对于做网络安全技术的人来说,有一个很头疼的问题,就是每天要查看设备所产生的日志信息。现在每个设备都会产生大量的数据信息,如操作系统的日志,防火墙的事件信息,数据库的访问信息等等。出于安全的考虑,安全技术人员需要定时的对这些信息进行查看、整理。这些信息对于网络安全来说,是非常重要的,因为其可以反映出,是否有人在未经授权的情况下试图登陆其没有权利登陆的设备。但是,现在的问题就是,这么多设备所反映出来的信息,若在没有其他手段的帮助下,靠技术人员手工处理的话,那工作量是非常庞大的,信息超载问题是网络安全技术人员所面临的一个新的挑战。
下面我结合自己的信息管理经验,谈谈我在这方面的处理方式。
一、 根据信息所反映内容的重要级别不同,有区别的对待
一般来说,无论是硬件设备,如防火墙或者路由器,还是软件设备,如操作系统,其所记录的信息,并不是没有任何规律的。为了网络管理人员在遇到问题时,能够在系设备的日志信息中查到有用的资料,系统一般都对自身所记录的信息,做了归类。一般来手,可以分为三类。
第一类是事件,他以流水帐的形式记录了设备在一定时期内进行了哪些操作。如有哪个用户在什么时间登陆上了数据库,进行了什么操作等等。除了这些信息外,还可以反映出设备运行的一些基本信息。这些事件信息,可以让我们安全管理人员了解系统运行的状况,了解有哪些授权用户访问了设备。在遇到问题时,我们也可以迅速的找到问题的创作者。如有一次,我公司的一个文件服务器突然中断了,全部员工都不能访问文件服务器,但是,网络是通的。一开始我以为是病毒原因,我查看了文件服务器的事件日志,发现是在这中间有人以管理员的身份登陆过这个文件服务器,修改了相关的配置所造成的。我把相关的配置修改回来,又一切正常了。所以,这些事件信息的时候,平时可能对于我们的使用价值不大,但是,当出现了什么问题时,如服务器受到攻击或者其他原因导致不能访问的,我们可以从这个事件信息中看出一点端倪来。故设备记录每天的时间是非常必要的,但是,定期、不定期的对这些信息进行查看、整理却是一件很头痛的事情。
第二类是警报数据,这些数据是当设备出现一些可疑的攻击时,系统所产生的一些信息。这些警报信息我们可以自己设置,也可以由系统产生。如我们在以管理员身份登陆文件服务器的过程中,若成功登陆的话,在文件服务器上只会记录事件信息,而不会有这个行为的警报信息。若我们在尝试登陆的过程中,密码输入错误,若只是第一次输入错误的话,我们可以认为是正常的,那么也可以不用在警报数据中显示这个信息,而只在事件信息中进行记录;但是,若有人连续输入三次及三次以上密码都错误的话,那么我们就有理由相信这是一次恶意的攻击行为,有非法访问者想通过猜密码的方式非法登陆到文件服务器上,进行一些不可告人的目的,这个就是警报信息。根据密码策略,密码错误超过三次,该用户名无效。同时,也会把这条信息记录下来,其系统会自动归类为警报信息。而用户连续输入两次错误密码,但是第三次密码正确的话,则系统认为这是正常的,则只会在记录事件中进行反映,而不会在警报信息中反映出来。所以,作为企业网络的安全管理人员,要能够追踪所有的警报信息,因为这些信息可以反映出是否有人在恶意的攻击网络。
第三类是事故信息。这类信息是比较严重的信息,如文件服务器遭受到RPC等欺骗攻击导致文件服务器瘫痪等等。这类信息记录着企业的网络设备的一些重大变故,如网络设备遇到问题重启或者网络流量突然增大所导致的数据访问瘫痪等等。
这三类信息对于我们网络安全管理人员来说,其价值是不同的。事故信息,就好象是“110”指令一样,收到这个信息之后,我们要马上出发解决问题。而对于警报数据,在手头上有其他重要事情要处理的话,我们虽然可以暂时放放,但是,时间不能拖的太长,要尽快处理。对于事件信息的话,我们一般可以通过系统配置让其记录这些信息,在遇到事故信息或者报警信息的时候,再回过头去查看具体的事件信息,看看在警报信息或者事故信息发生的前后,设备在干什么。
也就是说,我们平时的时候只需要关注警报信息与事故信息,通过一定的技术手段,如邮件,让这些信息发生的时候,再第一时间内发到我们指定的邮箱。而对于事件信息,只需要保存,不需要转发。如此的话,就可以大大的减少信息的阅读量,提高信息的利用效率。
