你的應(yīng)用程序代碼已經(jīng)經(jīng)過了審查和漏洞掃描，同時(shí)，在線的應(yīng)用程序都是經(jīng)過滲透測試并放置在防火墻后端的?？v深防御策略意味著你的網(wǎng)絡(luò)上也會有各種安全控制措施，從而加強(qiáng)全面保護(hù)。

隨著時(shí)間的推移，網(wǎng)絡(luò)在不斷擴(kuò)大，它需要更多的保護(hù)措施，因此隨著技術(shù)的出現(xiàn)或改善，你已經(jīng)添加了新的安全措施。但你如何監(jiān)控你的應(yīng)用程序環(huán)境，以確保它仍然是兼容的？

在運(yùn)行多個(gè)對策過程中很容易出現(xiàn)的一個(gè)問題是，每個(gè)安全產(chǎn)品通常會產(chǎn)生一套它自己獨(dú)特的日志和警報(bào)。這樣一來，就會產(chǎn)生巨大的數(shù)據(jù)量，然后往往會造成數(shù)據(jù)噪聲和誤報(bào)。從應(yīng)用程序安全合規(guī)性的角度來看，這使得事件調(diào)查，證據(jù)收集和進(jìn)行分析成為非常耗時(shí)的工作，特別是為了建立一個(gè)完整的圖像，日志必須被交叉引用。但是，為了提供審計(jì)跟蹤和監(jiān)控訪問控制，收集和分析這些數(shù)據(jù)是必不可少的，并最終要確保所有任務(wù)都合規(guī)。

安全信息和事件管理系統(tǒng)(SIMs或SIEMs)減輕了海量日志數(shù)據(jù)這一問題。它們集中匯總安全事件和日志，關(guān)聯(lián)分析整個(gè)基礎(chǔ)設(shè)施所部署的網(wǎng)絡(luò)和安全設(shè)備的信息，因此會產(chǎn)生具有更有效和更全面報(bào)告的警報(bào)。

但SIMs并不完美，而且它的采購、實(shí)施和管理費(fèi)用很高，可選擇的一個(gè)耗時(shí)的替代方案是，手動分析個(gè)別的日志集。手工整理這些記錄去重建一個(gè)定時(shí)事件是很困難的，但一個(gè)錯(cuò)誤的正面總比一個(gè)錯(cuò)誤的負(fù)面更可取。也就是說，即使只獲得一組有效的警告和報(bào)告，它也使得調(diào)查和修復(fù)問題變更容易了。當(dāng)試圖匹配來自不同設(shè)備的各種報(bào)告時(shí)，報(bào)告更易于產(chǎn)生和展現(xiàn)關(guān)于系統(tǒng)安全更為統(tǒng)一的看法。擁有對網(wǎng)絡(luò)流量更全面、更徹底的查看，你就可以微調(diào)入侵檢測簽名(IDS signatures)和防火墻規(guī)則集來提高它們的執(zhí)行政策的能力。這種全面徹底的查看也可以顯示出，員工在哪些方面還需要進(jìn)一步的安全意識培訓(xùn)，例如，是否有人繼續(xù)試圖訪問或下載已阻止的網(wǎng)站或內(nèi)容，或發(fā)送分類加密信息。

另外一個(gè)方法是，將各種網(wǎng)絡(luò)安全單點(diǎn)產(chǎn)品整合到一個(gè)設(shè)備中，讓所有日志都在一個(gè)地方。Web安全網(wǎng)關(guān)就是一個(gè)很好的例子，它將單點(diǎn)產(chǎn)品整合到一個(gè)盒子里，這意味著所有的流量渠道，包括入站和出站，都經(jīng)過這一個(gè)設(shè)備。這使得更加容易登錄、監(jiān)控和協(xié)調(diào)所有端口和協(xié)議的內(nèi)容政策。每個(gè)保護(hù)產(chǎn)品還共享了一個(gè)共同的威脅數(shù)據(jù)庫和策略管理框架，判斷流量是否是潛在惡意的，從而作出更多明智的決定，減少錯(cuò)誤或錯(cuò)過警報(bào)的數(shù)量，讓分析和報(bào)告更加全面。

無論你采用了哪種日志收集和分析的方法，定期進(jìn)行頻繁的自我評估審計(jì)，將確保發(fā)現(xiàn)安全控制過程中的任何缺陷和應(yīng)用程序使用中的任何不合規(guī)。如果問題是在審計(jì)過程中被發(fā)現(xiàn)的，那么應(yīng)該制定糾正措施計(jì)劃。理想情況下，審計(jì)應(yīng)評估范圍內(nèi)的每一個(gè)強(qiáng)制措施的遵守情況。如果這樣不太現(xiàn)實(shí)的話，那么就集中在高風(fēng)險(xiǎn)領(lǐng)域或樣本關(guān)鍵的安全控制上。

今后的審計(jì)工作應(yīng)包括尚未采樣或先前被確定為弱，以及在硬件、軟件、政策或程序上已改變的部分，以確保任何變化對安全都沒有不利影響。自我評估的真正好處在于，就如何改善安全控制所實(shí)施的整改措施和提出的建議。通過在一份正式報(bào)告中記錄審計(jì)結(jié)果，其中包括采取的不合格措施和糾正措施，這樣你就擁有了關(guān)于系統(tǒng)安全狀態(tài)的文件證據(jù)。

如果密切監(jiān)測所有的應(yīng)用程序是不可行的，那就集中在那些關(guān)鍵的、有價(jià)值的或敏感的信息上，以及之前被泄漏或誤用的信息，當(dāng)然還有那些連接到第三方或互聯(lián)網(wǎng)的系統(tǒng)。(如果你沒有一個(gè)應(yīng)用程序列表，那么這將是一個(gè)好的開始。)應(yīng)用程序日志管理和系統(tǒng)監(jiān)控為我們提供了信息，關(guān)于網(wǎng)絡(luò)上發(fā)生了什么以及什么正在發(fā)生。沒有這些信息的話，你幾乎不可能發(fā)現(xiàn)應(yīng)用程序是否被攻擊或已泄密。