安全审计的一般流程

5.3　安全审计的一般流程

安全审计流程如图5－4所示。事件采集设备通过硬件或软件代理对客体进行事件采集，并将采集到的事件发送至事件辨别与分析器进行事件辨别与分析，策略定义的危险事件，发送至报警处理部件，进行报警或响应。对所有需产生审计信息的事件，产生审计信息，并发送至结果汇总，进行数据备份或报告生成。需要注意的是，以上各阶段之间并没有明显的时间相关性，它们之间可能存在时间上的交叉。另外从审计系统设计角度，一个设备可同时承担多个任务。

图5－4　安全审计流程图

1.策略定义

安全审计应在一定的审计策略下进行，审计策略规定哪些信息需要采集、哪些事件是危险事件，以及对这些事件应如何处理等。因而审计前应制定一定的审计策略，并下发到各审计单元。在事件处理结束后，应根据对事件的分析处理结果来检查策略的合理性，必要时应调整审计策略。

2.事件采集

事件采集阶段包含以下行为：

（1）按照预定的审计策略对客体进行相关审计事件采集，形成的结果交由事件后续的各阶段来处理；

（2）将事件其他各阶段提交的审计策略分发至各审计代理，审计代理依据策略进行客体事件采集。

注意：审计代理是安全审计系统中完成审计数据采集、鉴别并向审计跟踪记录中心发送审计消息的功能部件，包括软件代理和硬件代理。

3.事件分析

事件分析阶段包含以下行为：

（1）按照预定策略，对采集到事件进行事件辨析，决定：

①忽略该事件；

②产生审计信息；

③产生审计信息并报警；

④产生审计信息且进行响应联动。

（2）按照用户定义与预定策略，将事件分析结果生成审计记录，并形成审计报告。

4.事件响应

事件响应阶段是根据事件分析的结果采用相应的响应行动，包含以下行为：

（1）对事件分析阶段产生的报警信息、响应请求进行报警与响应；

（2）按照预定策略，生成审计记录，写入审计数据库，并将各类审计分析报告发送到指定的对象；

（3）按照预定策略对审计记录进行备份。

5.结果汇总

结果汇总阶段负责对事件分析及响应的结果进行汇总，主要包含以下行为：

（1）将各类审计报告进行分类汇总；

（2）对审计结果进行适当的统计分析，形成分析报告；

（3）根据用户需求和事件分析处理结果形成审计策略修改意见。