CNETNews 科技资讯网
首页科技博客RSA冯崇彪谈日志审计和安全运维

RSA冯崇彪谈日志审计和安全运维

时间2011-07-15 16:44:39作者:陈毅东文章来源:ZDNet视点
本文关键词:
合规审计其实是一个老话题,也是企业在成长壮大的过程中,必将面临的问题,各行各业都有日志审批和企业内控安全的需求,而外部审计的的需求也日益迫切。2010年,由财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,意味着中国会计审计领域的又一重大改革举措。而中国企业进军海外资本市场的号角才刚刚吹响,未来将有更多的中国企业有迫切的上市需求。近日企业内控安全市场的老兵RSA中国区资深技术顾问冯崇彪,接受了ZDNET安全频道的专访,与我们探讨合规审计的未来发展趋势以及RSA enVision 3合1日志管理平台如何帮助企业强化安全信息和事件管理。
 
冯崇彪认为,“IT的审计主要是基于整个数据的审计,所以涉及到IT审计,包含两个重点方向,一个是日志审计,一个是行为审计,如客户做过什么,做过的事情可以回溯。”
 
日志审计的三重门
 
据记者了解,从目前企业日志审计的需求来看,企业日志包含主机、网络、应用、存储、安全、数据库六大类的,这些日志平时在企业端,不论是金融和非金融企业,都各自存放在不同系统里且非常杂乱。如果出现安全问题,必须一个设备一个设备去找,然后人工做关联,无形中增加了企业安全管理的复杂性。所以,企业怎样去确保追踪这些关键信息,对一些安全越界行为,如何却发现?这对于企业来说是非常重要的一件事情。冯崇彪详细阐述了企业日志审计的三个业务需求:
 
第一,对于日志管理,日志的保存有一定的时间限制。比如证券业务数据要保存15年以上,而有一些客户数据只要保存几年,或者日志一般要保存三年或五年以上,根据不同的规定,内控和外审的要求,对日志的保存有一个要求,所以有一个统一管理的需求。
 
第二,保证安全的运维。随着客户网络环境越来越复杂,企业系统中如何确保安全的运维,也非常重要。如一个黑客冒充合法用户,登陆到5台机器,每一台机器可能只留下一条日志,从单个机器上看不出什么。但如果关联起来看就是一个安全事件,有人冒充客户登陆系统。再举个例子,有人可能进到系统里中,去创建一个超级用户,或到系统中将一些相关数据删除,或是查看很敏感的日志,然后退出系统,把之前的日志和账号删除,这实际上是安全事件。而这些非常规行为,在原有系统的日志上是看不到的,但如果多个系统关联起来看,就可以及时的发现这个行为,并尽快的对事件告警并处理。
 
第三,满足内控和外部审计的要求。现在各个行业企业内部一般来说都有内控安全部门,内控部门会针对企业系统有相应的内控要求。比如,银行有等级保护,系统或网络运营的规范,这是内控的要求。外审比如说证券有证监会的要求,银行有银监会,要满足这些方面外审的要求。
 
收集、安全运维和优化
 
RSA enVision平台是一个用于安全信息和事件管理(SIEM)的可扩展、可用的解决方案。它能够自动搜集、全天候捕获网络上的所有日志数据,持续不断地记录并存储由网络中的任何设备所生成的每一个日志事件,同时确保每个日志事件都是完整的、准确的和可核查的。综合来看,enVision具有3大显著功能,即日志收集,安全运维和优化IT与网络运行。
 
冯崇彪表示,“RSA enVision解决方法实际上是提供一种技术手段,能够帮助企业快速的把现有网络里边的设备日志集中收到一起,同时在日志基础上去保证安全运维,简化合规审计。RSA可以提供各种各样合规的报表,可以提供很多的关联规则,帮助企业快速去满足合规要求,以及内控要求,同时RSA在企业系统内部去保证安全运维。如果企业IT系统中存在安全隐患,或者安全事件正在发生,enVision可以第一时间告警。”
 
冯崇彪强调了安全事件发生时,enVision的告警和处理机制,“首先当系统中如有安全事件发生,enVision可以通过电子邮件或短信的方式,及时通知;或以其他方式跟目前企业工作流的系统关联起来。其次,在内控和合规和企业内部运维方面,企业也需要相应的报表,比如定时报表,一次性报表,enVision可以把相关报表模板发给用户去定制,为用户省了很多事情;最后,enVision能把实时的事件威胁转换成可执行的数据,创建闭环的事件处理流程,并报告安全管理效率,形成支持安全运维的关键。”
 
冯崇彪还提到,“enVision通过监控网络资产,解决网络故障,优化网络性能,获取用户行为的可视性和建立正常网络活动的基线等一系列手段优化IT和网络运行。”
 
同时,enVision本身的技术优势主要体现在具有丰富的日志收集支持协议;非侵入式、可扩展性易于部署。而最核心的技术优势是智能数据库IPDB,作为拥有独家专利权的,不同于传统的关系性数据库,IPDB可收集和处理超过30,000台设备的每秒300,000EPS的系统信息,每个分布式数据库每天可收集、分析和管理超过260亿的系统事件。
 
也就是说,enVision无需理会任何网络协议,不需要在用户系统安装任何软件,仅需要用户配置日志保存位置在enVision系统即可。而且,冯崇彪还告诉ZDNET,enVision在系统自身的安全问题无需额外考虑。
 
为了更形象的让企业了解enVision三大功能的使用场景,不妨让我们看几个应用场景。
 
1、黑客冒充管理员,在很短时间内创建、删除账号,修改企业数据库里的数据。于是enVision关联出一个异常活动,发出告警,创建闭环,快速解决。
 
2、有人违反企业策略试图从外部删除客户资料。通过总体管理、关联分析,得到告警信息是关于违反策略方面的,以提高企业监管运行效率。
 
3、企业VPN登录方面,通过enVision分析用户登录日志及操作日志,可以发现其中的异常,发布安全警告。
 
考量因素和最佳实践
 
在实施日志审计解决方案时,有哪些重点考量因素以及最佳实践?冯崇彪分享了他对企业考量因素和最佳实践的建议,包括日志收集,日志处理,日志分析,安全警告,报表分析,权限管理,数据分享和外部系统集成扩展等。
 
日志收集。在部署解决方案时,考量是否会影响到本身的系统。enVision不需要在客户端安装用户代理,另外现有解决方案所能支持的产品和设备本身是不是很多,需要企业考虑。此外要考虑到自己开发应用,实现非列表产品日志的收集。
 
日志处理。企业需要考虑数据的收集率,能否真实反映情况,另外需要考虑性能,因为性能快,收集率就高。对于日志的存储还要考虑压缩率。在上面已经提过,RSA采用了自身专利的IPDB技术,区别于传统的关系性数据库。
日志分析。企业希望看到分门别类的各类事件,可以看到相应情况,对于不同安全事件的详情,企业可以根据严重程度区别对待。以做到快速分析。
 
监控和管理。企业需要从整体看到重要威胁、网络活动内容分类、工单事件响应率、安全程度统计的综合框架信息。也要关注更细致的告警细节,比如告警的自动响应,通过吩咐的预警分类做成关联规则嵌入系统中。是否有成型的策略配置和重点防范功能。此外,enVision有1400多种报表模板,帮助客户形成需要的报表,分级别、分对象、分格式、分周期等,通过报表的多样性满足不同合规的要求。
 
权限管理。需要通过对角色的区分,满足不同职责IT管理人员所看到的信息不一样。
 
外部系统集成扩展。包括告警的输送,通过短信及时通知相关人员。报表的数据可跟第三方工具集成,还有外部的工单系统。
   
冯崇彪也预测了未来最佳实践的方向,他认为云计算和虚拟化也是企业需要考虑的方向,还有他安全系统,如数据防泄露等。

原文来自探客网:http://wo.zdnet.com.cn/space-472006-do-blog-id-12797.html
我有话要说订阅RSS腾讯微博

您看到此篇文章时的感受是:
支持
愤怒
无聊
暴汗
养眼
炒作
不解
标题党
搞笑