ISO 27001的日志审计

3/31/2025·4 min read

在ISO 27001标准中，日志审计是确保信息安全的关键控制措施之一，主要通过 附录A.12.4（日志与监控） 和 A.12.7（审计信息保护） 等条款规范。以下是具体要求及实施方法：

一、核心要求（ISO 27001:2022附录A）

记录内容
- 必填字段：日志需包含事件时间、操作主体（用户/设备）、操作类型（如登录、修改）、目标对象（如PLC程序文件）、操作结果（成功/失败）等。
- 关键事件示例：

PLC编程软件的登录尝试（成功/失败）。
PLC程序代码的修改、下载或删除。
权限变更（用户角色调整）。
异常通信（如来自未授权IP的访问）。

日志保留周期
- 根据业务需求和法规要求设定，通常至少6个月，涉及合规性（如GDPR）的日志需保留更久（如2年）。
- 工业控制系统（如PLC）日志可结合生产周期（如设备维护周期）调整。
日志保护
- 完整性：使用哈希算法（如SHA-256）或数字签名防止篡改。
- 保密性：敏感日志（如用户密码错误记录）需加密存储。
- 可用性：确保日志存储介质可靠（如RAID备份），避免因硬件故障丢失。
审计与分析
- 定期审查：至少每月检查一次日志，重点排查异常行为（如频繁登录失败、非工作时间操作）。
- 自动化告警：通过SIEM工具（如Splunk、ELK）设置规则，实时触发告警（如同一账户短时间多次尝试下载PLC程序）。

二、在PLC编程环境中的具体实施

1. 日志记录范围

PLC设备操作：
- 程序下载/上传记录。
- 设备配置变更（如IP地址、通信端口修改）。
- 固件升级或回滚操作。
编程软件操作：
- 用户登录/退出（包括远程访问）。
- 代码版本提交、合并或回退（如Git操作）。
- 工程文件导出或共享行为。
网络通信：
- PLC与上位机（如SCADA）的通信会话（源/目的IP、协议、数据量）。
- 未授权协议（如Telnet）的使用尝试。

2. 技术实现方案

集中式日志管理：
- 使用工业日志服务器统一收集PLC、编程软件及网络设备的日志（如通过Syslog协议）。
- 示例：西门子TIA Portal可将操作日志导出至中央数据库。
日志格式标准化：
- 采用通用格式（如CEF、LEEF），便于跨平台分析。
- PLC厂商自定义日志需转换为标准格式（如JSON）。
安全存储设计：
- 日志存储于独立分区或专用服务器，与生产环境隔离。
- 启用只读权限，防止操作员误删或篡改。

3. 审计流程示例

1. **数据采集**  
   - PLC设备：通过OPC UA协议上传操作日志至SIEM系统。  
   - 编程软件：配置本地日志文件自动同步至云端（如AWS S3）。  

2. **分析规则**  
   - 规则1：同一用户账号在5分钟内尝试下载程序超过3次 → 触发告警。  
   - 规则2：非工作时间（如凌晨2点）检测到PLC配置修改 → 邮件通知管理员。  

3. **调查与响应**  
   - 发现异常后，关联其他日志（如网络流量、访问记录）溯源。  
   - 若确认为攻击，立即隔离受感染PLC，并启动备份恢复程序。

三、合规性验证与挑战

1. 认证审核关注点

完整性证明：审核员可能要求展示日志哈希值验证流程。
保留周期合规：需提供日志存储策略文档及实际存储样例。
权限分离：确保日志分析人员与系统操作员角色分离（职责分离原则）。

2. 常见挑战与解决方案

资源受限的PLC设备：
- 方案：仅记录关键事件，或通过外部网关（如工业防火墙）代理日志收集。
老旧系统兼容性：
- 方案：使用协议转换器（如Modbus转MQTT）将日志发送至现代平台。
海量日志处理：
- 方案：采用边缘计算（Edge Computing）预处理，仅上传异常日志。

四、最佳实践与案例

案例1：汽车制造厂的日志审计
某工厂为每条生产线PLC部署轻量级代理，实时将日志发送至中央SIEM系统。通过机器学习模型识别异常模式（如非授权时段程序下载），半年内成功阻断2次针对性攻击。
案例2：水处理设施的多层保护
使用区块链技术存储关键日志（如PLC固件更新记录），确保日志不可篡改，并通过智能合约自动触发审计报告生成。

总结

ISO 27001的日志审计要求强调完整性、可追溯性及实时监控。在PLC编程环境中，需结合工业控制系统的特殊性，平衡安全性与性能，并通过技术与管理结合实现合规。最终目标是通过日志快速定位威胁，支撑信息安全事件的预防、检测与响应。