日志管理就是生成、分析、储存日志的过程。机构为了在日志管理方面做得更好,通过对安全配置文件的及时分析,更好地进行安全操作;另外还确保做到日志得以详细地保存,在适当的时候满足审查、法规的需要;同时,并提供可靠的证据以供日后调查之用。 商业机构面临着很多挑战,优秀的日志管理已成为很多企业IT安全策略中日益重要的一部份。这些挑战还包括需要控制越来越多系统产生的大量数据、增强当前环境控制的需求,以及防范新一代更高级的攻击手段。
为了实现最佳的日志管理,信息主管人员通过在规章、风险管理、法律、取证、存储及操作等诸多方面减少开支,提高效率,这样就能给机构创造巨大的价值。而实现最佳的日志管理是建立在使用恰当的规则标准、法律的指导,商业运作目标及风险分析等基础上。
尽管最佳日志管理应该通过每个机构基于自身特殊环境形成,但还有一些通用的优秀管理方法也能被广泛的应用。这份文档旨在帮助机构,在日志管理的策略、方式、技术以及日志的生成、保留、存储、分析及安全保护等方面,推荐最佳做法使之形成机构自己量身定做的日志管理方法。
为什么在安全和合规性方面,日志问题非常重要?
如果日志没有有效的收集、定期的回顾、并长期的保留,机构就无章可循,也就不能有效地保护自己的信息资源。日志还能提供监控系统的方法,并能对安全事件、信息访问及用户活动进行记录。
当今,由于环境的监管,再加上新一代先进的攻击手段,这就使得日志管理成为IT安全策略中日益重要的一部份。日志管理能够实时地检测未经授权的行为,确保日志数据在审查和研究中能被充分使用,并在其整个生命周期中有效存储。
日志管理不当是企业不能依法审查的主要原因之一。例如,萨班斯-奥克斯利(Sarbanes-Oxley)审查师所提到的IT行业中五个控制弱点中,其中之一就是对审查日志未能做恰当的检查。而根据支付卡行业(PCI)审查师所提到的,不恰当的日志管理也是PCI数据安全标准(DSS)失败的三个主要方面之一。
缺乏日志管理能力也是数据泄密的一个主要原因。例如,万事达公司研究表明,贸易公司遭黑客攻击的五个主要原因之一就是没有实时的安全监控。在对这些公司的调查中,美国联邦贸易委员会(FTC)发现,未能采取足够的措施监测未经授权的访问是主要原因之一。
如果没有恰当的日志管理,受攻击的公司就很难进行调查并从中得以恢复。这几年来,数据遭破坏的大字标题新闻比比皆是,屡见不鲜。在许多情况下,这些公司都是未能及时保留足够的日志,使之回复到受攻击前的原始状态,这样就几乎无法确定攻击是如何发生的。
日志管理法规也涉及到必要的保留时限。例如,为了证明财务报表的完整性,公司管理规定审查报告必须保存许多年。为日后解释个人信息泄密的原因,秘密规则通常要求对访问日志作长期存储。
日志管理就是生成、分析、储存日志的过程。机构为了在日志管理方面做得更好,通过对安全配置文件的及时分析,更好地进行安全操作;另外还确保做到日志得以详细地保存,在适当的时候满足审查、法规的需要;同时,并提供可靠的证据以供日后调查之用。
|