RSA安全告-日志管理安全与合规性的最佳实践.docVIP

               白皮书 日志管理安全与合规性的最佳实践 内容提要 日志管理就是生成、分析、储存日志的过程。机构为了在日志管理方面做得更好，通过对安全配置文件的及时分析，更好地进行安全操作；另外还确保做到日志得以详细地保存，在适当的时候满足审查、法规的需要；同时，并提供可靠的证据以供日后调查之用。 商业机构面临着很多挑战，优秀的日志管理已成为很多企业IT安全策略中日益重要的一部份。这些挑战还包括需要控制越来越多系统产生的大量数据、增强当前环境控制的需求，以及防范新一代更高级的攻击手段。 为了实现最佳的日志管理，信息主管人员通过在规章、风险管理、法律、取证、存储及操作等诸多方面减少开支，提高效率，这样就能给机构创造巨大的价值。而实现最佳的日志管理是建立在使用恰当的规则标准、法律的指导，商业运作目标及风险分析等基础上。 尽管最佳日志管理应该通过每个机构基于自身特殊环境形成，但还有一些通用的优秀管理方法也能被广泛的应用。这份文档旨在帮助机构，在日志管理的策略、方式、技术以及日志的生成、保留、存储、分析及安全保护等方面，推荐最佳做法使之形成机构自己量身定做的日志管理方法。 目录 为什么在安全和合规性方面，日志问题非常重要？ （1） 最佳日志管理的必要性 （1） 最佳日志管理的商业价值 （2） 把最佳日志管理做法引入机构 （3） 推荐的最佳做法 （4） I.日志管理策略、过程和技术 （4） II.日志的生成 （5） III.日志的保留和存储 （6） IV.日志分析 （10） V.日志的保护和安全 （10） 结论 （11） 附录 （7） 附录 1—日志的资源和内容 （12） 附录 2—日志管理规则需求 （13） 为什么在安全和合规性方面，日志问题非常重要？ 如果日志没有有效的收集、定期的回顾、并长期的保留，机构就无章可循，也就不能有效地保护自己的信息资源。日志还能提供监控系统的方法，并能对安全事件、信息访问及用户活动进行记录。 当今，由于环境的监管，再加上新一代先进的攻击手段，这就使得日志管理成为IT安全策略中日益重要的一部份。日志管理能够实时地检测未经授权的行为，确保日志数据在审查和研究中能被充分使用，并在其整个生命周期中有效存储。 日志管理不当是企业不能依法审查的主要原因之一。例如，萨班斯-奥克斯利（Sarbanes-Oxley）审查师所提到的IT行业中五个控制弱点中，其中之一就是对审查日志未能做恰当的检查。而根据支付卡行业（PCI）审查师所提到的，不恰当的日志管理也是PCI数据安全标准（DSS）失败的三个主要方面之一。 缺乏日志管理能力也是数据泄密的一个主要原因。例如，万事达公司研究表明，贸易公司遭黑客攻击的五个主要原因之一就是没有实时的安全监控。在对这些公司的调查中，美国联邦贸易委员会（FTC）发现，未能采取足够的措施监测未经授权的访问是主要原因之一。 如果没有恰当的日志管理，受攻击的公司就很难进行调查并从中得以恢复。这几年来，数据遭破坏的大字标题新闻比比皆是，屡见不鲜。在许多情况下，这些公司都是未能及时保留足够的日志，使之回复到受攻击前的原始状态，这样就几乎无法确定攻击是如何发生的。 日志管理法规也涉及到必要的保留时限。例如，为了证明财务报表的完整性，公司管理规定审查报告必须保存许多年。为日后解释个人信息泄密的原因，秘密规则通常要求对访问日志作长期存储。 日志管理就是生成、分析、储存日志的过程。机构为了在日志管理方面做得更好，通过对安全配置文件的及时分析，更好地进行安全操作；另外还确保做到日志得以详细地保存，在适当的时候满足审查、法规的需要；同时，并提供可靠的证据以供日后调查之用。 最佳日志管理的必要性 商业机构面临着很多挑战，优秀的日志管理已成为企业IT安全策略中必不可少的一部份： 1. 数量庞大、种类繁多的系统生成日志 这些年来，面对越来越严重的安全威胁，机构已部署了许多安全系统，其中有入侵防护，模块管理及防病毒系统。随着更多业务流程的自动化，机构环境又增加了更多的网络设备，服务器，存储子系统和应用软件。结果系统生成的日志日益庞大、交错复杂。见附录1，“日志资源和内容”。 对于大量日志资源，要处理它们确实很困难。同样，确定总体的安全状况或全面了解信息来源和用户活动也很困难。例如，为了搜集经授权用户获取受保护信息的证据，审查师可能需要阅读大量来自不同系统的文件。这就使得审查工作代价非常昂贵。 如果没有健全的保存策略，种类繁多的日志就不可能得到妥善的保存。而没有价值的日志得到保存的同时