如何选择一个LM产品做为信息安全的必备武器

　　【赛迪网讯】有一篇来自英国的IT自由撰稿人写的博文，对日志管理（Log Management，LM）这个技术进行了一番自己的分析。可以说，全世界IT人士对LM的认识基本上都是一致的，包括对LM的作用、意义、技术架构和难点等。英国和美国的LM驱动力是类似的，那就是内控与合规。Kevin将合规分为三种类型：

　　1）法律要求的合规，就像是美国的SOX，国内例如刑七

　　2）商业领域的合规要求：就是行业规范，例如PCI-DSS，国内例如金融行业的内控指引，《企业内部控制规范》等；

　　3）政府领域的合规要求：就是政府的行政机构必须要遵守的合规性条款。例如英国的CoCo，当然美国有FISMA，中国的政府领域不仅包括行政机构，还有行政事业性单位，甚至国有企业，那就是等级保护了。

　　Kevin认为LM技术有三个难点：

　　1）日志量大；

　　2）日志格式和内容复杂；

　　3）日志自身安全性保证；

　　尽管有各种技术挑战，但是LM仍然是信息安全的必备武器，因为需要他的动因很强烈，而又没有更好的技术手段去迎合现实的需求。因此，如何选择一个相对更好些的LM产品呢？Kevin给出他自己的标准：

　　1）原始日志要能够保存下来——取证需要；

　　2）可伸缩性——也就是高速日志采集能力；

　　3）减少无用数据的存储，为了海量存储的考虑；

　　4）集中存储日志；

　　5）日志在LM中传递的各个环节要注意日志的CIA三性；

　　6）日志存储的时候也要注意日志的CIA三性；

　　7）海量日志的快速检索能力；

　　8）基于规则的分析能力；