审计通过显示可疑或异常的系统使用模式来帮助检测潜在的安全违规。审计还提供一种根据可疑操作追溯到特定用户的方法,因此可以起到一种威慑的作用。知道自己的活动正在被审计的用户很少会尝试执行恶意操作。
要保护计算机系统,特别是网络中的系统,需要在系统进程或用户进程开始之前具备控制活动的机制。安全性要求系统上安装有在活动发生时用于监视活动的工具,同时还要求在活动发生后报告活动。
在用户登录或开始系统进程之前设置审计参数,因为大部分审计活动都涉及监视当前事件和报告符合指定参数的事件。Chapter 2, 规划审计和Chapter 3, 管理审计服务中详细介绍了审计服务如何监视和报告这些事件。
审计不能防止黑客未经授权的侵入。但是,审计服务可以报告特定用户在特定日期和时间执行了特定操作之类的信息。审计报告可以按登录路径和用户名来标识用户。此类信息可立即报告给终端和文件,以供以后分析。因此,审计服务提供的数据有助于确定以下内容:
系统安全如何受到威胁
需要关闭哪些漏洞来确保期望的安全级别