随着信息技术持续地发展,各类组织、企业对信息系统的运用也不断深入,为了在复杂条件下应付各类安全情况(如黑客的攻击、内部员工的有意或无意地进行越权或违规操作),企业部署了大量的、不同种类、形态各异的信息安全产品。
另外,除了这些专用安全设备或系统每日会产生各种日志,组织或企业日常使用的业务系统、主机系统、网络设备等也会生成不少和安全相关的日志,它们都存在如下问题:
n它们格式差异巨大,没有统一标准
n它们数量巨大,用户无法进行重点分析
n难以挖掘各类日志之间的关联关系,从而难于审计
上述这些原因均会导致日志审计工作难于开展,所以部署集中的日志审计系统就成为必须;另外,各级组织或机构部署集中日志审计系统的意义在于:
n它是信息安全管理的需要:因为日志审计是日常信息安全管理中最为重要的环节之一;能从纷繁复杂的日志中萃取出具有价值的部分是各类信息安全管理者、参与者、相关者最大的诉求,故选择一款高可靠、高性能、具备强大功能的日志集中审计系统就成为必须;
n它是安全技术保障体系建设要求的需要:一个完整的信息安全技术保障体系应由检测、保护和响应三部分组成,而日志审计是检测安全事件的不可或缺重要手段之一。目前,大部分信息系统的所依赖的IDS/IPS系统只能检测部分来之网络的攻击事件,对运维人员的违规操作、系统运行异常、设备故障等安全事件缺乏监控能力,而这些异常事件恰恰是对内部信息系统安全威胁的最大部分。日志审计系统通过分析各设备、系统、应用、数据库产生的运行日志,能够及时发现入侵检测系统检测到的各类安全隐患,并及时给予告警,从而避免安全事件的发生;
n它是各种规范符合性要求的需要:如:《信息安全等级保护》(几乎各级均要求提供审计功能)、《信息安全风险管理规范》、《基于互联网电子政务信息安全指南》、《银行业金融机构信息系统管理指引》等等。此外,国际上的相关标准、规范也均明确提出信息安全审计系统的重要性,如萨班斯法案、ISO27001等均要求企业对重要系统、设备的运日志进行保留,并且周期性地进行第三方审计。