2011年7月1日 星期五

[Q&A] Log日誌管理的安全議題

最近,網管人雜誌的媒體朋友,和我聊了幾個有關日誌管理的問題,以下將我的回覆,分享給大家作為參考囉~

Q. 系統日誌普遍存在於各個IT基礎設備中,伺服器、防火牆與入侵偵測系統、路由器、閘道器、資料庫,在在都有些事件日誌的設計以便讓企業能夠即時除錯,為何這些過去早已存在的日誌無法企業遵循個人資料保護法的需求?過去的系統日誌欠缺那些元素

A. 就個人的觀察,一般IT人員對於log的處理態度有以下幾種:
  • 不清楚系統和設備到底有沒有log,所以沒有特別去保存,而且就算有log功能也不想啟動,擔心會影響效能。
  • 知道系統和設備有log,但是散布在各個系統和設備上,只採用其預設的機制,當有問題發生時,再進個別的系統或設備去查詢。
  • 知道系統和設備有log,也建立了簡單的Log server(如syslog)進行蒐集,但因採用明碼傳輸,缺少安全的控管機制,也沒有適當的工具可快速進行彙整調閱和分析。
  • 已添購了log產品設備,利用它來蒐集與儲存log,但是在管理方面仍缺乏相關政策和作業辦法,例如該蒐集哪些重要的log、如何進行分析、儲存的週期是多久、是否有安全控管機制等。
因此,過去的系統日誌管理主要所欠缺的元素有:
  1. 認知問題 - IT人員缺少對於日誌管理的概念,因此不知道有哪些重要的log,也不知該如何著手。

  2. 缺乏工具 - 雖然有進行集中保存,但因缺乏適當的管理工具,讓日誌無法進一步作為IT營運、資安防護的參考。

  3. 管理政策 - 雖然已添購設備進行日誌管理,但並沒有制定管理政策和作業辦法,相關的日誌可能保存的不夠完整,也無法作為法規因應的證明。

Q.
企業針對日誌管理應該以核心應用服務為主還是該全面化?


A. 對一般企業而言,建議其日誌管理可先從業務相關或核心應用服務著手,例如電子商務業的線上交易日誌、醫療業的醫療資訊系統日誌、服務業的客服系統日誌等。另外,為了未來因應個資法,只要是和個資蒐集、處理和利用等相關系統,也會是日誌管理的重點,因此,可先從重要的部份開始,未來再逐步跨大到整個IT營運資訊的匯整。


Q. 從企業的角度來看,做好日誌管理應該從那些面向著手?

A. 企業想要作好日誌管理,建議可從三個面向來著手:
  1. 人員訓練 - 相關人員是否已具備日誌管理的認知與安全概念,明白哪些日誌是重要的,以及是否有能力可進行日誌的蒐集、分析等。

  2. 作業流程 - 內部是否已制訂了日誌管理辦法,明確界定日誌需要蒐集的範圍、儲存方式、存取權限、安全機制等。

  3. 適當工具 - 隨著組織架構和系統設備的多寡,企業是否提供IT人員適當的工具,可協助進行日誌保存、分析調閱、產生報表等相關工作。

Q. 一項好的日誌管理方案又該具備那些要項?


A. 一項好的日誌方案需要具備以下要點:
  1. 蒐集能力 - 是否支援廣泛的系統、網路、資安等相關設備的日誌格式;是否可採取客製化方式,蒐集企業自行開發的應用系統或其他少見設備的日誌;是否可完整的蒐集日誌資訊,並且減少對系統效能的影響等。

  2. 儲存能力 - 是否可有效保存原始的日誌資訊;是否可正規化(Normalise)日誌資訊以便進行彙整分析;是否有足夠的儲存能力,甚至可更進一步支援資安事件管理(SIEM)或SOC(資安營運中心)的需要。

  3. 調閱能力 - 是否可迅速進行日誌蒐尋、報表分析,以符合法規和稽核(Audit Trail)的要求。

  4. 安全機制 - 是否採用安全的傳輸方式進行蒐集;是否有良好的存取控制或儲存加密技術,可避免日誌受到不當的竄改。

2 則留言:

Tony 提到...

Dear 傑克,
您好,請教您關於日誌報表是否有明確的法規(個資法或ISO27001)規定要有哪些報表才符合呢?煩請抽空賜教,感謝!

傑克小花 提到...

Hi Tony,
感謝您的提問,關於日誌報表的格式,並沒有法規要求一定要有哪些內容才行,但是以導入ISO 27001的組織為例,管理人員通常會想要了解所實施的資安控制措施,是否能夠符合標準中133項控制措施的要求。因此,許多的資安設備在報表功能方面,會強調可以產出符合ISO 27001的報表,主要就是在內容方面能針對標準的控管要求項目,與目前的實施現況加以對應呈現,以方便管理者可以迅速掌握。