【摘要】本文分析了日誌審計的需求,並針對日誌審計系統的選型給出了一套基本的評價指標。
日誌審計系統的需求分析
日誌很早就有,日誌對於信息安全的重要性也早已衆所周知,但是對日誌的真正重視卻是最近幾年的事情。
當今的企業和組織在IT信息安全領域面臨比以往更爲複雜的局面。這既有來自於企業和組織外部的層出不窮的入侵和攻擊,也有來自於企業和組織內部的違規和泄漏。
爲了不斷應對新的安全挑戰,企業和組織先後部署了防病毒系統、防火牆、入侵檢測系統、漏洞掃描系統、UTM,等等。這些安全系統都僅僅防堵來自某個方面的安全威脅,形成了一個個安全防禦孤島,無法產生協同效應。更爲嚴重地,這些複雜的IT資源及其安全防禦設施在運行過程中不斷產生大量的安全日誌和事件,安全管理人員面對這些數量巨大、彼此割裂的安全信息,操作着各種產品自身的控制檯界面和告警窗口,顯得束手無策,工作效率極低,難以發現真正的安全隱患。
另一方面,企業和組織日益迫切的信息系統審計和內控、以及不斷增強的業務持續性需求,也對當前日誌審計提出了嚴峻的挑戰。下表簡要列舉了部分相關法律法規對於日誌審計的要求:
|
法律法規 |
相關條款 |
與日誌審計相關的主要內容 |
|
《信息系統安全等級化保護基本要求》 |
對於網絡安全、主機安全和應用安全部分 |
從二級開始,到四級都明確要求進行日誌審計。 |
|
ISO27001:2005 |
4.3.3記錄控制 |
記錄應建立並加以保持,以提供符合ISMS要求和有效運行的證據。 |
|
《企業內部控制基本規範》 |
第四十一條 |
企業應當加強對信息系統的開發與維護、訪問與變更、數據輸入與輸出、文件存儲與保管、網絡安全等方面的控制,保證信息系統安全穩定運行。(注:間接要求安全審計) |
|
《商業銀行內部控制指引》 |
第一百二十六條 |
商業銀行的網絡設備、操作系統、數據庫系統、應用程序等均當設置必要的日誌。日誌應當能夠滿足各類內部和外部審計的需要。 |
|
《銀行業信息科技風險管理指引》 |
第二十五條 |
對於所有計算機操作系統和系統軟件的安全,在系統日誌中記錄不成功的登錄、重要系統文件的訪問、對用戶賬戶的修改等有關重要事項,手動或自動監控系統出現的任何異常事件,定期彙報監控情況。 |
|
第二十六條 |
對於所有信息系統的安全,以書面或者電子格式保存審計痕跡;要求用戶管理員監控和審查未成功的登錄和用戶賬戶的修改。 |
|
|
第二十七條 |
銀行業應制定相關策略和流程,管理所有生產系統的日誌,以支持有效的審覈、安全取證分析和預防欺詐。 |
|
|
《證券公司內部控制指引》 |
第一百一十七條 |
證券公司應保證信息系統日誌的完備性,確保所有重大修改被完整地記錄,確保開啓審計留痕功能。證券公司信息系統日誌應至少保存15年。 |
|
《互聯網安全保護技術措施規定》(公安部82號令) |
第八條 |
記錄、跟蹤網絡運行狀態,監測、記錄用戶各種信息、網絡安全事件等安全審計功能。 |
|
薩班斯(SOX)法案 |
第404款 |
公司管理層建立和維護內部控制系統及相應控制程序充分有效的責任;發行人管理層最近財政年度末對內部控制體系及控制程序有效性的評價。(注:在SOX中,信息系統日誌審計系統及其審計結果是評判內控評價有效性的一個重要工具和佐證) |
尤其是國家信息系統等級保護制度的出臺,明確要求二級以上的信息系統必須對網絡、主機和應用進行安全審計。
綜上所述,企業和組織迫切需要一個全面的、面向企業和組織IT資源(信息系統保護環境)的、集中的安全審計平臺及其系統,這個系統能夠收集來自企業和組織IT資源中各種設備和應用的安全日誌,並進行存儲、監控、審計、分析、報警、響應和報告。
日誌審計系統的基本組成
對於一個日誌審計系統,從功能組成上至少應該包括信息採集、信息分析、信息存儲、信息展示四個基本功能:
1) 日誌採集功能:系統能夠通過某種技術手段獲取需要審計的日誌信息。對於該功能,關鍵在於採集信息的手段種類、採集信息的範圍、採集信息的粒度(細緻程度)。
2) 日誌分析功能:是指對於採集上來的信息進行分析、審計。這是日誌審計系統的核心,審計效果好壞直接由此體現出來。在實現信息分析的技術上,簡單的技術可以是基於數據庫的信息查詢和比較;複雜的技術則包括實時關聯分析引擎技術,採用基於規則的審計、基於統計的審計、基於時序的審計,以及基於人工智能的審計算法,等等。
3) 日誌存儲功能:對於採集到原始信息,以及審計後的信息都要進行保存,備查,並可以作爲取證的依據。在該功能的實現上,關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。
4) 信息展示功能:包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能,等等。這部分功能是審計效果的最直接體現,審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。
日誌審計系統的選型指南
那麼,我們如何選擇一款合適的日誌審計系統呢?評價一款日誌審計系統需要關注哪些方面呢?筆者認爲至少應該從以下幾個方面來考慮:
1、 由於一款綜合性的日誌審計系統必須能夠收集網絡中異構設備的日誌,因此日誌收集的手段應要豐富,建議至少應支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSEC LEA等協議採集日誌,支持從Log文件或者數據庫中獲取日誌。
2、 日誌收集的性能也是要考慮的。一般來說,如果網絡中的日誌量非常大,對日誌系統的性能要求也就比較高,如果因爲性能的問題造成日誌大量丟失的話,就完全起不到審計的作用的了。目前,國際上評價一款日誌審計產品的最重要指標叫做“事件數每秒”,英文是Event per Second,即EPS,表明系統每秒種能夠收集的日誌條數,通常以每條日誌0.5K~1K字節數爲基準。一般而言,EPS數值越高,表明系統性能越好。
3、 應提供精確的查詢手段,不同類型日誌信息的格式差異非常大,日誌審計系統對日誌進行收集後,應進行一定的處理,例如對日誌的格式進行統一,這樣不同廠家的日誌可以放在一起做統計分析和審計,必須注意的是,統一格式不能把原始日誌破壞,否則日誌的法律效力就大大折扣了。
4、 要讓收集的日誌發揮更強的安全審計的作用,有一定技術水平的管理員會希望獲得對日誌進行關聯分析的工具,能主動挖掘隱藏在大量日誌中的安全問題。因此,有這方面需求的用戶可以重點考查產品的實時關聯分析能力。
5、 應提供大容量的存儲管理方法,用戶的日誌數據量是非常龐大的,如果沒有好的管理手段,不僅審計查詢困難,佔用過多的存儲空間對用戶的投資也是浪費。
6、 日誌系統存儲的冗餘非常重要,如果集中收集的日誌數據因硬件或系統損壞而丟失,損失就大了,如果選購的是軟件的日誌審計系統,用戶在配備服務器的時候一定要保證存儲的冗餘,如使用RAID5,或專用的存儲設備,如果選購的是硬件的日誌審計系統,就必須考查硬件的冗餘,防止出現問題。
7、 應提供多樣化的實時告警手段,發現安全問題應及時告警,還要提供自定義報表的功能,能讓用戶做出符合自身需求的報表。
以上是筆者針對日誌審計系統的選型提出的幾個建議,但在實際中,還有一些其他的問題需要考慮,像廠商的支持服務能力、產品案例的應用等等,這裏就不一一列舉了。
總之,信息安全基礎設施的日趨複雜,使得我們已經從簡單的日誌管理時代邁入了系統性的日誌綜合審計時代,日誌對於網絡與信息安全的價值和作用必將越發重要。
