如何进行审计？

审计是模拟社会监察机构在加算机系统中监视、记录和控制用户活动的一种机制。其目标是检测和判定对系统的恶意攻击和误操作，并将其作为一种事后分析和追查的有效手段来保护系统安全。在系统中设置系统审计员，负责管理与系统审计有关的事务。

审计系统应该有什么功能？

• 事件收集功能
  并非所有的事件都对系统安全构成威胁。所以对事件设置审计开关，审计的开关状态，决定了事件的监视范围。
• 事件过滤功能
  不同的事件对系统的威胁程度也会不同，需要对收集来的事件进行过滤。采用的方法是设置审计阈值，即，当一个事件超过了阈值的严重程度，则必须记录在系统中。$审计事件是同时满足设定的审计开关和审计阈值的事件。$
• 对事件的分析和控制功能
  当违法事件发生频率超出了设定的值的时候，及时对用户提出警告；当事件频率到达极其恶劣的时候，用户将会被逐出系统；要实现这样的机制，需要在系统中设置报警阈值和惩罚阈值。
• 日志维护和查询功能
  用来记录审计的信息，提供了一种载体，叫做审计日志。
• 审计信息安全保护功能
  审计日志中的信息包含着许多的保密信息，所以要对审计信息进行加密处理。

审计系统的工作流程：

审计系统如何实现？

• 初始化
  审计子系统需要很多的参照信息，而这些参照信息的生成由审计模块完成。
• 审计功能的开启与关闭
  系统中一般用户也可以进行开启审计，但是只有$系统审计员$才有权力关闭审计功能。
• 开关和阈值设置
  计算机系统中设计系统安全的事件可分为两大类：用户级事件和系统级事件，与之对应的是两种开关，用户级开关和系统级开关。
  系统中数据的增删改查可以定义用户级开关。
  用户的登录和退出，系统审计员、系统安全员和系统审计员的活动，和创建客体，这五类操作可以定义系统级开关。
  事件的可能的结果分为成功、失败、出错、违法。
  审计阈值可定义为4种关系中的一种，当审计结果大于或者等于审计阈值的时候将会被记录下来。
  $只有当审计开关打开情况下，审计阈值、报警阈值、惩罚阈值才有意义。$
• 事件收集、过滤和控制
  事件收集和过滤是为了判别当前事件是否为一审计事件，是否将其记录下来。提统计·系统级事件和用户级事件确定一个事件是否审计事件是由差别的。但是两者都是要求审计结果大于或者等于审计阈值。对于结果为违法的事件，无论审计开关或者阈值是否设置，均确定该事件为审计事件。
• 审计日志的维护
  审计信息中包含的内容：发生的时间、涉及的主体和客体、事件的操作类型、事件的结果以及与系统安全有关的一些内容。
  审计日志作为审计内容的载体，分为临时日志和归档日志。
  在临时日志膨胀到一定限度时，系统将会停止工作，并提示导出临时日志，只有审计员才有权将其上内容存放到归档日志中。可采用动态密钥生成方法对其上敏感的信息进行保存。
• 审计日志的查询
  用户可以查询它本人进行设置而产生的临时日志中的审计内容。
  系统审计员可以查询所有的临时日志和归档日志。
• 安全自维护
  1、系统中任意用户都可以执行审计功能开启命令，但只有系统审计员才可以使用审计功能关闭命令。
  2、 用户只可以对自己所拥有的客体进行设计审计，而系统审计员可以对系统中所有的客体设置审计。仅系统审计员才可以对系统级事件设置审计。
  3、 一般用户只能查看自己设置审计而获得的审计内容，而系统审计员可以查询所有的审计消息。
  4、 审计日志的维护和归档，只能由系统审计员来完成。

审计的粒度

• 以客体（文件）为审计粒度
  实现对某些客体的重点监护。
• 以用户为审计粒度
  实现对某些用户的重点监视。
• 以用户和客体为审计粒度
  监视不可信主体可能出现的有目标的恶意攻击。

其他问题

多级安全系统的审计
将审计阈值定义为安全级阈值和严重度阈值两部分。
安全级阈值的取值范围是系统中主体和客体的安全级，严重度阈值就是审计阈值。
冲突问题
用户对自己拥有的客体进行了审计，系统审计员也对该客体进行了审计，但是两者设置的阈值不相同，而产生的冲突。对于这种冲突，审计系统应该选择采用系统审计优先还是审计阈值大的优先。综合实际系统的效率问题，给予合理的抉择。