NISP 一级 | 2.5 安全审计

关注这个证书的其他相关笔记：NISP 一级 —— 考证笔记合集-CSDN博客

即便是采取了很多方法来保障计算机或网络安全，但是仍然不可避免系统感染病毒或数据安全受到威胁。受到威胁后，如何从安全事故中恢复过来，使系统尽快运作起来，需要预先采取一些措施。安全审计是提高安全性的重要工具，它能够再现问题，以帮助事后的责任追查和数据恢复等。

审计技术的出现早于计算机技术，它按照时间顺序产生、记录系统事件，并对其进行检查。安全审计可以跟踪和监测系统中的异常事件，也可以监视系统中其他安全机制的运行情况。

0x01：什么是安全审计？

计算机安全审计（Audit）是指按照一定的安全策略，记录历史操作事件，并利用记录进行分析，发现系统漏洞、入侵行为等，并改善系统性能和安全性的一系列过程。安全审计是对访问控制的必要补充，它会对用户使用何种信息资源、使用的事件，以及如何使用（执行何种操作）进行记录与监控。通过对系统和用户进行充分和适当的审计，能够分析发现安全事件的原因，并提供相应的证据。

日志是安全审计系统的主要组成部分。为了维护自身系统资源的运行状况，计算机系统一般都会有相应的日志系统，记录有关日常事件或者误操作警报的日期及时间受到可疑攻击或安全威胁后，可以通过查看事件安全日志来确认可疑或恶意的行为。例如，通过查看事件日志，发现非工作时间某个用户成功登录账户，则可能有人窃取了账号和口令：日志中有多次登录失败的记录则可能有攻击者尝试进入系统。

比如下面，就是 Windows 的日志界面：

0x02：安全审计的分类

安全审计可以分为被动式审计、主动式审计两种：

• 被动式审计就是简单地记录一些活动，并不做处理。

• 主动式审计一般包括：结束一个登录会话、拒绝一些主机的访问（包括 WEB 站点、FTP（File Transfer Protocol，文件传输协议）服务器和电子邮件服务器）、跟踪非法活动的源位置等行为。

0x03：安全审计的作用

安全审计的作用包括以下四个方面：

1. 威慑和警告潜在的攻击者和滥用授权的合法用户。 如果系统使用者知道他们的行为活动被记录在审计日志中，相应人员需要为自己的行为负责，他们就会审慎自己的行为，不太会违反安全策略和绕过安全控制措施。

2. 提供有价值的系统使用日志，帮助系统管理及时发现系统入侵行为或潜在的系统漏洞。 对审计的每一次记录进行分析，可实时发现或预防、检测入侵活动。实时入侵检测审计能及时发现非法授权者对系统的访问，也可以探测到病毒活动和网络攻击。

3. 在发生故障后，可以帮助评估故障损失、重建事件和数据恢复。 通过审查系统活动，可以比较容易的评估故障损失，确定故障发生的时间原因和过程。通过对审计日志进行分析可以帮助重建系统或事件，也能协助恢复数据文件。同时，还有助于避免再次发生此类故障。

4. 对系统控制、安全策略与规程中特定的改变做出评价和反馈，便于修订决策和部署。