當今企業(yè)所面臨的互聯(lián)網(wǎng)安全威脅正在逐步增加，提升企業(yè)自身安全保障能力成為了廣大安全管理員所關心的問題。為了不斷應對新的安全挑戰(zhàn)，企業(yè)和組織先后部署了防病毒系統(tǒng)、防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、UTM，等等。這些安全系統(tǒng)都僅僅防堵來自某個方面的安全威脅，形成了一個個安全防御孤島，無法產(chǎn)生協(xié)同效應。更為嚴重地，這些復雜的IT資源及其安全防御設施在運行過程中不斷產(chǎn)生大量的安全日志和事件，安全管理人員面對這些數(shù)量巨大、彼此割裂的安全信息，操作著各種產(chǎn)品自身的控制臺界面和告警窗口，顯得束手無策，工作效率極低，難以發(fā)現(xiàn)真正的安全隱患。

日志審計系統(tǒng)的基本組成

對于一個日志審計系統(tǒng)，從功能組成上至少應該包括信息采集、信息分析、信息存儲、信息展示四個基本功能：

1)日志采集功能：系統(tǒng)能夠通過某種技術手段獲取需要審計的日志信息。對于該功能，關鍵在于采集信息的手段種類、采集信息的范圍、采集信息的粒度（細致程度）。

2)日志分析功能：是指對于采集上來的信息進行分析、審計。這是日志審計系統(tǒng)的核心，審計效果好壞直接由此體現(xiàn)出來。在實現(xiàn)信息分析的技術上，簡單的技術可以是基于數(shù)據(jù)庫的信息查詢和比較；復雜的技術則包括實時關聯(lián)分析引擎技術，采用基于規(guī)則的審計、基于統(tǒng)計的審計、基于時序的審計，以及基于人工智能的審計算法，等等。

3)日志存儲功能：對于采集到原始信息，以及審計后的信息都要進行保存，備查，并可以作為取證的依據(jù)。在該功能的實現(xiàn)上，關鍵點包括海量信息存儲技術、以及審計信息安全保護技術。

4)信息展示功能：包括審計結果展示界面、統(tǒng)計分析報表功能、告警響應功能、設備聯(lián)動功能，等等。這部分功能是審計效果的最直接體現(xiàn)，審計結果的可視化能力和告警響應的方式、手段都是該功能的關鍵。

日志審計系統(tǒng)的選型指南

那么，我們?nèi)绾芜x擇一款合適的日志審計系統(tǒng)呢？評價一款日志審計系統(tǒng)需要關注哪些方面呢？筆者認為至少應該從以下幾個方面來考慮：

1、由于一款綜合性的日志審計系統(tǒng)必須能夠收集網(wǎng)絡中異構設備的日志，因此日志收集的手段應要豐富，建議至少應支持通過Syslog、SNMP、NetFlow、ODBC/JDBC、OPSECLEA等協(xié)議采集日志，支持從Log文件或者數(shù)據(jù)庫中獲取日志。

2、日志收集的性能也是要考慮的。一般來說，如果網(wǎng)絡中的日志量非常大，對日志系統(tǒng)的性能要求也就比較高，如果因為性能的問題造成日志大量丟失的話，就完全起不到審計的作用的了。目前，國際上評價一款日志審計產(chǎn)品的最重要指標叫做“事件數(shù)每秒”，英文是EventperSecond，即EPS，表明系統(tǒng)每秒種能夠收集的日志條數(shù)，通常以每條日志0.5K～1K字節(jié)數(shù)為基準。一般而言，EPS數(shù)值越高，表明系統(tǒng)性能越好。

3、應提供精確的查詢手段，不同類型日志信息的格式差異非常大，日志審計系統(tǒng)對日志進行收集后，應進行一定的處理，例如對日志的格式進行統(tǒng)一，這樣不同廠家的日志可以放在一起做統(tǒng)計分析和審計，必須注意的是，統(tǒng)一格式不能把原始日志破壞，否則日志的法律效力就大大折扣了。

4、要讓收集的日志發(fā)揮更強的安全審計的作用，有一定技術水平的管理員會希望獲得對日志進行關聯(lián)分析的工具，能主動挖掘隱藏在大量日志中的安全問題。因此，有這方面需求的用戶可以重點考查產(chǎn)品的實時關聯(lián)分析能力。

5、應提供大容量的存儲管理方法，用戶的日志數(shù)據(jù)量是非常龐大的，如果沒有好的管理手段，不僅審計查詢困難，占用過多的存儲空間對用戶的投資也是浪費。

6、日志系統(tǒng)存儲的冗余非常重要，如果集中收集的日志數(shù)據(jù)因硬件或系統(tǒng)損壞而丟失，損失就大了，如果選購的是軟件的日志審計系統(tǒng)，用戶在配備服務器的時候一定要保證存儲的冗余，如使用RAID5，或?qū)Ｓ玫拇鎯υO備，如果選購的是硬件的日志審計系統(tǒng)，就必須考查硬件的冗余，防止出現(xiàn)問題。

7、應提供多樣化的實時告警手段，發(fā)現(xiàn)安全問題應及時告警，還要提供自定義報表的功能，能讓用戶做出符合自身需求的報表。

以上是筆者針對日志審計系統(tǒng)的選型提出的幾個建議，但在實際中，還有一些其他的問題需要考慮，像廠商的支持服務能力、產(chǎn)品案例的應用等等，這里就不一一列舉了。

總之，信息安全基礎設施的日趨復雜，使得我們已經(jīng)從簡單的日志管理時代邁入了系統(tǒng)性的日志綜合審計時代，日志對于網(wǎng)絡與信息安全的價值和作用必將越發(fā)重要
 

【編輯推薦】

1. Web專用網(wǎng)站服務器的安全設置
2. 怎樣進行路由器的安全設置
3. 安全設置策略及自帶防火墻介紹
4. 企業(yè)如何對員工進行網(wǎng)絡安全培訓
5. 企業(yè)如何在復雜環(huán)境中降低安全風險