随着互联网的发展,众多企业的关键业务越来越多的运行于网络之上,各应用系统、业务系统、支撑系统迅速发展,业务包含的主机、网络设备、终端数量不断增多,数据信息出现井喷式发展。而针对这些的信息系统的攻击和入侵也层出不穷,同事来自内部的违规和信息泄露也频繁出现,一旦出现后,若未记录留存日志,则无法提取日志,为事后调查提供依据,导致事后难以追查。
对此,国家的政策法规、行业标准等都明确对日志审计提出了要求,日志审计已成为企业满足合规内控要求所必须的一项基本要求。
那么,日志作为安全溯源的依据和预警输出的前提,其重要性不言而喻,那么什么样的日志审计系统可以满足合规要求?
什么样的日志审计系统可以满足合规要求
日志审计系统(平台)通过采集信息系统中的各种信息,如系统安全事件、用户访问记录、系统运行日志、系统运行状态等,经过标准化、过滤、合并、报警分析,以日志的形式统一存储和管理,结合丰富的日志统计、汇总和相关性分析功能,实现对信息系统日志的全面审计。
日志审计系统
日志分散
企业网络中存在使用各种安全设备、网络设备、应用系统等,它们都分散在网路的不同位置,它们产生的日志也对应的分散,审计人员需要登录不同的设备和应用系统的控制台去才能去查看设备产生的日志以及状态。
日志数据量大
企业的各种安全设备、网络设备、应用系统等每天会产生大量的安全日志,通过人工的手段,审计人员是很难去实现集中存储以及日志分析。
日志格式不统一
各种安全设备、网络设备、应用系统等产生的日志其格式都不统一,审计人员需要通过了解每种日志格式才可能分析日志。
国家法律法规要求
从国家法律法规、行业标准和规范的角度出发,日志审计已经成为了满足合规与内控需求的必备功能。
《网络安全法》:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。日志审计的合规要求发生了转变,从原来的不合规转变为不合法。如果要求的相关日志留存时间不满足6个月,一旦被检查,将面临法律责任。
《网络安全等级保护基本要求》(GB/T 22239-2019)中也规定了:二到四级需要对网络、主机、应用安全三部分进行日志审计,留存日志需符合法律法规规定。
《商业银行内部控制指引》第一百二十六条:商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要。
《证券公司内部控制指引》第一百一十七条:证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能。证券公司信息系统日志应至少保存15年。
……
日志审计系统面临的挑战
目前,市面上的日志审计系统种类繁多,下面以天磊卫士为例做具体的说明:
1.满足全面的日志收集
分布式采集,支持自定义数据采集。
支持各种协议采集,包括 syslog,utp,tcp 等。
支持各种日志类型,包括主机,数据库,网络设备,安全设备,第三方系统等。
自动识别各种日志类型,自动抽取关键字段,将日志统一处理同一个格式日志数据。
2.能够让日志集中存储管理
将日志进行集中化收集并存储,形成日志管理体系。
支持对采集的各种数据,系统自动进行统一化处理,日志重要信息自动补全,支持日志的自动分类,为后续的检索、分析等提供便利。
在管理界面中集中地查看所有的日志,无需再到第三方系统中查看。
支持数据的自动或手动备份,备份数据可手工恢复,用作日志回查。
3.拥有实时的安全分析能力
实时审计分析。支持自定义事件告警规则,支持通过正则表达式对入侵行为、WEB攻击、安全事件等行为进行告警。
基于统计的分析。自动统计安全事件分级、分类统计,自动生成数据报表,支持快速导出数据报表进行分析。
基于关联的分析。支持自定义关联分析规则,能对符合关联规则条件的原始事件进行分析,解决单一设备无法识别的一些安全威胁。如绕过防火墙等。
快速实时的告警。匹配事件告警规则,满足规则即刻告警,支持发送邮件告警确保管理员在第一时间发现违规行为。
4.要有灵活强大的搜索能力
通过日志分类结构快捷检索,快速查询到目标日志。
对企业内的海量 IT 数据实现类似 google 的搜索,快速返回任何关键字或短语的搜索结果。
通过搜索框,通过交互式对比查询,可快速收缩事件范围。
支持 lucene 语法自定义搜索 Elasticsearch。方便用户在海量数据中精准、快速地查询到任何一条日志。
5.还要能按照时间维度展示数据指标项
自动生成数据报表。
支持根据时间维度进行统计展示各项数据指标。