信息系统安全审计的概念

5.1.1　信息系统安全审计的概念

安全审计是在传统审计学、信息管理学、计算机安全、行为科学、人工智能等学科相互交叉基础上发展的一门新学科。和传统的审计概念不同的是，安全审计应用于计算机网络信息安全领域，是对安全控制和事件的审查评价。

一般来讲，安全审计是指根据一定的安全策略，通过记录和分析历史操作事件及数据，发现能够改进系统性能和系统安全的地方。

确切地说，安全审计就是对系统安全的审核、稽查与计算，即在记录一切（或部分）与系统安全有关活动的基础上，对其进行分析处理、评价审查，发现系统中的安全隐患，或追查造成安全事故的原因，并作出进一步的处理。我国的国家标准GB/T 20945—2007《信息安全技术信息系统安全审计产品技术要求和测试评价方法》给出了安全审计的定义，安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。国际标准ISO/IEC 15408（俗称为CC准则）对网络安全审计的概念和功能作了较为具体的定义。网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析，并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。

安全审计除了能够监控来自网络内部和外部的用户活动，对与安全有关活动的相关信息进行识别、记录、存储和分析，对突发事件进行报警和响应，还能通过对系统事件的记录，为事后处理提供重要依据，为网络犯罪行为及泄密行为提供取证基础。同时，通过对安全事件的不断收集与积累并且加以分析，能有选择性和针对性地对其中的对象进行审计跟踪，即事后分析及追查取证，以保证系统的安全。

由于不存在绝对安全的系统，所以安全审计系统作为和其他安全措施相辅相成、互为补充的安全机制，是非常必要的。CC准则特别规定了信息系统的安全审计功能需求。