五、安全审计

　　安全审计是在网络中模拟社会活动的监察机构，对网络系统的活动进行监视、记录并提出安全意见和建议的一种机制。利用安全审计可以有针对性地对网络运行状态和过程进行记录、跟踪和审查。通过安全审计不仅可以对网络风险进行有效评估，还可以为制定合理的安全策略和加强安全管理提供决策依据，使网络系统能够及时调整对策。

　　在网络安全整体解决方案日益流行的今天，安全审计是网络安全体系中的一个重要环节。网络用户对网络系统中的安全设备、网络设备、应用系统及系统运行状况进行全面的监测、分析、评估，是保障网络安全的重要手段。

　　计算机网络安全审计主要包括对操作系统、数据库、Web、邮件系统、网络设备和防火墙等项目的安全审计，以及加强安全教育，增强安全责任意识。

　　网络安全是动态的，对已经建立的系统，如果没有实时的、集中的可视化审计，就不能及时评估系统的安全性和发现系统中存在的安全隐患。

　　目前，网络安全审计系统包含的主要功能和所涉及的共性问题如下：

　　1.网络安全审计系统的主要功能

　　(1)采集多种类型的日志数据。能够采集各种操作系统、防火墙系统、入侵检测系统、网络交换机、路由设备、各种服务及应用系统的日志信息。

　　(2)日志管理。能够自动收集多种格式的日志信息并将其转换为统一的日志格式，便于对各种复杂日志信息的统一管理与处理。

　　(3)日志查询。能以多种方式查询网络中的日志信息，并以报表形式显示。

　　(4)入侵检测。使用多种内置的相关性规则，对分布在网络中的设备产生的日志及报警信息进行相关性分析，从而检测出单个系统难以发现的安全事件。

　　(5)自动生成安全分析报告。根据日志数据库记录的日志信息，分析网络或系统的安全性，并向管理员提交安全性分析报告。

　　(6)网络状态实时监视。可以监视运行有代理的特定设备的状态、网络设备、日志内容、网络行为等情况。

　　(7)事件响应机制。当安全审计系统检测到安全事件时，能够及时响应和自动报警。

　　(8)集中管理。安全审计系统可利用统一的管理平台，实现对日志代理、安全审计中心和日志数据库的集中管理。

　　2.网络安全审计系统所涉及的共性问题

　　(1)日志格式兼容问题。通常情况下，不同类型的设备或系统所产生的日志格式互不兼容，这为网络安全事件的集中分析带来了巨大难度。

　　(2)日志数据的管理问题。日志数据量非常大，不断地增长，当超出限制后，不能简单地丢弃。需要一套完整的备份、恢复、处理机制。

　　(3)日志数据的集中分析问题。一个攻击者可能同时对多个网络目标进行攻击，如果单个分析每个目标主机上的日志信息，不仅工作量大，而且很难发现攻击。如何将多个目标主机上的日志信息关联起来，从中发现攻击行为是安全审计系统所面临的重要问题。

　　(4)分析报告及统计报表的自动生成问题。网络中每天会产生大量的日志信息，巨大的工作量使得管理员手工查看并分析各种日志信息是不现实的。因此，提供一种直观的分析报告及统计报表的自动生成机制是十分必要的，它可以保证管理员能够及时和有效地发现网络中出现的各种异常状态。

　　六、安全管理

　　1.信息安全管理的内涵

　　根据我国计算机信息系统安全等级保护管理要求(GA/T 391—2002)中的描述，信息安全管理的内涵是对一个组织或机构中信息系统的生命周期全过程实施符合安全等级责任要求的科学管理，它包括：

　　(1)落实安全组织及安全管理人员，明确角色与职责，制定安全规划；

　　(2)开发安全策略；

　　(3)实施风险管理；

　　(4)制定业务持续性计划和灾难恢复计划；

　　(5)选择与实施安全措施；

　　(6)保证配置、变更的正确与安全；

　　(7)进行安全审计；

　　(8)保证维护支持；

　　(9)进行监控、检查，处理安全事件；