你的應(yīng)用程序代碼已經(jīng)經(jīng)過了審查和漏洞掃描，同時，在線的應(yīng)用程序都是經(jīng)過滲透測試并放置在防火墻后端的?？v深防御策略意味著你的網(wǎng)絡(luò)上也會有各種安全控制措施，從而加強全面保護。

隨著時間的推移，網(wǎng)絡(luò)在不斷擴大，它需要更多的保護措施，因此隨著技術(shù)的出現(xiàn)或改善，你已經(jīng)添加了新的安全措施。但你如何監(jiān)控你的應(yīng)用程序環(huán)境，以確保它仍然是兼容的？

在運行多個對策過程中很容易出現(xiàn)的一個問題是，每個安全產(chǎn)品通常會產(chǎn)生一套它自己獨特的日志和警報。這樣一來，就會產(chǎn)生巨大的數(shù)據(jù)量，然后往往會造成數(shù)據(jù)噪聲和誤報。從應(yīng)用程序安全合規(guī)性的角度來看，這使得事件調(diào)查，證據(jù)收集和進行分析成為非常耗時的工作，特別是為了建立一個完整的圖像，日志必須被交叉引用。但是，為了提供審計跟蹤和監(jiān)控訪問控制，收集和分析這些數(shù)據(jù)是必不可少的，并最終要確保所有任務(wù)都合規(guī)。

安全信息和事件管理系統(tǒng)(SIMs或SIEMs)減輕了海量日志數(shù)據(jù)這一問題。它們集中匯總安全事件和日志，關(guān)聯(lián)分析整個基礎(chǔ)設(shè)施所部署的網(wǎng)絡(luò)和安全設(shè)備的信息，因此會產(chǎn)生具有更有效和更全面報告的警報。

但SIMs并不完美，而且它的采購、實施和管理費用很高，可選擇的一個耗時的替代方案是，手動分析個別的日志集。手工整理這些記錄去重建一個定時事件是很困難的，但一個錯誤的正面總比一個錯誤的負面更可取。也就是說，即使只獲得一組有效的警告和報告，它也使得調(diào)查和修復(fù)問題變更容易了。當試圖匹配來自不同設(shè)備的各種報告時，報告更易于產(chǎn)生和展現(xiàn)關(guān)于系統(tǒng)安全更為統(tǒng)一的看法。擁有對網(wǎng)絡(luò)流量更全面、更徹底的查看，你就可以微調(diào)入侵檢測簽名(IDS signatures)和防火墻規(guī)則集來提高它們的執(zhí)行政策的能力。這種全面徹底的查看也可以顯示出，員工在哪些方面還需要進一步的安全意識培訓(xùn)，例如，是否有人繼續(xù)試圖訪問或下載已阻止的網(wǎng)站或內(nèi)容，或發(fā)送分類加密信息。

另外一個方法是，將各種網(wǎng)絡(luò)安全單點產(chǎn)品整合到一個設(shè)備中，讓所有日志都在一個地方。Web安全網(wǎng)關(guān)就是一個很好的例子，它將單點產(chǎn)品整合到一個盒子里，這意味著所有的流量渠道，包括入站和出站，都經(jīng)過這一個設(shè)備。這使得更加容易登錄、監(jiān)控和協(xié)調(diào)所有端口和協(xié)議的內(nèi)容政策。每個保護產(chǎn)品還共享了一個共同的威脅數(shù)據(jù)庫和策略管理框架，判斷流量是否是潛在惡意的，從而作出更多明智的決定，減少錯誤或錯過警報的數(shù)量，讓分析和報告更加全面。

無論你采用了哪種日志收集和分析的方法，定期進行頻繁的自我評估審計，將確保發(fā)現(xiàn)安全控制過程中的任何缺陷和應(yīng)用程序使用中的任何不合規(guī)。如果問題是在審計過程中被發(fā)現(xiàn)的，那么應(yīng)該制定糾正措施計劃。理想情況下，審計應(yīng)評估范圍內(nèi)的每一個強制措施的遵守情況。如果這樣不太現(xiàn)實的話，那么就集中在高風(fēng)險領(lǐng)域或樣本關(guān)鍵的安全控制上。

今后的審計工作應(yīng)包括尚未采樣或先前被確定為弱，以及在硬件、軟件、政策或程序上已改變的部分，以確保任何變化對安全都沒有不利影響。自我評估的真正好處在于，就如何改善安全控制所實施的整改措施和提出的建議。通過在一份正式報告中記錄審計結(jié)果，其中包括采取的不合格措施和糾正措施，這樣你就擁有了關(guān)于系統(tǒng)安全狀態(tài)的文件證據(jù)。

如果密切監(jiān)測所有的應(yīng)用程序是不可行的，那就集中在那些關(guān)鍵的、有價值的或敏感的信息上，以及之前被泄漏或誤用的信息，當然還有那些連接到第三方或互聯(lián)網(wǎng)的系統(tǒng)。(如果你沒有一個應(yīng)用程序列表，那么這將是一個好的開始。)應(yīng)用程序日志管理和系統(tǒng)監(jiān)控為我們提供了信息，關(guān)于網(wǎng)絡(luò)上發(fā)生了什么以及什么正在發(fā)生。沒有這些信息的話，你幾乎不可能發(fā)現(xiàn)應(yīng)用程序是否被攻擊或已泄密。