有一篇来自英国的IT自由撰稿人写的
博文,对日志管理(Log Management,LM)这个技术进行了一番自己的分析。可以说,全世界IT人士对LM的认识基本上都是一致的,包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的,那就是内控与合规。Kevin将合规分为三种类型,我觉得划分的有道理:
1)法律要求的合规,就像是美国的SOX,国内例如刑七
2)商业领域的合规要求:就是行业规范,例如PCI-DSS,国内例如金融行业的内控指引,《企业内部控制规范》等;
3)政府领域的合规要求:就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo,当然美国有FISMA,中国的政府领域不仅包括行政机构,还有行政事业性单位,甚至国有企业,那就是等级保护了。
Kevin认为LM技术有三个难点:
1)日志量大;
2)日志格式和内容复杂;
3)日志自身安全性保证;
实际上,目前国际上更加关注的问题不在于收集和存储,而更在于如何分析和检索,可以 参见这个SANS的调查报告。当然,对于国内来说,收集和存储是当前首要的问题。呵呵。
尽管有各种技术挑战,但是LM仍然是信息安全的必备武器,因为需要他的动因很强烈,而又没有更好的技术手段去迎合现实的需求。因此,如何选择一个相对更好些的LM产品呢?Kevin给出他自己的标准:
1)原始日志要能够保存下来——取证需要;
2)可伸缩性——也就是高速日志采集能力;
3)减少无用数据的存储,为了海量存储的考虑;
4)集中存储日志;
5)日志在LM中传递的各个环节要注意日志的CIA三性;
6)日志存储的时候也要注意日志的CIA三性;
7)海量日志的快速检索能力;
8)基于规则的分析能力;
9)能够在虚拟化环境下应用;
我想再加上两条:1)日志分析的可视化能力;2)整个系统的易于部署性。
1)法律要求的合规,就像是美国的SOX,国内例如刑七
2)商业领域的合规要求:就是行业规范,例如PCI-DSS,国内例如金融行业的内控指引,《企业内部控制规范》等;
3)政府领域的合规要求:就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo,当然美国有FISMA,中国的政府领域不仅包括行政机构,还有行政事业性单位,甚至国有企业,那就是等级保护了。
Kevin认为LM技术有三个难点:
1)日志量大;
2)日志格式和内容复杂;
3)日志自身安全性保证;
实际上,目前国际上更加关注的问题不在于收集和存储,而更在于如何分析和检索,可以 参见这个SANS的调查报告。当然,对于国内来说,收集和存储是当前首要的问题。呵呵。
尽管有各种技术挑战,但是LM仍然是信息安全的必备武器,因为需要他的动因很强烈,而又没有更好的技术手段去迎合现实的需求。因此,如何选择一个相对更好些的LM产品呢?Kevin给出他自己的标准:
1)原始日志要能够保存下来——取证需要;
2)可伸缩性——也就是高速日志采集能力;
3)减少无用数据的存储,为了海量存储的考虑;
4)集中存储日志;
5)日志在LM中传递的各个环节要注意日志的CIA三性;
6)日志存储的时候也要注意日志的CIA三性;
7)海量日志的快速检索能力;
8)基于规则的分析能力;
9)能够在虚拟化环境下应用;
我想再加上两条:1)日志分析的可视化能力;2)整个系统的易于部署性。
377
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
