國際上評價一款日誌審計產品的最重要指標叫作「事件數每秒」，英文是Event per Second，即EPS，代表系統每秒種可以收集的日誌條數，一般以每條日誌0.5K～1K字節數爲基準。通常而言，EPS數值越高，代表系統性能越好。

三、  應提供精確的查詢手段，不一樣類型日誌信息的格式差別很是大，日誌審計系統對日誌進行收集後，應進行必定的處理，例如對日誌的格式進行統一，這樣不一樣廠家的日誌能夠放在一塊兒作統計分析和審計，必須注意的是，統一格式不能把原始日誌破壞，不然日誌的法律效力就大大折扣了。

四、  要讓收集的日誌發揮更強的安全審計的做用，有必定技術水平的管理員會但願得到對日誌進行關聯分析的工具，能主動挖掘隱藏在大量日誌中的安全問題。所以，有這方面需求的用戶能夠重點考查產品的實時關聯分析能力。

五、  應提供大容量的存儲管理方法，用戶的日誌數據量是很是龐大的，若是沒有好的管理手段，不只審計查詢困難，佔用過多的存儲空間對用戶的投資也是浪費。

六、  日誌系統存儲的冗餘很是重要，若是集中收集的日誌數據因硬件或系統損壞而丟失，損失就大了，若是選購的是軟件的日誌審計系統，用戶在配備服務器的時候必定要保證存儲的冗餘，如使用RAID5，或專用的存儲設備，若是選購的是硬件的日誌審計系統，就必須考查硬件的冗餘，防止出現問題。

七、  應提供多樣化的實時告警手段，發現安全問題應及時告警，還要提供自定義報表的功能，能讓用戶作出符合自身需求的報表。

以上是筆者針對日誌審計系統的選型提出的幾個建議，但在實際中，還有一些其餘的問題須要考慮，像廠商的支持服務能力、產品案例的應用等等，這裏就不一一列舉了。

總之，信息安全基礎設施的日趨複雜，使得咱們已經從簡單的日誌管理時代邁入了系統性的日誌綜合審計時代，日誌對於網絡與信息安全的價值和做用必將愈加重要。