浅谈日志对于信息安全管理的重要性
  摘要:随着网络的开放性、互联性、共享性程度不断扩大,网络与信息安全问题也日益突出。在网络的安全机制中,日志用来描述操作系统、应用程序和用户的行为,监控用户对系统的使用情况,记录系统中的异常事件。因此,日志的收集与分析作为网络安全防御系统的组成部分,在信息安全管理中起着重要的作用。
         
        1 引言
        随着信息技术的飞速发展,当今世界经济全球化、社会信息化的步伐不断加快,在推动信息技术的发展和应用,加快社会信息化过程中,作为信息技术传送和应用的载体,互联网起到了不可替代的作用。伴随着网络时代的迅猛发展,Internet和Intranet日益普及,网络与信息安全问题也日益突出。目前对安全技术的研究也越来越深入,包括信息加密技术、防火墙技术、入侵检测技术、防病毒等。相对于这些传统的安全技术,日志分析技术是近些年提出的一种用来更进一步保证网络信息安全的手段。20世纪70年代末,Anderson首次提出了利
用系统日志信息进行安全审计的思想,自此,国内外的研究人员对此进行了不懈的探索。随着对网络安全要求的提高,人们对于日志分析和审计技术的研究也越来越成熟。
        2 论述日志的重要性
        从信息安全管理角度来看,针对各类系统的运行日志和用户网络访问行为的审计系统是信息安全保障体系中不可或缺的一部分,因此,日志的收集与分析作为网络安全防御系统的组成部分,在网络安全中起着重要的作用。
五一高速免费12点前上高速怎么算>张雨绮凸点        通常,一个网络系统中存在种类繁多的安全设备、网络设备、主机系统,如防火墙、防病毒系统、IPS、IDS、交换机、路由器、反垃圾邮件系统等。这些系统每天都会产生大量的日志,如果能把这些日志信息收集起来并加以分析管理,网络系统管理员就能及时了解各系统的运行状况,这将有助于系统管理员对每个系统进行掌控运维,事前发现潜在威胁和攻击,并能在事后第一时间对异常事件作出快速响应,保证网络系统整体安全性,达到事半功倍的效果。
        对于网络安全而言,分析日志文件是极其重要的,但是对于日志文件的分析通常未能
国庆对联
引起足够的重视。在许多环境中,系统管理员完全忽略了网络日志文件,这些管理员经常忙于解决问题,而没有时间和精力用在日志文件的检查上,然而在网络的安全机制中,日志用来描述操作系统、应用程序和用户的行为,监控用户对系统的使用情况,记录系统中的异常事件,可以为我们提供很多信息。每个日志文件包括许多信息块,如果你知道如何理解这些信息块,更重要的是你知道如何从边界防御的角度来分析这些数据,那么这些文件的价值将无法估量。
        3 日志在系统中价值体现的实例
        3.1 防病毒系统的日志应用
        在防病毒系统中,日志信息是系统管理员查网内中病毒情况的有效来源和依据。在局域网内部使用的防病毒软件,能够检测、标识、清除服务器或客户机操作系统中的病毒程序,并且生成相应日志,网络管理员通过查看日志文件可清楚地知道防病毒软件对该病毒程序所做的操作。目前,我局使用McAfee防病毒系统对办公网和生产网的网内终端进行防护,McAfee防病毒软件的日志文件分为安装程序日志、服务器日志、代理日志等几种类别。其中,服务器日志包括有关服务器功能、客户端事件历史记录和管理员服务器的详细
信息,是管理员最常用到的日志文件。系统管理员可以随时根据自己的需求对日志信息进行过滤,包括对时间段、网段、威胁类型等的筛选,将日志信息精简化、有效化,以便进一步分析。日志文件能统计网内所有安装McAfee Agent的客户端事件历史记录,它的每一行表示一次病毒感染记录,其内容可以包括威胁名称、威胁目标主机名、威胁目标用户名、生成事件的时间、威胁目标IP地址、威胁类型和处理结果等信息。根据这些信息,管理员便能轻松定位中病毒的目标主机并向用户提供处理建议。利用服务器收集起来的日志进行分析,防病毒管理员可以及时采取措施防止高发病毒在网内蔓延,保障网络和信息系统的安全运行。
        3.2 防火墙的日志应用
        防火墙作为内部网与外部网之间的一种访问控制设备,常常安装在内部网和外部网交界点上。它可以通过监测、限制跨越防火墙的数据流,来控制外部的非信任网络(如Internet)对内部信任网络的访问,以及内部网络中不同区域之间的相互访问,以此来实现网络的安全保护。
        通过对防火墙日志的分析,可以实现对网络进出口带宽、资源使用和非正常通讯的监
护肤品什么品牌比较好测,从而加强了网络管理。尽管每种防火墙日志不一样,但在记录方式上大同小异。例如,天融信防火墙的常规日志主要是防火墙系统运行期间有关系统运行状况、管理情况以及策略匹配情况等等的记录信息。日志管理员可以选择希望查看的日志类型,查对应的日志信息。这些日志信息会记录数据流跨越防火墙的时间、允许或拦截(Accept或Block)、通讯类型、源IP地址、源端口、目标地址和目标端口等。通过分析这些日志,可以发现曾经发生过或正在进行的系统入侵行为,为监视网络运行状况和分析用户行为提供了一种简单易行的方法。
        3.3 安全审计系统的日志应用
        在安全审计设备中,日志也是起着非常重要的作用。安全审计设备对业务人员访问系统的行为进行解析、分析、记录,而系统审计员可以通过查看审计日志掌握用户对系统的操作行为,有助于管理者对系统进行事前规划预防、事中实时监视、违规行为响应、事后合规报告、事故追踪溯源,加强内外部网络行为监管,保证数据库、服务器、网络设备等核心资产的正常运行。
        目前,我局采用齐治运维审计设备对生产网内设备进行审计。配置管理员可以在“事件
审计”中查看用户账号登录日志、系统配置日志,以及用户登录设备的具体信息,包括用户账号、目标设备IP、操作起止时间等,还可以通过视频回放查看用户对该设备具体做了什么操作。这些日志有助于审计管理员监控异常访问,分析各种网络可疑行为、违规操作,协助定位安全事件源头和调查取证,为保障系统安全运行提供有力的数据支撑。
        总而言之,系统管理员可以通过日志实时掌控网内用户对重要设备的使用情况,及时发现异常事件。当故障发生后,通过查看、分析日志,管理员可以方便高效地对信息系统进行有针对性的安全审计,快速到故障的根源,进而对症下药,达到网络安全运维的目的。
        4 总结
        如今,我们正处于一个“信息爆炸”的时代,网络的开放性、互联性、共享性程度不断扩大,使网络的重要性和对社会的影响也越来越大,网络安全问题变得越来越重要。网络信息系统的安全审计技术能够弥补其他安全产品的不足,对网络中发生的事件进行全面的监控。从信息安全管理角度上看,日志具有重要的价值,我们可从中获取有用的信息。对信息系统日志的分析和审计就是对操作系统、系统应用或用户活动所产生的一系列的计算
机安全事件进行记录和分析的过程。通过对网络内发生的事件日志的分析,来达到对用户异常行为检测的目的,发现非法行为并提供相应的证据,同时能够发现系统潜在的安全漏洞。
舞林大会 走光
        安全第一,预防为主。作为系统运维人员,收集和分析相关日志是保障系统安全运行的重要手段之一。通过对收集到的日志进行分析,可以预测可能会发生的威胁事件,并做好预防措施。当系统真的发生故障,日志文件也能给我们提供很多有效信息,有助于我们对系统故障进行排查和解决。
        由此可见,日志收集和分析在网络和信息安全管理中极为重要,它有助于系统管理人员对系统的性能、故障、安全进行掌控,做到预警和告警监控,极大的方便了网络管理员对系统存在的问题进行即时定位,保障了网络和信息系统的安全可靠,提高了网络安全系数。