信息安全審計的目標：信息機密性颅夺、完整性、可控性蛹稍、可用性和不可否認性吧黄。

要實現(xiàn)信息安全審計，保障計算機信息系統(tǒng)中信息的機密性唆姐、完整性拗慨、可控性、可用性和不可否認性(抗抵賴)奉芦，需要對計算機信息系統(tǒng)中的所有網(wǎng)絡(luò)資源(包括數(shù)據(jù)庫胆描、主機、操作系統(tǒng)仗阅、網(wǎng)絡(luò)設(shè)備昌讲、安全設(shè)備等)進行安全審計，記錄所有發(fā)生的事件减噪，提供給系統(tǒng)管理員作為系統(tǒng)維護以及安全防范的依據(jù)短绸。

根據(jù)被審計的對象（主機车吹、設(shè)備、網(wǎng)絡(luò)醋闭、數(shù)據(jù)庫窄驹、業(yè)務(wù)、終端证逻、用戶）劃分乐埠，安全審計可以分為：

1. 主機審計：審計針對主機的各種操作和行為。

2. 設(shè)備審計：對網(wǎng)絡(luò)設(shè)備囚企、安全設(shè)備等各種設(shè)備的操作和行為進行審計

3. 網(wǎng)絡(luò)審計：對網(wǎng)絡(luò)中各種訪問丈咐、操作的審計，例如telnet操作龙宏、FTP操作棵逊，等等。

4. 數(shù)據(jù)庫審計：對數(shù)據(jù)庫行為和操作银酗、甚至操作的內(nèi)容進行審計辆影。

5. 業(yè)務(wù)審計：對業(yè)務(wù)操作、行為黍特、內(nèi)容的審計蛙讥。

6. 終端審計：對終端設(shè)備（PC、打印機）等的操作和行為進行審計灭衷，包括預(yù)配置審計次慢。

7. 用戶行為審計：對企業(yè)和組織的人進行審計，包括上網(wǎng)行為審計今布、運維操作審計有的審計產(chǎn)品針對上述一種對象進行審計，還有的產(chǎn)品綜合上述多種審計對象拭抬。

按照不同的審計角度和實現(xiàn)技術(shù)進行劃分部默，分為合規(guī)性審計、日志審計造虎、網(wǎng)絡(luò)行為審計傅蹂、主機審計、應(yīng)用系統(tǒng)審計算凿、集中操作運維審計六大類份蝴。

1.合規(guī)性審計

做到有效控制IT風(fēng)險，尤其是操作風(fēng)險氓轰，對業(yè)務(wù)的安全運營至關(guān)重要婚夫。因此，合規(guī)性審計成為被行業(yè)推崇的有效方法署鸡。安全合規(guī)性審計指在建設(shè)與運行IT系統(tǒng)中的過程是否符合相關(guān)的法律案糙、標準限嫌、規(guī)范、文件精神的要求一種檢測方法时捌。這作為風(fēng)險控制的主要內(nèi)容之一怒医，是檢查安全策略落實情況的一種手段。

一般來說奢讨，信息安全審計的主要依據(jù)為信息安全管理相關(guān)的標準稚叹。例如IS0／IEC27000、C0SO拿诸、COBIT扒袖、ITIL、NISTSP800系列佳镜、國家等級保護相關(guān)標準僚稿、企業(yè)內(nèi)控規(guī)范等。這些標準蟀伸、規(guī)范實際上是出于不同的角度提出的控制體系蚀同，基于這些控制體系可以有效地控制信息安全風(fēng)險，從而提高安全性啊掏。根據(jù)相關(guān)標準蠢络、法規(guī)進行合規(guī)性安全審計，起到標識事件迟蜜、分析事件刹孔、收集相關(guān)證據(jù)，從而為策略調(diào)整和優(yōu)化提供依據(jù)娜睛。范圍至少應(yīng)該包括：安全策略的一致性檢查髓霞，人工操作的記錄與分析，程序行為的記錄與分析等畦戒。

　　合規(guī)性審計必須與信息安全策略的制訂與落實緊密結(jié)合在一起方库，才能有效地控制風(fēng)險。目前障斋，市場上根據(jù)相關(guān)標準形成了較多合規(guī)性審計產(chǎn)品纵潦，如基線掃描以及針對性的COBIT審計系統(tǒng)等。

2.日志審計

　　基于日志的安全審計技術(shù)是通過SNMP垃环、SYSLOG或者其他的日志接口從網(wǎng)絡(luò)設(shè)備邀层、主機服務(wù)器、用戶終端遂庄、數(shù)據(jù)庫寥院、應(yīng)用系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備中收集日志，對收集的日志進行格式標準化涛目、統(tǒng)一分析和報警只磷，并形成多種格式和類型的審計報表经磅。

通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備钮追、主機服務(wù)器预厌、用戶終端、應(yīng)用系統(tǒng)及數(shù)據(jù)庫進行日志采集元媚，將數(shù)據(jù)發(fā)送至分析器進行辨別與分析轧叽，匹配策略定義的危險事件，發(fā)送至報警處理器部件刊棕，進行報警或響應(yīng)炭晒。若分析辨別器辨別為策略定義的審計記錄事件，發(fā)送至結(jié)果匯總甥角，進行數(shù)據(jù)備份或生成報告网严。

3.網(wǎng)絡(luò)行為審計

　　基于網(wǎng)絡(luò)技術(shù)的安全審計是通過旁路和串接的方式實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)包的捕獲，繼而進行協(xié)議分析和還原嗤无，可達到審計服務(wù)器震束、用戶終端、數(shù)據(jù)庫当犯、應(yīng)用系統(tǒng)的安全漏洞垢村、合法、非法或入侵操作嚎卫，監(jiān)控上網(wǎng)行為和內(nèi)容嘉栓，監(jiān)控用戶非工作行為等目的。網(wǎng)絡(luò)行為審計更偏重于網(wǎng)絡(luò)行為拓诸，具備部署簡單等優(yōu)點侵佃。

網(wǎng)絡(luò)行為審計部署方式可分為旁路式和串聯(lián)式。旁路式網(wǎng)絡(luò)行為審計是通過在交換機端口鏡像取得原始數(shù)據(jù)包奠支，記錄所有用戶在該鏈路上網(wǎng)絡(luò)行為馋辈，并還原會話連接，恢復(fù)到相應(yīng)的通訊協(xié)議胚宦，進而重現(xiàn)通過該鏈路的網(wǎng)絡(luò)行為首有。一般放在網(wǎng)絡(luò)的主要通道上燕垃，如核心交換機和重點監(jiān)控區(qū)域枢劝，對網(wǎng)絡(luò)行為安全進行記錄。

　　串聯(lián)式工作原理是在網(wǎng)絡(luò)鏈路上識別流經(jīng)它的各種網(wǎng)絡(luò)協(xié)議卜壕，將協(xié)議數(shù)據(jù)嚴格地按照會話進行重組并且記錄下來您旁，通過對會話協(xié)議的回放和報表記錄進行審計。一般部署在需要審計的網(wǎng)絡(luò)鏈路中轴捎，如核心交換機前段和重要網(wǎng)段上鹤盒，對網(wǎng)絡(luò)行為進行審計蚕脏。

4.主機審計

主機安全審計是通過在主機服務(wù)器、用戶終端侦锯、數(shù)據(jù)庫或其他審計對象中安裝客戶端的方式來進行審計驼鞭，可達到審計安全漏洞、審計合法和非法或入侵操作尺碰、監(jiān)控上網(wǎng)行為和內(nèi)容以及向外拷貝文件行為挣棕、監(jiān)控用戶非法行為等目的少辣。主機審計包括了主機的漏洞掃描產(chǎn)品墙牌、主機防火墻和主機IDS／IPS的安全審計功能、主機上網(wǎng)和上機行為監(jiān)控葬毫、終端管理等類型的產(chǎn)品题篷。

　　目前词身，主機安全審計可以與認證系統(tǒng)如令牌、PKI／CA番枚、RADIUS(遠程認證撥號用戶服務(wù))等結(jié)合部署法严，達到用戶訪問控制和登錄審計的效果。

5.應(yīng)用系統(tǒng)審計

　　應(yīng)用系統(tǒng)安全審計是對用戶在業(yè)務(wù)應(yīng)用過程中的登錄户辫、操作渐夸、退出的一切行為通過內(nèi)部截取和跟蹤等相關(guān)方式進行監(jiān)控和詳細記錄，并對這些記錄進行按時間段渔欢、地址段墓塌、用戶、操作命令奥额、操作內(nèi)容等分別進行審計苫幢。

　　目前，市場上沒有成熟的獨立應(yīng)用系統(tǒng)安全審計產(chǎn)品垫挨。針對應(yīng)用系統(tǒng)安全審計特點韩肝，網(wǎng)絡(luò)行為審計和一般的主機審計很難實現(xiàn)業(yè)務(wù)應(yīng)用層面的相關(guān)要求，而日志審計則需要應(yīng)用系統(tǒng)自身將相關(guān)操作形成日志九榔。最好是通過開發(fā)應(yīng)用系統(tǒng)自身對用戶在系統(tǒng)中的操作哀峻、修改行為進行記錄和取證，同時為減少應(yīng)用系統(tǒng)因?qū)徲嫸a(chǎn)生的性能降低哲泊，可以配合第三方登錄審計功能以及日志審計來完成審計工作剩蟀。

6.集中操作運維審計

集中操作運維審計側(cè)重于對網(wǎng)絡(luò)設(shè)備、服務(wù)器切威、安全設(shè)備育特、數(shù)據(jù)庫的運行維護過程中的風(fēng)險審計。運維審計的方式不同于其他審計先朦，尤其是維護人員為了安全的要求缰冤，開始大量采用加密方式犬缨，如RDP（RDP：remotedesktopprotocol）、SSL等棉浸，加密口令在連接建立的時候動態(tài)生成怀薛，一般的針對網(wǎng)絡(luò)行為進行審計的技術(shù)是無法實現(xiàn)的，可分為以下兩種形式迷郑。

　　一是堡壘式運行維護審計乾戏。維護人員先通過身份認證后登錄堡壘主機，所有對網(wǎng)絡(luò)設(shè)備三热、主機服務(wù)器鼓择、安全設(shè)備、數(shù)據(jù)庫等的維護工作通過該堡壘主機進行就漾，這樣就可以記錄全部的運維行為呐能。堡壘主機就是通過路由設(shè)置或訪問控制方式把運維的管理鏈接全部轉(zhuǎn)向運維審計的設(shè)備，由于堡壘主機是操作運維的必然通道抑堡，在處理RDP摆出、SSL等加密協(xié)議時，可以由堡壘主機作為加密通道的中間代理首妖，從而獲取通訊中生成的密鑰偎漫，也就可以對加密管理協(xié)議信息進行審計。

二是數(shù)字KVM審計有缆∠笥唬基于IP協(xié)議的KVM，能以一套鼠標棚壁、鍵盤杯矩、顯示器來控制多臺主機服務(wù)器，通過IP能夠?qū)崿F(xiàn)遠程訪問和控制袖外，其目的是解決機房多設(shè)備史隆、多操作系統(tǒng)、節(jié)能環(huán)保及安全性等問題曼验，通過對屏幕操作視圖的圖像進行錄像與回放功能和完善的日志存儲與查詢功能泌射，能夠記錄和跟蹤各種系統(tǒng)狀態(tài)的變化；提高對系統(tǒng)故意入侵行為的記錄和危害系統(tǒng)安全的記錄鬓照；由于其引入身份證熔酷、授權(quán)、記錄操作內(nèi)容等功能颖杏，也是比較可行的運行維護方式之一纯陨。