通常安全系統中的安全審計模塊,主要完成入侵檢測、故障監測等功能,4A框架下的安全審計模塊與此有所區別,主要定位於:
- 對賬號分配情況的審計。包括主賬號與自然人的對應關係,主賬號與從賬號的對應關係,主賬號的創建時間、創建人,從賬號的創建時間、創建人,將從賬號分配給從賬號的分配時間、分配者,主、從賬號的有限期、密碼更改規則等。
- 對賬號授權的審計。包括查詢主、從賬號的訪問權限,查詢資源的授權訪問者,權限的分配時間、分配者等。
- 對登錄過程的審計。包括什麼人用什麼賬號在什麼時間登錄了什麼系統,什麼時間登出等。
- 對身份認證的審計。包括成功的身份認證統計,失敗的身份認證統計等。尤其對於失敗的身份認證,要求能夠給出詳細的時間戳、登錄位置(IP或MAC地址)、登錄憑證、請求身份認證的系統等信息。
- 對登錄後用戶行爲的審計。如果集中授權模塊能夠達到實體內部資源級,或者應用經過改造後能夠向集中審計模塊提供日誌記錄,或者集中審計模塊能夠讀取應用的日誌記錄,則4A框架下的集中安全審計模塊還可以對登錄後的用戶行爲進行審計,包括用戶訪問了哪些資源、對資源進行了什麼操作等,在此基礎上可以實現對誤操作過程的追溯。
總之,與入侵檢測、故障監測等傳統安全審計相關的功能,儘量交給在這些技術方面已經做了很多工作的現成審計產品完成,而4A框架下的安全審計模塊,主要對4A框架下其它模塊的安全記錄進行審計。