1.什么是审计跟踪
审计跟踪(audit trail)是系统活动的流水记录。该记录按事件从始至终的途径,顺序检查、审查和检验每个事件的环境及活动。审计跟踪通过书面方式提供应负责任人员的活动证据以支持职能的实现。审计跟踪记录系统活动和用户活动。系统活动包括操作系统和应用程序进程的活动;用户活动包括用户在操作系统中和应用程序中的活动。通过借助适当的工具和规程,审计跟踪可以发现违反安全策略的活动、影响运行效率的问题以及程序中的错误。
审计跟踪可以做为对正常系统操作的一种支持,也可以做为一种保证策略或前两者兼而有之。做为保证策略,所维护的审计跟踪只在需要时使用,比如系统中断。做为对操作的支持,审计跟踪用于帮助系统管理员确保系统及其资源免遭黑客、内部使用者或技术故障的伤害。
在很大程度上,信息的完整性和机密性取决于使用人的职能。也就是说,人们必须为他们的行为负责。这是一种探测和威慑机制。首先应该制定一系列行为标准,使用人必须认可这些行为标准;还要由较高级别的管理者对违反标准的人进行处罚。让用户知道自己的行为被监控也可以阻止潜在的破坏者对安全的侵害。用户职能可以通过策略、授权方案、识别和鉴别机制、访问控制、审计跟踪和审计实现。
2.审计跟踪的方法
审计跟踪提供了实现多种安全相关目标的一种方法,这些目标包括个人职能、事件重建、入侵探测和故障分析。
3.审计跟踪的实施
为了确保审计跟踪数据的可用性和正确性,审计跟踪数据需要受到保护,因为不正确的数据是没用的。而且,如果不对日志数据进行及时审查、规划和实施,再好的审计跟踪也会失去价值。审计跟踪应该根据需要(经常由安全事件触发)定期审查、自动实时审查、或两者兼而有之。系统管理人和系统管理员应该根据计算机安全管理的要求确定需要维护多长时间的审计跟踪数据,其中包括系统内保存的和归档保存的数据。
与实施有关的问题包括(1)保护审计跟踪数据,(2)审查审计跟踪数据,和(3)用于审计跟踪分析的工具。