【正文】 分析、處理和追蹤。主要作用有以下幾個(gè)方面： 。的系統(tǒng)破壞行為提供有效的追究證據(jù) 。值的系統(tǒng)使用日志，從而幫助系統(tǒng) 管理員及時(shí)發(fā)現(xiàn)系統(tǒng)入侵行為或潛在的系統(tǒng)漏洞 。，使系統(tǒng)管理員能夠發(fā)現(xiàn)系統(tǒng)性能上的不足或需要改進(jìn)和加強(qiáng)的地方。 三、涉密信息系統(tǒng)安全審計(jì)包括的內(nèi)容《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》中定義的計(jì)算機(jī)信息系統(tǒng)，是指由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。涉密計(jì)算機(jī)信息系統(tǒng)（以下簡(jiǎn)稱 “ 涉密信息系統(tǒng) ” ）在《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》中定義為：采集、存儲(chǔ)、處理、傳遞、輸出 國(guó)家秘密信息的計(jì)算機(jī)信息系統(tǒng)。所以針對(duì)涉密信息系統(tǒng)的安全審計(jì)的內(nèi)容就應(yīng)該針對(duì)涉密信息系統(tǒng)的每一個(gè)方面，應(yīng)該對(duì)計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)），以及對(duì)信息的采集、加工、存儲(chǔ)、傳輸和檢索等方面進(jìn)行審計(jì)。 具體來說，應(yīng)該對(duì)一個(gè)涉密信息系統(tǒng)中的以下內(nèi)容進(jìn)行安全 第 24 頁(yè) 共 28 頁(yè) 審計(jì)：被審計(jì)資源安全審計(jì)內(nèi)容 重要服務(wù)器主機(jī)操作系統(tǒng)系統(tǒng)啟動(dòng)、運(yùn)行情況，管理員登錄、操作情況，系統(tǒng)配置更改（如注冊(cè)表、配置文件、用戶系統(tǒng)等）以及病毒或蠕蟲感染、資源消耗情況的審計(jì)，硬盤、 cpu、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程、操作系統(tǒng)安全 日志、系統(tǒng)內(nèi)部事件、對(duì)重要文件的訪問等。重要服務(wù)器主機(jī)應(yīng)用平臺(tái)軟件重要應(yīng)用平臺(tái)進(jìn)程的運(yùn)行、 webserver、 mailserver、 lotus、 exchangeserver、中間件系統(tǒng)、健康狀況（響應(yīng)時(shí)間等）等。 重要數(shù)據(jù)庫(kù)操作數(shù)據(jù)庫(kù)進(jìn)程運(yùn)轉(zhuǎn)情況、繞過應(yīng)用軟件直接操作數(shù)據(jù)庫(kù)的違規(guī)訪問行為、對(duì)數(shù)據(jù)庫(kù)配置的更改、數(shù)據(jù)備份操作和其他維護(hù)管理操作、對(duì)重要數(shù)據(jù)的訪問和更改、數(shù)據(jù)完整性等的審計(jì)。 重要應(yīng)用系統(tǒng)辦公自動(dòng)化系統(tǒng)、公文流轉(zhuǎn)和操作、網(wǎng)頁(yè)完整性、相關(guān)業(yè)務(wù)系統(tǒng)（包括業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)情況、用戶開設(shè) /中止等重要操作、授權(quán)更改操作、數(shù)據(jù)提交 /處理 /訪問 /發(fā)布操作、業(yè)務(wù)流程等內(nèi)容）等。 重要網(wǎng)絡(luò)區(qū)域的客戶機(jī)病毒感染情況、通過網(wǎng)絡(luò)進(jìn)行的文件共享操作、文件拷貝 /打印操作、通過 modem 擅自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運(yùn)行等的審計(jì) 四、安全審計(jì)系統(tǒng)使用的關(guān)鍵技術(shù) 根據(jù)在涉密信息系統(tǒng)中要進(jìn)行安全審計(jì)的內(nèi)容，我們可以從 第 25 頁(yè) 共 28 頁(yè) 技術(shù)上分為以下幾個(gè)模塊： ：主要負(fù)責(zé)網(wǎng)絡(luò)通信系統(tǒng)的審計(jì) 。統(tǒng)審計(jì)模塊：主要負(fù)責(zé)對(duì)重要服務(wù)器主機(jī)操作系統(tǒng)的審計(jì) 。據(jù)庫(kù)審計(jì)模 塊：主要負(fù)責(zé)對(duì)重要數(shù)據(jù)庫(kù)操作的審計(jì) 。模塊：主要負(fù)責(zé)對(duì)網(wǎng)絡(luò)重要區(qū)域的客戶機(jī)進(jìn)行審計(jì) 。模塊：主要負(fù)責(zé)重要服務(wù)器主機(jī)的應(yīng)用平臺(tái)軟件，以及重要應(yīng)用系統(tǒng)進(jìn)行審計(jì)。 還需要配備一個(gè)數(shù)據(jù)庫(kù)系統(tǒng)，負(fù)責(zé)以上審計(jì)模塊生成的審計(jì)數(shù)據(jù)的存儲(chǔ)、檢索、數(shù)據(jù)分析等操作，另外，還需要設(shè)計(jì)一個(gè)統(tǒng)一管理平臺(tái)模塊，負(fù)責(zé)接收各審計(jì)模塊發(fā)送的審計(jì)數(shù)據(jù)，存入數(shù)據(jù)庫(kù)，以及向?qū)徲?jì)模塊發(fā)布審計(jì)規(guī)則。如下圖所示： 安全審計(jì)系統(tǒng)中應(yīng)解決如下的關(guān)鍵技術(shù)： ： ： 是主機(jī)審計(jì)模塊、操作系統(tǒng)審計(jì)模塊的核心技術(shù)，它可以做到和操作系統(tǒng)的無縫連接，可以方便的對(duì)硬盤、 cpu、內(nèi)存、網(wǎng)絡(luò)負(fù)載、進(jìn)程、文件拷貝 /打印操作、通過 modem 擅自連接外網(wǎng)的情況、非業(yè)務(wù)異常軟件的安裝和運(yùn)行等進(jìn)行審計(jì)。 ： 大多數(shù)的多用戶操作系統(tǒng)（ windows、 unix 等）、正規(guī)的大型軟件（數(shù)據(jù)庫(kù)系統(tǒng)等）、多數(shù)安全設(shè)備（防火墻、防病毒軟件 第 26 頁(yè) 共 28 頁(yè) 等）都有自己的審計(jì)功能，日志通常用于檢查用戶的登錄、分析故障、進(jìn)行收費(fèi)管理、統(tǒng)計(jì)流量、檢查軟件運(yùn)行情況和調(diào)試軟件，系統(tǒng)或設(shè) 備的審計(jì)日志通?？梢杂米鞫伍_發(fā)的基礎(chǔ)，所以如何讀取多種系統(tǒng)和設(shè)備的審計(jì)日志將是解決操作系統(tǒng)審計(jì)模塊、數(shù)據(jù)庫(kù)審計(jì)模塊、應(yīng)用審計(jì)模塊的關(guān)鍵所在。 ： 審計(jì)數(shù)據(jù)的分析是一個(gè)安全審計(jì)系統(tǒng)成敗的關(guān)鍵，分析技術(shù)應(yīng)該能夠根據(jù)安全策略對(duì)審計(jì)數(shù)據(jù)具備評(píng)判異常和違規(guī)的能力，分為實(shí)時(shí)分析和事后分析： 實(shí)時(shí)分析：提供或獲取審計(jì)數(shù)據(jù)的設(shè)備和軟件應(yīng)該具備預(yù)分析能力，并能夠進(jìn)行第一道篩選 。事后分析：統(tǒng)一管理平臺(tái)模塊對(duì)記錄在數(shù)據(jù)庫(kù)中的審計(jì)記錄進(jìn)行事后分析，包括統(tǒng)計(jì)分析和數(shù)據(jù)挖掘。 五、安全審計(jì)系統(tǒng)應(yīng)該注意的問題 安全審計(jì)系統(tǒng)的設(shè)計(jì)應(yīng)該注意以下幾個(gè)問題： ： 在審計(jì)數(shù)據(jù)的獲取、傳輸、存儲(chǔ)過程中都應(yīng)該注意安全問題，同樣要保證審計(jì)信息的 “ 五性 ” 。在審計(jì)數(shù)據(jù)獲取過程中應(yīng)該防止審計(jì)數(shù)據(jù)的丟失，應(yīng)該在獲取后盡快傳輸?shù)浇y(tǒng)一管理平臺(tái)模塊，經(jīng)過濾后存入數(shù)據(jù)庫(kù)，如果沒有連接到管理平臺(tái)模塊，則應(yīng)該在本地進(jìn)行存儲(chǔ)，待連接后再發(fā)送至管理平臺(tái)模塊，并且應(yīng)該采取 第 27 頁(yè) 共 28 頁(yè) 措施防止審計(jì)功能被繞過 。在傳輸過程中應(yīng)該防止審計(jì)數(shù)據(jù)被截獲、篡改、丟失等，可以采用加密算法以及數(shù) 字簽名方式進(jìn)行控制 。在審計(jì)數(shù)據(jù)存儲(chǔ)時(shí)應(yīng)注意數(shù)據(jù)庫(kù)的加密，防止數(shù)據(jù)庫(kù)溢出，當(dāng)數(shù)據(jù)庫(kù)發(fā)生異常時(shí)，有相應(yīng)的應(yīng)急措施，而且應(yīng)該在進(jìn)行審計(jì)數(shù)據(jù)讀取時(shí)加入身份鑒別機(jī)制，防止非授權(quán)的訪問。 首先要把握和控制好數(shù)據(jù)的來源，比如來自網(wǎng)絡(luò)的數(shù)據(jù)截取 。來自系統(tǒng)、網(wǎng)絡(luò)、防火墻、中間件等系統(tǒng)的日志 。通過嵌入模塊主動(dòng)收集的系統(tǒng)內(nèi)部信息 。通過網(wǎng)絡(luò)主動(dòng)訪問獲取的信息 。來自應(yīng)用系統(tǒng)或安全系統(tǒng)的審計(jì)數(shù)據(jù)等。有數(shù)據(jù)源的要積極獲取 。沒有數(shù)據(jù)源的要設(shè)法生成數(shù)據(jù)。對(duì)收集的審計(jì)數(shù)據(jù)性質(zhì)也要分清哪些是已經(jīng)經(jīng)過分析和 判斷的數(shù)據(jù)，哪些是沒有分析的原始數(shù)據(jù)，要做出不同的處理。 另外，應(yīng)該設(shè)計(jì)公開統(tǒng)一的日志讀取 api，使應(yīng)用系統(tǒng)或安全設(shè)備開發(fā)時(shí)，就可以將審計(jì)日志按照日志讀取 api 的模式進(jìn)行設(shè)計(jì)，方便日后的審計(jì)數(shù)據(jù)獲取。 由于涉密信息系統(tǒng)的迅速發(fā)展，系統(tǒng)規(guī)模也在不斷擴(kuò)大，所以在安全審計(jì)設(shè)計(jì)的初期就應(yīng)該考慮分布式、跨網(wǎng)段，能夠進(jìn)行分級(jí)控制的問題。也就是說一個(gè)涉密信息系統(tǒng)中可能存在多個(gè)統(tǒng)一管理平臺(tái)，各自管理一部分審計(jì)模塊，管理平臺(tái)之間是平行關(guān) 第 28 頁(yè) 共 28 頁(yè) 系或上下級(jí)關(guān)系，平級(jí)之間不能互相管理， 上級(jí)可以向下級(jí)發(fā)布審計(jì)規(guī)則，下級(jí)根據(jù)審計(jì)規(guī)則向上級(jí)匯報(bào)審計(jì)數(shù)據(jù)。這樣能夠根據(jù)網(wǎng)絡(luò)規(guī)模及安全域的劃分靈活的進(jìn)行擴(kuò)充和改變，也有利于整個(gè)安全審計(jì)系統(tǒng)的管理，減輕網(wǎng)絡(luò)的通信負(fù)擔(dān)。 安全審計(jì)系統(tǒng)應(yīng)該采用模塊設(shè)計(jì)，這樣有利于審計(jì)系統(tǒng)的升級(jí)和維護(hù)。 專家預(yù)測(cè)，安全審計(jì)系統(tǒng)在 2024 年是最熱門的信息安全技術(shù)之一。國(guó)內(nèi)很多信息安全廠家都在進(jìn)行相關(guān)技術(shù)的研究，有的已經(jīng)推出了成型的產(chǎn)品，另一方面，相關(guān)的安全審計(jì)標(biāo)準(zhǔn)也在緊鑼密鼓的制定當(dāng)中，看來一個(gè)安全審計(jì)的春天已經(jīng)離我們?cè)絹碓浇?。但是信息系統(tǒng)的安全從來都是一個(gè)相對(duì)的概念，只有相對(duì)的安全，而沒有絕對(duì)的安全。