[Q&A] Log日誌管理的安全議題

最近，網管人雜誌的媒體朋友，和我聊了幾個有關日誌管理的問題，以下將我的回覆，分享給大家作為參考囉~

Q. 系統日誌普遍存在於各個IT基礎設備中，伺服器、防火牆與入侵偵測系統、路由器、閘道器、資料庫，在在都有些事件日誌的設計以便讓企業能夠即時除錯，為何這些過去早已存在的日誌無法企業遵循個人資料保護法的需求？過去的系統日誌欠缺那些元素？

A. 就個人的觀察，一般IT人員對於log的處理態度有以下幾種：

• 不清楚系統和設備到底有沒有log，所以沒有特別去保存，而且就算有log功能也不想啟動，擔心會影響效能。

• 知道系統和設備有log，但是散布在各個系統和設備上，只採用其預設的機制，當有問題發生時，再進個別的系統或設備去查詢。

• 知道系統和設備有log，也建立了簡單的Log server(如syslog)進行蒐集，但因採用明碼傳輸，缺少安全的控管機制，也沒有適當的工具可快速進行彙整調閱和分析。

• 已添購了log產品設備，利用它來蒐集與儲存log，但是在管理方面仍缺乏相關政策和作業辦法，例如該蒐集哪些重要的log、如何進行分析、儲存的週期是多久、是否有安全控管機制等。

因此，過去的系統日誌管理主要所欠缺的元素有：

1. 認知問題 - IT人員缺少對於日誌管理的概念，因此不知道有哪些重要的log，也不知該如何著手。


2. 缺乏工具 - 雖然有進行集中保存，但因缺乏適當的管理工具，讓日誌無法進一步作為IT營運、資安防護的參考。


3. 管理政策 - 雖然已添購設備進行日誌管理，但並沒有制定管理政策和作業辦法，相關的日誌可能保存的不夠完整，也無法作為法規因應的證明。

Q. 企業針對日誌管理應該以核心應用服務為主還是該全面化？

A. 對一般企業而言，建議其日誌管理可先從業務相關或核心應用服務著手，例如電子商務業的線上交易日誌、醫療業的醫療資訊系統日誌、服務業的客服系統日誌等。另外，為了未來因應個資法，只要是和個資蒐集、處理和利用等相關系統，也會是日誌管理的重點，因此，可先從重要的部份開始，未來再逐步跨大到整個IT營運資訊的匯整。

Q. 從企業的角度來看，做好日誌管理應該從那些面向著手？

A. 企業想要作好日誌管理，建議可從三個面向來著手：

1. 人員訓練 - 相關人員是否已具備日誌管理的認知與安全概念，明白哪些日誌是重要的，以及是否有能力可進行日誌的蒐集、分析等。


2. 作業流程 - 內部是否已制訂了日誌管理辦法，明確界定日誌需要蒐集的範圍、儲存方式、存取權限、安全機制等。


3. 適當工具 - 隨著組織架構和系統設備的多寡，企業是否提供IT人員適當的工具，可協助進行日誌保存、分析調閱、產生報表等相關工作。

Q. 一項好的日誌管理方案又該具備那些要項？

A. 一項好的日誌方案需要具備以下要點：

1. 蒐集能力 - 是否支援廣泛的系統、網路、資安等相關設備的日誌格式；是否可採取客製化方式，蒐集企業自行開發的應用系統或其他少見設備的日誌；是否可完整的蒐集日誌資訊，並且減少對系統效能的影響等。


2. 儲存能力 - 是否可有效保存原始的日誌資訊；是否可正規化(Normalise)日誌資訊以便進行彙整分析；是否有足夠的儲存能力，甚至可更進一步支援資安事件管理(SIEM)或SOC(資安營運中心)的需要。


3. 調閱能力 - 是否可迅速進行日誌蒐尋、報表分析，以符合法規和稽核(Audit Trail)的要求。


4. 安全機制 - 是否採用安全的傳輸方式進行蒐集；是否有良好的存取控制或儲存加密技術，可避免日誌受到不當的竄改。