我的《信息保卫战》读书笔记：安全事件审计

安全审计一般是指由专业审计人员根据有关的法律法规、财产所有者的委 托和管理当焉的授权，对计算机网络环境下的有关活动或行为进行系统的、独 立的检查验证，并作出相应评价。由此来看，审计可以是来自内部的，也可以

是来自外部的。

安全事件审计来自企业内部，是对企业M络和信息系统的各种安全事件及 行为实行监测、信息采集、分析并针对特定事件及行为采取相应的比较动作， 并通过评估网络和信息系统的安全性和风险，为完善安全策略的制定提供审计数据和审计服务支撑，从而达到保障网络和信息系统正常运行的目的。

企业网络与信息系统安全事件审计产品是对网络和信息系统各组成要素进 行安全事件采集，将釆集数据进行自动智能分析，从而提高企业网络和信息系统安全管理的效率。

一、概述

安全事件审计主要是指企业监控并记录网络和业务系统环境中发生的安全 事件，通过对各类安全事件审计日志信息的采集、分析、统计、呈现，以及对 安全事件的发生、响应处理进行追踪，以及对后续的安全运维和安全策略进行完善改进。企业安全事件审计的目的是要全面掌控安全事件的状况，并查找在 安全事件发生、响应处理等过程中是否存在问题，并及时督促完善，指导企业 建立和完善信息安全运维体系。

企业为提高安全事件审计信息处理的准确性、真实性和合法性，强化企业 的内部信息安全控制制度的落实，防止企业网络和业务系统出现各种安全隐患，应建立企业网络和业务系统环境下对安全事件审计的制度。内部安全事件审计 是需要由企业的最高负责人直接领导下，依照有关信息安全法律、法规及内部 信息安全管理制度，对安全事件真实性、完整性和时效性进行相对独立的监控、检查与评价的活动。其主要目的是保护企业安全事件审计信息记录的真实性与 可靠性。

二、面临挑战与需求分析

随着企业对信息安全重视程度的增加，针对企业网络和业务系统发生的各类安全事件审计也越来越受关注，许多的安全厂商也随之提供许多相关的安全 产品。企业通过查看、分析各类安全事件，定位与解决所发生的安全问题。但 是随着时间流逝，企业面临更多安全事件审计需求，当前企业更加关注的审计需求有以下几个方面：

(1) 如何保障安全事件审计信息的完整性、不可更改性，企业在对安全事 件进行审计时，安全事件审计信息数据的完整性、不可变更性至关重要。

(2) 企业每天产生海量安全事件审计信息，并且由于信息安全建设的异构 化，各类安全厂商的安全事件审计信息格式不统一，如何统一进行安全事件审 计信息的采集，统一管理，统一存储。

(3)  企业该如何发掘安全事件审计信息中的价值数据，如何进行智能化分 析、统计、呈现，从而更好地指导企业信息安全管理以及安全策略的制定。

三、安全事件审计的具体工作

安全事件审计标准流程是安全事件审计工作的具体规程，它规定安全事件 审计工作的具体内容、具体的方法和手段。与安全审计一样，安全事件审计主要包括三个阶段：审计准备阶段、实施阶段以及终结阶段。

1. 安全事件审计准备阶段

安全事件审计准备阶段需要了解审计各类安全事件的具体情况、目标，以 及安全事件响应控制措施和应用控制情况，并对安全事件审计工作制定出具体的工作计划。在这一阶段，应重点确定审计对象的安全要求、审计重点、可能 的漏洞及减少漏洞的各种控制措施。

2. 安全事件审计实施阶段

安全事件审计实施阶段的主要任务是对企业现有的安全事件进行采集、分 析、统计与呈现，以及如何快速进行安全事件响应、处理，从而明确企业是否为安全采取了适当的控制措施，这些控制措施是否发挥着作用，以及控制措施 是否需要完善改进。

3. 安全事件审计终结阶段

安全事件审计终结阶段应对企业现存的安全事件采集、分析、统计、呈现 平台系统作出评价，并提出改进和完善的方法和其他意见，特别是对企业信息安全运维体系建设、安全策略制定等等。