信息安全管理之信息安全审计与计算机取证

合集下载

计算机取证基本原则

计算机取证基本原则随着计算机技术的飞速发展和普及，计算机取证作为一种重要的法医技术，被广泛应用于刑事侦查、网络安全等领域。

计算机取证的基本原则是指在取证过程中需要遵循的一系列规则和方法，以确保取证过程的合法性、可靠性和有效性。

本文将详细介绍计算机取证的基本原则及其重要性。

一、合法性原则合法性原则是计算机取证的基本前提和基础。

它要求在取证过程中，必须严格遵守相关法律法规和程序，确保取证活动的合法性和合规性。

具体而言，取证人员必须具备相关的资质和证书，按照法律规定的程序和权限进行取证工作。

同时，取证过程中需要保护被取证对象的合法权益，避免侵犯其隐私和个人信息。

二、完整性原则完整性原则是指在取证过程中，需要保证证据的完整性和真实性。

取证人员应当全面收集和保留与案件有关的证据，不能有遗漏或删除的情况发生。

同时，在取证过程中，需要采取措施确保证据的原始性和完整性，防止被篡改或损坏。

这可以通过制定严格的取证流程和使用专业的取证工具来实现。

三、可靠性原则可靠性原则是指取证过程中所获得的证据必须具备可靠性和可信度。

取证人员需要通过科学的方法和技术手段，确保证据的真实性和准确性。

在取证过程中，需要采用可靠的取证工具和设备，避免对证据的影响。

同时，取证人员还需要具备专业的知识和技能，以确保取证过程的可靠性和有效性。

四、及时性原则及时性原则是指在取证过程中，需要及时采取行动，防止证据的丢失或破坏。

计算机取证是一个动态的过程，计算机系统中的数据和信息随时都有可能发生变化。

因此，取证人员需要快速反应，及时采取措施，确保证据的及时获取和保全。

这可以通过实时监控和记录系统活动、定期备份数据等方式来实现。

五、保密性原则保密性原则是指在取证过程中，需要严格保守取证活动的相关信息和证据。

取证人员应当具备严守机密的职业道德和操守，不得泄露或滥用取证过程中获得的相关信息。

同时，取证人员还需要采取措施确保证据的机密性和安全性，防止被未经授权的人员获取或利用。

计算机和信息系统安全保密审计报告

文件制修订记录计算机和信息系统安全保密审计报告根据市国家保密局要求，公司领导非常重视计算机信息系统安全保密工作，在公司内部系统内开展自查，认真对待，不走过场，确保检查不漏一机一人。

虽然在检查中没有发现违反安全保密规定的情况，但是，仍然要求计算机使用管理人员不能放松警惕，要时刻注意自己所使用和管理的计算机符合计算机信息系统安全保密工作的规定，做到专机专用，专人负责，专人管理，确保涉密计算机不上网，网上信息发布严格审查，涉密资料专门存储，不交叉使用涉密存储设备，严格落实计算机信息系统安全保密制度。

通过检查，进一步提高了全公司各部门员工对计算机信息系统安全保密工作的认识，增强了责任感和使命感。

现将自查情况汇报如下：一、加大保密宣传教育，增强保密观念。

始终把安全保密宣传教育作为一件大事来抓，经常性地组织全体职工认真学习各级有关加强安全保密的规定和保密常识，如看计算机泄密录像等，通过学习全公司各部门员工安全忧患意识明显增强，执行安全保密规定的自觉性和能力明显提高。

二、明确界定涉密计算机和非涉密计算机。

涉密计算机应有相应标识，设置开机、屏保口令，定期更换口令，存放环境要安全可靠。

涉密移动硬盘、软盘、光盘、U盘等移动存储介质加强管理，涉密移动存储介质也应有标识，不得在非涉密计算机中使用，严防泄密。

非涉密计算机、非涉密存储介质不得以任何理由处理涉密信息，非涉密存储介质不得在涉密计算机中使用涉密信息。

涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。

计算机信息系统存储、处理、传递、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离。

涉密信息不得在与国际网络联接的计算机信息系统中存储、处理、传递。

三、加强笔记本电脑的使用管理。

笔记本电脑主要在公司内部用于学习计算机新软件、软件调试，不处理涉密数据或文件。

四、计算机的使用人员要定期对电脑进行安全检查，及时升级杀毒软件，定时查杀病毒。

对外来计算机介质必须坚持先交计算机管理人员查杀病毒再上中转机使用的原则。

信息系统安全技术—安全审计与分析

信息系统安全技术—安全审计与分析随着互联网的蓬勃发展，信息系统安全面临着越来越多的挑战。

为了确保信息系统的安全性，安全审计与分析成为了信息系统安全领域的重要工作。

本文从安全审计与分析的基本概念、流程以及常用工具和技术等方面进行探讨。

一、安全审计与分析的基本概念安全审计是指对信息系统的安全策略、安全措施以及安全管理进行检查和评估的过程。

通过安全审计，可以发现系统中存在的安全隐患和漏洞，进而提出改善措施，加强系统的安全性。

安全分析是指对安全事件和安全威胁进行全面的分析和评估的过程。

通过安全分析，可以了解安全事件的发生原因和影响，并采取相应的措施来防范和应对安全威胁。

二、安全审计与分析的流程安全审计与分析的流程通常包括以下几个环节：1.确定审计范围和目标：明确审计的对象和审计的目标，明确审计的范围，制定明确的审计计划。

2.采集审计数据：收集有关系统安全性的数据和信息，包括安全策略、安全控制措施、安全运行日志等。

3.分析审计数据：通过对收集到的数据进行分析和比对，发现系统中的安全隐患和漏洞，确定安全事件和威胁。

4.制定改进措施：根据分析结果，制定相应的改进措施，加强系统的安全性，防范和应对安全威胁。

5.实施改进措施：将制定的改进措施付诸实施，并对改进措施的效果进行评估。

6.及时监控：建立安全监控机制，定期对系统进行安全检查和评估。

三、常用工具和技术在安全审计与分析中1.日志分析工具：通过对系统的运行日志进行分析，可以发现异常行为和潜在的安全问题。

2.弱点扫描工具：通过对系统的漏洞进行扫描，可以及时发现系统中存在的弱点和漏洞，并提出相应的修复措施。

3.入侵检测系统：通过对系统的网络流量进行监控和分析，可以发现潜在的入侵行为，及时进行响应和处理。

4.行为分析技术：通过对用户的行为进行分析，可以发现异常行为和风险行为，并采取相应的措施进行监控和预警。

5.异地登录检测技术：通过对系统的登录行为进行分析和检测，可以发现潜在的异地登录行为，及时进行响应和处理。

《计算机取证技术》课件

文件分析技术
01
文件格式解析
识别并解析不同文件格式，提取关键信息。
文件签名验证
通过文件的数字签名验证文件的真实性和完整性。
03
02
文件内容分析
对文件内容进行深入分析，提取与案件相关的证据。
文件隐藏分析
检测和提取隐藏在文件中的关键信息，如密码、密钥等。
04
网络监控与追踪技术
网络流量捕获
实时捕获网络流量，分析网络通信内容。
02
打击犯罪行为
电子证据在许多犯罪案件中发挥着越来越重要的作用。计算机取证技术
可以帮助执法部门获取关键的电子证据，为案件调查和起诉提供有力支
持，有效打击各类犯罪行为。
03
维护公共利益
在许多涉及公共利益的领域，如知识产权保护、消费者权益保护等，计
算机取证技术可以用于获取和验证相关证据，维护公共利益和社会公正
网络监视与监听
调查网络监视与监听行为，保护公民的通信自由和隐私权。
数字知识产权保护
数字版权
对数字版权进行保护，打击盗版和非法复制行为，维护创作者的权益。
商业机密
通过计算机取证技术，保护企业的商业机密不被泄露或侵犯。
05
计算机取证的挑战与未来发展
法律与道德问题
法律问题
计算机取证过程中，如何确保合法性、合规性，避免侵犯个人隐私和权利，是当前面临的重要挑战。需要制定和完善相关法律法规，明确计算机取证的法律地位和程序规范。
《计算机取证技术》ppt课件
目录
• 计算机取证技术概述 • 计算机取证的基本原则与流程 • 计算机取证的主要技术 • 计算机取证的应用场景与案例分
析 • 计算机取证的挑战与未来发展

浅谈信息安全之计算机取证技术

术峰会．０２６０
ｆ张有东，东，４１王建朱梧梗反计算机取证技术研究．河海大学学报
（自然科学版）２０，，７５０５
Ａｂｓｒｃ：ｍｐｔｒｏｅｉｓｃｅｅｓｏｔａｔＣｏｕｅｆｒｎｓｃｓｉｎｃｉｃｍｐｕｅｓｉｎｅｃｉｎａｉｖｓｇｔｎａｌｗｏｔｅｒｓ－ｓｉｆｎｉｔｒｃｅｃ，ｒｍｉｌｎｅｔａｏｉｉｎｄａｆｈｃｓｄｉｅｐｅｓｏｉ
４０６）００５
摘要：计算机取证学属于计算机科学、刑事侦查学和法学的交叉学科，正日益受到各国和科研机构的重视和研究，随着计算机犯罪断网络化和职能化，计算机取证方式由以前的静态取证，渐发展为动态取证，这两种取证方式相互依存，各有侧重。关冀词：计算机；取证学；动态取证；静态取证
一
术之间的对抗就一直存在，并不断升级。为了防止敏感信息被发现，常将系统中带有这些信息的文件加密、隐藏或者删除。（）静态取证技术一静态取证主要是对计算机存储设备中的数据进行保全、恢复、分析，主要涉及到数据保护技术、磁盘镜像拷贝技术、隐藏数据识别和提取技术、数据恢复技术、数据分析技术、磁力显微镜技术、加解密技术和数据挖掘技术。目前，国内外对相关技术研究比较多，也有比较成熟的取证软件。针对计算机静态取证技术，目前反取证技术主要有：数据摧毁技术、数据加密技术、数据擦除技术、数据隐藏技术和数据混淆技术，这些技术可以单独使用也可以混合使用。如果采用这些方法消除操作系统中的敏感信息，有可能使取证人员得不到电子证据，给计算机取证工作带来了一定的难度。传统的计算机取证主要针对稳定的数据，包括未删除和已删除的文件、ｗｎｏｓ注ｉｄｗ册表、临时文件、交换文件、休眠文件、ｓａｋ空间、浏览器缓ｌｃ存和各种可移动的介质等。不同于传统的计算机取证，计算机内存取证是从内存中提取信息，些信息被称为挥发（这易失）数据，挥发数据是指存在于正在运行的计算机或网络设备的内存中的数据，关机或重启后这些数据将不复存在。（）动态取证技术二因为静态取证技术涉及到基础研究，因此在静态取证中所涉及到的技术大部分都适用动态取证，也是属于动态取证技术中的部份。在动态取证中最具特设的取证技术有入侵检测取证技术、网络追踪技术、信息搜索与过滤技术、陷阱网络取证技术、动态获取内存信息技术、人工智能和数据挖掘技术，Ｉ地址获取技Ｐ术等技术。针对计算机动态取证技术，其反取证技术除包含静态反取证技术的相关内容外，有以下反取证技术：还数据转换技术、数据混淆技术、防止数据创建技术，以及相关的黑客木马技术等。同这些技术可以单独使用也可以混合使用，这些技术的使用在一定程度上给取证人员带来了一定的困难。

计算机网络安全事件溯源与取证的流程与工具推荐

计算机网络安全事件溯源与取证的流程与工具推荐随着计算机和互联网的快速发展，网络安全成为了当今世界亟待解决的问题之一。

不论是个人用户还是企业，都面临着来自网络的各种威胁。

面对这些安全事件，溯源和取证成为了解决问题和维护网络安全的重要手段之一。

本文将介绍计算机网络安全事件溯源与取证的流程，并推荐一些常用的工具、技术。

一、计算机网络安全事件溯源的流程1. 收集信息：在面对网络安全事件时，首要任务是收集相关信息，包括事件发生的时间、地点、受影响的主机或网络设备等。

这些信息有助于确定事件的范围和性质。

2. 保留证据：在收集到相关信息后，需要及时采取措施保留证据，例如保存相关日志文件、快照拷贝受影响的主机等。

确保证据的完整性和可靠性对于事件的溯源和取证至关重要。

3. 分析溯源路径：根据收集到的信息和证据，进行溯源路径的分析。

这一步骤可以通过查看相关日志、网络流量记录以及系统调用等方法来确定攻击者的入侵途径和行为。

4. 追踪攻击者：根据溯源路径的分析结果，可以对攻击者进行追踪。

通过进一步的调查和分析，可以确定攻击者的真实身份、攻击手段和意图。

5. 报告与归档：将溯源和取证过程的结果整理成报告，并进行归档保存。

这些报告可以用于进一步的安全防护和教育，以及未来类似事件的处理参考。

二、计算机网络安全事件取证的流程1. 收集物证：物证是指通过技术手段收集到的与网络安全事件相关的物理证据，例如网络设备、存储媒体、硬盘等。

在取证过程中，首先要确保物证的完整性和真实性。

2. 数据采集：对于存储媒体中的数据，需要进行数据采集和提取。

这一步骤可以通过镜像、数据提取工具等方法来实现。

确保采集的数据不受损坏和篡改，保证后续的分析和取证的准确性。

3. 数据分析：对采集到的数据进行分析，包括文件恢复、日志分析、恶意代码分析等。

通过分析，可以还原事件的发生过程，找出攻击者的行为特征和攻击手段。

4. 取证标记：对于分析出的相关证据，需要进行取证标记。

第九讲信息安全审计

信息安全审计数据源
2 基于网络的数据源
随着基于网络入侵检测的日益流行，基于网络的安全审计也成为安全审计发展的流行趋势，而基于网络的安全审计系统所采用的输入数据即网络中传输的数据。采用网络数据具有以下优势： (1)通过网络被动监听的方式获取网络数据包，作为安全审计系统的输入数据，不会对目标监控系统的运行性能产生任何影响，而且通常无需改变原有的结构和工作方式。 (2)嗅探模块在工作时，可以采用对网络用户透明的模式，降低了其本身受到攻击的概率。 (3)基于网络数据的输入信息源，可以发现许多基于主机数据源所无法发现的攻击手段，例如基于网络协议的漏洞发掘过程，或是发送畸形网络数据包和大量误用数据包的DOS攻击等。 (4)网络数据包的标准化程度，比主机数据源来说要高得多，
信息安全审计流程
1 策略定义
安全审计应在一定的审计策略下进行，审计策略规定哪些信息需要采集、哪些事件是危险事件、以及对这些事件应如何处理等。因而审计前应制定一定的审计策略，并下发到各审计单元。在事件处理结束后，应根据对事件的分析处理结果来检查策略的合理性，必要时应调整审计策略。
2 事件采集
包含以下行为： a)按照预定的审计策略对客体进行相关审计事件采集。形成的结果交由事件后续的各阶段来处理； b)将事件其他各阶段提交的审计策略分发至各审计代理，审计代理依据策略进行客体事件采集。
带有学习能力的数据挖掘方法己经在一些安全审计系统中得到了应用，它的主要思想是从系统使用或网络通信的“正常”数据中发现系统的“正常”运行模式，并和常规的一些攻击规则库进行关联分析，并用以检测系统攻击行为。
信息安全审计分析方法
4 其它安全审计方法
安全审计是根据收集到的关于己发生事件的各种数据来发现系统漏洞和入侵行为，能为追究造成系统危害的人员责任提供证据，是一种事后监督行为。入侵检测是在事件发生前或攻击事件正在发生过程中，利用观测到的数据，发现攻击行为。两者的目的都是发现系统入侵行为，只是入侵检测要求有更高的实时性，因而安全审计与入侵检测两者在分析方法上有很大的相似之处，入侵检测分析方法多能应用与安全审计。

计算机取证

摘要计算机取证及数据恢复技术包括两个部分，即计算机取证和数据恢复。

电子证据既有法律方面的问题，也有技术方面的问题，本文就其子集“计算机取证”的技术体系进行研究和分析，指出了计算机取证的技术体系及其层次关系，为深入研究计算机取证提供了一个借鉴。

社会信息化的发展给我们生活带来诸多便捷的同时，也给信息罪犯带来可乘之机。

病毒、黑客、网络攻击的日益泛滥，计算机犯罪案件数量不断上升，搜集电子证据就成为提供重要线索及破案的关键。

计算机取证是使用软件和工具提取和保护有关计算机犯罪的证据。

数据恢复技术，是一门新兴的边缘学科，是技术性与实践性相结合的新技术，需要非常深厚的技术功底和实践经验，绝不是一种简单的流水线作业似的操作。

数据恢复技术目的在于让人们学到如何把硬盘上被破坏的数据抢救回来、以及如何保护硬盘中的重要数据的方法。

它同时要求人们通过各种手段来把丢失和遭到破坏的数据还原为正常的数据。

本文主要研究了计算机取证技术及数据恢复的基本原理，并通过一个具体实例演示了数据恢复的过程。

关键词：计算机取证: 计算机取证技术恢复技术目录第一章绪论 (1)1.1计算机取证总论 (1)1.1.1病毒的威胁 (1)1.1.2计算机取证技术的高科技性 (1)1.1.3计算机取证的发展 (1)1.2数据恢复总论 (2)1.2.1数据恢复的定义 (2)1.2.2数据恢复的服务范围 (2)1.2.3数据恢复的一般原则 (3)第二章计算机取证技术研究概述 (4)2.1计算机取证的基本概念 (4)2.1.1计算机取证服务 (4)2.1.2计算机取证的原则和步骤 (4)2.2计算机取证技术的发展 (5)2.2.1计算机取证遇到的问题 (5)2.2.2计算机取证的工具 (5)2.2.3电子证据基本内容机及获取 (6)第三章数据恢复基本原理 (8)3.1硬盘的工作原理 (8)3.1.1 硬盘的分区 (8)3.1.2 硬盘分区方式 (9)3.2数据存储原理 (9)第四章数据恢复实例 (12)4.1恢复软件的下载及安装 (12)4.2数据恢复软件的运行过程 (12)4.3数据恢复操作 (15)4.3.1快速文件搜索 (15)4.3.2完整文件搜索 (18)4.3.3快速格式化恢复 (18)4.3.4完全格式化恢复 (19)4.3.5保存为CD/VCD方式 (20)第五章总结语 (21)致谢 (22)参考文献 (22)第一章绪论1.1计算机取证总论1.1.1病毒的威胁随着计算机入侵和病毒的泛滥，信息安全需深入人心。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

相对于集中式结构，它有以下优点: (1) 扩展能力强；(2) 容错能力强 (3) 兼容性强 (4) 适应性强。
信息安全审计
3 安全审计的一般流程
信息安全审计流程
事件采集设备通过硬件或软件代理对客体进行事件采集，并将采集到的事件发送至事件辨别与分析器进行事件辨别与分析，策略定义的危险事件，发送至报警处理部件，进行报警或响应。对所有需产生审计信息的事件，产生审计信息，并发送至结果汇总，进行数据备份或报告生成。
信息安全审计概述
信息系统安全审计的分类
安全审计，按照不同的分类标准，具有不同的分类特性。按照审计分析的对象，安全审计可分为针对主机的审计和针对网络的审计。前者对系统资源如系统文件、注册表等文件的操作进行事前控制和事后取证，并形成日志文件；后者主要是针对网络的信息内容和协议分析。按照审计的工作方式，安全审计可分为集中式安全审计和分布式安全审计。集中式体系结构采用集中的方法，收集并分析数据源（网络各主机的原始审计记录），所有的数据都要交给中央处理机进行审计处理。分布式安全审计包含两层涵义，一是对分布式网络的安全审计，其二是采用分布式计算的方法，对数据源进行安全审计。
信息安全审计概述
信息安全审计概述
信息安全审计概述天融信TA为用户提供的价值
信息安全审计概述
信息安全审计概述
信息安全审计的少要包括以下几个方面：
确定和保持系统活动中每个人的责任确认重建事件的发生评估损失监测系统问题区提供有效的灾难恢复依据提供阻止不正当使用系统行为的依据提供案件侦破证据
第九讲信息安全管理之
信息安全审计和计算机取证
信息安全审计
1 概述 2 安全审计系统的体系结构 3 安全审计的一般流程 4 安全审计的分析方法 5 安全审计的数据源 6 信息安全审计与标准 7 计算机取证
信息安全审计
1 概述
信息安全审计概述
信息安全审计概述
信息安全审计概述
信息安全审计概述
信息安全审计
2 安全审计系统的体系结构
信息安全审计体系结构
信息安全审计体系结构
信息安全审计体系结构
信息安全审计系统的一般组成
一般而言，一个完整的安全审计系统图5-1所示，包括事件探测及数据采集引擎、数据管理引擎和审计引擎等重要组成部分，每一部分实现不同的功能。 (1)事件探测及数据采集引擎事件探测及数据采集引擎主要全面侦听主机及网络上的信息流，动态监视主机的运行情况以及及网络上流过的数据包，对数据包进行检测和实时分析，并将分析结果发送给相应的数据管理中心进行保存。 (2)数据管理引擎数据管理引擎一方面负责对事件探测及数据采集引擎传回的数据以及安全审计的输出数据进行管理，另一方面，数据管理引擎还负责对事件探测及数据采集引擎的设置、用户对安全审计的自定义、系统配置信息的管理。它一般包括三个模块:数据库管理、引擎管理、配置管理。 (3)审计引擎审计引擎包括两个应用程序:审计控制台和用户管理。审计控制台可以实时显示网络审计信息，流量统计信息，并可以查询审计信息历史数据，并且对审计事件进行回放。用户管理程序可以对用户进行权限设定，限制不同级别的用户查看不同的审计内容。
信息安全审计概述
信息系统安全审计的概念
安全审计是对信息系统的各种事件及行为实行监测、信息采集、分析并针对特定事件及行为采取相应响应动作。网络安全审计是指对与网络安全有关的活动的相关信息进行识别、记录、存储和分析，并检查网络上发生了哪些与安全有关的活动以及谁对这个活动负责。
信息安全审计概述
信息安全审计体系结构
集中式安全审计系统体系结构
集中式体系结构采用集中的方法，收集并分析数据源，所有的数据都要交给中央处理机进行审计处理。中央处理机承担数据管理引擎及安全审计引擎的工作，而部署在各受监视系统上的外围设备只是简单的数据采集设备，承担事件检测及数据采集引擎的作用。随着分布式网络技术的广泛应用，集中式的审计体系结构越来越显示出其缺陷，主要表现在: (1)由于事件信息的分析全部由中央处理机承担，势必造成CPU、I/O以及网络通信的负担，而且中心计算机往往容易发生单点故障（如针对中心分析系统的攻击）。另外，对现有的系统进行用户的增容（如网络的扩展，通信数据量的加大）是很困难的。 (2)由于数据的集中存储，在大规模的分布式网络中，有可能因为单个点的失败造成整个审计数据的不可用。 (3)集中式的体系结构，自适应能力差，不能根据环境变化自动更改配置。通常，配置的改变和增加是通过编辑配置文件来实现的，往往需要重新启动系统以使配置生效。因此，集中式的体系结构已不能适应高度分布的网络环境。
信息安全审计体系结构
分布式安全审计系统体系结构
分布式安全审计系统实际上包含两层涵义：一是对分布式网络的安全审计，其二是采用分布式计算的方法，对数据源进行安全审计。它由三部分组成：（1）主机代理模块。主机代理模块是部署在受监视主机上，并作为后台进程运行的审计信息收集模块。 2）局域网监视器代理模块局域网监视器代理模块是部署在受监视的局域网上，用以收集并对局域网上的行为进行审计的模块，主要分析局域网网上的的通信信息，并根据需要将结果报告给中央管理者。 (3)中央管理者模块。接收包括来自局域网监视器和主机代理的数据和报告，控制整个系统的通信信息，对接收到的数据进行分析。
信息系统安全审计的功能
信息安全审计的有多方面的作用与功能，包括取证、威慑、发现系统漏洞、发现系统运行异常等。 (1)取证：利用审计工具，监视和记录系统的活动情况。 (2)威慑：通过审计跟踪，并配合相应的责任追究机制，对外部的入侵者以及内部人员的恶意行为具有威慑和警告作用。 (3)发现系统漏洞：安全审计为系统管理员提供有价值的系统使用日志，从而帮助系统管理员及时发现系统入侵行为或潜在的系统漏洞。 (4)发现系统运行异常：通过安全审计，为系统管理员提供系统运行的统计日志，管理员可根据日志数据库记录的日志数据，分析网络或系统的安全性，输出安全性分析报告，因而能够及时发现系统的异常行为，并采取相应的处理措施。