摘要: 背景 2001年11月至2002年6 月,在美国被称为金融界“9-11事件”的安然、世通等巨型公司的财务丑闻连续发生,暴露出美国公司治理结构的缺陷。这些财务丑闻不仅让美国资本市场损失了7万多亿美元的市值,更打击了包括全球投资者对美国证券市场的信心。为了改变这一...
背景
2001年11月至2002年6 月,在美国被称为金融界“9-11事件”的安然、世通等巨型公司的财务丑闻连续发生,暴露出美国公司治理结构的缺陷。这些财务丑闻不仅让美国资本市场损失了7万多亿美元的市值,更打击了包括全球投资者对美国证券市场的信心。为了改变这一局面,美国于2002年7月颁布了《2002年公众公司会计改革和投资者保护法》(以下简称《萨班斯法案》),这一法案标志着自20世纪30年代美国股市崩溃以来最大规模的证券业管理制度改革达到高潮。
SOX法案明确规定,外部审计人员必须检查和证实一个公司的内部财务控制的有效性,这其中就包括信息系统的可靠性。SOX法案强调企业的信息技术策略和企业内控活动(不论是人还是机器)的操作流程都必须明白地定义并保存相关记录,而后才能实施。这样要求是为了让企业管理者了解内部状况,以便在IT审计时提供及时支持。
需求
根据SOX法案的审计要求,相关企业必须对信息系统的日志信息以及操作明细进行有效的保存,为外部审计人员对企业的合规性审计提供依据。
图片来源:明御综合日志审计平台
1、系统运行维护需要关注的设备种类包括:
- 网络交换设备日志:交换机、路由器,其信息源包括Syslog日志;
- 网络安全设备日志:防火墙、防病毒系统、VPN、IDS/IPS等设备,其信息源包括Syslog日志和OPSEC LEA协议日志;
- 操作系统日志:包括Microsoft Windows系列产生的系统事件日志(Event Log),Unix/Linux产生的SYSLOG日志;
- Web服务器日志:Microsoft IIS服务产生的应用事件日志(Event Log)、Apache产生的Error Log等
- 应用系统平台日志:包括应用服务器(如WebSphere、Tomcat、SUN One等)、邮件服务器,FTP服务器、工作流服务器(Domino、Exchane等)、Oracle、MSSQL、DB2等数据库产生的系统告警日志文件;
2、应用系统用户操作行为涉及的日志源种类包括:
- Web层日志:Microsoft IIS日志、Apache日志
- 应用服务层日志:Micorsoft .NET日志、IBM Websp日志、BEA WebLogic 和TUXEDO日志、Apache Tomcat日志;
- 数据服务层日志:MSSQL、Oralce、DB2、MySQL、Informix、SyBase等主流数据库的用户访问网络通信;
主要功能
要对网络设备及系统平台进行日志审计分析,则必须要对网络环境中的网络设备及系统平台的日志信息进行采集内容,每种设备类型的工作性质不同,审计的对象不同,决定了采集的内容也就不同:
网络设备的采集内容:
- 网络设备开机、重启、关机时间记录;
- 网络设备宕机时间记录;
- 配置发生修改的记录;
- 设备异常;
安全设备的采集内容:
- 安全设备系统事件记录;
- 配置发生修改记录;
- 规则/策略更新记录;
- 动态连接记录;
- 授权访问记录;
- 拒绝IP连接记录;
- 应用记录(FTP,HTTP等);
- 安全事件记录。
操作系统的采集内容:
- 采集系统日志,包含由 Windows 系统组件记录的事件;
- 采集应用日志,包含由应用程序或一般程序记录的事件;
- 采集安全日志,诸如有效和无效的登录尝试等安全事件,以及与资源使用有关的事件,例如,创建、打开或删除文件。管理员可以指定在安全日志中记录的事件。例如,如果您启用了登录审核,那么系统登录尝试就记录在安全日志中;
- 探测CPU、内存、磁盘、接口流量利用率;
- 探测服务和TCP连接数;
- 如启用DNS、域服务,还可采集DNS日志、目录服务日志、文件复制服务日志。
Web服务的采集内容:
- IIS WEB服务产生的启动和错误日志;
- 采集Apache产生的error.log文件里的启动和错误日志;
应用服务平台的采集内容:
- 采集应用服务系统日志;
- 探测应用服务的关键进程运行情况;
数据库的采集内容:
- 采集数据库系统日志,启动、登录、错误;
- 探测数据库的关键进程运行情况;
游侠观点:
可以说,SOX极大的推进了日志审计、数据库审计、运维审计(堡垒机)、IT运维管理、桌面管理软件的普及……别的我不多说了, 我得赶紧去给客户介绍这个了……
