本文共 1198 字，大约阅读时间需要 3 分钟。

安全审计的概念

安全审计（Security Audit）是指主体对客体的访问及使用情况进行记录和审查，以保证安全规则被正确执行，帮助分析安全事故产生的原因。

安全审计是信息安全保障系统的一个重要组成部分，具体包括两方面的内容：1.采用网络监控和入侵防范系统，识别网络中各种违规操作与攻击行为，及时响应并进行阻断；2.对信息内容和业务流程的审计，可以防止内部机密和敏感信息的非法泄露、单位资产的流失。

安全审计采用数据挖掘和数据仓库技术。安全审计属于安全管理类产品。安全审计产品主要包括主机类、网络类、数据库类、业务应用系统级的审计产品。信息安全审计偏向业务审计，入侵检测偏向入侵类审计。

安全审计的主要作用有：

1.对潜在的攻击者起到震慑和警告作用

2.对已经发生的系统破话行为提供纠正数据

3.提供有价值的系统使用日志

4.提供系统运行的统计日志

网络安全审计的具体内容：

1.监控网络内部活动

2.占察系统中存在的潜在威胁

3.对日常运行情况的统计分析

4.对突发按键和异常事件的事后分析

5.辅助侦破和取证

安全审计的六个功能：

1.自动响应功能。在被检测事件指示出一个潜在的安全攻击时做出响应，包括报警和行动

2.数据生成功能。记录与安全相关的事件信息

3.分析功能。分析系统活动和审计数据寻找可能的安全违规操作

4.浏览功能。授权用户可以有效地浏览审计数据

5.事件选择功能。系统管理员可以审计事件的安全属性进行审计、维护、检查、修改

6.事件存储功能。提供控制措施保护审计数据。

如何建立安全审计系统

三种安全审计系统的主体建设方案：

1.利用网络安全入侵检测预警系统实现网络与主机信息检测审计

2.对重要应用系统运行情况的审计

3.基于网络旁路监控方式安全审计

入侵检测的基本定义：对计算机和网络资源上的恶意使用进行识别和响应的处理过程。入侵检测系统由安全控制中心和探测器以及分布于网络的系统代理组成，有两种实现的基本结构：基于网络检测的基本机构、基于主机检测的基本结构。基于网络的结构可以实时阻断，基于主机的结构可以实时监听。

对重要应用系统运行情况的审计，从已知现有技术分析，主要有四种解决方案：

1.基于主机操作系统代理。通用性实时性好，审计粒度粗，对确认违规操作不能实现阻断控制

2.基于应用系统代理。实时性好，审计粒度可由用户控制，要增加额外编码工作，通用性不如前者

3.基于应用系统独立程序。实时性好，通用性差，费用高，需要增加专用的审计服务应用进程到应用程序中

4.基于网络旁路监控方式。实时记录，信息完整，不影响应用系统本身，数据保存安全

信息安全审计是干什么的？

个人观点：主要功能是记录客户在使用应用系统时的操作数据，其他的检测、分析、预测、预警都是基于采集到的数据进行的后续处理。安全审计的目的是为了保证系统的安全运行，客户的安全使用。

选择性考察、客观性考察

转载地址：http://cwvdi.baihongyu.com/