安全审计（全国一等奖）

安全审计浙江警官职业学院刑事执行专业教学资源库安全审计刑事执行专业教学资源库a)安全审计应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户。

条款理解

安全审计定义是保障计算机系统本地安全和网络安全的重要技术，通过对审计信息的分析可以为计算机系统的脆弱性评估、责任认定、损失评估、系统恢复提供关键性信息。因此覆盖范围必须要到每个操作系统用户和数据库用户。

检查方法查看系统是否开启了安全审计功能询问并查看是否有第三方审计工具或系统刑事执行专业教学资源库b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。安全审计

条款理解有效合理的配置安全审计内容，能够及时准确的了解和判断安全事件的内容和性质，并且可以极大的节省系统资源。

检查方法

Windows在“安全设置”中，展开“本地策略”，显示“审核策略”、“用户权利指派”以及“安全选项”策略。刑事执行专业教学资源库安全审计刑事执行专业教学资源库b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。安全审计

检查方法

Linux采用查看方式，在root权限下，查看审计服务是否启动，查看审计配置文件。涉及命令如下：

1、查看服务状态：

#service

syslog

status

#service

audit

status

或

#service

–status-all

|

grep

running

2、查看是否启用如下配置：#grep

“@priv-ops”

/etc/audit/filter.conf#grep

“@mount-ops”

/etc/audit/filter.conf#grep

“@system-ops”

/etc/audit/filter.conf安全审计刑事执行专业教学资源库c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。

条款理解

审计记录是指跟踪指定数据库的使用状态产生的信息，它应该包括事件的日期、时间、类型、主体标识客体标识和结果等。通过记录中的详细信息，能够帮助管理员或其他相关检查人员准确的分析和定位事件。安全审计刑事执行专业教学资源库c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。

检查方法

Windows查看：事件查看器

Linux在root权限下，使用命令more、cat或vi查看/var/log/audit.d文件安全审计刑事执行专业教学资源库Windows日志分为三种：

应用程序日志

；

系统日志

；

安全日志。安全审计刑事执行专业教学资源库

查看audit记录如下：60582005-04-22T17:06:35

19440-1

execve("/usr/bin/find",["find",

"/usr/lib",

"-name",

"*.jar"],

[data,

len=0])2005-04-22T17:06:35

194416058-1

open("/etc/ld.so.preload",O_RDONLY);

result=-2

["No

such

file

or

directory"]2005-04-22T17:06:35

19442

O_RDONLY);

result=32005-04-22T17:06:35

1944360586058-1

open("/etc/ld.so.cache",-1

open("/lib/tls/libc-2.3.2.so",

O_RDONLY);

result=3

61d）应能够根据记录数据进行分析，并生成审计报表。刑事执行专业教学资源库

条款理解

检查方法安全审计

安全审计将会产生各种复杂日志信息，巨大的工作量使得管理员手工查看并分析各种日志内容是不现实的，而且很难有效地对事件分析和定位，因此必须提供一种直观的分析报告及统计报表的自动生成机制，对审计产生的记录数据进行统一管理与处理，并将日志关联起来，来保证管理员能够及时、有效发现系统中各种异常状况及安全事件。查看对审计记录的查看、分析和生成审计报表情况e）应保护审计进程，避免受到未预期的中断。刑事执行专业教学资源库

条款理解安全审计保护好审计进程，当避免当事件发生时，能够及时记录事件发生的详细内容。

检查方法

WindowsWindows系统具备了在审计进程自我保护方面功能

LinuxAuditd是Linux中的审计守护进程，syslogd是Linux中的日志守护进程，因此可以通过services命令查看其状态f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。刑事执行专业教学资源库

条款理解安全审计

非法用户进入系统后的第一件事情就是去清理系统日志和审计日志，而发现入侵的最简单最直接的方法就是去看系统纪录和安全审计文件。因此，必须对审计记录进行安全保护，避免受到未预期的删除、修改或覆盖等。f)应保护审计记录，避免受到未预期的删除、修改或覆盖等。刑事执行专业教学资源库安全审计

检查方法

Window访谈审计记录的存储、备份和保护的措施，如配置日志服务器等

Linux1、以

root

身份登录进入

linux2、查看日志访问权限：ls

–la

/var/log/audi