概念及标准:审计是对获取的各种信息进行分析、利用,属于”事后”,发现潜在的威胁
    常见审计功能:安全事件采集、存储、查询
    从GB17859《计算机信息系统安全保护等级划分准则》二级开始要求提供审计机制。
    《网络安全法》规定网络日志不少于6个月。

    系统组成和类型:
    组成:
    审计信息获取
    审计信息存储
    审计信息分析
    审计信息展示及利用
    系统管理
    类型(按审计对象分):
    操作系统审计
    数据库安全审计
    网络通信安全审计
    应用系统安全审计
    网络安全设备审计
    工控安全审计
    移动安全审计
    互联网安全审计
    代码安全审计
    tips:不同的审计对象它的颗粒度是不同的。比如操作系统审计能到进程,而网络到IP地址。

    审计机制与实现技术:
    机制:
    1.基于主机的审计机制
    2.基于网络通信的审计机制
    3.基于应用的审计机制
    技术:
    1.系统日志采集
    2.网络流量数据获取技术(监听端口镜像、分流器)
    3.网络审计数据安全分析技术(字符串搜索等)
    4.网络审计数据存储技术
    分散存储,即各应用自己存日志等
    集中存储,需审计数据服务器
    5.网络审计数据保护技术
    分权
    强制访问
    加密
    隐私保护
    完整性保护(SM2/SM9)

    审计产品:自动采集、分析、利用Syslog、Snmptrap、Netflow、Tenet、SSH、WMI、FTP、SFTP、SCP、JDBC、文件等。

    产品有:主机、数据库、网络流量、工控系统、运维
    审计后可用于:运维保障、数据访问监测、网络入侵防御、取证