【51CTO.com 獨家特稿】企業(yè)中的主機、服務(wù)器、防火墻、交換機、防毒墻、無線路由等等要維護的設(shè)備越來越多,日志管理與安全審計的工作也變得越來越復(fù)雜。

隨著很多中小企業(yè)公司慢慢發(fā)展，變成了上市或準上市公司。以前單一的防毒、防黑簡單要求也細化到了集身份認證和日志管理、安全審計、法規(guī)遵從等等立體化的必須選項。比如國外有很多法律法規(guī)需要上市公司遵從。很多海外上市的公司也面對著各種紛繁復(fù)雜的法律法規(guī)。

Verizon Business公司風險小組發(fā)布的《2010年數(shù)據(jù)泄漏調(diào)查報告》里面有一些令人驚訝的統(tǒng)計數(shù)字和細節(jié)內(nèi)容。比如說，2010年報告聲稱："我們一再發(fā)現(xiàn)，雖然日志十有八九可供企業(yè)使用，但通過分析日志來發(fā)現(xiàn)數(shù)據(jù)泄漏的仍然不足5%。"由此看來，日志管理分析和安全審計的重要性還遠遠沒讓那些企業(yè)所理解。

現(xiàn)在的難處是？

有些操作系統(tǒng)本身自帶日志管理工具，還可以簡單看一下。有些沒有日志管理工具的設(shè)備就讓人頭疼了……況且網(wǎng)絡(luò)中各個節(jié)點分布在不同地方，不同設(shè)備的安全事件也各不相同。沒有科學分析的情況下。不同設(shè)備的大量日志幾乎都無法關(guān)聯(lián)起來。如圖1所示。

圖1（這么多東西的日志要管理，怎么弄？）

當然，即使可以匹配起來，那么海量的日志，單靠管理人員的勤奮……一個一個看過來恐怕也不太現(xiàn)實。更別說分析了。而且隨著高水平黑客越來越多。系統(tǒng)本地的日志經(jīng)常被修改或直接刪除。如圖2所示。有些入侵檢測系統(tǒng)在遭遇攻擊時產(chǎn)生的大量日志，甚至還沒有保存就被迫丟棄。

圖2（一些黑客工具可輕易清除系統(tǒng)日志）#p#

難道就沒辦法解決嗎？

企業(yè)運維人員需要一個高度集中統(tǒng)一管理的日志平臺。這個平臺必須能在復(fù)雜的網(wǎng)絡(luò)中高效的收集管理各類設(shè)備的日志，讓運維人員方便、直觀的看到網(wǎng)絡(luò)和系統(tǒng)目前的運行狀況。及時的發(fā)現(xiàn)黑客攻擊及其他異常行為。不單如此，符合各種法規(guī)要求的日志記錄和分析功能也必須帶上。用戶需要的不但是一個強大的安全審計工具，還是一個幫助其管理和評估網(wǎng)絡(luò)系統(tǒng)運行狀況的平臺（全程審計并記錄問題的發(fā)現(xiàn)到問題的解決）。

按照這種嚴格的要求，能符合要求的安全產(chǎn)品似乎不多。目前市面上有一些滿足其部分要求的IT管理軟件，但很多都需要在被管理機器上安裝插件或額外配置一臺服務(wù)器。

如果對安全性要求比較高，可以部署全功能的SIEM。這是可橫跨網(wǎng)絡(luò)內(nèi)部，從交換機和路由器到安全設(shè)備、應(yīng)用、服務(wù)器以及存儲設(shè)備，提供所有安全威脅100%可視化的安全信息及事件管理解決方案。高端的SIEM可以把看似不相關(guān)的安全與網(wǎng)絡(luò)事件轉(zhuǎn)化為有意義的智能，幫助降低IT人員的壓力，提高安全人員的工作效率，并實現(xiàn)持續(xù)的法規(guī)遵從。如圖3所示。

圖3（SIEM系統(tǒng)在工作中）

給安全運維人員的一個建議

從法規(guī)遵從和企業(yè)內(nèi)控角度看，如何讓數(shù)據(jù)更加安全？針對這一問題，RSA中國區(qū)資深技術(shù)顧問馮崇彪先生表示：這個需要整體的安全考慮，一個企業(yè)傳統(tǒng)的安全設(shè)備可能很齊全了，在這個基礎(chǔ)上他們可能需要有更多的防護措施，比如安全信息事件管理，DLP數(shù)據(jù)防泄露，或者基于風險的自適應(yīng)認證等等。比如有些交易方面的系統(tǒng)，需要有相應(yīng)的交易監(jiān)控。再次，對于網(wǎng)絡(luò)上高級的攻擊需要有相應(yīng)的安全信息監(jiān)控管理系統(tǒng)（平臺）去防范，這樣才能及時、全面地管理新的威脅。

【51CTO.com獨家特稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】