IT人在进行故障排查时往往会检查系统、应用或安全相关的日志,特别是类UNIX系统管理员更是如此。而网络安全团队中意的类似SOC、审计等的中央日志管理系统会搜集、筛选、分析和整理关键系统和设备的运行日志,以便提供必要的信息安全事故预测、告警和报告。可是,对于桌面终端的普通用户,有没有必要了解这些理念和掌握这些技能呢?一次内部信息安全意识研讨会上,昆明亭长朗然科技有限公司的资深安全讲师Alice Wong提出这个问题。
尽管桌面安全管理并不难,可以说没有太多“技术含量”,但是却是信息安全管理中最为耗时耗力的工作内容。当形形色色的消费型计算终端出现在工作场所之后,自带计算设备BYOD便应运而生,无疑,这将让桌面安全管理难上加难。
在桌面终端安装客户端引擎,进而通过中央服务台,远程管理终端安全的系统往往会搜集系统的各类运行日志,不过这也不是最终用户需要了解的哦。
那到底有没有必要让桌面终端用户学会基本的日志检查和分析方法呢?这要看具体情况,Alice说,让终端用户学会检查和分析系统日志,除了能够帮助排差电脑故障之外,对信息安全事件的正确响应也会有很大帮助。
如同有的公司怕没有足够电脑经验的用户折腾坏电脑一样,有的公司也担心最终用户在安全响应上帮倒忙,的确,经验不足的用户如果自行调查和处理安全事故,可能会毁掉宝贵的入侵证据。
不过,也有另外一些公司为了节省IT资源,可能鼓励用户在IT问题上主动学习和探索,甚至让高级用户帮助入门用户自行解决简单的问题。当然,表现在信息安全事故处理上也是如此,他们乐意让用户快速报告安全事件和对事件进行简单的诊断,以便能够根据情况分配适当的安全事故响应资源。
孰是孰非?我们不能断下结论,这和企业文化和IT安全环境有关。不过,可以肯定的是,如果信息安全资源不是很充足,安全应急响应团队忙不过来的话,则需要教导最终用户简单的信息安全事故诊断和处理流程,当然系统和安全日志的分析就是必要的环节和步骤了。
几人知晓系统及安全日志审查呢?的确非IT背景的人员中难找出几个,是否需要让员工们知晓一些呢?当然有必要。不过,不需要将这些单独拿出,而在信息安全意识教育活动中,同信息安全事故报告及响应流程一起培训给员工,是正确的解决之道。