网络安全审计概述

4A分别是认证、授权、账号、审计

网络安全审计是指对网络信息系统的安全相关活动信息进行获取、记录、存储分析和利用的工作。

网络安全审计的作用在于建立“事后”安全保障措施，为网络安全事件分析提供线索及证据，以便于发现潜在的网络安全威胁行为，开展网络安全风险分析及管理。

做项目的，一般有一个规程，就是审计看你这个项目做的过程有没有违规，有没有一些行贿，有没有侵占国家的一些利益，事后需要做一个审计，如果牵涉到一些行贿或者受贿的，审计部门会给公安机关提供相应的线索、证据

在网络安全领域也是一样的，只是他审计的内容跟网络安全事件相关，以便于我们发现一些潜在的威胁，然后开展安全的风险分析以及管理，审计是发生在事后的

我国GB17859《计算机信息系统安全保护等级划分准则》从第二级开始要求提供审计安全机制。

等保一般分5个等级，一级最低，二级是入门级等保，一般是一些区县的医院或者区县的政府部门可能会做等保二级，我们常规项目还是三级居多

第二级为系统审计保护级，该级要求计算机信息系统可信计算机实施了粒度更细的自主访问控制，通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。《准则》中明确了各级别对审计的要求。

从第二级开始要求要有审计

等保五个级别对审计要求

第五级太高了，因为密级太高了，一般不走等保，走分级保护；能做第四级等保，这些信息系统安全性已经很高了

网络安全审计系统组成

网络安全审计系统一般包括审计信息获取、审计信息存储、审计信息分析、审计信息展示及利用、系统管理等组成部分。

网络安全审计系统类型

按照对象不同，分为：操作系统安全审计、数据库安全审计、网络通信安全审计、应用系统安全审计、工控安全审计、网络安全设备审计、移动安全审计、互联网安全审计、代码安全审计等。

操作系统审计一般是对操作系统用户和系统服务进行记录，主要包括用户登录和注销、系统服务启动和关闭、安全事件等。

Windows操作系统基本审计信息有注册登录事件、目录服务访问、审计账户管理、对象访问、审计策略变更、特权使用、进程跟踪、系统事件等；

Linux操作系统基本审计信息有系统开机自检日志boot.log、用户命令操作日志acct/pacct、最近登录日志lastlog、使用su命令日志sulog、当前用户登录日志utmp、用户登录和退出日志wtmp、系统接收和发送邮件日志maillog、系统消息messages等
。

数据库审计通常是监控并记录用户对数据库服务器的读、写、查询、添加、修改以及删除等操作，并可以对数据库操作命令进行回放。

网络通信安全审计一般采用专用审计系统，通过专用设备获取网络流量，然后再进行存储和分析，常见内容为IP源地址、IP目的地址、源端口号、目的端口号、协议类型、传输内容等。

按照审计范围，安全审计可分为综合审计系统和单个审计系统。由于各IT产品自带的审计功能有限，审计能力不足，于是安全厂商研发了综合审计系统。单个审计系统主要针对独立的审计对象，审计数据来源单一，缺少多源审计对象的关联分析，常见的是IT系统或产品自带的审计功能。