第四章 安全审计

4.1 安全审计概述

4.1.1 基本概念

对信息系统中与安全相关的活动进行记录、检查及审核的过程。
安全系统要求用审计方法监视安全相关的活动。（GB17859-1999计算机信息系统安全保护等级划分准则）

安全审计的目的：

检测，阻止非授权用户对系统的入侵；
检测，显示授权用户的误操作。

4.1.2 安全审计的作用

系统安全的最后防线，访问控制的必要补充。

4.1.3 安全审计的实现要求

记录安全活动相关信息
重现安全事件
违规事件检测和分析
尽可能减少对生产系统的影响
保障自身安全
审计过程相对独立，与系统其它功能隔离

4.2 安全审计系统模型

4.2.1 功能需求

功能需求：
数据生成

标识审计级别；列举可审计事件的类型，并标识所提供的审计相关信息的最小集。
需指定与动作相关的用户身份。

事件选择

在可审计事件集中，选择或排除一些事件。
使系统可以配置不同级别的审计粒度。

事件存储

创建并维护安全审计踪迹。
提供可用性，防止审计踪迹数据丢失。

自动响应

当存在安全违规时产生自动的响应，例如安全报警。

审计分析

提供自动化机制，分析系统活动和审计数据。
标识可审计事件集合，确定是否已经发生违规.

审计复核

对于授权用户，帮助对审计数据的审核。

4.3 安全审计系统的设计与实现

1.确定审计策略
2.定义审计记录
3.确定审计点
4.审计记录的存储
5.审计记录的安全性要求
6.审计信息的使用与管理
7.审计系统的构成
8.降低审计开销