當(dāng)今企業(yè)所面臨的互聯(lián)網(wǎng)安全威脅正在逐步增加，提升企業(yè)自身安全保障能力成為了廣大安全管理員所關(guān)心的問(wèn)題。為了不斷應(yīng)對(duì)新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防病毒系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、UTM，等等。這些安全系統(tǒng)都僅僅防堵來(lái)自某個(gè)方面的安全威脅，形成了一個(gè)個(gè)安全防御孤島，無(wú)法產(chǎn)生協(xié)同效應(yīng)。更為嚴(yán)重地，這些復(fù)雜的IT資源及其安全防御設(shè)施在運(yùn)行過(guò)程中不斷產(chǎn)生大量的安全日志和事件，安全管理人員面對(duì)這些數(shù)量巨大、彼此割裂的安全信息，操作著各種產(chǎn)品自身的控制臺(tái)界面和告警窗口，顯得束手無(wú)策，工作效率極低，難以發(fā)現(xiàn)真正的安全隱患。

日志審計(jì)系統(tǒng)的基本組成

對(duì)于一個(gè)日志審計(jì)系統(tǒng)，從功能組成上至少應(yīng)該包括信息采集、信息分析、信息存儲(chǔ)、信息展示四個(gè)基本功能：

1)日志采集功能：系統(tǒng)能夠通過(guò)某種技術(shù)手段獲取需要審計(jì)的日志信息。對(duì)于該功能，關(guān)鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細(xì)致程度）。

2)日志分析功能：是指對(duì)于采集上來(lái)的信息進(jìn)行分析、審計(jì)。這是日志審計(jì)系統(tǒng)的核心，審計(jì)效果好壞直接由此體現(xiàn)出來(lái)。在實(shí)現(xiàn)信息分析的技術(shù)上，簡(jiǎn)單的技術(shù)可以是基于數(shù)據(jù)庫(kù)的信息查詢和比較；復(fù)雜的技術(shù)則包括實(shí)時(shí)關(guān)聯(lián)分析引擎技術(shù)，采用基于規(guī)則的審計(jì)、基于統(tǒng)計(jì)的審計(jì)、基于時(shí)序的審計(jì)，以及基于人工智能的審計(jì)算法，等等。

3)日志存儲(chǔ)功能：對(duì)于采集到原始信息，以及審計(jì)后的信息都要進(jìn)行保存，備查，并可以作為取證的依據(jù)。在該功能的實(shí)現(xiàn)上，關(guān)鍵點(diǎn)包括海量信息存儲(chǔ)技術(shù)、以及審計(jì)信息安全保護(hù)技術(shù)。

4)信息展示功能：包括審計(jì)結(jié)果展示界面、統(tǒng)計(jì)分析報(bào)表功能、告警響應(yīng)功能、設(shè)備聯(lián)動(dòng)功能，等等。這部分功能是審計(jì)效果的最直接體現(xiàn)，審計(jì)結(jié)果的可視化能力和告警響應(yīng)的方式、手段都是該功能的關(guān)鍵。

日志審計(jì)系統(tǒng)的選型指南

那么，我們?nèi)绾芜x擇一款合適的日志審計(jì)系統(tǒng)呢？評(píng)價(jià)一款日志審計(jì)系統(tǒng)需要關(guān)注哪些方面呢？筆者認(rèn)為至少應(yīng)該從以下幾個(gè)方面來(lái)考慮：

1、由于一款綜合性的日志審計(jì)系統(tǒng)必須能夠收集網(wǎng)絡(luò)中異構(gòu)設(shè)備的日志，因此日志收集的手段應(yīng)要豐富，建議至少應(yīng)支持通過(guò)Syslog、SNMP、NetFlow、ODBC/JDBC、OPSECLEA等協(xié)議采集日志，支持從Log文件或者數(shù)據(jù)庫(kù)中獲取日志。

2、日志收集的性能也是要考慮的。一般來(lái)說(shuō)，如果網(wǎng)絡(luò)中的日志量非常大，對(duì)日志系統(tǒng)的性能要求也就比較高，如果因?yàn)樾阅艿膯?wèn)題造成日志大量丟失的話，就完全起不到審計(jì)的作用的了。目前，國(guó)際上評(píng)價(jià)一款日志審計(jì)產(chǎn)品的最重要指標(biāo)叫做“事件數(shù)每秒”，英文是EventperSecond，即EPS，表明系統(tǒng)每秒種能夠收集的日志條數(shù)，通常以每條日志0.5K～1K字節(jié)數(shù)為基準(zhǔn)。一般而言，EPS數(shù)值越高，表明系統(tǒng)性能越好。

3、應(yīng)提供精確的查詢手段，不同類型日志信息的格式差異非常大，日志審計(jì)系統(tǒng)對(duì)日志進(jìn)行收集后，應(yīng)進(jìn)行一定的處理，例如對(duì)日志的格式進(jìn)行統(tǒng)一，這樣不同廠家的日志可以放在一起做統(tǒng)計(jì)分析和審計(jì)，必須注意的是，統(tǒng)一格式不能把原始日志破壞，否則日志的法律效力就大大折扣了。

4、要讓收集的日志發(fā)揮更強(qiáng)的安全審計(jì)的作用，有一定技術(shù)水平的管理員會(huì)希望獲得對(duì)日志進(jìn)行關(guān)聯(lián)分析的工具，能主動(dòng)挖掘隱藏在大量日志中的安全問(wèn)題。因此，有這方面需求的用戶可以重點(diǎn)考查產(chǎn)品的實(shí)時(shí)關(guān)聯(lián)分析能力。

5、應(yīng)提供大容量的存儲(chǔ)管理方法，用戶的日志數(shù)據(jù)量是非常龐大的，如果沒有好的管理手段，不僅審計(jì)查詢困難，占用過(guò)多的存儲(chǔ)空間對(duì)用戶的投資也是浪費(fèi)。

6、日志系統(tǒng)存儲(chǔ)的冗余非常重要，如果集中收集的日志數(shù)據(jù)因硬件或系統(tǒng)損壞而丟失，損失就大了，如果選購(gòu)的是軟件的日志審計(jì)系統(tǒng)，用戶在配備服務(wù)器的時(shí)候一定要保證存儲(chǔ)的冗余，如使用RAID5，或?qū)Ｓ玫拇鎯?chǔ)設(shè)備，如果選購(gòu)的是硬件的日志審計(jì)系統(tǒng)，就必須考查硬件的冗余，防止出現(xiàn)問(wèn)題。

7、應(yīng)提供多樣化的實(shí)時(shí)告警手段，發(fā)現(xiàn)安全問(wèn)題應(yīng)及時(shí)告警，還要提供自定義報(bào)表的功能，能讓用戶做出符合自身需求的報(bào)表。

以上是筆者針對(duì)日志審計(jì)系統(tǒng)的選型提出的幾個(gè)建議，但在實(shí)際中，還有一些其他的問(wèn)題需要考慮，像廠商的支持服務(wù)能力、產(chǎn)品案例的應(yīng)用等等，這里就不一一列舉了。

總之，信息安全基礎(chǔ)設(shè)施的日趨復(fù)雜，使得我們已經(jīng)從簡(jiǎn)單的日志管理時(shí)代邁入了系統(tǒng)性的日志綜合審計(jì)時(shí)代，日志對(duì)于網(wǎng)絡(luò)與信息安全的價(jià)值和作用必將越發(fā)重要
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險(xiǎn)