任何激活了日志的治理员都知道,它可以对系统性能和存储需求产生非常大的影响。我听到过法律专家、缺少经验的治理员,还有其他一些人都不理解日志的负面影响。我也听到过很糟糕的推荐,包括“怀疑得越多越好”,“对所有事情都记录日志”,还有“永远保存你的日志”。一些数据库安全审计工具甚至推荐使用各种各样的SQL Server日志特性,例如C2 审计模式来追踪错误应用。所有这些在纸面上听起来都很不错,它可以取悦规律制定者、审计员,还有投资方,但是它的花费呢?
盲目跟随供给商们、审计员们这些理想化的推荐,以及没有基于你的业务风险作出的计划所产生的问题,就是你会创建一个日志真的会对你的业务产生负面影响的环境。无论它是否会吃掉内存,需要太多的处理器时间偏,或者也许最糟糕的是,以更快的速度用光你的几个PB的存储空间。我曾见过Windows和SQL Server 日志引起了本地系统分区在几分钟内被填满,还让SQL Server一块停止响应。对于你网络中的所有服务器,你也许最不想挂掉或者重起你的SQL Server。以商业的角度来说,在安全上的考虑多得过分了!除了技术问题之外,另外一个需要注重的问题就是,对所有的事情记录日志,并且无限期的保留日志也会导致法律责任,和巨额的发现费用。我还需要再说明一下从太多的日志中找出有用信息的治理负担和一般人的无能为力吗?
不要对隐私和安全法律、法规过分担忧。他们当然不会深入研究日志。无论以何种方式,都不要试图分别治理审计记录和监控每个法律/法规的需求。相反,进行一次风险评估,把你的依从性动机结合到一个信息安全框架或者标准中,例如ISO/IEC 17799, CoBIT, 或者 ITIL。假如IT和依从性都以这种程度治理,并且以正确的方式完成的话,你的企业就可以在很大范围内满足所有的依从性需求,不需要为HIPAA,SOX,PCI等等记录日志了。
无论你做了什么,不要孤立起来。你不想要承担与审计日志有关的要害业务决策的负担。当发生事情的时候,规则制定者、审计员、或者争议调查员把你按住,想要让你对于你所做(或者没做的)的日志说出理由和进行业务辩护的时候,这一点尤其明显。假如你和你的IT职员正在承担大部分的依从性负担(在大多数企业中都是如此),在你的企业法律顾问或者依从性经理的帮助下执行你的日志决定吧。理想情况下,判定要记录什么和如何治理日志都是由依从性或者IT治理委员会进行委托治理和支持的。我想要说的是,让其他人也卷进来吧。你不会后悔的。
评论加载中…
 |