【干货】日志管理与分析(四)——日志管理规程

【干货】日志管理与分析（四）——日志管理规程

一、日志管理规程

日志记录和管理的目标本质上是为你提供环境中的态势感知（SA），这样你就可以在网络中发生某些情况时进行评估、响应，并在必要时升级。SA部分通过启用日志数据收集、分析和保存来实现。

企业很可能因为如下的某些原因而实施日志记录：

1.你想要保护公司的资产（知识产权和财务数据等）。

2.你所处行业（银行、医疗、信用卡处理等）要求监管依从性，确保你能够对抗外部和内部威胁、数据丢失等。

3.你就是希望记录所有日志。

就第二种原因，许多法规不仅从过程和规程的角度规定你必须做的事，还要求你能够证明自己真的遵循和维护你的策略和规程。这可能意味着从提供最新的网络系统访问权限文档，到制作备份文档的报告的一切事情。

下面以支付卡行业（PCI）数据安全标准（DSS）举个例子。

PCI DSS是一组技术和运营需求，意在保护信用卡持卡人数据免遭违规使用。商户、处理设备、发卡行和服务提供商在PCI中都有利害关系。该标准的终极目标是在全球采用这些需求。

1.1假设、需求和预防措施

关键项目对于日志记录、日志管理和日志审核的成功必不可少。在日志审核、响应和升级规程投入使用之前，假定如下需求已经得到满足。

1.1.1需求

必须有一组需求，运营规程才能有效地使用：

1）创建日志记录策略，以编集PCI DSS日志相关需求，以及其他监管和运营日志需求。

2）在范围内的系统上启用日志记录。

3）日志记录的中端和终止本身必须记入日志、接受监控。

4）记录PCI DSS文档规定的事件。

5）生成满足PCI DSS日志记录需求的日志。

6）范围内的系统时间和可靠的时间服务器（NTP等）同步。

7）所有日志记录系统的时区已知并作记录，可以和日志一起审核。1.1.2预防措施

需要采取如下的预防措施，使日志可以用于PCI DSS依从性、其他法规和安全、取证及运营需求：

关键预防措施：在特定系统上记录其操作的个人不能作为负责该系统日志审核的唯一当事人。

关键预防措施：PCI DSS强制实施日志安全措施，对日志的所有访问应该记录和监控，识别终止或者影响日志存在和质量的企图。

这些预防措施的主要思路是确保系统完整性。本质上，没有一个人应该拥有能够掩盖自己或者其他人踪迹的控制权。

1.2常见角色和职责

常见角色和职责总结

上面指出的角色，你的企业可能没有定义这些角色，大多企业都是一人兼顾多责。

1.3 PCI和日志数据

PCI DSS对于日志记录和监控的强制关键领域是需求10和需求11的各个部分。为了达到依从性，你必须实现需求；它是必要的条件。在PCI DSS文档中，需求10陈述“跟踪和监控对网络资源和持卡人数据的所有访问”。需求11陈述“定期测试安全系统和过程”。需求12陈述“维护一个处理所有个人信息安全的策略”。

1.3.1关键需求

10.1需求10.1涵盖的是“建立一个过程，将对系统组件的所有访问（特别是使用根用户等管理权限完成的访问）与每个单独用户联系起来。”这确实是一个而有趣的需求；它不仅强制日志的存在或者建立日志记录过程，还提到日志必须与个人绑定（不是计算机或者生成日志的