日志审计在网络安全中有何作用? | 为何日志留存是法律硬性规定要求?

其实,我们现在一谈日志,就会谈论《网络安全法》第二十一条中的规定,这是合规性要求没问题的,但是我们往往会忘记日志以及日志审计到底是干什么的,其真正的价值不完全是为了合规规避责任,其真正的价值是检测发现安全异常及时阻止或溯源,解决网络安全问题。

日志审计在网络安全中有何作用? | 为何日志留存是法律硬性规定要求?(图1)


在最近在多地协助检查期间,绝大多数的运营使用单位都是停留在配备了日志审计或日志服务器,对于日志的审计则没有任何意识,有的日志审计或服务器常年未登录,当问到是否开展过日志审计时,常常得到的回答是:“我们没有这方面的人!”,我在此时,有时会追问一下,那你们测评过程中不是列着对应的“审计管理员”吗?那他的工作职责与管理制度不是脱节的吗?

凡此种种,我们发现网络安全工作存在技管严重脱节的状态,停留在声称性网络安全。

那么日志或日志审计到底有什么用?如何帮助我们实现网络安全的呢?

日志一直是网络安全环境的重要参与者。日志监控以及如何帮助业务的网络安全运营。无论组织在哪个行业运营,团队和运营都依赖信息技术来提高生产力。单台计算机或类似设备包含可以覆盖数千页纸的敏感信息,已不是什么秘密。每天,有关业务和运营的数千兆字节甚至更多的此类信息至少会传输数十个计算设备。

在这个快速而危险的旅程中,由于沿途停靠的众多易受攻击的特征,数据易受到网络攻击。无论业务运营规模如何,系统都必须始终具有强大且最新的安全措施。大多数时候,保存在内部的敏感信息比硬件本身更有价值。因此,许多攻击和窃贼关注的是数据而不是笨重且难以携带的硬件。攻击者可以选择各种策略,例如身份盗用、日志伪造、恶意软件和社会工程等等方式手段。

保持业务的网络和系统是一项不断发展的持续任务,IT 安全团队需要最好的工具来正确完成工作。在这个充满挑战的旅程中,监控和记录数据是非常重要的工具。

什么是日志监控?

几乎所有系统和软件都会生成详细的日志:IDS、互联网浏览器、反恶意软件、路由器、操作系统、防火墙、服务器等。因此,每天都会创建大量日志文件,日志包含有关业务健康和效率的非常重要的信息,日志如同中医的脉象,隐含着非常多的业务系统的健康状况信息。需要定期查看日志文件并分析其提供的数据的原因。

关于网络安全,日志数据指出系统中的危险信号:异常行为、未经授权的访问、极端流量、可疑更改等。通过日志监控,可以发现恶意攻击和威胁。然而,考虑到系统的各个组件每天都会生成大量日志数据这一事实,手动查看越来越困难,这从业务上为引入日志审计系统带来了契机,随着业务扩张带来的技术进步和设备的不断增加,也需要对日志进行科学有效的管理。

日志审计软件有什么作用?

此类软件可以完成日志管理的基本步骤,如下所述:

收集: 日志审计软件必须能够从各种来源收集日志数据。有时此类来源可能会选择加密,因此日志管理工具最好有不止一种收集日志数据的方法。

存储:由于合规要求,日志监控和管理软件必须能够保留足够长时间的日志记录。在我国则以《网络安全法》要求为最高要求。

搜索: 必须能够索引日志,以便可以通过过滤器和标签的帮助找到要查找的内容。

相关性: 日志监控可以检测持续存在的威胁,帮助我们发现 IT 安全方面的任何薄弱环节。为此,日志审计软件汇集了从众多来源收集的日志数据,并在漏洞和潜在问题发生之前检测它们。

有效的日志监控在故障排除和预防方面都很有用。这就是为什么组织必须实施科学有效的日志管理解决方案。

总之,日志是监测分析网络安全事件,追踪溯源的必要条件之一。破坏日志,将对网络安全以及追查网络安全违法犯罪行为带来难以估量的困难,使我们网络空间安全无法得到保证。

域智盾产品线中,有一款非常适合的日志审计与分析系统,是满足网络安全等级保护的绝佳产品。该产品分为软件和硬件两种实现,用户在可根据现有环境合理采购配备,以满足不同类型业务环境的需求。

域智盾日志审计与分析系统作为一个统一日志监控与审计平台,能够实时不间断地采集用户网络中不同类型的信息并进行标准化处理和实时关联分析,协助安全管理人员从海量日志中迅速准确地识别安全威胁。对于系统中无法产生日志的情况,系统可采用主动采集的方式主动侦测网络中的协议通讯,并转化为日志,汇集到审计中心,总体实现全网综合安全审计。