日志審計的必要性
責編:admin |2015-02-08 15:52:49隨著信息技術持續(xù)地發(fā)展,各類組織、企業(yè)對信息系統(tǒng)的運用也不斷深入,為了在復雜條件下應付各類安全情況(如黑客的攻擊、內部員工的有意或無意地進行越權或違規(guī)操作),企業(yè)部署了大量的、不同種類、形態(tài)各異的信息安全產品。
另外,除了這些專用安全設備或系統(tǒng)每日會產生各種日志,組織或企業(yè)日常使用的業(yè)務系統(tǒng)、主機系統(tǒng)、網絡設備等也會生成不少和安全相關的日志,它們都存在如下問題:
它們格式差異巨大,沒有統(tǒng)一標準
它們數量巨大,用戶無法進行重點分析
難以挖掘各類日志之間的關聯關系,從而難于審計
上述這些原因均會導致日志審計工作難于開展,所以部署集中的日志審計系統(tǒng)就成為必須;另外,各級組織或機構部署集中日志審計系統(tǒng)的意義在于:
它是信息安全管理的需要:因為日志審計是日常信息安全管理中最為重要的環(huán)節(jié)之一;能從紛繁復雜的日志中萃取出具有價值的部分是各類信息安全管理者、參與者、相關者最大的訴求,故選擇一款高可靠、高性能、具備強大功能的日志集中審計系統(tǒng)就成為必須;
它是安全技術保障體系建設要求的需要:一個完整的信息安全技術保障體系應由檢測、保護和響應三部分組成,而日志審計是檢測安全事件的不可或缺重要手段之一。目前,大部分信息系統(tǒng)的所依賴的IDS/IPS系統(tǒng)只能檢測部分來之網絡的攻擊事件,對運維人員的違規(guī)操作、系統(tǒng)運行異常、設備故障等安全事件缺乏監(jiān)控能力,而這些異常事件恰恰是對內部信息系統(tǒng)安全威脅的最大部分。日志審計系統(tǒng)通過分析各設備、系統(tǒng)、應用、數據庫產生的運行日志,能夠及時發(fā)現入侵檢測系統(tǒng)檢測到的各類安全隱患,并及時給予告警,從而避免安全事件的發(fā)生;
它是各種規(guī)范符合性要求的需要:如:《信息安全等級保護》(幾乎各級均要求提供審計功能)、《信息安全風險管理規(guī)范》、《基于互聯網電子政務信息安全指南》、《銀行業(yè)金融機構信息系統(tǒng)管理指引》等等。此外,國際上的相關標準、規(guī)范也均明確提出信息安全審計系統(tǒng)的重要性,如薩班斯法案、ISO27001等均要求企業(yè)對重要系統(tǒng)、設備的運日志進行保留,并且周期性地進行第三方審計。