為什么系統需要安全審計和日志

標準法規合規性需求

隨著國家、各行業對信息安全理論研究的深入，日志審計系統在各個相關的國家、行業標準及要求中均被多次提及，如：《信息安全等級保護》 、《信息安全風險管理規范》 、《基于互聯網電子政務信息安全指南》、《銀行業金融機構信息系統管理指引》等等。

此外，國外、國際上的相關標準、規范也均明確提出信息安全審計系統的重要性，如SOX法案、ISO27001/ISO17799等均要求企業對重要系統、設備的運行日志進行保留，并進行周期性第三方審計。

安全技術保障體系建設需求

一個完整的信息安全技術保障體系應由保護(P)、檢測(D)、響應(R)三部分構成，而日志審計是檢測安全事件的不可或缺重要手段之一。目前，大部分信息系統的所依賴的網絡入侵檢測系統只能檢測部分來之網絡的攻擊事件，對運維人員的違規操作、系統運行異常、設備故障等安全事件缺乏監控能力，而這些異常事件恰恰是對內部信息系統安全威脅的最大部分。日志審計系統通過分析各設備、系統、應用、數據庫產生的運行日志，能夠及時發現入侵檢測系統檢測到的各類安全隱患，并及時給予告警，從而避免安全事件的發生。

技術管理需求

由于信息系統的規模、復雜性日益增加，采用手工方式對日志信息進行審計存在諸多弊端，如：

安全性低：日志信息分散在各系統中，極易被惡意篡改或清除；

審計效率低：由于日志信息數量龐大，人工很難對海量日志進行審計；

審計不全面：往往在事故發生后，管理人員才會去查看相關設備的日志信息，其他更多設備的日志卻被忽略；

由于目前的應用系統往往都是相互關聯的，一個故障現象，往往要對數臺甚至更多網絡設備及主機的日志進行關聯分析才能確定真正的故障原因，缺乏有效的統一日志審計平臺可能導致無法快速進行故障定位，企業追究安全事件責任也會缺乏客觀依據。

因此，有必要在現有信息系統中部署統一、高效、全面的日志安全審計系統，一方面可以滿足法規、標準的要求，另一方面可以切實加強組織對整個信息系統的安全監控能力，完善信息安全技術體系建設。

回答所涉及的環境：聯想天逸510S、Windows 10。