為什么需要日志審計系統(tǒng)

什么是日志

        簡單地說，日志就是計算機(jī)系統(tǒng)、設(shè)備、軟件等在某種情況下記錄的信息。具體的內(nèi)容取決于日志的來源。例如，Unix操作系統(tǒng)會記錄用戶登錄和注銷的消息，防火墻將記錄ACL通過和拒絕的消息，磁盤存儲系統(tǒng)在故障發(fā)生或者在某些系統(tǒng)認(rèn)為將會發(fā)生故障的情況下生成日志信息。日志中有大量信息，這些信息告訴你為什么需要生成日志，系統(tǒng)已經(jīng)發(fā)生了什么。例如，Web服務(wù)器一般會在有人訪問Web頁面請求資源（圖片、文件等等）的時候記錄日志。如果用戶訪問的頁面需要通過認(rèn)證，日志消息將會包含用戶名。這就是日志數(shù)據(jù)的一個例子：可以使用用戶名來判斷誰訪問過一個資源。通過日志，IT管理人員可以了解系統(tǒng)的運(yùn)行狀況，安全狀況，甚至是運(yùn)營的狀況。

日志的重要性

       在一個完整的信息系統(tǒng)里面，日志系統(tǒng)是一個非常重要的功能組成部分。它可以記錄下系統(tǒng)所產(chǎn)生的所有行為，并按照某種規(guī)范表達(dá)出來。我們可以使用日志系統(tǒng)所記錄的信息為系統(tǒng)進(jìn)行排錯，優(yōu)化系統(tǒng)的性能，或者根據(jù)這些信息調(diào)整系統(tǒng)的行為。在安全領(lǐng)域，日志可以反應(yīng)出很多的安全***行為，比如登錄錯誤，異常訪問等。日志還能告訴你很多關(guān)于網(wǎng)絡(luò)中所發(fā)生事件的信息，包括性能信息、故障檢測和***檢測。日志會成為在事故發(fā)生后查明“發(fā)生了什么”的一個很好的“取證”信息來源。日志可以為審計進(jìn)行審計跟蹤。

被低估的日志

        在很多企業(yè)環(huán)境中，日志沒有得到重視。日志往往在日常工作中被完全忽視，僅僅在磁盤空間不足的時候才會引起人們的注意。而在這個時候它們往往未經(jīng)查看就被刪除了。某些情況下，日志中的一些消息可能指出磁盤滿的原因。很多人都有過查看已被***的機(jī)器的經(jīng)歷，在詢問日志保存的位置之后，我們會聽到：“噢，它們只會占據(jù)空間，所以我們把它們刪掉了?！痹诖蠖鄶?shù)這種情況下，我們沒有什么可做的。

        為什么日志不受重視呢？這是有很多原因的。首先是領(lǐng)導(dǎo)的重視程度，在中國大多數(shù)領(lǐng)導(dǎo)重視的是業(yè)務(wù)，而不是運(yùn)維或者安全等。其次是日志以各種形狀和大小出現(xiàn)，有時候很難從中提取信息，日志的內(nèi)容不好理解。syslog數(shù)據(jù)可能相當(dāng)糟糕，因為大多數(shù)數(shù)據(jù)都是自由格式的文本。從syslog中獲取有用的數(shù)據(jù)需要花費(fèi)一些精力，而且需要處理的數(shù)據(jù)量可能很大。例如，有些網(wǎng)站每周會收集幾個GB的日志數(shù)據(jù)，有的可能一天內(nèi)就能達(dá)到這樣的量級。這樣的數(shù)量似乎令人不知所措，大多數(shù)管理員最終往往根據(jù)特定的時間內(nèi)看到的東西，根據(jù)經(jīng)驗寫出一些腳本來尋找一些隨機(jī)的東西。

為什么需要日志

從運(yùn)維角度來看：

        一個成功的軟件，全力開發(fā)的時間可能占其整個生命周期的1/4還不到，軟件發(fā)布后要運(yùn)維（Operation），運(yùn)維的數(shù)據(jù)能反應(yīng)開發(fā)，同時，開發(fā)的時候也得考慮可運(yùn)維性，其中非常重要的一點(diǎn)是日志，沒有日志，運(yùn)維就瞎了大半。所以在運(yùn)維的過程中基本上是靠日志來判斷問題，解決問題。

       日志對業(yè)務(wù)分析也是非常重要的，比如一個網(wǎng)站，網(wǎng)站的歷史訪問情況，新增訪問情況，哪些頁面訪問最多等等。

從安全角度來看：

安全產(chǎn)品的零散性

    安全領(lǐng)域的特點(diǎn)，即他和現(xiàn)有的所有層面的IT技術(shù)和產(chǎn)品都有關(guān)聯(lián)，他和網(wǎng)絡(luò)技術(shù)、主機(jī)操作系統(tǒng)、應(yīng)用軟件、人為管理、個人PC、服務(wù)器、內(nèi)容安全、電話網(wǎng)等所有領(lǐng)域都有關(guān)系，因此幾乎沒有一個廠商能夠?qū)⒆约旱陌踩a(chǎn)品覆蓋到所有領(lǐng)域，安全有無數(shù)的細(xì)分領(lǐng)域：防火墻、***檢測、掃描器、SSO、審計、補(bǔ)丁管理、集中認(rèn)證、一次性口令、LDAP、加密存儲、鏈路層加密、防毒、內(nèi)容安全、sniffer、forensics、PKI、安全服務(wù)、策略管理等等，每個領(lǐng)域都有一個最強(qiáng)大的廠商，在這樣一個零散的環(huán)境中，你必須面對每個廠商不同的管理界面和終端，這是一個非常大的挑戰(zhàn)。

海量數(shù)據(jù)帶來的效率低下

        安全產(chǎn)品部署的過程中，最為嚴(yán)重和突出的現(xiàn)象是會出現(xiàn)大量的安全事件，一個標(biāo)準(zhǔn)的網(wǎng)絡(luò)***監(jiān)測系統(tǒng)采用缺省的策略，在一個百兆的鏈接上每天可能產(chǎn)生超過千萬數(shù)量的事件，海量的數(shù)據(jù)常常讓我們的安全產(chǎn)品變得沒有任何意義，即使經(jīng)過調(diào)整和優(yōu)化的策略，也充斥著無意義數(shù)據(jù)和誤報。***監(jiān)測等安全產(chǎn)品也正是因為這種原因被人詬病。有些無效數(shù)據(jù)是由安全產(chǎn)品的機(jī)制自身導(dǎo)致的，他本身無法徹底解決該問題，企業(yè)面臨的難題是，必須減少但不丟失安全事件，這樣才能讓我們對安全產(chǎn)品的管理變得可能和有效率。

日志格式不統(tǒng)一

        每種設(shè)備類型的日志格式都不相同，各有各的表達(dá)，即時是表達(dá)同一件事情，也都有各自的表達(dá)方式。例如同樣的登錄失敗信息，防火墻中的描述和主機(jī)操作系統(tǒng)中的描述格式就可能根本不相同。這迫使審計人員去了解每種設(shè)備類型的格式。

國家法律法規(guī)要求

        GB/T 22239-2008《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》對于二級以上信息系統(tǒng)，在網(wǎng)絡(luò)安全、主機(jī)安全和應(yīng)用安全等基本要求中明確要求進(jìn)行安全審計。而日志審計是符合這些要求的基本手段。 

      《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》（公安部82號令）第八條要求具備“記錄、跟蹤網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)測、記錄用戶各種信息、網(wǎng)絡(luò)安全事件等安全審計功能”。 l 

      《商業(yè)銀行內(nèi)部控制指引》第一百二十六條指出“商業(yè)銀行的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用程序等均當(dāng)設(shè)置必要的日志。日志應(yīng)當(dāng)能夠滿足各類內(nèi)部和外部審計的需要”。 

    《銀行業(yè)信息科技風(fēng)險管理指引》 第第二十七條要求銀行業(yè)應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。

     《保險公司信息系統(tǒng)安全管理指引（試行）》第四十四條要求“對主機(jī)系統(tǒng)進(jìn)行審 計，妥善管理并及時分析處理審計記錄。對重要用戶行為、異常操作和重要系統(tǒng)命令的使用等應(yīng)進(jìn)行重點(diǎn)審計”。

      《網(wǎng)絡(luò)安全法（草案）》第三章網(wǎng)絡(luò)運(yùn)行安全中第一節(jié)一般規(guī)定的第三條要求“采取記錄、跟蹤網(wǎng)絡(luò)運(yùn)行狀態(tài)，監(jiān)測、記錄網(wǎng)絡(luò)安全事件的技術(shù)措施，并按照規(guī)定留存網(wǎng)絡(luò)日志”。

      《薩班斯（SOX）法案》404條款，公司管理層建立和維護(hù)內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任；發(fā)行人管理層最近財政年度末對內(nèi)部控制體系及控制程序有效性的評價。（注：在SOX中，信息系統(tǒng)日志審計系統(tǒng)及其審計結(jié)果是評判內(nèi)控評價有效性的一個重要工具和佐證）

        通過以上分析，可以得知日志分析還是很重要的，所以要盡早把日志利用起來。