面对海量日志 合规性日志管理和安全审计要怎么做？

企业中的主机、服务器、防火墙、交换机、防毒墙、无线路由等等要维护的设备越来越多,日志管理与安全审计的工作也变得越来越复杂。

文/图 王文文

随着很多中小企业公司慢慢发展，变成了上市或准上市公司。以前单一的防毒、防黑简单要求也细化到了集身份认证和日志管理、安全审计、法规遵从等等立体化的必须选项。比如国外有很多法律法规需要上市公司遵从。很多海外上市的公司也面对着各种纷繁复杂的法律法规。

Verizon Business公司风险小组发布的《2010年数据泄漏调查报告》里面有一些令人惊讶的统计数字和细节内容。比如说，2010年报告声称："我们一再发现，虽然日志十有八九可供企业使用，但通过分析日志来发现数据泄漏的仍然不足5%。"由此看来，日志管理分析和安全审计的重要性还远远没让那些企业所理解。

现在的难处是？

有些操作系统本身自带日志管理工具，还可以简单看一下。有些没有日志管理工具的设备就让人头疼了……况且网络中各个节点分布在不同地方，不同设备的安全事件也各不相同。没有科学分析的情况下。不同设备的大量日志几乎都无法关联起来。如图1所示。

图1（这么多东西的日志要管理，怎么弄？）

当然，即使可以匹配起来，那么海量的日志，单靠管理人员的勤奋……一个一个看过来恐怕也不太现实。更别说分析了。而且随着高水平黑客越来越多。系统本地的日志经常被修改或直接删除。如图2所示。有些入侵检测系统在遭遇攻击时产生的大量日志，甚至还没有保存就被迫丢弃。

图2（一些黑客工具可轻易清除系统日志） 

 

难道就没办法解决吗？

企业运维人员需要一个高度集中统一管理的日志平台。这个平台必须能在复杂的网络中高效的收集管理各类设备的日志，让运维人员方便、直观的看到网络和系统目前的运行状况。及时的发现黑客攻击及其他异常行为。不单如此，符合各种法规要求的日志记录和分析功能也必须带上。用户需要的不但是一个强大的安全审计工具，还是一个帮助其管理和评估网络系统运行状况的平台（全程审计并记录问题的发现到问题的解决）。

按照这种严格的要求，能符合要求的安全产品似乎不多。目前市面上有一些满足其部分要求的IT管理软件，但很多都需要在被管理机器上安装插件或额外配置一台服务器。

如果对安全性要求比较高，可以部署全功能的SIEM。这是可横跨网络内部，从交换机和路由器到安全设备、应用、服务器以及存储设备，提供所有安全威胁100%可视化的安全信息及事件管理解决方案。高端的SIEM可以把看似不相关的安全与网络事件转化为有意义的智能，帮助降低IT人员的压力，提高安全人员的工作效率，并实现持续的法规遵从。如图3所示。

图3（SIEM系统在工作中）

给安全运维人员的一个建议

从法规遵从和企业内控角度看，如何让数据更加安全？针对这一问题，RSA中国区资深技术顾问冯崇彪先生表示：这个需要整体的安全考虑，一个企业传统的安全设备可能很齐全了，在这个基础上他们可能需要有更多的防护措施，比如安全信息事件管理，DLP数据防泄露，或者基于风险的自适应认证等等。比如有些交易方面的系统，需要有相应的交易监控。再次，对于网络上高级的攻击需要有相应的安全信息监控管理系统（平台）去防范，这样才能及时、全面地管理新的威胁。