计算环境安全之操作系统安全机制中安全审计

(5)安全审计

安全审计包括审计事件、审计记录和审计日志等，审计事件是系统审计用户的最基本单位。一个系统的安全审计就是对系统中有关安全的活动进行记录、检查及审核。它的主要目的就是检测和阻止非法用户对计算机系统的入侵，并显示合法用户的误操作，并为系统进行事故原因的查询、定位，事故发生前的预测、报警以及事故发生之后的实时处理提供详细、 可靠的依据和支持，以备有违反系统安全规则的事件发生后能够有效地追查事件发生的地点和过程以及责任人。

通过审计，可以达到以下两个目标：一是可以对受损的系统提供信息帮助以进行损失评估和系统恢复；二是可以详细记录与系统安全有关的行为，从而对这些行为进行分析，发现系统中的不安全的因素。

审计一般是一个独立的过程，应当与系统的其他功能隔开。操作系统的审计记录一般应包括如下信息：事件的日期和时间、代表正在进行事件的主体的唯一标识符、事件的类型、 事件的成功与失败等。对于标识与鉴别事件，审计记录应该记录下事件发生的源地点（如终端标识符）。对于将一个客体引入某个用户地址空间以及删除客体的事件，审计记录应该包括客体名以及客体的安全级。此外，操作系统应该能够监督审计管理员，防止其权利过大。