安全审计的范畴之系统日志审计二

审计事件查阅与存储方面审计系统可以成为追踪入侵、恢复系统的直接证据，所以，其自身的安全性更为重要。审计系统的安全主要包括审计事件查阅安全和存储安全。审计事件的查阅应该受到严格的限制，避免日志被篡改。可通过以下措施保护查阅安全：

(1)审计查阅。审计系统只为专门授权用户提供查阅日志和分析结果的功禽旨。

(2)有限审计查阅。审计系统只能提供对内容的读权限，拒绝读以外权限的访问。

(3)可选审计查阅。在有限审计查阅的基础上，限制查阅权限及范围”。

审计事件的存储安全具体要求为：

(1)保护审计记录的存储。存储系统要求对日志事件具有保护功能，以防止未授权的修改和删除，并具有检测修改及删除操作的功能。

(2)保证审计数据的可用性。保证审计存储系统正常安全使用，并在遭受意外时，可防止或检测审计记录的修改，在存储介质出现故障时，能确保记录另存储且不被破坏。

(3)防止审计数据丢失。在审计踪迹超过预定值或存满时，应采取相应的措施防止数据丢失，如忽略可审计事件、只允许记录有特殊权限的事件、覆盖以前记录、停止工作或另存为备份等。