日志管理迎接法规遵从时代
2007/8/1 来源:计算机世界·技术与应用 作者:杨宗良


  日志管理正在成为一项“必须做的工作”。来看看美国是如何用法规规范日志管理的。
  每发生一次重大的数据泄密事件(譬如英国零售商TK Maxx和美国农业部的泄密事件)或者每出台一部新的法规,安全重点似乎都要从“阻挡坏人”的传统办法转向全面的安全机制,以进一步分析IT活动。
  现在,不同类型的日志正在从不同来源以惊人的速度生成,这就可以详细记录下来IT活动。如果某位满腹牢骚的员工企图窃取数据,访问了含有机密信息的数据库,日志就有可能记录下他的一举一动,那样别人只要检查日志,就能确定是谁在什么时候从事了什么活动。日志提供了线索,企业利用这些线索就能追查所有用户(不管是否不怀好意)的行踪。
  由此可见,对日志进行管理会给组织带来许多好处。它们让组织意识到面临的情况,并帮助组织开展行之有效的调查,例行的日志检查及深入分析保存日志不但可以立即识别出现不久的安全事件、违反政策情况、欺诈活动以及运作问题,还有助于提供有用的信息,从而解决问题。
  考虑到日志管理本身所具有的功效,收集日志数据及进行分析,通常被认为是安全行业的一条最佳实践。不过,美国的许多法规还明确要求搜集、保存、维护及检查日志,日志管理随之从“应当做的一项工作”成为“必须做的一项工作”。
  尤其是FISMA、HIPAA和PCI-DSS这三项法规同时影响着事件响应流程和日志管理,因为它们既要求检查日志,还具备日志功能。
  
  《联邦信息安全管理法案》(FISMA)
  
  虽然许多人在抨击FISMA完全注重文档资料、而不是注重具体措施,但该法重点强调了美国每个联邦机构都要制订、记录及实施在整个组织范围的计划,以保护信息系统。
  NIST SP 800-53《联邦信息系统推荐安全控制》描述了日志管理控制,包括审计记录的创建、检查、保护及保留,另外还描述了万一审计失败,应当采取的措施。
  NIST 800-92《计算机安全日志管理指南》同样旨在简化遵从FISMA,它完全偏重于日志管理方面。它描述了联邦机构需要日志管理,还描述了建立及维护成功、有效的日志管理基础设施的方法,包括日志创建、分析、保存及监控。
  NIST 800-92讨论了对来自不同地方,不同类别的日志进行分析的重要性,并且讨论了为参与日志管理的团队及个人明确定义具体的角色及职责的重要性。
  
  《健康保险可携性及责任性法案》(HIPAA)
  
  1996年出台的美国《健康保险可携性及责任性法案》概述了健康信息方面相关的安全标准。
  NIST SP 800-66《实施健康保险可携性及责任性法案安全规定的介绍性资源指南》详细描述了受保护健康信息的日志管理要求。NIST 800-66的第4.1条要求定期检查信息系统的活动,譬如审计日志、访问报告及安全事件跟踪报告。
  另外,第4.22条还规定了记载行动和活动的文档内容至少保留六年。
  虽然要不要把日志当成文档来对待的争论还没有结束,但一些组织的确选择了日志的保存时间与其他工作文档一样长。另外,该文档的附录A鼓励组织提出与日志有关的各种问题,包括系统性能监控是不是用来实时分析系统性能日志,以便发现主动攻击之类的可用性问题。
  
  《支付卡行业数据安全标准》(PCI-DSS)
  
  PCI-DSS适用于处理信用卡交易的组织,它规定了要把特定的详细信息记入日志,还规定了日志检查程序,以防止保存、处理或传送信用卡数据的公司出现信用卡欺诈、黑客活动及其他相关问题。
  PCI-DSS的第10项要求侧重于日志功能和日志管理方面。根据这项要求,系统所有部件的日志都必须每天检查一次; 这些日志检查......点击查阅全文......↓