笔记-信息系统安全管理-安全审计

安全审计是指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。安全审计是落实系统安全策略的重要机制和手段，通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为。

入侵检测是从信息安全审计派生出来的，随着网络和信息系统应用的推广普及而逐渐成为一个信息安全的独立分支，但彼此涉及的内容、要达到的目的以及采用的方式、方法都非常接近。如果要说出它们的不同，就在于信息安全审计更偏向业务应用系统的范畴，而入侵检测更偏向“入侵”的、业务应用系统之外的范畴。有专家预言，随着业务应用系统的规范化，安全防范需求更高，市场空间扩大，研究和实践的机会更多，信息安全审计与入侵检测将合二为一，并形成一个完整的信息安全防范体系。

安全审计的作用

（1）检测对系统的入侵，对潜在的攻击者起到震慑或警告作用。
（2）发现计算机的滥用情况，对于已经发生的系统破坏行为提供有效的追纠证据。
（3）为系统安全管理员提供有价值的系统使用日志，从而帮助系统安全管理员及时发现系统入侵行为或潜在的系统漏洞。
（4）为系统安全管理员提供系统运行的统计日志，使系统安全管理员能够发现系统性能上的不足或需要改进与加强的地方。

而为了保护高安全度网络环境而产生的、可以确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换的技术属于安全隔离技术。

网络安全审计分类

网络安全审计从审计级别上可分为3种类型：系统级审计、应用级审计和用户级审计。

（1）系统级审计

系统级审计主要针对系统的登入情况、用户识别号、登入尝试的日期和具体时间、退出的日期和时间、所使用的设备、登入后运行程序等事件信息进行审查。典型的系统级审计日志还包括部分与安全无关的信息，如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件，也无法提供足够的细节信息。

（2）应用级审计

应用级审计主要针对的是应用程序的活动信息，如打开和关闭数据文件，读取、编辑、删除记录或字段的等特定操作，以及打印报告等。

（3）用户级审计

用户级审计主要是审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息。