日志審計系統的選型指南
當今企業所面臨的互聯網安全威脅正在逐步增加,提升企業自身安全保障能力成為了廣大安全管理員所關心的問題。為了不斷應對新的安全挑戰,企業和組織先后部署了防病毒系統、防火墻、入侵檢測系統、漏洞掃描系統、UTM,等等。這些安全系統都僅僅防堵來自某個方面的安全威脅,形成了一個個安全防御孤島,無法產生協同效應。更為嚴重地,這些復雜的IT資源及其安全防御設施在運行過程中不斷產生大量的安全日志和事件,安全管理人員面對這些數量巨大、彼此割裂的安全信息,操作著各種產品自身的控制臺界面和告警窗口,顯得束手無策,工作效率極低,難以發現真正的安全隱患。
日志審計系統的基本組成
對于一個日志審計系統,從功能組成上至少應該包括信息采集、信息分析、信息存儲、信息展示四個基本功能:
1)日志采集功能:系統能夠通過某種技術手段獲取需要審計的日志信息。對于該功能,關鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度(細致程度)。
2)日志分析功能:是指對于采集上來的信息進行分析、審計。這是日志審計系統的核心,審計效果好壞直接由此體現出來。在實現信息分析的技術上,簡單的技術可以是基于數據庫的信息查詢和比較;復雜的技術則包括實時關聯分析引擎技術,采用基于規則的審計、基于統計的審計、基于時序的審計,以及基于人工智能的審計算法,等等。
3)日志存儲功能:對于采集到原始信息,以及審計后的信息都要進行保存,備查,并可以作為取證的依據。在該功能的實現上,關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。
4)信息展示功能:包括審計結果展示界面、統計分析報表功能、告警響應功能、設備聯動功能,等等。這部分功能是審計效果的最直接體現,審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。
日志審計系統的選型指南
那么,我們如何選擇一款合適的日志審計系統呢?評價一款日志審計系統需要關注哪些方面呢?筆者認為至少應該從以下幾個方面來考慮:
1、由于一款綜合性的日志審計系統必須能夠收集網絡中異構設備的日志,因此日志收集的手段應要豐富,建議至少應支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSECLEA等協議采集日志,支持從Log文件或者數據庫中獲取日志。
2、日志收集的性能也是要考慮的。一般來說,如果網絡中的日志量非常大,對日志系統的性能要求也就比較高,如果因為性能的問題造成日志大量丟失的話,就完全起不到審計的作用的了。目前,國際上評價一款日志審計產品的最重要指標叫做“事件數每秒”,英文是EventperSecond,即EPS,表明系統每秒種能夠收集的日志條數,通常以每條日志0.5K~1K字節數為基準。一般而言,EPS數值越高,表明系統性能越好。
3、應提供精確的查詢手段,不同類型日志信息的格式差異非常大,日志審計系統對日志進行收集后,應進行一定的處理,例如對日志的格式進行統一,這樣不同廠家的日志可以放在一起做統計分析和審計,必須注意的是,統一格式不能把原始日志破壞,否則日志的法律效力就大大折扣了。
4、要讓收集的日志發揮更強的安全審計的作用,有一定技術水平的管理員會希望獲得對日志進行關聯分析的工具,能主動挖掘隱藏在大量日志中的安全問題。因此,有這方面需求的用戶可以重點考查產品的實時關聯分析能力。
5、應提供大容量的存儲管理方法,用戶的日志數據量是非常龐大的,如果沒有好的管理手段,不僅審計查詢困難,占用過多的存儲空間對用戶的投資也是浪費。
6、日志系統存儲的冗余非常重要,如果集中收集的日志數據因硬件或系統損壞而丟失,損失就大了,如果選購的是軟件的日志審計系統,用戶在配備服務器的時候一定要保證存儲的冗余,如使用RAID5,或專用的存儲設備,如果選購的是硬件的日志審計系統,就必須考查硬件的冗余,防止出現問題。
7、應提供多樣化的實時告警手段,發現安全問題應及時告警,還要提供自定義報表的功能,能讓用戶做出符合自身需求的報表。
以上是筆者針對日志審計系統的選型提出的幾個建議,但在實際中,還有一些其他的問題需要考慮,像廠商的支持服務能力、產品案例的應用等等,這里就不一一列舉了。
總之,信息安全基礎設施的日趨復雜,使得我們已經從簡單的日志管理時代邁入了系統性的日志綜合審計時代,日志對于網絡與信息安全的價值和作用必將越發重要
【編輯推薦】
