17 - 02 - 20 计算机网络（41）（信息系统审计）

系统审计(信息系统审计)：

信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、

维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。

——计算机安全的审计也指 产生、记录并检查按时间顺序排列的系统事件记录的过程。

审计是其他安全机制的有力补充，它贯穿计算机安全机制实现的整个过程。从身份认证 到访问控制这些都离不开审计。

同时，审计还是研究入侵检测系统的前提。

入侵检测系统（intrusion detection system，IDS）是一种对网络传输进行即时监视，

在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，

IDS是一种积极主动的安全防护技术。

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。

从技术上，入侵检测分为两类：一种基于标志（signature-based），另一种基于异常情况（anomaly-based）。

目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。

作为一种安全机制，计算机审计系统的安全目标有：

1、审查基于每个目标/用户的访问模式，并使用系统的保护机制

2、发现试图绕过保护机制的内外部人员。

3、发现用户从低等级到高等级的访问权限转移。

4、制止用户企图绕过系统保护机制的尝试。

5、作为另外一种机制 确保发现并记录用户企图绕过保护的尝试，为控制损失提供足够的信息（证据）。

综合：审计是记录用户使用计算机网络系统进行所有活动的过程，是提高安全性的重要工具，

安全审计追踪机制的价值在于：经过事后的安全审计可以检测和调查安全漏洞。

对于谁访问了系统，对系统做了什么、是否有网络攻击、攻击源、攻击方法、

通过这些记录的不断收集(伪自我学习)使得以后能更迅速地做出反应。