1　安全审计的定义和组成

　　安全审计，本文专指IT安全审计，是一套对IT系统及其应用进行量化检查与评估的技术和过程。安全审计通过对IT系统中相关信息的收集、分析和报告，来判定现有IT安全控制的有效性，检查IT系统的误用和滥用行为，验证当前安全策略的合规性，获取犯罪和违规的证据，确认必要的记录被文档化，以及检测网络异常和入侵。

　　根据GB/T 20945-2007《信息安全技术——信息系统安全审计产品技术要求和评价方法》，安全审计被定义为对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应比较动作。信息系统安全审计产品为评估信息系统的安全性和风险、完善安全策略的制定提供审计数据和审计服务支撑，从而达到保障信息系统正常运行的目的。同时，信息系统安全审计产品对信息系统各组成要素进行事件采集，将采集数据进行自动综合和系统分析，能够提高信息系统安全管理的效率。

　　对于一款安全审计产品，从产品功能组成上应该包括以下几个部分：

　　（１）　信息采集功能：产品能够通过某种技术手段获取需要审计的数据，例如日志，网络数据包等。对于该功能，关键在于采集信息的手段种类、采集信息的范围、采集信息的粒度（细致程度）。如果采用数据包审计技术，网络协议抓包和分析引擎显得尤为重要；如果采用日志审计技术，日志归一化技术则是体现产品专业能力的地方；如果采用宿主代理审计技术，代理程序对宿主的兼容性、影响性是很关键的环节。

　　（２）　信息分析功能：是指对于采集上来的信息进行分析、审计。这是审计产品的核心，审计效果好坏直接由此体现出来。在实现信息分析的技术上，简单的技术可以是基于数据库的信息查询和比较；复杂的技术则包括实时关联分析引擎技术，采用基于规则的审计、基于统计的审计、基于时序的审计，以及基于人工智能的审计算法，等等。

编缉推荐阅读以下文章

• 深入SOC2.0系列（4）：具备安全态势感知能力的安全管理平台
• 深入SOC2.0系列（2）：网络管理与安全管理的融合
• 深入SOC2.0系列（1）：什么是面向业务的安全管理