日志審計的必要性

隨著信息技術(shù)持續(xù)地發(fā)展，各類組織、企業(yè)對信息系統(tǒng)的運用也不斷深入，為了在復(fù)雜條件下應(yīng)付各類安全情況（如***的***、內(nèi)部員工的有意或無意地進行越權(quán)或違規(guī)操作），企業(yè)部署了大量的、不同種類、形態(tài)各異的信息安全產(chǎn)品。

另外，除了這些專用安全設(shè)備或系統(tǒng)每日會產(chǎn)生各種日志，組織或企業(yè)日常使用的業(yè)務(wù)系統(tǒng)、主機系統(tǒng)、網(wǎng)絡(luò)設(shè)備等也會生成不少和安全相關(guān)的日志，它們都存在如下問題：

n它們格式差異巨大，沒有統(tǒng)一標準

n它們數(shù)量巨大，用戶無法進行重點分析

n難以挖掘各類日志之間的關(guān)聯(lián)關(guān)系，從而難于審計

上述這些原因均會導(dǎo)致日志審計工作難于開展，所以部署集中的日志審計系統(tǒng)就成為必須；另外，各級組織或機構(gòu)部署集中日志審計系統(tǒng)的意義在于：

n它是信息安全管理的需要：因為日志審計是日常信息安全管理中最為重要的環(huán)節(jié)之一；能從紛繁復(fù)雜的日志中萃取出具有價值的部分是各類信息安全管理者、參與者、相關(guān)者最大的訴求，故選擇一款高可靠、高性能、具備強大功能的日志集中審計系統(tǒng)就成為必須；

n它是安全技術(shù)保障體系建設(shè)要求的需要：一個完整的信息安全技術(shù)保障體系應(yīng)由檢測、保護和響應(yīng)三部分組成，而日志審計是檢測安全事件的不可或缺重要手段之一。目前，大部分信息系統(tǒng)的所依賴的IDS/IPS系統(tǒng)只能檢測部分來之網(wǎng)絡(luò)的***事件，對運維人員的違規(guī)操作、系統(tǒng)運行異常、設(shè)備故障等安全事件缺乏監(jiān)控能力，而這些異常事件恰恰是對內(nèi)部信息系統(tǒng)安全威脅的最大部分。日志審計系統(tǒng)通過分析各設(shè)備、系統(tǒng)、應(yīng)用、數(shù)據(jù)庫產(chǎn)生的運行日志，能夠及時發(fā)現(xiàn)***檢測系統(tǒng)檢測到的各類安全隱患，并及時給予告警，從而避免安全事件的發(fā)生；

n它是各種規(guī)范符合性要求的需要：如：《信息安全等級保護》（幾乎各級均要求提供審計功能）、《信息安全風(fēng)險管理規(guī)范》、《基于互聯(lián)網(wǎng)電子政務(wù)信息安全指南》、《銀行業(yè)金融機構(gòu)信息系統(tǒng)管理指引》等等。此外，國際上的相關(guān)標準、規(guī)范也均明確提出信息安全審計系統(tǒng)的重要性，如薩班斯法案、ISO27001等均要求企業(yè)對重要系統(tǒng)、設(shè)備的運日志進行保留，并且周期性地進行第三方審計。