安全审计自动记录网络中“正常”操作、“非正常”操作及使用时间、敏感信息等过程。审计为系统进行事故原因查询、定位、事故发生前预测、报警以及为事故发生后的实时处理提供详细可靠的依据或支持。
1.安全审计的目标
安全审计目标:对潜在的攻击者起到震慑和警告的作用;对于已经发生的系统破坏行为,提供有效的追究责任的证据,评估损失,提供有效的灾难恢复依据;为系统管理员提供有价值的系统使用日志,帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。
2.安全审计的类型
安全审计类型分为3种:系统级审计、应用级审计和用户级审计。
系统级审计。主要包括登录(成功或失败)、登录识别号、每次登录尝试的日期和时间、每次退出的日期和时间、所使用设备、登录后运行内容(如用户启动应用的尝试,无论成功或失败)。典型的系统级日志还包括与安全无关的信息,如系统操作、费用记账和网络性能。
应用级审计。系统级审计可能无法跟踪和记录应用中的事件,也可能无法提供数据拥有者所需要的足够的细节信息。应用级审计的内容包括打开和关闭数据文件,读取、编辑和删除记录或字段的特定操作以及打印报告之类的用户活动。(www.xing528.com)
用户级审计。该审计通常包括用户直接启动的所有命令、用户所有的鉴别和认证尝试、用户所访问的文件和资源等方面。
3.安全审计系统的基本结构
安全审计通过对所关心的事件进行记录和分析来完成,审计系统包括审计发生器、日志记录器、日志分析器和报告机制几部分,如图10-4所示。
图10-4 审计系统基本结构
审计发生器的功能是在信息系统中各种事件(如系统事件、安全事件、应用事件、网络事件等)生成时将这些事件的关键要素进行抽取并形成可记录的素材;日志记录器将审计发生器抽取的事件素材记录到指定的位置(如硬盘、磁带等)上,形成日志文件。日志分析器根据审计策略和规则对已形成的日志文件进行分析,得出某种事件发生的事实与规律,形成审计报告。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
