RSA安全报告-日志管理安全与合规性的最佳实践.doc

白皮书日志管理安全与合规性的最佳实践内容提要日志管理就是生成、分析、储存日志的过程。机构为了在日志管理方面做得更好，通过对安全配置文件的及时分析，更好地进行安全操作；另外还确保做到日志得以详细地保存，在适当的时候满足审查、法规的需要；同时，并提供可靠的证据以供日后调查之用。商业机构面临着很多挑战，优秀的日志管理已成为很多企业IT安全策略中日益重要的一部份。这些挑战还包括需要控制越来越多系统产生的大量数据、增强当前环境控制的需求，以及防范新一代更高级的攻击手段。为了实现最佳的日志管理，信息主管人员通过在规章、风险管理、法律、取证、存储及操作等诸多方面减少开支，提高效率，这样就能给机构创造巨大的价值。而实现最佳的日志管理是建立在使用恰当的规则标准、法律的指导，商业运作目标及风险分析等基础上。尽管最佳日志管理应该通过每个机构基于自身特殊环境形成，但还有一些通用的优秀管理方法也能被广泛的应用。这份文档旨在帮助机构，在日志管理的策略、方式、技术以及日志的生成、保留、存储、分析及安全保护等方面，推荐最佳做法使之形成机构自己量身定做的日志管理方法。目录 为什么在安全和合规性方面，日志问题非常重要？（1）最佳日志管理的必要性（1）最佳日志管理的商业价值（2）把最佳日志管理做法引入机构（3）推荐的最佳做法（4）I.日志管理策略、过程和技术（4）II.日志的生成（5）III.日志的保留和存储（6）IV.日志分析（10）V.日志的保护和安全（10）结论（11）附录（7）附录 1日志的资源和内容（12）附录 2日志管理规则需求（13）日志管理就是生成、分析、储存日志的过程。机构为了在日志管理方面做得更好，通过对安全配置文件的及时分析，更好地进行安全操作；另外还确保做到日志得以详细地保存，在适当的时候满足审查、法规的需要；同时，并提供可靠的证据以供日后调查之用。最佳日志管理的必要性商业机构面临着很多挑战，优秀的日志管理已成为企业IT安全策略中必不可少的一部份：1. 数量庞大、种类繁多的系统生成日志这些年来，面对越来越严重的安全威胁，机构已部署了许多安全系统，其中有入侵防护，模块管理及防病毒系统。随着更多业务流程的自动化，机构环境又增加了更多的网络设备，服务器，存储子系统和应用软件。结果系统生成的日志日益庞大、交错复杂。见附录1，“日志资源和内容”。对于大量日志资源，要处理它们确实很困难。同样，确定总体的安全状况或全面了解信息来源和用户活动也很困难。例如，为了搜集经授权用户获取受保护信息的证据，审查师可能需要阅读大量来自不同系统的文件。这就使得审查工作代价非常昂贵。如果没有健全的保存策略，种类繁多的日志就不可能得到妥善的保存。而没有价值的日志得到保存的同时，另外一些重要记录资源却可能没有保存起来。2. 日志数据卷集全球2000多家机构每一、两个月可产生超过10TB的原始日志。照这个数量，公司是不可能去分析这些收集起来的日志，因为非常困难。即使建立日志的复核机制，但往往是不可靠的，因为这些日志是需要通过人工极其枯燥乏味地进行复核。如果需要利用这些重要信息，企业必须制定最佳方案RSA 白皮书1为什么在安全和合规性方面，日志问题非常重要？如果日志没有有效的收集、定期的回顾、并长期的保留，机构就无章可循，也就不能有效地保护自己的信息资源。日志还能提供监控系统的方法，并能对安全事件、信息访问及用户活动进行记录。当今，由于环境的监管，再加上新一代先进的攻击手段，这就使得日志管理成为IT安全策略中日益重要的一部份。日志管理能够实时地检测未经授权的行为，确保日志数据在审查和研究中能被充分使用，并在其整个生命周期中有效存储。日志管理不当是企业不能依法审查的主要原因之一。例如，萨班斯-奥克斯利（Sarbanes-Oxley）审查师所提到的IT行业中五个控制弱点中，其中之一就是对审查日志未能做恰当的检查。而根据支付卡行业（PCI）审查师所提到的，不恰当的日志管理也是PCI数据安全标准（DSS）失败的三个主要方面之一。缺乏日志管理能力也是数据泄密的一个主要原因。例如，万事达公司研究表明，贸易公司遭黑客攻击的五个主要原因之一就是没有实时的安全监控。在对这些公司的调查中，美国联邦贸易委员会（FTC）发现，未能采取足够的措施监测未经授权的访问是主要原因之一。如果没有恰当的日志管理，受攻击的公司就很难进行调查并从中得以恢复。这几年来，数据遭破坏的大字标题新闻比比皆是，屡见不鲜。在许多情况下，这些公司都是未能及时保留足够的日志，使之回复到受攻击前的原始状态，这样就几乎无法确定攻击是如何发生的。日志管理法规也涉及到必要的保留时限。例如，为了证明财务报表的完整性，公司管理规定审查报告必须保存许多年。为日后解释个人信息泄密的原因，秘密规则通常要求对访问日志作长期存储。最佳日志管理的商业价值尽管大部分机构尚未制定和实现最佳日志管理的做法，然而日志管理的功能将越来越重要，对许多CIO和CISO来审查一旦结束，机构可能需要长年保留某些日志，以供监管机构或法庭要求作为证据使用。保留日志是要应对审查时所需适当信息的需求，而长期保留记录也能满足法律上的需要。5. 日益增多的利益相关方如今不再只是安全及网络操作需要日志数据资料，企业的其他群体也需要这方面的资料，其中包括人力资源、法律、内部审查、财务、工程、客户服务、销售和营销等群体。例如，人力资源需要这方面资料来管理人员问题，以管理员工的行为。而法律、內部审查和财务也需要采用这方面的信息。日志资料能帮助企业监控员工的生产效率，跟踪访问知识产权。最佳的日志管理应该给利益相关方提供他们所需要的安全、快速、可靠的信息。6. 不确定的未来管理和法律问题在世界范围内，传播途径方面有越来越多的法规。例如，美国正在讨论全面的隐私立法，而其他地区如印度和中国正在研究制定新的法律。因此无法确定需要什么样的日志可以遵守将来的法规。因为安全而让隐私受到侵害的诉讼已经有了先例。实际上，据预测，安全和隐私问题将产生下一个引起法律诉讼的大浪潮。如果机构因违规而面临法律诉讼，它可能需要出示获取到的资料证据。引起不确定因素的另一个趋势是越来越多的商业伙伴协议，这些协议有着关于信息安全的具体条款，其中包括审查权利。而在进行安全审查的过程中，商业伙伴需要何种日志是很难确定的。机构需要在日志管理方面展示最佳的做法，并在涉及到需要什么日志方面，为这些不确定因素制定计划。在新的监管环境中，大部分机构都受到多种规章制度的制约，他们定期对自己的信息系统进行内部独立审查，以确定安全措施是否恰当。同时，日志必须收集足够的细节信息，以此进行评估，这能让审查师随时进行复核。2RSA白皮书进行分析和报告。同样，确定保留、检索策略也很重要，这样能使审查师和调查员容易地查阅一大堆文件而得到所需要的信息。3. 不断变化的潜在威胁如今犯罪组织的攻击不仅仅只是简单破坏性的，如我爱你病毒或者是拒绝服务等攻击，还发展到针对特定信息资产，有目的而且是经过缜密安排进行长期攻击。最近的一次引人注目的案例中，商家的电脑系统被入侵长达18个月而未被察觉。在这种情况下需采取有效的实时监控，以便更好地检测入侵，同时对安全漏洞的相关信息也需作详细的记录。及时地从几个月前甚至数年前的资料中来收集证据是很实际的，而日志需要保留的时间长短必须是符合实际需求。日志记录必须是完整的，易于恢复的，这在今后的事件调查过程中将是很有用的。4. 更严格的监管需求这些年来，全球范围内有大量的法律法规授权保护信息资料。因此，机构就具有保护资料的义务，同时又必须做到他们的保护措施是符合要求的。日志提供了两项必须遵守的职能。在任何安全程序里，日志是保护资料必不可少的核心支柱。如果机构履行自己的法律义务，保护信息，那么日志再也不能是形同虚设。日志也是证实是否遵守法规、符合策略的重要证据。如果没有日志，就很难甚至不可能回答这样的问题，例如：“这个财务数据未经授权就被更改了吗？” “这个未经授权的正常数据泄漏了吗？”“访问持卡人数据是商务上的需要吗？”说，最佳日志管理正被摆上重要的议事日程上。根据TheInfopro行业分析员的最近一项研究，安全信息和事件管理已成为财富1000强公司的五大信息安全工程之一。.通过在日志管理方面制定最佳做法，信息主管人员就可以在这些方面给他们的机构带来巨大的价值：合规性 充分收集日志和保留日志有助于避免违规的开支，如罚金。 减少审查时间降低审查费用。为审查师提供恰当的日志数据和随时可用的报告。快速证实需求已得到满足。风险管理 对日志不断地进行复核和实时的监控有助于发现或防止未经授权的访问，减少安全违规风险。保护商标，保护与客户之间的关系及声誉。避免通告和法律成本。避免罚款和诉讼费。法律 更完整的日志及有效的证据收集降低诉讼费用。用户活动日志对不正当的解雇案例提供证据。信息泄漏日志对隐私案例提供证据。软件开发访问日志对知识产权窃取提供证据。取证 在违约事件中，快速使用适当的日志，能更容易更快速收集证据，节省开支。 更容易更快速地发现原因并及时补救。 有助于在升级之前阻止袭击，节省开支。 更容易更迅捷恢复系统和清除破坏。 增加抓获罪犯的机会。存储 把正确日志存储适当的一段时间，降低了恢复成本。 有助于信息分类。 根据信息的需要，使用最符合成本效益的存储方法。操作 更高效的日志分析能降低监控成本，如人员费用。这样可以节省人员去完成更多的任务。 更为有效的监控能减少停机时间并同时关注潜在威胁以提高效率（减少威胁的错误判断）把最佳日志管理做法引入机构日志管理的最佳做法应该是依照适用的法规和标准需求，从法律指导，商业经营目标及其风险分析中获取经验。1. 法规和标准要求有许多法规和行业标准授权保护信息，如： 萨班斯奥克斯利（Sarbanes-Oxley, SOX）法案 健康保险携带和责任（HIPAA）法案 格雷姆-里奇-比雷利（GLBA）法案 联邦信息安全管理（FISMA）法案 全球隐私条例1 国家违规通报法案（例如SB 1386）2 食物和药品管理21 CFR Prt 11（Part 11）3 支付卡产业（PCI）数据安全标准（DSS） 北美电力可靠性组织（NERC）网络安全标准大部分法规没有规定具体要求；1 如：欧盟数据保护指令（EU DPD），日本个人信息保护法案（PIPA），及加拿大个人信息保护和电子文档法案（PIPEDA）2 现在约40多个州的法律规定，如果有证据显示个人数据安全受到威胁，机构必须通知个人。这项法律对世界范围内的机构产生巨大的影响。这些法律对日志管理没有直接的要求，然而日志是检测威胁及提供可疑威胁证据的必要手段。3 在欧盟国家，相应的法规是欧盟的优良制造规范（GMP） 附件11（Annex 11）RSA 白皮书3但他们希望机构实现“合理和适当的措施”来保护信息安全标准所涉及的保护信息。例如： 信息技术控制目标（COBIT） 国家科技协会特别出版物800系列（NIST SP 800） 联邦金融机构检查委员会信息安全资讯手册（FFIEC） 国际标准组织“信息安全管理法典”（ISO 17799/27001）关于日志管理的具体规格要求，除了日志规则所提供的信息外，机构还必须征询相关的信息安全标准。有关一些规章和行业标准的具体要求的更多信息，请参见附录2，“日志管理合规性需求”既然大多数机构都受到多种规则的制约而且规则数量持续增长，机构就必须采取一种全方位的方式来制定日志管理的最佳做法。与之相反的零敲碎打的方法试图符合每个个体规则的要求，而全方位的做法旨在共同努力，制定最佳做法，尽可能应对多种规则及标准的需求，并积极主动地为将来做规划。2. 法律顾问指导在制定日志管理的最佳做法，特别是寻找发展策略的时候，必须征询法律顾问的意见。顾问提出的建议，不单单适用于法规需求方面，还适用于其他的法律问题或合同义务。如商业伙伴协议，其中可能有审查条款（因此需要访问审查日志）。在未来的诉讼或调查中，日志可能还需要作为证据。法律也能帮助确保日志保留策略与机构通常的数据保留策略的一致性。发现问题，减少停机时间；另外还包括把某些日志保留一段时间以作日后取证之用。4. 风险分析风险分析是开发日志管理功能的一个重要组成部分。如前所述，无论是规则或是标准都不能提供明确的需求。相反，很多决策都必须是由机构制定。在这些决策中，机构的风险分析将是一个关键因素。这种风险分析可以帮助明确诸如日志多久会被审查以及日志将保存多长时间等需求。举个例子，访问日志涉及到监管、其他敏感或受保护的信息，相对其他日志，这些日志需要更高级别的安全保护以及更长时间的保存。推荐的最佳做法一套完整的最佳日志管理包括下列几类： 日志管理策略、过程和技术 日志的生成 日志的保留和存储 日志的分析 日志的保护和安全尽管这种最佳的管理做法应该由各个机构根据自身特殊环境进行开发，但是仍有一些通用的管理做法可以被广泛应用。对应每个分类的一些推荐的最佳做法列表如下：I.日志管理策略、过程和技术管理策略为日志管理活动提供了管理方向，并对日志生成、分析、保留和存储做了明确的强制规定。用于实现并维护策略的技术和过程而制定的计划，应与策略一起创建。4推荐的最佳做法1.提供行政管理支持策略3. 商业及运作目标日志管理的最佳做法应该体现商业目标上，其中包括内部特定的某些参数，如时间，资源和预算等。运作目标也包括提高日志审查效率，确保有足够的监管机制，以便及早这应当包括机构与日志管理所需的资源内部间的优先级必要性。容量、安全需求、分析日志所需的时间和资源以及架构的管理等。2. 充分地把策略文档化、进行定期审查、如有必要更新策略比如，根据审查结果更新策略与过程，改变规则要求，并从管理员处得到反馈。每年至少应该审查策略并做更新。3. 定义角色与职能，并为人员提供适当的支持应当跨机构地建立日志管理职责，为了履行这种职责，应当提供适当的培训、工具和文档。4. 使日志管理策略与其他相关的策略和过程相结合例如，日志保留策略应与一般数据保留策略结合。日志管理需求应当考虑诸如软件采购或应用程序开发等因素。5. 确保职责分离例如，应当让系统管理员组以外的某些人来审查系统日志，确保系统管理员行为职责。6.建立标准的日志管理运作过程，以支持和维护管理策略一些典型的过程包括配置日志来源、执行日志分析、初始化对标识事件的响应以及管理长期存储。7. 规划和实施一套专门的日志管理架构，以支持和维护管理策略这套架构应当包括一个专门的日志管理平台和日志数据存储器。通过实现一套专门的日志管理机制，更加容易地使利益相关方能够访问所有的数据、执行透彻的分析、确保可靠稳定地在恰当的时间限制内存储日志的数据。如果没有一套集中的日志管理架构，利益相关方就有可能造成各个产品日志管理相互孤立，导致低效、重复的工作，增加管理的复杂性。II. 日志的生成收集足够的数据满足法规、潜在事故调查及法律问题的需求，这是一项难以完成的工作。例如，隐私法规希望机构能继续保存所有的私人信息访问记录。而支付卡行业标准要求机构跟踪并监控所有网络资源和持卡人数据的访问。为了满足共同管理的规则需要，公司必须记录并存储足够的事件数据，使审查、检查及重建数据处理得以进行，从而产生财务报告。对于事件调查，机构内部的网络系统及软件必须有完整活动的历史记录。而对于诉讼或人力资源问题，机构必须有关于信息使用及系统访问的有利证据来支持案例。数据的收集必须来自各方面，其中包括安全系统，操作与存储系统及其应用软件。典型的日志资源和内容可以在附录1找到，“日志的资源和内容”。推荐的最佳做法1. 确保日志在安全系统，网络架构设备，存储架构，操作系统及商业和自定义开发的应用程序方面是可行的。如果考虑到系统、设备及应用的规模，确保审查日志可被机构所有的资源使用，这是很主要的。管理员也许会拒绝开启审查，因为担心性能下降。但对于大部分系统来说，如果设定恰当，能配合强有力的日志管理平台，其影响将微乎其微。审查控制系统的激活与停用会被记录下来，同时把报警信息发送给管理员。2. 不要从源头处过滤日志以如今的环境去预测今后什么样的日志是否有用，这是很难的甚至是不可能的。RSA 白皮书RSA 白皮书5机构必须为现在和将来进行规划，包括日志卷集、存储器难的甚至是不可能的。错误的决定会负面地影响审查和调查。明智的做法应该是收集所有的数据进行审核，以确定什么是不需要的或不需收集的。一套优秀的日志管理系统可以捕获、分析及管理着大量的日志数据，并能在收集所有数据的同时，智能地清除那些今后不可能需要的数据。3.确保数据捕获，其中包括所有关键事件和符合标准要求的活动日志，如下： 个人用户访问 拒绝系统、应用程序、文件、数据访问尝试以及其他不成功的操作 特殊权限访问、管理员权限访问、超级用户（root）访问 识别与认证机制的使用 远程和无线访问 改变系统或应用程序的配置 改变访问权限 系统工具的使用 安全系统的激活与停用 访问审查日志4.确保事件和活动的细节捕获是符合规定的标准，例如： 活动及事件类型（例如登录尝试、文件访问等） 用户的识别 会话（session）ID 和/或 终端ID 网络地址 日期与时间 成功或失败的标志 影响数据的标识名、系统组件、资源5.为了监控所有用户的行为，通过捕获单一用户的认证信息，确保能够跟踪个人用户特别是包含监控或信息保护的系统，对于个人用户的信息访问必须提供认证信息。6. 检查日志功能日志确保真正捕获所有的数据，并确保数据的完整性、精确性，这点是很重要的。7. 同步时间戳日志源通常要参照系统内部时间在日志项上设置时间戳。确保所有的日志源内部时间与值得信任的、精确的时间服务器同步。另外，一套优秀的日志管理系统也会在日志上印戳时间，同时时间也必须与服务器同步。8. 注意敏感数据的收集收集日志可能会获取到（有意或无意地）包含隐私或安全问题的敏感资料，如代码或电子邮件内容。审核日志的人员或未经授权的访问者也有可能看到日志中的敏感信息。优秀的日志管理系统应该确保日志信息的存储和传输灵活、广泛的安全性以及保护基于角色的细颗粒级别的访问，并对敏感信息的正常已获授权的访问提供保障。9.在设置用户活动日志时考虑隐私问题关于对雇员及其他用户的合理监控的问题，应该咨询相关的法律顾问。相应的规则可根据咨询的结果进行变动。III.日志的保留和存储在确定日志保留和存储需要时，应当考虑日志级别。数据级别1. 产品数据这种数据常常被用于实时的分析，反复的审核及定期的审查和评估2. 备份数据作为产品数据的镜像备份，在产品数据遭破坏或毁坏时起到备份作用3. 存档数据作为产品数据的子集，长期存储以作记录保存之用，能满足相应规则、法律调查、以及可能的取证需求3. 脱机存储数据这种数据储存在磁盘或磁带中，收藏在数据馆里，除非经过安装，否则不可通过电脑访问6RSA 白皮书同时也要考虑数据如何保存。不同类型的存储方法提供了不同级别的实现。例如：存储机制1. 在线存储数据储存在高性能网络存储设备（NAS）或存储区域网络（SAN）子系统，几毫秒的访问时间，可让大量用户持续使用。2.近线存储数据存储在存储子系统里，几秒钟的访问时间，可供少量专门用户长时间使用表1：产品数据为什么需要日志needed?日志什么时候需要被访问？需要访问多久以前的数据？如何获取所需？非常频繁（例如实时、每天、每周、每月等） 安全事件和数据泄露等，可发生于任何时间，因此调查有可能随时进行 可能需要定期（可能是频繁的）访问日志 频繁地访问取决于审查周期的长短 可能因行业而变化 大型企业内部审查周期可能为3个月（例如金融服务）至6个月（例如零售业） 一些高风险领域可能需要比审查周期更频繁地进行审查 需要回退一个审查周期，至少一个季度，确保审查周期中日志的完整记录都是可用的 一般为6-9个月外部审查/独立评估 依靠审查周期的长短 很多规则决定外部审查周期为一年，例如：SOX要求每年评估GLBA要求每年进行委员会安全控制审查FISMA要求每年审查PCI要求每年自我评估或在线审查NERC具有一个特定的法规规定审查年限为1年欧盟数据保护指令(EU DPD)要求每年审查因为一些全球性保密规则，审查周期可能更长，例如，ISO 17799/27001要求每3年进行一次重新认证对于Part 11/Annex 11，关于检查取决于隐含规则FTC裁决要求每2年进行一次独立审查 需要回退一个审查周期，至少一个季度，确保审查周期中日志的完整记录都是可用的 对于更多的规则而言，这意味着1年+3个月=15个月 大多数的规则没有明确指明审查周期中日志的保留期限 PCI规定一个审查跟踪至少保留一年，在线最少三个月 NERC要求机构证明一整年中监控和日志没有中断（跟其他一些记录保留需求不同，一些州要求日志保留至少得90天）需要快速存取，以确保审查师的效率并降低审查费用RSA 白皮书7需要快速存取，以迅速确定漏洞的产生原因需要快速存取，以迅速确定漏洞的产生原因为了对保留时限和存储机制制定决策，机构需要关注：1. 为什么需要日志？2. 日志什么时候需要被访问？3. 需要访问多久以前的数据？4. 如何获取所需？下面三个表格为三种情况（产品数据、备份数据和存档数据）做详细介绍。推荐的最佳做法1. 把日志保存在一个安全的，易于管理的存储器中需要快速存取，以确保内部审查的效率 可能在很长一段时间内存在攻击可能（例如，最近一次引人关注的攻击发生在18个月前） 可能需要一年或更长时间以前的具体日志最后一次审查以来内部审查取证调查日志审查和分析表2：备份数据 假如产品数据丢失或损坏等应当对产品数据做镜像备份不需要直接访问，但日志应当合理使用表3：存档数据8RSA 白皮书 数据丢失或损坏可能随时发生 可能不需要频繁访问如何获取所需？日志什么时候需要被访问？ 需要访问多久以前的数据？为什么需要日志needed?数据的访问不需要同产品数据的访问一样快，这将取决于记录的年限；较近的日志应该比之前的日志更便于访问 如上所述，PCI要求日志至少被保留1年；考虑到持卡人数据泄露经常发生，机构应当长远长期的保留期限，以供日后数据取证之用 对于多数规则，长期的日志保留并没有明确的时间期限，但是一般性的日志保留时间期限通常用于长期的日志保留需求 SOX要求审查的相关文档和通讯内容需要保留7年；机构通常选择诸如能直接反应财政报告完整性（比如重要的财务应用程序访问日志）等具体日志，保留更长时间 HIPAA要求策略、过程、行为和评估等文档需要保留6年；机构通常选择诸如直接反应病人信息的资料（比如病例日志）等具体日志，保留更长时间 对于FISMA和NIST的适用标准，日志需要保留3年 NERC要求审查记录需要保留3年 根据全球隐私规则，如果侵犯隐私，机构可能需要提供几年以来私人信息的访问证据 根据其他监管要求和法律调查，日志需要与相应的数据或记录保留策略一起需要保留数年 组织应当关注特定日志的长期保留，因此如果发生安全漏洞，可进行潜在的调查 可能需要在任意时间内产生记录，回应监管要求及法律调查、调查的需要 可能不需要频繁访问保留资料，满足监管、法律调查以及可能的取证需求如何获取所需？日志什么时候需要被访问？需要访问多久以前的数据？为什么需要日志needed?日志持续的保留和存储架构比起存储子系统的零碎收集，精简的、集中管理的存储系统更为简便，同时也去除一些效率低下、孤立的日志数据。日志的集中管理和存储使得机构的日志数据便于访问。不是每个相关利益者都各自部署自己的日志系统，因此优秀的日志管理系统就应该让他们能够安全地基于角色的细颗粒级访问到所有的存储日志。这样，相关利益者能够访问所需要的数据而同时机构也优化了日志存储。2. 使用信息周期管理方法，使得日志数据的存储满足相关的访问需要需要频繁被访问的数据应该保持随时在线可用状态，如产品数据。反之，就可近线或脱机储存起来，如备份数据和存档数据。3.在线保留产品数据1年+3个月=15个月产品数据的在线访问可频繁用于实时监控及持续进行的审核和分析中。如果有安全违规，可随时使用日志，调查人员能迅速确定被破坏或数据泄漏的原因，恢复系统，解决安全问题（快速的调查能更加容易地找到犯罪份子）。日志保留的时限能确保有利证据的获得，这是很重要的。15个月的在线保留期限也确保内部审查、外部审查或自主评估时有完整的日志记录。如上表指出的：大部分的法案都有一年的审查周期。机构应当谨慎地把这些数据保留1年加上最少三个月以满足一年的审查周期的需要。另外，额外的三个月提供了必要的“缓冲期”，因为审查周期年年在变化，规章也在变化。由于大部分机构受到多种法规的制约，因此这些机构必须有随时可用的日志数据来满足每年的审查和评估的需求。有了在线的数据，机构就能事先主动地管理审查进程，提高审查师的工作效率，减少审查的时间和费用。这就确保在产品数据遭破坏或毁坏的同时备份数据能得以使用，但备份数据不必像产品数据那样需要随时被访问。5. 存档数据大约保留2-7年，把近期的记录（例如多达5年）近线存储，然后把一些记录转成脱机存储（例如5年以上）如前面表格3所示，大部分机构没有明确规定保留审查日志的时限，一些机构通常会在审查后把某些日志保存几年，特别是那些与访问应用程序有直接相关的日志，因为这些应用程序含有受保护数据。机构不仅有规范的需要，而且有长期保存日志数据的其他需要，如法律调查和取证需求。由于存档数据并不经常使用，所以不必在网上访问。然而，机构应该使所做的记录容易访问。这样，在应对规范要求，为进行法律取证调查时出示档案记录就不用花费过多的时间。内容选址存储也应该考虑长期保存，以确保信息的完整性，并长期受到保护。6. 确保日志保留策略是在与法律顾问磋商之后而制定在制定日志保留需求时咨询法律顾问是很有必要的，而这些需求必须是符合机构的一般数据保留策略。7. 进行原始日志的保存为了规范目的、法律诉讼甚至支持人力资源相关的内部行为，可能需要使用日志作为电子证据，优秀的日志管理系统应该方便原始日志文件的管理和存档。8. 确保销毁过期的日志当所需要的数据的保存期终止时，机构需根据自身的数据销毁策略，确保这些日志的销毁。RSA 白皮书94. 在保留产品数据的同时保留近线的备份数据periodIV. 日志分析考虑到庞大数据量，监控和审核日志是一项很艰巨的任务。一些公司收集日志而缺少审核，这仅仅是因为工作的难度。一些公司的管理人员花了很多时间审核大量的日志，然而却没有经过良好的分析，其重要价值大大降低了。当前环境的规范和威胁程度要求机构谨慎的监管日志，监测未经授权入侵的同时强制用户义务。日志分析的最佳做法必须使分析更加简单，使机构能从日志所提供的信息中获取有价值的信息。推荐最佳做法1. 定期审核和分析日志定期的审核和分析有助于发现网络上的异常事件或用户超出规定范围外的行为。日志审核频率选择实时、每日、每月或每90天，这将要取决于系统、环境风险、和其他的需求。关于日志的审核，一些法规和标准有具体要求。（如需了解更多信息，请见附录2，“日志管理规则需求”）2. 采用日志的中央管理架构的聚合日志当日志被汇总时，分析就变得更容易，更可靠。3.尽可能的使日志分析过程自动化自动化的分析过程能极大地提高效率，因为操作时间少而产生的结果更为有价值。人工分析日志数据常常被管理人员认为是枯燥无味，效率低，往往被当成是低优先权的任务，因此常常不做，或始终做不好。因此这就应该使用自动交互系统来跟踪什么样的日志已被审核。更加自动化的审核过程能使员工从人工审核中解放出来，使得他们能完成其他更有价值的任务。4.利用相关工具，以获得全局观，减少误报大多数机构有着许多不同的日志生成系统，其中有安全系统，操作和存储系统，还有应用程序等。单独地从许多系统中审核日志是很困难而且效率低下，还可能是无效的。攻击往往涉及到多种资产；如果只是孤立地观察，单一的活动似乎没有威胁。但相关的工具能在多种系统中寻找事件模式，这有助于减少误报。5. 在报告生成过程中使用自动化报告工具方便日志的审核报告的过程中应该确定报告的内容、如何生成报告及其目的。6. 审核过程应当包括适用日志事件的实时监控通常，大部分日志都还没有实时的分析，然而监测未经授权的入侵和行为的尝试及阻止或减少这些行为，都很重要。7. 优先考虑设置一个预警系统当受怀疑的异常行为被确定时，员工应该知道做什么。记住，不要凡事都草木皆兵，否则会事与愿违，最终导致真正的异常事件不被重视。所以应该把需要预警的事件摆在优先的位置上。8. 开发典型的日志项基线以监测不寻常或异常的事件和行为通过确定哪些类型的日志项是有益哪些是无益，恶意事件就可以更容易被确定，响应也会更快。V. 日志的保护和安全日志保护的最佳做法必须确保日志在整个生命周期中的机密性、完整性及实用性。机构必须防止日志机制退化或被破坏，确保日志文件不被修改或删除，为商业的突发事件提供持续性的日志记录服务功能。日志在存储或传输的过程中如果保护不恰当有可能导致有意或无意的更改或破坏。这就使得恶意活动乘虚而入，在一些侵入证据被巧妙地处理之后，恶意团伙的身份就能被隐蔽起来。（例如，一些变种的恶意程序能够修改日志，删除恶意程序安装或执行的证据）10RSA 白皮书RSA 白皮书11关于RSA enVision平台更多的信息，请登录。关于EMC的存储解决方案，包括EMC Celerra、Clariion、Symmetrix和Centera，请登录。结论开发日志管理最佳做法不是一件简单的任务。它需要财力的付出和相当的努力。本文通过介绍一套值得推荐的最佳做法，涉及日志管理所有较为重要的组成部分，有助于减轻开发日志管理功能所付出的努力。由于监管的环境和威胁规模问题日益严重，因此需要更详尽的日志及更长时间的保留和存储，这超出了大部分机构所能做的范围。满足法规和安全的需要必须符合商业目标。所幸的是，强大的日志管理功能能提高效率和生产力，减少机构各方面的开支；带来极大的投资回报。实现最佳做法的方案为了实现日志管理的最佳做法，RSA 提供了端到端方案建立一个集中管理的专用日志管理架构。RSA enVision安全信息和事件管理（SIEM）平台汇集了企业的事件日志，并把这信息转成可控的规则和安全智能。而通过把RSA enVision技术和网络存储解决方案结合起来，机构可以使用整个存储方法基于数据的需要和年限，将日志存储在不同的存储源中，从而管理整个安全信息的生命周期。RSA enVision平台能与EMC公司的Celerra、Clariion、Symmetrix和Centera存储等产品无缝地结合起来，作为一套管理信息安全生命周期方面的端到端方案。这个方案能使机构管理从创建到删除大量的日志数据，以满足遵守法规、安全运作和商业的需求。推荐最佳做法1. 保护生成日志项目的程序未经授权的用户不可以操纵日志资源进程、可执行文件、配置文件或日志资源的其他组件，这些资源可能会影响日志的生成。日志生成资源的所有管理也应该记录下来，并通过核准之后变更控制策略和过程。2. 限制日志文件的访问通常只有管理员和审查员在审核和管理时有权访问日志文件。所有特权用户（即管理员和审查员）的访问应该被记录下来，并由域用户外的其他人员全面地、频繁地审核日志。3. 为传送日志数据实现保护机制许多日志是以明文传输的。因此，通信应当受加密等机制的保护。（例如 IPSec. SFTP 或 SSL）4. 保护日志文件存储这包括对存储机制访问权限限制在经授权的用户群之内，提供足够的存储容量和一次写入多次读取的技术优势。5. 保护日志文件的机密性和完整性信息摘要、加密和/或数字签名这些方法都可使用。6. 为日志机制和存储日志提供恰当的物理保护这包括防止未经授权的物理访问，确保适当的环境监管。7. 保持商业日志服务的连续性确保在灾难事件中或是电脑发生故障时，能通过其他日志服务器使日志生成服务及时恢复，从而让商业活动不受影响。附录1：日志的资源和内容安全系统和软件事件或活动记录范例反恶意代码软件例如反病毒软件、反间谍软件和黑客程序探测器远程访问和无线访问系统例如虚拟专用网络（VPN） 登录尝试 在会话（session）中数据的发送与接收漏洞管理软件包括路径管理和漏洞评估软件认证服务器包括目录服务器和单一登录服务器 认证尝试网络隔离服务器 主机安全检查的状态 已隔离的主机和原因操作系统事件或活动记录范例例如邮件服务器和客户端、Web服务器和浏览器、文件服务器和文件共享客户端、数据库服务器和客户端和商业应用程序（如供应链管理、财政管理、采购系统、企业资源计划、客户关系管理和自定义开发应用程序）12RSA 白皮书 例如那些服务器、工作站和网络设备（如路由器、交换机） 网络活动的详细日志事件或活动记录范例 配置变动 特殊应用程序事件例如： 电子邮件的发送和接收文件访问 服务请求 交易执行功能（例如读、写、修改、删除） 客户端请求和服务器响应 认证尝试 账户变动 使用特权 交易的数目和大小 运作的事件启动和关闭应用程序 安全事件文件访问改变策略账户变动 系统事件系统关闭服务开启防火墙路由器和交换机 已阻止的活动 路径安装的历史记录 漏洞状态 已知的漏洞 缺少软件升级Web代理 URL访问入侵检测和预防系统 可疑的行为 已探测到的攻击 采取行动结束恶意活动 已知的恶意代码的实例 文件和系统杀毒尝试 文件隔离 恶意代码扫描 签名或软件升级附录2：日志管理规则需求注：表述单一，不够详尽法律或法规规定的信息保护示例行业与信息安全标准行业特殊隐私法案1联邦信息安全管（FISMA）法案21 CFR Part11 (FDA)/附录11 (EU)支付卡产业（PCI）数据安全标准（DSS）(DSS)信息技术控制目标（COBIT）COBITNIST SP 800-66 for HIPAA, FFIEC for GLBANIST SP 800(esp. SP 800-53)ISO17799/27001ISO 17799/27001例如，受保护的健康信息，消费者的个人财政信息联邦信息私人信息电子记录用于开发和制造药物持卡人信息ORG重要的虚拟资产 3 可控制或影响大部分电子系统的可靠性ORGORGORG个人用户访问受保护信息N/S说明4说明5说明6R7RRRRR说明8管理动作与特权访问的使用N/SN/SN/SN/SN/SRRRN/SRN/S无效的访问尝试N/S说明9N/SN/SN/SRRRN/SRN/S系统安全事件10N/SN/SN/SN/SN/SR RRRR说明11N/SN/SN/SN/SN/SRRN/SRRN/S定期、经常审查；尤其是对特权用户访问至少每隔90天审查日志，对未授权的访问实行24小时*7的监控 定期审查审查日志恶需求，HIPAA 800-66 要求每两周审查日志N/S审查日志的日志集合、相互关联和自动操作N/SN/SN/SN/SN/SRECRECRECRECRECREC日志资料的安全与保护N/SN/SN/SN/SN/SRRN/SRRN/S时间戳和/或同步N/SN/SN/SN/SRRRRRRN/SORG = 机构定义REC = 推荐的RSA 白皮书 continued13定期、及时审核要求一些日志需每天审核，其他的需做实时监控N/SN/SN/S 每天日志审查和对未授权的访问实行24小时*7的监控需求需要记录什么（范例） N/SHIPAA要求定期审查审查日志在指定的时间间隔内审查日志访问审查跟踪联邦金融机构检查委员会信息安全资讯手册（FFIEC）国家科技协会特别出版物800系列（例如800-53, 61, 66 & 92）北美电力可靠性组织（NERC）网络安全标准国际标准组织“信息安全管理准则”ISO 17799/27001 金融系统和信息用于生成财务报告全球隐私法案2相关标准（如果可适