为什么要做日志分析审计系统?
1、符合法律法规要求
国家指南、法规、行业标准等。合同审计的明确要求成为满足合规性和内部控制要求的先决条件。2017年6月1日起施行的《中华人民共和国网络安全法》应当采取技术措施,对网络运行状态和安全事件进行监测和记录,相关网络协议应当符合规定,并要求保存至少6个月。
根据《网络安全等级保护基本要求》(GB/T22239-2019),2-4级要求对网络、主机和应用程序安全组件进行协议审查,日志保留符合法律法规要求。
中国政府及相关行业先后颁布了《内部业务控制国家基本标准》、《计算机信息系统国家安全分类标准》等数十项法律法规。还提出了银行、证券和通信行业的相关标准和要求,确定了对内部控制进行信息安全审计的必要性,例如:
ISO 27001:2013第4.3.3节,ISO 17799:2005第10.10节;
银监会《商业银行内部控制指引》第126条《商业银行信息技术风险管理指引》;
《银行业金融机构信息系统风险管理指引》第46条;
《证券公司内部控制指引》第一百一十七条;
《网络安全保护技术措施条例》第八条。
2、满足系统安全管理要求
当今信息安全形势日益严峻,信息安全面临着前所未有的困难和挑战。协议审计可以帮助用户更好地监控和确保信息系统的运行,快速识别信息系统中的入侵攻击和内部漏洞等信息,并对安全事件进行事后分析。可以提供调查和取证所需的信息。
日志分析审计系统的挑战
1、日志数据量太大,无法控制。
2、每种设备类型都会生成大量日志,因此分析人员和审计员无法查看和控制大量日志。
3、日志数据格式不同,可读性低。
4、由于品牌和设备类型之间的日志格式不同,分析审查人员无法准确解释所有设备的日志。
5、日志数据存储的风险是独立的。
6、不同的设备类型分散在网络上的不同位置,分析人员和审计员无法及时有效地查看存储在不同位置的日志。
7、日志数据无法连接且难以分析。
8、当威胁发生时,不可能关联其他协议进行可追溯性分析,也不可能找到问题的根本原因,从根本上解决问题。
日志分析审计系统的主要核心功能
1、为了应对日志分析和验证的挑战,许多公司购买或构建了日志收集、分析和审计系统,以满足法规遵从性要求,并满足其业务系统的安全管理要求。
2、日志收集、分析和审核系统通过大量的日志收集、异构设备日志规范化、安全事件分析等技术实现日志生命周期管理。支持从多个层面监控网络安全事件,包括后续行动(调查和取证)。
