审计的目的
T18336的原话 P48页“安全审计包括识别、记录、存储和分析那些与安全相关活动有关的信息。检查审计记录结果能判断出发生了哪些安全相关活动以及哪个用户对这些活动负责。
这段话说明了几个问题:
1、 审计日志的范围:主要适用于与安全相关活动有关的信息,非安全的信息不在此范围。
2、 审计日志的目的:主要用于判断发生了哪些安全活动。
因此审计的目的和范围都已经确定。
审计在安全的位置
1996年,美国国防部DoD提出了PDRR模型,即Protection(P防护)、Dection(D检测)、Response(R响应)、Recovery(R恢复),这4个部分构成了一个动态的信息安全周期。PPDRR模型在这个模型的基础上改进的,增加了一个P是Policy。
审计组件,主要负责Dection(检测)和Response(响应)两个方面,非常重要。
1.3 审计组件
审计的组件主要包括:
安全审计自动响应
安全审计数据生产
安全审计分析
安全审计查阅
安全事件选择
安全审计事件存储
这些安全组件,可以划分成两组:审计事件产生、审计事件事后查阅分析。
审计事件产生,其基本过程如下:
1、 选择需要审计的安全事件。
2、 在安全事件发生的时候,产生相应的审计数据。
3、 在特定的审计事件发生后,系统自动做出相应。
4、 审计数据的存储。
这样就形成了一个完整的审计数据产生的过程。
审计事件事后查阅分析
在拿到审计数据后,用户可以对于审计的数据进行分析和查阅。
安全审计查阅,主要体现在用户对于审计数据访问控制的能力。
安全审计分析,主要体现在用户分析审计数据,对攻击的检测能力上。
查阅,是分析的基础。