为什么系统需要安全审计和日志
标准法规合规性需求
随着国家、各行业对信息安全理论研究的深入,日志审计系统在各个相关的国家、行业标准及要求中均被多次提及,如:《信息安全等级保护》 、《信息安全风险管理规范》 、《基于互联网电子政务信息安全指南》、《银行业金融机构信息系统管理指引》等等。
此外,国外、国际上的相关标准、规范也均明确提出信息安全审计系统的重要性,如SOX法案、ISO27001/ISO17799等均要求企业对重要系统、设备的运行日志进行保留,并进行周期性第三方审计。
安全技术保障体系建设需求
一个完整的信息安全技术保障体系应由保护(P)、检测(D)、响应(R)三部分构成,而日志审计是检测安全事件的不可或缺重要手段之一。目前,大部分信息系统的所依赖的网络入侵检测系统只能检测部分来之网络的攻击事件,对运维人员的违规操作、系统运行异常、设备故障等安全事件缺乏监控能力,而这些异常事件恰恰是对内部信息系统安全威胁的最大部分。日志审计系统通过分析各设备、系统、应用、数据库产生的运行日志,能够及时发现入侵检测系统检测到的各类安全隐患,并及时给予告警,从而避免安全事件的发生。
技术管理需求
由于信息系统的规模、复杂性日益增加,采用手工方式对日志信息进行审计存在诸多弊端,如:
安全性低:日志信息分散在各系统中,极易被恶意篡改或清除;
审计效率低:由于日志信息数量庞大,人工很难对海量日志进行审计;
审计不全面:往往在事故发生后,管理人员才会去查看相关设备的日志信息,其他更多设备的日志却被忽略;
由于目前的应用系统往往都是相互关联的,一个故障现象,往往要对数台甚至更多网络设备及主机的日志进行关联分析才能确定真正的故障原因,缺乏有效的统一日志审计平台可能导致无法快速进行故障定位,企业追究安全事件责任也会缺乏客观依据。
因此,有必要在现有信息系统中部署统一、高效、全面的日志安全审计系统,一方面可以满足法规、标准的要求,另一方面可以切实加强组织对整个信息系统的安全监控能力,完善信息安全技术体系建设。