【51CTO.com 独家特稿】企业中的主机、服务器、防火墙、交换机、防毒墙、无线路由等等要维护的设备越来越多,日志管理与安全审计的工作也变得越来越复杂。
随着很多中小企业公司慢慢发展,变成了上市或准上市公司。以前单一的防毒、防黑简单要求也细化到了集身份认证和日志管理、安全审计、法规遵从等等立体化的必须选项。比如国外有很多法律法规需要上市公司遵从。很多海外上市的公司也面对着各种纷繁复杂的法律法规。
Verizon Business公司风险小组发布的《2010年数据泄漏调查报告》里面有一些令人惊讶的统计数字和细节内容。比如说,2010年报告声称:"我们一再发现,虽然日志十有八九可供企业使用,但通过分析日志来发现数据泄漏的仍然不足5%。"由此看来,日志管理分析和安全审计的重要性还远远没让那些企业所理解。
现在的难处是?
有些操作系统本身自带日志管理工具,还可以简单看一下。有些没有日志管理工具的设备就让人头疼了……况且网络中各个节点分布在不同地方,不同设备的安全事件也各不相同。没有科学分析的情况下。不同设备的大量日志几乎都无法关联起来。如图1所示。
图1(这么多东西的日志要管理,怎么弄?)
当然,即使可以匹配起来,那么海量的日志,单靠管理人员的勤奋……一个一个看过来恐怕也不太现实。更别说分析了。而且随着高水平黑客越来越多。系统本地的日志经常被修改或直接删除。如图2所示。有些入侵检测系统在遭遇攻击时产生的大量日志,甚至还没有保存就被迫丢弃。
图2(一些黑客工具可轻易清除系统日志)#p#
难道就没办法解决吗?
企业运维人员需要一个高度集中统一管理的日志平台。这个平台必须能在复杂的网络中高效的收集管理各类设备的日志,让运维人员方便、直观的看到网络和系统目前的运行状况。及时的发现黑客攻击及其他异常行为。不单如此,符合各种法规要求的日志记录和分析功能也必须带上。用户需要的不但是一个强大的安全审计工具,还是一个帮助其管理和评估网络系统运行状况的平台(全程审计并记录问题的发现到问题的解决)。
按照这种严格的要求,能符合要求的安全产品似乎不多。目前市面上有一些满足其部分要求的IT管理软件,但很多都需要在被管理机器上安装插件或额外配置一台服务器。
如果对安全性要求比较高,可以部署全功能的SIEM。这是可横跨网络内部,从交换机和路由器到安全设备、应用、服务器以及存储设备,提供所有安全威胁100%可视化的安全信息及事件管理解决方案。高端的SIEM可以把看似不相关的安全与网络事件转化为有意义的智能,帮助降低IT人员的压力,提高安全人员的工作效率,并实现持续的法规遵从。如图3所示。
图3(SIEM系统在工作中)
给安全运维人员的一个建议
从法规遵从和企业内控角度看,如何让数据更加安全?针对这一问题,RSA中国区资深技术顾问冯崇彪先生表示:这个需要整体的安全考虑,一个企业传统的安全设备可能很齐全了,在这个基础上他们可能需要有更多的防护措施,比如安全信息事件管理,DLP数据防泄露,或者基于风险的自适应认证等等。比如有些交易方面的系统,需要有相应的交易监控。再次,对于网络上高级的攻击需要有相应的安全信息监控管理系统(平台)去防范,这样才能及时、全面地管理新的威胁。
【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】