香港電腦保安事故協調中心每年收到幾千宗事故報告,其中企業遭黑客入侵的求助個案,不少是受襲多時才被發現。

其實,若電腦系統的日誌記錄管理周全,系統管理員可以更早找出系統被入侵的蛛絲馬跡,不用等待事故發生後,才追究原委,亡羊補牢。

日誌記錄林林總總,有些只簡單記錄某個程序的開始和完成時間,以及執行結果;有些則與系統用戶有關,例如記錄登入及登出的時間的認證記錄檔(Authentication Log)、存根網站訪客的超鏈結請求的存取記錄檔(Access Log)、記載網絡連線請求的防火牆記錄檔(Firewall Log),又或是記載用戶從家中連接到公司系統的時間及IP位址的虛擬私人網路記錄檔(VPN Log)等。

專業的資訊保安人員必會定時檢查這些日誌記錄,看看有沒有出現異常的情況。若企業網絡不幸地被入侵,這些日誌記錄便是十分重要的調查線索,甚至可能成為執法機構的呈堂證供。

儲存這些系統日誌記錄,需佔用不少空間。若要長時間保留記錄,將對資訊科技部門的資源構成一定的負擔;太短的話,則可能無助調查。企業需制定記錄檔保留政策(Log Retention Policy),根據各日誌記錄的重要性,訂下保留期限,既方便管理同時可建立完善的資訊保安管理系統,防範黑客攻擊。