安全审计的基本类型与功能

2.基本类型与功能

网络安全审计从审计级别上可分为三种类型：系统级审计、应用级审计和用户级审计。

1)系统级审计

系统级审计主要针对系统的登人情况、用户识别号、登人尝试的日期和具体时间、退出的日期和时间、所使用的设备、登人后运行程序等事件信息进行审查。典型的系统级审计日

志还包括部分与安全无关的信息，如系统操作、费用记账和网络性能。这类审计却无法跟踪和记录应用事件，也无法提供足够的细节信息。

2)应用级审计

应用级审计主要针对的是应用程序的活动信息，如打开和关闭数据文件，读取、编辑、 删除记录或字段的等特定操作，以及打印报告等。

3)用户级审计

用户级审计主要是审计用户的操作活动信息，如用户直接启动的所有命令，用户所有的鉴别和认证操作，用户所访问的文件和资源等信息。

根据安全审计结果，进行可调整安全政策，封堵漏洞根源，为此，安全审计应该具备以下功能：

1)记录关键事件

由安全人员定义违犯安全的事件，并决定将什么信息记人审计日志

2)提供可集中处理审计日志的数据形式

以标准的、可使用的格式输出安全审计信息，使安全人员能够直接利用软件工具处理这些事件。

3)提供易于使用的软件工具

为了能立即发现违反安全规定的事件，要为安全人员提供一套易于使用的基本分析工具。

4)实时安全报警

扩展现有管理工作的能力并将它们与数据链路驱动程序和本地审计能力结合起来，当发生与安全有关的事件时，安全管理人员就会接到报警。

鉴网络安全事件的不确定性，利用安全审计日志进行监控是一种更为主动的监督管理形式，它也是一种检测触犯安全规定事件的手段。出于它自身的重要性，安全审计曰志和监控功禽邑本身给安全带来了额外的威胁，因此必须加强对这类信息的保护。对安全审计日志和监控功禽邑的使用也必须做审计记录，否则，蓄谋作案的内部人员将有机可乘，逃脱审查。