安全審計的范疇

1)系統日志審計

系統日志主要根據網絡安全級別及強度要求，選擇記錄部分或全部的系統操作。如審計功能的啟動和關閉，使用身份驗證機制，將客體引入主體的地址空間，刪除客體、管理員、 安全員、審計員和一般操作人員的操作，以及其他專門定義的可審計事件。對于單個事件行為，通常系統日志主要包括：事件發生的日期及時間、引發事件的用戶IP地址、事件源及目的地位置、事件類型等。

對于各種網絡系統應采用不同的記錄日志機制。日志的記錄方式有3種：由操作系統完成，也可以由應用系統或其他專用記錄系統完成。大部分情況都采用系統調用Syslog方式記錄日志，少部分采用SNMP記錄。其中，Syslog記錄機制主要由守護程序、規則集及系統調用3部分組成。

日志分析的主要目的是在大量的記錄日志信息中找到與系統安全相關的數據，并分析系統運行情況。主要任務包括：

(1)潛在威脅分析。日志分析系統可以根據安全策略規則監控審計事件，檢測并發現潛在的入侵行為。其規則可以是已定義的敏感事件子集的組合。

(2)異常行為檢測。在確定用戶正常操作行為基礎上，當日志中的異常行為事件違反或超出正常訪問行為的限定時，分析系統可指出將要發生的威脅。

(3)簡單攻擊探測。日志分析系統可對重大威脅事件的特征進行明確的描述，當這些攻擊現象再次出現時，可以及時提出告警。

(4)復雜攻擊探測。更高級的日志分析系統，還應可檢測到多步人侵序列，當攻擊序列出現時，可及時預測其發生的步驟及行為，以便于做好預防。