2.基本類型與功能

網(wǎng)絡(luò)安全審計從審計級別上可分為三種類型：系統(tǒng)級審計、應(yīng)用級審計和用戶級審計。

1)系統(tǒng)級審計

系統(tǒng)級審計主要針對系統(tǒng)的登人情況、用戶識別號、登人嘗試的日期和具體時間、退出的日期和時間、所使用的設(shè)備、登人后運行程序等事件信息進(jìn)行審查。典型的系統(tǒng)級審計日

志還包括部分與安全無關(guān)的信息，如系統(tǒng)操作、費用記賬和網(wǎng)絡(luò)性能。這類審計卻無法跟蹤和記錄應(yīng)用事件，也無法提供足夠的細(xì)節(jié)信息。

2)應(yīng)用級審計

應(yīng)用級審計主要針對的是應(yīng)用程序的活動信息，如打開和關(guān)閉數(shù)據(jù)文件，讀取、編輯、 刪除記錄或字段的等特定操作，以及打印報告等。

3)用戶級審計

用戶級審計主要是審計用戶的操作活動信息，如用戶直接啟動的所有命令，用戶所有的鑒別和認(rèn)證操作，用戶所訪問的文件和資源等信息。

根據(jù)安全審計結(jié)果，進(jìn)行可調(diào)整安全政策，封堵漏洞根源，為此，安全審計應(yīng)該具備以下功能：

1)記錄關(guān)鍵事件

由安全人員定義違犯安全的事件，并決定將什么信息記人審計日志

2)提供可集中處理審計日志的數(shù)據(jù)形式

以標(biāo)準(zhǔn)的、可使用的格式輸出安全審計信息，使安全人員能夠直接利用軟件工具處理這些事件。

3)提供易于使用的軟件工具

為了能立即發(fā)現(xiàn)違反安全規(guī)定的事件，要為安全人員提供一套易于使用的基本分析工具。

4)實時安全報警

擴(kuò)展現(xiàn)有管理工作的能力并將它們與數(shù)據(jù)鏈路驅(qū)動程序和本地審計能力結(jié)合起來，當(dāng)發(fā)生與安全有關(guān)的事件時，安全管理人員就會接到報警。

鑒網(wǎng)絡(luò)安全事件的不確定性，利用安全審計日志進(jìn)行監(jiān)控是一種更為主動的監(jiān)督管理形式，它也是一種檢測觸犯安全規(guī)定事件的手段。出于它自身的重要性，安全審計曰志和監(jiān)控功禽邑本身給安全帶來了額外的威脅，因此必須加強對這類信息的保護(hù)。對安全審計日志和監(jiān)控功禽邑的使用也必須做審計記錄，否則，蓄謀作案的內(nèi)部人員將有機可乘，逃脫審查。