網路審計跟蹤

按時間順序產生網路事件記錄，並檢查、審查和檢驗每個事件的環境及活動的過程。

網路審計跟蹤是提高網路安全保密的重要手段。目的是通過書面方式提供相關責任人員的活動證據，幫助系統管理員確保系統及其資源免遭非法授權用戶的侵害，有助於實現數據恢復。軍事網路審計中，藉助於適當的工具和規程，網路審計跟蹤可以發現違反安全策略的活動、影響運行效率的問題及程式中的錯誤。

網路審計跟蹤可以分為3個步驟：①收集審計事件產生審計記錄。網路審計記錄包括的信息主要有：事件發生的時間和地點，引發事件的用戶，事件的類型，事件成功與否。記錄的事件包括：被審計的進程、時間、日期、操作、事務類型、用戶名、終端號等。②根據審計記錄進行安全違反分析。③採取處理措施。網路審計跟蹤的特點是對被審計的系統是透明的，支持所有的套用，允許構造事件實際順序，可以有選擇地、動態地開始或停止記錄，可以指定對單個事件進行記錄。

網路審計跟蹤的流程是：收集來自核內和核外的事件，根據相應的審計條件判斷是否為審計事件；對審計事件的內容按日誌的模式記錄到審計日誌中；當審計事件滿足報警閥值時，則向審計員傳送報警信息並記錄其內容；當事件在一定時間內連續發生，滿足逐出系統閥值時，將引起該事件的用戶逐出系統，記錄其內容並報警。常用的報警類型有：用於實時報告用戶試探進入系統的登錄失敗報警，用於實時報告系統中病毒活動情況的病毒報警等。

審計員可以查詢、檢查審計日誌以形成審計報告。檢查的內容包括：審計事件類型，事件安全級，引用事件的用戶，報警，指定時間內的事件及惡意用戶表等。

發布者：中國軍事百科全書編審室