什么定义了这样的安全审计日志，以及如何实现它？

Question

您希望从安全审计日志中获得哪些功能？难道就不能改变它，并确保你知道是谁写的吗？您这样做是通过对前一个条目进行散列并对日志条目进行签名？我错过了什么吗？

我们讨论的是一个服务器应用程序，它应该记录不能被篡改的财务数据，这样就可以重建所有相关的数据。

Answer 1

为了有一个安全的审计日志，考虑到完整性和可用性，每个CIA三合会都有安全的两个特点。

1. 审计日志的完整性

所有写入日志的数据，一旦写入，就应该只读取。如果要信任日志用于法医目的，则任何用户都不应该修改数据。根据最低特权的安全规则，对审计日志的访问应根据需要进行严格控制。理想情况下，审计日志存储在安全位置，如专用日志服务器。写入访问只需要限制在最低用户数上，例如仅限于某个Active Directory组中的用户。读取访问应该以类似的方式进行限制。要检测日志中的更改，可以将加密哈希函数应用于以前的日志条目，以便任何篡改都会更改哈希，并使无法检测到的篡改变得不可能。

1. 审计日志的可用性

应根据生成日志的基础源的数据敏感性分类，将审计日志数据保留一段指定的时间。理想情况下，日志备份应该存储在场外，以便在灾难发生时，这些日志的备份也不会被破坏。

如果日志集中存储在日志服务器上，则可以使用客户机速率限制、数据包过滤等工具来减少DOS或DDOS攻击。