三年前,某高校网络中心的老师曾向记者提到,各个设备的日志是网络管理中重要的信息库,为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,在他的工作中发挥很大的作用。而在网银与证券行业,根据中国人民银行发布的《网上银行系统信息安全通用规范》和证监会发布的《关于加强对投资者网上交易安全保护的通知》要求,系统日志管理不仅是维护网络稳定、安全运行的需求,还是保证IT审计合规的必须措施。
根据记者调查,在一个架构与应用相对完整的网络中,会涉及主机、网络、应用、存储、安全、数据库等六大类日志。如此繁多的日志,能否让其实现监测网络安全的价值,发挥网络管理的重要作用,就取决于如何对日志数据进行有效的管理。
关联分析 及时警报
目前,网络上各种设备与操作系统均设计了日志程序,可以有效地记录针对硬件、软件和系统的操作行为、监视发生的事件,因为有了这些记录,所以用户可以通过它来检查系统问题,或者受到攻击时在此寻找黑客留下的蛛丝马迹。然而日志一般都是存放在各自系统里,是非常杂乱的。如果出现安全问题,需要网络管理员一个设备一个设备去找,然后人工做关联,是非常繁琐的一项工作。
日志数据对于实现网络安全的价值有多大取决于两个因素:第一,对系统和设备必须进行合适的设置便于记录需要的数据。第二,必须有合适的工具对数据进行及时有效的分析。
6月21日,EMC安全事业部技术顾问冯崇彪向记者描述了一个关于日志管理的真实故事:某企业的安全管理员收到来自某办公室的警报,一个用户违反企业规定试图从外部删除客户资料,RSA enVision日志管理平台根据预先设置的企业信息安全规定对于这个异常活动做出的自动关联进行警报。安全管理员积极采取措施,使企业重要数据免受损失。
之所以这位企业管理员能收到及时警报,是因为在其使用的RSA enVision日志管理解决方案中,很多安全事件的预警型种类,都已经做成关联规则内嵌在系统里面,确保追踪那些关键信息。如果有一些安全的越界行为,能够及时警报。例如有人进入系统,创建一个超级用户,把一些相关数据删掉,或者说查看很敏感的日志,退出时把之前的日志和账号删掉,这也一个是安全事件。但在原有系统的日志上是看不到的,把多个系统关联起来,才可以及时发现这个行为,并作出及时告警,创建一个闭环的事件处理流程,让相关人做处理。同时,在安装与服务过程中,RSA 专家非常重要的一项工作是协助用户设置好日志的关联规则,根据不同行业安全防范的重点与经验,使系统自动进行关联分析,实现事中及时警报,事后便于追查。
优化管理合规审计
因为日志对系统行为的记录特性,使得其成为IT合规审计的重要内容。并且,《关于加强对投资者网上交易安全保护的通知》明确要求:“网上交易系统应能产生、记录并集中存储必要的日志信息,对投资者的身份信息、IP地址、MAC地址、手机号码和交易终端特征码进行记录,并确保数据的可审计性,以满足调查取证的要求。”在《网上银行系统信息安全通用规范》中也明确提出“应对网络系统中的网络设备运行状况、网络流量、用户特殊行为等进行日志记录……”
根据这些已经发布的行业规定与内控和外审的要求,日志要保存3~5年,甚至证监会要求证券业务数据保存15年以上。为了使日志满足安全审计与调查取证等工作,最基础的就是要日志管理工具能快速地对各种类型的日志进行收集存储。但是收集也并不是简单就能实现的。
根据EMC冯崇彪介绍,网络上各个设备与系统的日志格式并不统一,除了一些常用设备、通用格式之外,也还有一些用户自己研发的应用与特殊的格式。
RSA enVision的解决方案,就综合考虑了两方面因素。一方面,它与思科、Juniper、微软等众多软硬件供应商合作,将其格式内置到系统中,简单设置就可以完成日志收集。另一方面,解决方案中特别设计了UDS接口,对于用户非标准支持的设备与应用,可以提供接口,也可以通过设置加入日志管理系统。同时,“ RSA enVision解决方案采用了IPDB技术,压缩率排在业界第一” ,冯崇彪很自信地说。因为日志量很大,数据收集率与存储压缩率虽然是最基础的,但也是高效的日志管理工具必须重视的性能指标。
日志管理对于整个网络的安全部署来说,是不可忽视的一环。如果网络管理员选择了一个好的工具或者解决方案,应对网络突发的安全事件,将会更从容。
