10.3.2  安全审计的内容

10.3.2 安全审计的内容

在信息系统安全运维过程中，主要通过查阅日志来进行信息系统的安全审计。因此，记录完整的审计日志是开展安全审计的前提和基础。

1.记录完整的审计日志

审计日志主要记录系统的用户操作、重要事件或异常问题等，至少应包括主体、客体、时间、结果和类型等相关信息。通过系统日志可以复原安全事件发生过程，分析系统故障原因，追溯系统被入侵过程，了解系统遭受到了何种破坏等。

审计的内容应包括普通用户的行为和特殊用户的行为，尽量不留“死角”。审计内容还应包括系统资源使用和系统组件使用等与系统安全相关的所有事件，并保证审计日志将安全事件的特性描述清晰。

2.对重要安全事件记录详细的审计日志

应按重要程度对审计日志进行分级，对于重要安全事件应记录详细的审计日志。重要安全事件一般包括：

1）用户管理相关操作，如用户标识与鉴别、用系统管理员身份改变用户权限，增加或删除用户等。

2）用户在系统中的关键业务操作，如删除数据、多次登录失败等，用户登录失败应记录发起登录的IP地址和时间戳。

3）信息系统关键数据的更新，以及关键数据更新前后的状态。

4）信息系统的警告与错误信息等。

根据《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239—2008），信息系统安全审计可以分为网络、主机、应用3个方面。各方面重要安全事件包括：

1）网络的重要安全事件，包括网络系统中的网络设备运行状况、网络流量、用户行为等。

2）主机的重要安全事件，包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。

3）应用的重要安全事件，包括用户行为、用户关键操作等。