資料安全保護的過程，除了告警條件與接續應處措施執行外，
長期性的稽核性日誌保存與管控也是另外一個重要角度的議題。
首先在保存過程牽涉的「完整性（Integrity)」的部分，
即必須採用密碼技術進行加解密或完整性的雜湊函數的應用，
確保儲存的稽核日誌沒有遭到竄改或誤植的可能。

今天鐵人賽文章的技術篇，
接續要來看看資料存取紀錄的區塊，讓我們就資料存取稽核記錄部分，
來繼續瞭解資料安全在「證據力」這塊的內容。

資料安全的稽核日誌

延續在 Day 14 技術篇：資料存取活動監控 談論到的，
資料活動概略可以從：人、事、時、地、物幾個面向可以探討，
而資料安全的稽核日誌，也就是圍繞在這其中所產生出來的記錄資料。
所以像是來源主機、IP、程式、伺服器登入身份、執行的 SQL 語法等，
或是針對執行特定的 DDL 語法、登入失敗、敏感資料存取等，
都是構成稽核日誌的詳細內容與來源。

長期存管的注意項目

當稽核日誌長期存放在系統或硬體儲存媒體之後，
除了直接需要考量的線上、線下的日誌保存的空間規劃之外，
接續而來要考慮的則是備援/備份，甚至異地備援的考量。
現在更多產業標準針對跨國企業的稽核日誌資料，
甚至有跨地區的備份備援的要求與發展，

另外一個當稽核日誌成長到非常顯著時，
如何能夠持續性的調用、存取、搜尋與接續的操作行為，
也是在大量稽核日誌、跨地域型的保存機制情境下，需要考量的。

安全技術保護措施

存取的稽核資料，作為作為中立、客觀的證據力的角度，
其本身的資料的完整性也需要獲得確保，
因此除了稽核日誌的「儲存」之外，在儲存過程也應採用加密演算法，
進行每個稽核日誌檔案的完整性、雜湊值驗證，
確保稽核資料完整性不會遭到意外修改或惡意破壞而影響證據力。

稽核報表規劃與產製

最後則是稽核報表的規劃與產製，
在典型具備資料安全監控機制的組織裡，
最直接需要的看到的稽核報表即是任何資料系統的異常情形，
包含異常登入、資料刪除、普遍性人員登入情形等等，
更進階的資安機制則包含動態威脅的掌握與分析，
能夠及時基於過去歷史行為軌跡，判斷當前行為是否超過基準線。

而稽核報表的產製，另一方面也牽涉到目標對象，
像是 DBA、CIO 與 Audit 等，要看的稽核內容也不太相同。
像 DBA 主要關心的是資料系統的存取過程有無異常，
CIO 層級的主管則是有無安全政策違規等整體管控情形
Audit 則是檢視企業組織有無符合相應產業標準要求，例如 PCI DSS 等。

小結

資料存取的「監控」，然後實施「政策」保護與執行相應動作，
再者保存整個過程的「稽核日誌」，再產生相應的報表資料，
整體即是一個完整、端到端的資料安全保護的典型流程。
明天我們繼續就資料安全的「儲存」本身來看看，
像是 Air-Gap 或是避風港計畫等與資料安全的關聯。