如何選擇日誌審計系統

【摘要】本文分析了日誌審計的需求，並針對日誌審計系統的選型給出了一套基本的評價指標。

日誌審計系統的需求分析

日誌很早就有，日誌對於資訊保安的重要性也早已眾所周知，但是對日誌的真正重視卻是最近幾年的事情。

當今的企業和組織在

it資訊保安領域面臨比以往更為複雜的局面。這既有來自於企業和組織外部的層出不窮的***和***，也有來自於企業和組織內部的違規和洩漏。

為了不斷應對新的安全挑戰，企業和組織先後部署了防病毒系統、防火牆、***檢測系統、漏洞掃瞄系統、

utm，等等。這些安全系統都僅僅防堵來自某個方面的安全威脅，形成了乙個個安全防禦孤島，無法產生協同效應。更為嚴重地，這些複雜的

it資源及其安全防禦設施在執行過程中不斷產生大量的安全日誌和事件，安全管理人員面對這些數量巨大、彼此割裂的安全資訊，操作著各種產品自身的控制台介面和告警視窗，顯得束手無策，工作效率極低，難以發現真正的安全隱患。

另一方面，企業和組織日益迫切的資訊系統審計和內控、以及不斷增強的業務持續性需求，也對當前日誌審計提出了嚴峻的挑戰。下表簡要列舉了部分相關法律法規對於日誌審計的要求:

法律法規

相關條款

與日誌審計相關的主要內容

《資訊系統安全等級化保護基本要求》

對於網路安全、主機安全和應用安全部分

從二級開始，到四級都明確要求進行日誌審計。

iso27001:2005

4.3.3

記錄控制

記錄應建立並加以保持，以提供符合

isms

要求和有效執行的證據。

《企業內部控制基本規範》

第四十一條

企業應當加強對資訊系統的開發與維護、訪問與變更、資料輸入與輸出、檔案儲存與保管、網路安全等方面的控制，保證資訊系統安全穩定執行。（注：間接要求安全審計）

《商業銀行內部控制指引》

第一百二十六條

商業銀行的網路裝置、作業系統、資料庫系統、應用程式等均當設定必要的日誌。日誌應當能夠滿足各類內部和外部審計的需要。

《銀行業資訊科技風險管理指引》

第二十五條

對於所有計算機作業系統和系統軟體的安全，在系統日誌中記錄不成功的登入、重要系統檔案的訪問、對使用者賬戶的修改等有關重要事項，手動或自動監控系統出現的任何異常事件，定期匯報監控情況。

第二十六條

對於所有資訊系統的安全，以書面或者電子格式儲存審計痕跡；要求使用者管理員監控和審查未成功的登入和使用者賬戶的修改。

第二十七條

銀行業應制定相關策略和流程，管理所有生產系統的日誌，以支援有效的審核、安全取證分析和預防欺詐。

《**公司內部控制指引》

第一百一十七條

**公司應保證資訊系統日誌的完備性，確保所有重大修改被完整地記錄，確保開啟審計留痕功能。**公司資訊系統日誌應至少儲存

15年。

《網際網路安全保護技術措施規定》（公安部

82號令）

第八條記錄、跟蹤網路執行狀態，監測、記錄使用者各種資訊、網路安全事件等安全審計功能。

薩班斯（

sox）法案第

404款

公司管理層建立和維護內部控制系統及相應控制程式充分有效的責任；發行人管理層最近財政年度末對內部控制體系及控制程式有效性的評價。（注：在

sox中，資訊系統日誌審計系統及其審計結果是評判內控評價有效性的乙個重要工具和佐證）

尤其是國家資訊系統等級保護制度的出台，明確要求二級以上的資訊系統必須對網路、主機和應用進行安全審計。

綜上所述，企業和組織迫切需要乙個全面的、面向企業和組織

it資源（資訊系統保護環境）的、集中的安全審計平台及其系統，這個系統能夠收集來自企業和組織

it資源中各種裝置和應用的安全日誌，並進行儲存、監控、審計、分析、報警、響應和報告。

日誌審計系統的基本組成

對於乙個日誌審計系統，從功能組成上至少應該包括資訊採集、資訊分析、資訊儲存、資訊展示四個基本功能：

1)日誌採集功能：系統能夠通過某種技術手段獲取需要審計的日誌資訊。對於該功能，關鍵在於採集資訊的手段種類、採集資訊的範圍、採集資訊的粒度（細緻程度）。

2)日誌分析功能：是指對於採集上來的資訊進行分析、審計。這是日誌審計系統的核心，審計效果好壞直接由此體現出來。在實現資訊分析的技術上，簡單的技術可以是基於資料庫的資訊查詢和比較；複雜的技術則包括實時關聯分析引擎技術，採用基於規則的審計、基於統計的審計、基於時序的審計，以及基於人工智慧的審計演算法，等等。

3)日誌儲存功能：對於採集到原始資訊，以及審計後的資訊都要進行儲存，備查，並可以作為取證的依據。在該功能的實現上，關鍵點包括海量資訊儲存技術、以及審計資訊保安保護技術。

4)資訊展示功能：包括審計結果展示介面、統計分析報表功能、告警響應功能、裝置聯動功能，等等。這部分功能是審計效果的最直接體現，審計結果的視覺化能力和告警響應的方式、手段都是該功能的關鍵。

日誌審計系統的選型指南

那麼，我們如何選擇一款合適的日誌審計系統呢？評價一款日誌審計系統需要關注哪些方面呢？筆者認為至少應該從以下幾個方面來考慮：

1、由於一款綜合性的日誌審計系統必須能夠收集網路中異構裝置的日誌，因此日誌收集的手段應要豐富，建議至少應

支援通過

syslog

、snmp

、netflow

、odbc/jdbc

、opsec lea

等協議採集日誌，支援從

log檔案或者資料庫中獲取日誌。

2、日誌收集的效能也是要考慮的。一般來說，如果網路中的日誌量非常大，對日誌系統的效能要求也就比較高，如果因為效能的問題造成日誌大量丟失的話，就完全起不到審計的作用的了。目前，國際上評價一款日誌審計產品的最重要指標叫做「事件數每秒」，英文是

event per second

，即eps

，表明系統每秒種能夠收集的日誌條數，通常以每條日誌

0.5k～1k

位元組數為基準。一般而言，

eps數值越高，表明系統效能越好。

3、應提供精確的查詢手段，不同型別日誌資訊的格式差異非常大，日誌審計系統對日誌進行收集後，應進行一定的處理，例如對日誌的格式進行統一，這樣不同廠家的日誌可以放在一起做統計分析和審計，必須注意的是，統一格式不能把原始日誌破壞，否則日誌的法律效力就大大折扣了。

4、要讓收集的日誌發揮更強的安全審計的作用，有一定技術水平的管理員會希望獲得對日誌進行關聯分析的工具，能主動挖掘隱藏在大量日誌中的安全問題。因此，有這方面需求的使用者可以重點考查產品的實時關聯分析能力。

5、應提供大容量的儲存管理方法，使用者的日誌資料量是非常龐大的，如果沒有好的管理手段，不僅審計查詢困難，占用過多的儲存空間對使用者的投資也是浪費。

6、日誌系統儲存的冗餘非常重要，如果集中收集的日誌資料因硬體或系統損壞而丟失，損失就大了，如果選購的是軟體的日誌審計系統，使用者在配備伺服器的時候一定要保證儲存的冗餘，如使用

raid5

，或專用的儲存裝置，如果選購的是硬體的日誌審計系統，就必須考查硬體的冗餘，防止出現問題。

7、應提供多樣化的實時告警手段，發現安全問題應及時告警，還要提供自定義報表的功能，能讓使用者做出符合自身需求的報表。

以上是筆者針對日誌審計系統的選型提出的幾個建議，但在實際中，還有一些其他的問題需要考慮，像廠商的支援服務能力、產品案例的應用等等，這裡就不一一枚舉了。

總之，資訊保安基礎設施的日趨複雜，使得我們已經從簡單的日誌管理時代邁入了系統性的日誌綜合審計時代，日誌對於網路與資訊保安的價值和作用必將越發重要。

如何選擇日誌審計系統

日誌審計系統事件日誌審計 syslog審計

怎麼選擇日誌的級別

Windows系統日誌審計

如何選擇日誌審計系統

日誌審計系統 事件日誌審計 syslog審計

怎麼選擇日誌的級別

Windows系統日誌審計

相關推薦

日誌審計系統事件日誌審計 syslog審計