【51CTO.com 獨家特稿】企業中的主機、服務器、防火墻、交換機、防毒墻、無線路由等等要維護的設備越來越多,日志管理與安全審計的工作也變得越來越復雜。

隨著很多中小企業公司慢慢發展，變成了上市或準上市公司。以前單一的防毒、防黑簡單要求也細化到了集身份認證和日志管理、安全審計、法規遵從等等立體化的必須選項。比如國外有很多法律法規需要上市公司遵從。很多海外上市的公司也面對著各種紛繁復雜的法律法規。

Verizon Business公司風險小組發布的《2010年數據泄漏調查報告》里面有一些令人驚訝的統計數字和細節內容。比如說，2010年報告聲稱："我們一再發現，雖然日志十有八九可供企業使用，但通過分析日志來發現數據泄漏的仍然不足5%。"由此看來，日志管理分析和安全審計的重要性還遠遠沒讓那些企業所理解。

現在的難處是？

有些操作系統本身自帶日志管理工具，還可以簡單看一下。有些沒有日志管理工具的設備就讓人頭疼了……況且網絡中各個節點分布在不同地方，不同設備的安全事件也各不相同。沒有科學分析的情況下。不同設備的大量日志幾乎都無法關聯起來。如圖1所示。

圖1（這么多東西的日志要管理，怎么弄？）

當然，即使可以匹配起來，那么海量的日志，單靠管理人員的勤奮……一個一個看過來恐怕也不太現實。更別說分析了。而且隨著高水平黑客越來越多。系統本地的日志經常被修改或直接刪除。如圖2所示。有些入侵檢測系統在遭遇攻擊時產生的大量日志，甚至還沒有保存就被迫丟棄。

圖2（一些黑客工具可輕易清除系統日志）#p#

難道就沒辦法解決嗎？

企業運維人員需要一個高度集中統一管理的日志平臺。這個平臺必須能在復雜的網絡中高效的收集管理各類設備的日志，讓運維人員方便、直觀的看到網絡和系統目前的運行狀況。及時的發現黑客攻擊及其他異常行為。不單如此，符合各種法規要求的日志記錄和分析功能也必須帶上。用戶需要的不但是一個強大的安全審計工具，還是一個幫助其管理和評估網絡系統運行狀況的平臺（全程審計并記錄問題的發現到問題的解決）。

按照這種嚴格的要求，能符合要求的安全產品似乎不多。目前市面上有一些滿足其部分要求的IT管理軟件，但很多都需要在被管理機器上安裝插件或額外配置一臺服務器。

如果對安全性要求比較高，可以部署全功能的SIEM。這是可橫跨網絡內部，從交換機和路由器到安全設備、應用、服務器以及存儲設備，提供所有安全威脅100%可視化的安全信息及事件管理解決方案。高端的SIEM可以把看似不相關的安全與網絡事件轉化為有意義的智能，幫助降低IT人員的壓力，提高安全人員的工作效率，并實現持續的法規遵從。如圖3所示。

圖3（SIEM系統在工作中）

給安全運維人員的一個建議

從法規遵從和企業內控角度看，如何讓數據更加安全？針對這一問題，RSA中國區資深技術顧問馮崇彪先生表示：這個需要整體的安全考慮，一個企業傳統的安全設備可能很齊全了，在這個基礎上他們可能需要有更多的防護措施，比如安全信息事件管理，DLP數據防泄露，或者基于風險的自適應認證等等。比如有些交易方面的系統，需要有相應的交易監控。再次，對于網絡上高級的攻擊需要有相應的安全信息監控管理系統（平臺）去防范，這樣才能及時、全面地管理新的威脅。

【51CTO.com獨家特稿，非經授權謝絕轉載！合作媒體轉載請注明原文出處及出處！】