【IT168 资讯】    日志审计在国外通常叫作日志管理（Log Management，简称LM），是信息安全审计技术里面比较重要的一项技术手段，与行为审计是相辅相成的审计手段。通过日志审计，协助系统管理员在受到攻击，或者发生重大安全事件后察看网络日志，从而评估网络配置的合理性、安全策略的有效性，追溯分析安全攻击轨迹，并能为实时防御提供手段。而通过对人员的网络行为审计，确认其行为的合规性，确保上网行为管理的安全。

    深圳市任子行网络技术股份有限公司研制的上网行为管理和审计产品----任天行网络安全管理系统的定位就是秉承“信息也有身份证”的研发理念，通过对各组织机构上网人员的行为进行有效管理，对于日志内容进行合规细粒度审计，在加强上网那个机构内、外部网络信息管理的同时，同时为避免重要信息外泄和事后的追溯取证提供了有效的技术支撑。尽管面临各种技术挑战，如： 1）日志量大； 2）日志格式和内容复杂； 3）日志自身安全性保证；但为了满足用户的需求，任天行网络安全管理系统的日志审计目前已经达到业界领先的技术水平，目前系统能够提供用户所有操作日志记录、查询、导出、检索、存储等功能；根据日志类型不同，可以形成多种日志报表，方便对日志的统计与分析。日志存储采用加密格式，防止非授权用户阅读日志。

    其实，日志审计的前提就是数据采集与保存，庞大的数据瀚海里，高速的日志采集是非常重要的。在能够分析日志数据之前，显然要收集数据。任子行的技术特色就是进行海量数据的挖掘、分析，通过使用Intel高性能网卡、独创的零拷贝技术驱动、DNA直接内存存取技术，使得系统在高负载下捕包分析的不稳定性与不安全性减至最小，而性能和可靠性却得到了极大提升，处理效率比传统捕包引擎提高1倍以上。而对于采集来的数据，通过提高海量日志的快速检索能力，集中存储日志，将原始日志保存下来——取证需要。

    其实，日志审计的驱动力就是内控与合规。可以说，全世界IT人士对日志审计的认识基本上都是一致的，包括对日志审计的作用、意义、技术架构和难点等。

    合规通常分为三种类型：

    1）法律要求的合规，就像是美国的SOX法案，国内例如《企业内部控制规范》；

    2）商业领域的合规要求：就是行业规范，例如PCI-DSS，国内例如金融行业的内控指引，《企业内部控制规范》等；

    3）政府领域的合规要求：就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo，美国的FISMA，中国的政府领域不仅包括行政机构，还有行政事业性单位，甚至国有企业，那就是等级保护了。

    通过日志审计，任何引起安全攻击的反动的、不良的信息都将被查析溯源，使流通的信息越来越健康、规范，是网络成为有效、有序、合规信息载体传输的渠道，这也是用户部署上网行为管理和审计产品的重要意义之一。