10.3.1  安全审计概述

1.安全审计的意义

网络的开放性和信息系统本身的缺陷导致信息安全事件经常发生，往往造成严重的后果。为了降低风险，保障系统的正常运转，安全审计在信息安全中的作用越来越重要。在国际标准及国家标准中，安全审计都作为重要的一个部分，用来标识信息系统的安全性。

审计最早出现于财务专业，词典中的“审计”都是针对财务类型定义的。在现今社会中，几乎所有的企业、机构和组织的包括财务在内的各类系统都运行在计算机上面，所以信息技术和网络技术发展的同时，“审计”成为企业安全管理、信息系统安全保护、信息科技风险防控的关键手段^[66]。

2.安全审计的定义

安全审计（Security Audit）是指检查、验证目标系统的可用性、完整性和保密性，用以检查和防止网络入侵和网络欺骗行为，以及是否符合既定标准等。美国信息系统审计的权威专家将它定义为“收集并评估证据以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标，同时最经济地使用资源”。审计的对象包括可以被识别、分析、存储和记录的所有活动的安全事件。

《信息技术安全评估通用准则》将审计描述为“如果PP/ST中包含来自FAU类（安全审计）中的要求，则审计要求包含供PP/ST作者选择的可审计的事件。这些要求包括按FAU_GEN（安全审计数据产生）子类的组件所支持的以各种不同详细级别表示的安全相关事件。”根据标准解释，可以看出应对审计进行层次化分类，并且保证所有的审计事件都可被适当赋值。高等级的事件比低等级的事件提供了更多的内容。通过安全审计的结果，可以判断安全事件的发生范围，以及导致安全事件发生的责任人。

3.安全审计策略

（1）审计范围、内容和记录应全面 安全审计应保证审计的范围要能够覆盖到每个系统的每个用户，只有范围覆盖得合理而全面，才能保证安全审计的充分性和有效性。

（2）保护审计记录 在信息系统建设和运行过程中，应采取措施确保审计记录的安全，避免受到恶意用户的删除、修改或覆盖等破坏。

（3）保护审计过程及审计结果 在安全审计的过程中，应保护审计过程，避免审计中受到未预期的中断。安全审计要求审计结果的准确性，而中断会导致审计记录前后不一致，致使准确性下降^[67]。