當(dāng)今企業(yè)所面臨的互聯(lián)網(wǎng)安全威脅正在逐步增加，提升企業(yè)自身安全保障能力成為了廣大安全管理員所關(guān)心的問題。為了不斷應(yīng)對新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防病毒系統(tǒng)、防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、UTM，等等。這些安全系統(tǒng)都僅僅防堵來自某個方面的安全威脅，形成了一個個安全防御孤島，無法產(chǎn)生協(xié)同效應(yīng)。更為嚴(yán)重地，這些復(fù)雜的IT資源及其安全防御設(shè)施在運行過程中不斷產(chǎn)生大量的安全日志和事件，安全管理人員面對這些數(shù)量巨大、彼此割裂的安全信息，操作著各種產(chǎn)品自身的控制臺界面和告警窗口，顯得束手無策，工作效率極低，難以發(fā)現(xiàn)真正的安全隱患。

日志審計系統(tǒng)的基本組成

對于一個日志審計系統(tǒng)，從功能組成上至少應(yīng)該包括信息采集、信息分析、信息存儲、信息展示四個基本功能：

1)日志采集功能：系統(tǒng)能夠通過某種技術(shù)手段獲取需要審計的日志信息。對于該功能，關(guān)鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細(xì)致程度）。

2)日志分析功能：是指對于采集上來的信息進(jìn)行分析、審計。這是日志審計系統(tǒng)的核心，審計效果好壞直接由此體現(xiàn)出來。在實現(xiàn)信息分析的技術(shù)上，簡單的技術(shù)可以是基于數(shù)據(jù)庫的信息查詢和比較；復(fù)雜的技術(shù)則包括實時關(guān)聯(lián)分析引擎技術(shù)，采用基于規(guī)則的審計、基于統(tǒng)計的審計、基于時序的審計，以及基于人工智能的審計算法，等等。

3)日志存儲功能：對于采集到原始信息，以及審計后的信息都要進(jìn)行保存，備查，并可以作為取證的依據(jù)。在該功能的實現(xiàn)上，關(guān)鍵點包括海量信息存儲技術(shù)、以及審計信息安全保護(hù)技術(shù)。

4)信息展示功能：包括審計結(jié)果展示界面、統(tǒng)計分析報表功能、告警響應(yīng)功能、設(shè)備聯(lián)動功能，等等。這部分功能是審計效果的最直接體現(xiàn)，審計結(jié)果的可視化能力和告警響應(yīng)的方式、手段都是該功能的關(guān)鍵。

日志審計系統(tǒng)的選型指南

那么，我們?nèi)绾芜x擇一款合適的日志審計系統(tǒng)呢？評價一款日志審計系統(tǒng)需要關(guān)注哪些方面呢？筆者認(rèn)為至少應(yīng)該從以下幾個方面來考慮：

1、由于一款綜合性的日志審計系統(tǒng)必須能夠收集網(wǎng)絡(luò)中異構(gòu)設(shè)備的日志，因此日志收集的手段應(yīng)要豐富，建議至少應(yīng)支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSECLEA等協(xié)議采集日志，支持從Log文件或者數(shù)據(jù)庫中獲取日志。

2、日志收集的性能也是要考慮的。一般來說，如果網(wǎng)絡(luò)中的日志量非常大，對日志系統(tǒng)的性能要求也就比較高，如果因為性能的問題造成日志大量丟失的話，就完全起不到審計的作用的了。目前，國際上評價一款日志審計產(chǎn)品的最重要指標(biāo)叫做“事件數(shù)每秒”，英文是EventperSecond，即EPS，表明系統(tǒng)每秒種能夠收集的日志條數(shù)，通常以每條日志0.5K～1K字節(jié)數(shù)為基準(zhǔn)。一般而言，EPS數(shù)值越高，表明系統(tǒng)性能越好。

3、應(yīng)提供精確的查詢手段，不同類型日志信息的格式差異非常大，日志審計系統(tǒng)對日志進(jìn)行收集后，應(yīng)進(jìn)行一定的處理，例如對日志的格式進(jìn)行統(tǒng)一，這樣不同廠家的日志可以放在一起做統(tǒng)計分析和審計，必須注意的是，統(tǒng)一格式不能把原始日志破壞，否則日志的法律效力就大大折扣了。

4、要讓收集的日志發(fā)揮更強(qiáng)的安全審計的作用，有一定技術(shù)水平的管理員會希望獲得對日志進(jìn)行關(guān)聯(lián)分析的工具，能主動挖掘隱藏在大量日志中的安全問題。因此，有這方面需求的用戶可以重點考查產(chǎn)品的實時關(guān)聯(lián)分析能力。

5、應(yīng)提供大容量的存儲管理方法，用戶的日志數(shù)據(jù)量是非常龐大的，如果沒有好的管理手段，不僅審計查詢困難，占用過多的存儲空間對用戶的投資也是浪費。

6、日志系統(tǒng)存儲的冗余非常重要，如果集中收集的日志數(shù)據(jù)因硬件或系統(tǒng)損壞而丟失，損失就大了，如果選購的是軟件的日志審計系統(tǒng)，用戶在配備服務(wù)器的時候一定要保證存儲的冗余，如使用RAID5，或?qū)Ｓ玫拇鎯υO(shè)備，如果選購的是硬件的日志審計系統(tǒng)，就必須考查硬件的冗余，防止出現(xiàn)問題。

7、應(yīng)提供多樣化的實時告警手段，發(fā)現(xiàn)安全問題應(yīng)及時告警，還要提供自定義報表的功能，能讓用戶做出符合自身需求的報表。

以上是筆者針對日志審計系統(tǒng)的選型提出的幾個建議，但在實際中，還有一些其他的問題需要考慮，像廠商的支持服務(wù)能力、產(chǎn)品案例的應(yīng)用等等，這里就不一一列舉了。

總之，信息安全基礎(chǔ)設(shè)施的日趨復(fù)雜，使得我們已經(jīng)從簡單的日志管理時代邁入了系統(tǒng)性的日志綜合審計時代，日志對于網(wǎng)絡(luò)與信息安全的價值和作用必將越發(fā)重要
 

【編輯推薦】

1. Web專用網(wǎng)站服務(wù)器的安全設(shè)置
2. 怎樣進(jìn)行路由器的安全設(shè)置
3. 安全設(shè)置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進(jìn)行網(wǎng)絡(luò)安全培訓(xùn)
5. 企業(yè)如何在復(fù)雜環(huán)境中降低安全風(fēng)險