【51CTO.com 獨(dú)家特稿】企業(yè)中的主機(jī)、服務(wù)器、防火墻、交換機(jī)、防毒墻、無(wú)線路由等等要維護(hù)的設(shè)備越來(lái)越多,日志管理與安全審計(jì)的工作也變得越來(lái)越復(fù)雜。

隨著很多中小企業(yè)公司慢慢發(fā)展，變成了上市或準(zhǔn)上市公司。以前單一的防毒、防黑簡(jiǎn)單要求也細(xì)化到了集身份認(rèn)證和日志管理、安全審計(jì)、法規(guī)遵從等等立體化的必須選項(xiàng)。比如國(guó)外有很多法律法規(guī)需要上市公司遵從。很多海外上市的公司也面對(duì)著各種紛繁復(fù)雜的法律法規(guī)。

Verizon Business公司風(fēng)險(xiǎn)小組發(fā)布的《2010年數(shù)據(jù)泄漏調(diào)查報(bào)告》里面有一些令人驚訝的統(tǒng)計(jì)數(shù)字和細(xì)節(jié)內(nèi)容。比如說(shuō)，2010年報(bào)告聲稱："我們一再發(fā)現(xiàn)，雖然日志十有八九可供企業(yè)使用，但通過(guò)分析日志來(lái)發(fā)現(xiàn)數(shù)據(jù)泄漏的仍然不足5%。"由此看來(lái)，日志管理分析和安全審計(jì)的重要性還遠(yuǎn)遠(yuǎn)沒(méi)讓那些企業(yè)所理解。

現(xiàn)在的難處是？

有些操作系統(tǒng)本身自帶日志管理工具，還可以簡(jiǎn)單看一下。有些沒(méi)有日志管理工具的設(shè)備就讓人頭疼了……況且網(wǎng)絡(luò)中各個(gè)節(jié)點(diǎn)分布在不同地方，不同設(shè)備的安全事件也各不相同。沒(méi)有科學(xué)分析的情況下。不同設(shè)備的大量日志幾乎都無(wú)法關(guān)聯(lián)起來(lái)。如圖1所示。

圖1（這么多東西的日志要管理，怎么弄？）

當(dāng)然，即使可以匹配起來(lái)，那么海量的日志，單靠管理人員的勤奮……一個(gè)一個(gè)看過(guò)來(lái)恐怕也不太現(xiàn)實(shí)。更別說(shuō)分析了。而且隨著高水平黑客越來(lái)越多。系統(tǒng)本地的日志經(jīng)常被修改或直接刪除。如圖2所示。有些入侵檢測(cè)系統(tǒng)在遭遇攻擊時(shí)產(chǎn)生的大量日志，甚至還沒(méi)有保存就被迫丟棄。

圖2（一些黑客工具可輕易清除系統(tǒng)日志）#p#

難道就沒(méi)辦法解決嗎？

企業(yè)運(yùn)維人員需要一個(gè)高度集中統(tǒng)一管理的日志平臺(tái)。這個(gè)平臺(tái)必須能在復(fù)雜的網(wǎng)絡(luò)中高效的收集管理各類設(shè)備的日志，讓運(yùn)維人員方便、直觀的看到網(wǎng)絡(luò)和系統(tǒng)目前的運(yùn)行狀況。及時(shí)的發(fā)現(xiàn)黑客攻擊及其他異常行為。不單如此，符合各種法規(guī)要求的日志記錄和分析功能也必須帶上。用戶需要的不但是一個(gè)強(qiáng)大的安全審計(jì)工具，還是一個(gè)幫助其管理和評(píng)估網(wǎng)絡(luò)系統(tǒng)運(yùn)行狀況的平臺(tái)（全程審計(jì)并記錄問(wèn)題的發(fā)現(xiàn)到問(wèn)題的解決）。

按照這種嚴(yán)格的要求，能符合要求的安全產(chǎn)品似乎不多。目前市面上有一些滿足其部分要求的IT管理軟件，但很多都需要在被管理機(jī)器上安裝插件或額外配置一臺(tái)服務(wù)器。

如果對(duì)安全性要求比較高，可以部署全功能的SIEM。這是可橫跨網(wǎng)絡(luò)內(nèi)部，從交換機(jī)和路由器到安全設(shè)備、應(yīng)用、服務(wù)器以及存儲(chǔ)設(shè)備，提供所有安全威脅100%可視化的安全信息及事件管理解決方案。高端的SIEM可以把看似不相關(guān)的安全與網(wǎng)絡(luò)事件轉(zhuǎn)化為有意義的智能，幫助降低IT人員的壓力，提高安全人員的工作效率，并實(shí)現(xiàn)持續(xù)的法規(guī)遵從。如圖3所示。

圖3（SIEM系統(tǒng)在工作中）

給安全運(yùn)維人員的一個(gè)建議

從法規(guī)遵從和企業(yè)內(nèi)控角度看，如何讓數(shù)據(jù)更加安全？針對(duì)這一問(wèn)題，RSA中國(guó)區(qū)資深技術(shù)顧問(wèn)馮崇彪先生表示：這個(gè)需要整體的安全考慮，一個(gè)企業(yè)傳統(tǒng)的安全設(shè)備可能很齊全了，在這個(gè)基礎(chǔ)上他們可能需要有更多的防護(hù)措施，比如安全信息事件管理，DLP數(shù)據(jù)防泄露，或者基于風(fēng)險(xiǎn)的自適應(yīng)認(rèn)證等等。比如有些交易方面的系統(tǒng)，需要有相應(yīng)的交易監(jiān)控。再次，對(duì)于網(wǎng)絡(luò)上高級(jí)的攻擊需要有相應(yīng)的安全信息監(jiān)控管理系統(tǒng)（平臺(tái)）去防范，這樣才能及時(shí)、全面地管理新的威脅。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】