第5章信息系統平安審計5.1概述5.2平安審計系統的體系結構5.3平安審計的一般流程5.4平安審計的分析方法5.5平安審計的數據源5.6信息平安審計與標準5.7計算機取證5.1概述5.1概述審計信息系統審計〔信息系統〕平安審計〔信息系統〕網絡平安審計5.1概述審計〔Audit〕是指由專設機關依照法律對國家各級政府及金融機構、企業事業組織的重大工程和財務收支進行事前和事后的審查的獨立性經濟監督活動。5.1概述信息系統審計〔InformationSystemAudit，ISA〕是通過收集和評價審計證據，對信息系統是否能夠保護資產的平安、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面作出判斷的過程。5.1概述對信息系統審計的理解：信息系統審計是具有獨立性的監督活動審計對象是以計算機為處理手段的信息系統，不僅包括會計信息系統，其他信息處理系統如人事檔案管理系統，以及整個應用系統、網絡系統,都是信息系統審計的對象審計的目的是揭發弊端，提高系統的平安性、可靠性、合法性和效率5.1概述平安審計〔SecurityAudit〕〕就是對系統平安的審核、稽查與計算，即在記錄一切(或局部)與系統平安有關活動的根底上，對其進行分析處理、評價審查，發現系統中的平安隱患，或追查造成平安事故的原因，并作出進一步的處理。信息系統平安審計是信息系統審計的一個分支，是專門針對信息系統的平安實施的審計。其審計目的是確定信息系統是否設置了相應的平安控制措施以識別、防范各種平安威脅，從而幫助被審單位的信息系統在一個更加平安的環境下運行。5.1概述對信息系統平安審計的含義可以從兩方面理解1.信息系統平安審計的目的是測評系統的平安控制措施，確定其是否足以識別、防范各種“威脅〞2.信息系統平安審計是針對提高系統平安性的審計五險一金審計人員在被審計單位計算機機房對其信息系統建設和運行情況進行檢查5.1概述網絡平安審計〔NetworkSecurityAudit〕網絡平安審計是指對與網絡平安有關的活動的相關信息進行識別、記錄、存儲和分析，并檢查網絡上發生了哪些與平安有關的活動以及誰對這個活動負責。網絡平安審計相當于飛機上的“黑匣子〞。國際標準ISO／IEC15408(俗稱為CC準那么)：廣泛應用于評估系統的平安性5.1概述審計對象：網絡設備、效勞器、用戶電腦、數據庫、應用系統、網絡平安設備等。平安審計的必要性隨著日益增長的互聯網平安風險，平安問題的復雜性日益加大，大約76%的網絡平安威脅來自于內部，其危害程度更是遠遠超過黑客攻擊及病毒造成的損失，而這些威脅絕大局部與內部各種網絡訪問行為有關，如何對業務系統訪問和網絡行為進行有效的監控，已經成為政府、企業重點關注的問題。平安審計的必要性平安審計的必要性如何有效監控業務系統訪問行為和敏感信息傳播，準確掌握網絡系統的平安狀態，及時發現違反平安策略的事件并實時告警、記錄，同時進行平安事件定位分析，事后追查取證，滿足合規性審計要求，是企業迫切需要解決的問題。平安審計的必要性平安審計的必要性信息平安體系結構模型平安審計也是一項重要內容利用信息系統審計建立我國網絡平安的第三道防線利用信息系統審計建立我國網絡平安的第三道防線“一道防線〞：組織業務及操作層面的網絡平安管理，由組織的一線業務部門負責。職責是識別和管理網絡平安固有風險，并對風險實施有效的控制措施，是整個網絡平安保障工作的根底。利用信息系統審計建立我國網絡平安的第三道防線利用信息系統審計建立我國網絡平安的第三道防線“三道防線〞：對網絡平安獨立的監督評價，即審計，由審計監督部門負責。職責是對網絡平安風險管理的相關控制、流程和系統進行獨立審閱和檢查，促進一、二道防線積極履職，進一步揭示網絡平安風險，為一、二道防線提供改進建議。信息系統平安審計的功能(1)取證

利用審計工具，監視和記錄系統的活動情況，如記錄用戶登錄賬戶、登錄時間、終端以及所訪問的文件、存取操作等，并放入系統日志中，必要時可打印輸出，提供審計報告，對于已經發生的系統破壞行為提供有效的追究證據。(2)威懾

通過審計跟蹤，并配合相應的責任追究機制，對外部的入侵者以及內部人員的惡意行為具有威懾和警告作用。信息系統平安審計的功能(3)發現系統漏洞平安審計為系統管理員提供有價值的系統使用日志，從而幫助系統管理員及時發現系統入侵行為或潛在的系統漏洞。(4)發現系統運行異常通過平安審計，為系統管理員提供系統運行的統計日志，管理員可根據日志數據庫記錄的日志數據，分析網絡或系統的平安性，輸出平安性分析報告，因而能夠及時發現系統的異常行為，并采取相應的處理措施。信息系統平安審計的分類按照審計分析的對象，平安審計可分為針對主機的審計和針對網絡的審計。針對主機的審計針對主機的審計是指通過收集主機系統上面的各種形式的日志文件實現審計的方式。針對主機的審計的特點是收集的信息比較深入，比較完整，不受加密協議的影響，其缺點是部署過程較為復雜，通常需要在主機系統上安裝代理，這樣不容易保持審計策略的一致，不容易保證審計代理工作的正常和健壯，安裝在審計對象主機上面的代理可能會被卸載或者停止運行，這樣審計代理產生的審計信息的可信性也會大打折扣。針對網絡的審計信息系統平安審計的分類按照審計的工作方式，平安審計可分為集中式平安審計和分布式平安審計。集中式體系結構采用集中的方法，收集并分析數據源(網絡各主機的原始審計記錄)，所有的數據都要交給中央處理機進行審計處理。分布式平安審計包含兩層含義，一是對分布式網絡的平安審計，二是采用分布式計算的方法，對數據源進行平安審計。5.2平安審計系統的體系結構5.2平安審計系統的體系結構平安審計系統平安審計系統的特點信息平安審計系統的一般組成一般而言，一個完整的平安審計系統包括事件探測及數據采集引擎、數據管理引擎和審計引擎等重要組成局部。(1)事件探測及數據采集引擎事件探測及數據采集引擎主要全面偵聽主機及網絡上的信息流，動態監視主機的運行情況以及網絡上流過的數據包，對數據包進行檢測和實時分析，并將分析結果發送給相應的數據管理中心進行保存。信息平安審計系統的一般組成(2)數據管理引擎數據管理引擎一方面負責對事件探測及數據采集引擎傳回的數據以及平安審計的輸出數據進行管理，另一方面，數據管理引擎還負責對事件探測及數據采集引擎的設置、用戶對平安審計的自定義、系統配置信息的管理。它一般包括三個模塊：數據庫管理、引擎管理、配置管理。信息平安審計系統的一般組成(3)審計引擎審計引擎包括兩個應用程序：審計控制臺和用戶管理。審計控制臺可以實時顯示網絡審計信息、流量統計信息，可以查詢審計信息歷史數據，并且對審計事件進行回放。用戶管理程序可以對用戶進行權限設定，限制不同級別的用戶查看不同的審計內容。同時還可以對每一種權限的使用人員的操作進行審計記錄，可以由用戶管理員進行查看，具有一定的自身平安審計功能。綠盟平安審計系統綠盟平安審計系統綠盟平安審計系統〔NSFOCUSSecurityAuditSystem，簡稱：NSFOCUSSAS〕通過網絡數據的采集、分析、識別，實時動態監測通信內容、網絡行為和網絡流量，發現和捕獲各種敏感信息、違規行為，實時報警響應，全面記錄網絡系統中的各種會話和事件，實現對網絡信息的智能關聯分析、評估及平安事件的準確全程跟蹤定位，為整體網絡平安策略的制定提供權威可靠的支持。綠盟平安審計系統的功能內容審計NSFOCUSSAS系統提供深入的內容審計功能，可對網站訪問、郵件收發、遠程終端訪問、數據庫訪問、數據傳輸、文件共享等提供完整的內容檢測、信息復原功能；并可自定義關鍵字庫，進行細粒度的審計追蹤。行為審計NSFOCUSSAS系統提供全面的網絡行為審計功能，根據設定行為審計策略，對網站訪問、郵件收發、數據庫訪問、遠程終端訪問、數據傳輸、文件共享、網絡資源濫用〔即時通訊、論壇、在線視頻、P2P下載、網絡游戲等〕等網絡應用行為進行監測，對符合行為策略的事件實時告警并記錄。流量審計NSFOCUSSAS系統提供基于協議識別的流量分析功能，實時統計出當前網絡中的各種報文流量，進行綜合流量分析，為流量管理策略的制定提供可靠支持。堡壘機堡壘機的產生原因隨著企事業單位IT系統的不斷開展，網絡規模和設備數量迅速擴大，日趨復雜的IT系統與不同背景的運維人員的行為給信息系統平安帶來較大風險，主要表現在：1.多個用戶使用同一個賬號。這種情況主要出現在同一工作組中，由于工作需要，同時系統管理賬號唯一，因此只能多用戶共享同一賬號。如果發生平安事故，不僅難以定位賬號的實際使用者和責任人，而且無法對賬號的使用范圍進行有效控制，存在較大平安風險和隱患。堡壘機的產生原因2.一個用戶使用多個賬號。目前，一個維護人員使用多個賬號是較為普遍的情況，用戶需要記憶多套口令同時在多套主機系統、網絡設備之間切換，降低工作效率，增加工作復雜度。堡壘機的產生原因3.缺少統一的權限管理平臺，權限管理日趨繁重和無序；而且維護人員的權限大多是粗放管理，無法基于最小權限分配原那么的用戶權限管理，難以實現更細粒度的命令級權限控制，系統平安性無法充分保證。堡壘機的產生原因4.無法制定統一的訪問審計策略，審計粒度粗。各網絡設備、主機系統、數據庫是分別單獨審計記錄訪問行為，由于沒有統一審計策略，并且各系統自身審計日志內容深淺不一，難以及時通過系統自身審計發現違規操作行為和追查取證。5.傳統的網絡平安審計系統無法對維護人員經常使用的SSH、RDP等加密、圖形操作協議進行內容審計。SSH：

SecureShell

，平安外殼協議RDP：RemoteDesktopProtocol，遠程桌面協議堡壘機的核心功能1.單點登錄功能支持對linux、unix、數據庫、網絡設備、平安設備等一系列授權賬號進行密碼的自動化周期更改，簡化密碼管理，讓使用者無需記憶眾多系統密碼，即可實現自動登錄目標設備，便捷平安。2.賬號管理設備支持統一賬戶管理策略，能夠實現對所有效勞器、網絡設備、平安設備等賬號進行集中管理，完成對賬號整個生命周期的監控，并且可以對設備進行特殊角色設置如：審計巡檢員、運維操作員、設備管理員等自定義設置，以滿足審計需求堡壘機的核心功能3.身份認證設備提供統一的認證接口，對用戶進行認證，支持身份認證模式包括動態口令、靜態密碼、硬件key、生物特征等多種認證方式，設備具有靈活的定制接口，可以與其他第三方認證效勞器之間結合；平安的認證模式，有效提高了認證的平安性和可靠性。4.資源授權設備提供基于用戶、目標設備、時間、協議類型IP、行為等要素實現細粒度的操作授權，最大限度保護用戶資源的平安堡壘機的核心功能5.訪問控制設備支持對不同用戶進行不同策略的制定，細粒度的訪問控制能夠最大限度的保護用戶資源的平安，嚴防非法、越權訪問事件的發生。6.操作審計設備能夠對字符串、圖形、文件傳輸、數據庫等全程操作行為審計；通過設備錄像方式實時監控運維人員對操作系統、平安設備、網絡設備、數據庫等進行的各種操作，對違規行為進行事中控制。對終端指令信息能夠進行精確搜索，進行錄像精確定位。平安審計系統的體系結構集中式平安審計系統體系結構分布式平安審計系統體系結構集中式平安審計系統體系結構集中式體系結構采用集中的方法，收集并分析數據源，所有的數據都要交給中央處理機進行審計處理。中央處理機承擔數據管理引擎及平安審計引擎的工作，而部署在各受監視系統上的外圍設備只是簡單的數據采集設備，承擔事件檢測及數據采集引擎的作用。集中式平安審計系統體系結構集中式的審計體系結構的缺陷(1)由于事件信息的分析全部由中央處理機承擔，勢必造成CPU、I/O以及網絡通信的負擔，而且中心計算機往往容易發生單點故障(如針對中心分析系統的攻擊)。另外，對現有的系統進行用戶的增容(如網絡的擴展、通信數據量的加大)是很困難的。(2)由于數據的集中存儲，在大規模的分布式網絡中，有可能因為單個點的失敗造成整個審計數據的不可用。(3)集中式的體系結構，自適應能力差，不能根據環境變化自動更改配置。通常，配置的改變和增加是通過編輯配置文件來實現的，往往需要重新啟動系統以使配置生效。分布式平安審計系統體系結構分布式平安審計系統實際上包含兩層含義：一是對分布式網絡的平安審計；二是采用分布式計算的方法，對數據源進行平安審計。它由三局部組成。(1)主機代理模塊主機代理模塊是部署在受監視主機上，并作為后臺進程運行的審計信息收集模塊。主要目的是收集主機上與平安相關的事件信息，并將數據傳送給中央管理者。它同時承擔了數據采集以及局部的平安審計工作。

分布式平安審計系統體系結構(2)局域網監視器代理模塊

局域網監視器代理模塊是部署在受監視的局域網上，用以收集并對局域網上的行為進行審計的模塊，主要分析局域網上的通信信息，并根據需要將結果報告給中央管理者。(3)中央管理者模塊

中央管理者模塊接收包括來自局域網監視器和主機代理的數據和報告，控制整個系統的通信信息，對接收到的數據進行分析。分布式平安審計系統體系結構分布式平安審計系統體系結構的優點：(1)擴展能力強：通過擴展審計單元來實現網絡平安范圍的擴張。(2)容錯能力強：分布式的獨立結構解決了單點失效問題。(3)兼容性強：既可包含基于主機的審計，又可含有基于網絡的審計，超越了傳統審計模型的界限。(4)適應性強：當網絡和主機狀態改變時，如升級或重構，分布式審計系統可以容易地作相應修改。5.3平安審計的一般流程平安審計的一般流程事件采集設備通過硬件或軟件代理對客體進行事件采集，并將采集到的事件發送至事件區分與分析器進行事件區分與分析，策略定義的危險事件，發送至報警處理部件，進行報警或響應。對所有需產生審計信息的事件，產生審計信息，并發送至結果匯總，進行數據備份或報告生成。事件采集事件分析結果匯總事件響應策略定義平安審計的一般流程1．策略定義2．事件采集3．事件分析4．事件響應5．結果匯總平安審計的一般流程1．策略定義平安審計應在一定的審計策略下進行，審計策略規定哪些信息需要采集、哪些事件是危險事件，以及對這些事件應如何處理等。因而審計前應制定一定的審計策略，并下發到各審計單元。在事件處理結束后，應根據對事件的分析處理結果來檢查策略的合理性，必要時應調整審計策略。平安審計的一般流程2．事件采集事件采集階段包含以下行為：(1)按照預定的審計策略對客體進行相關審計事件采集，形成的結果交由事件后續的各階段來處理；(2)將事件其他各階段提交的審計策略分發至各審計代理，審計代理依據策略進行客體事件采集。注意：審計代理是平安審計系統中完成審計數據采集、鑒別并向審計跟蹤記錄中心發送審計消息的功能部件，包括軟件代理和硬件代理。平安審計的一般流程3．事件分析

事件分析階段包含以下行為：(1)按照預定策略，對采集到事件進行事件辨析，決定：

①忽略該事件；

②產生審計信息；

③產生審計信息并報警；

④產生審計信息且進行響應聯動。(2)按照用戶定義與預定策略，將事件分析結果生成審計記錄，并形成審計報告。平安審計的一般流程4．事件響應事件響應階段是根據事件分析的結果采用相應的響應行動，包含以下行為：(1)對事件分析階段產生的報警信息、響應請求進行報警與響應；(2)按照預定策略，生成審計記錄，寫入審計數據庫，并將各類審計分析報揭發送到指定的對象；(3)按照預定策略對審計記錄進行備份。平安審計的一般流程5．結果匯總結果匯總階段負責對事件分析及響應的結果進行匯總，主要包含以下行為：(1)將各類審計報告進行分類匯總；(2)對審計結果進行適當的統計分析，形成分析報告；(3)根據用戶需求和事件分析處理結果形成審計策略修改意見。5.4平安審計的分析方法平安審計的分析方法1．基于規那么庫的平安審計方法2．基于數理統計的平安審計方法3．基于日志數據挖掘的平安審計方法4．其他平安審計方法(1)神經網絡(2)遺傳算法基于規那么庫的平安審計方法基于數理統計的平安審計方法數理統計方法就是首先給對象創立一個統計量的描述，比方一個網絡流量的平均值、方差等，統計出正常情況下這些特征量的數值，然后用來對實際網絡數據包的情況進行比較，當發現實際值遠離正常數值時，就可以認為是潛在的攻擊發生。基于日志數據挖掘的平安審計方法其他平安審計方法神經網絡：神經網絡的根本思想是用一系列信息單元序列來訓練神經單元，在神經網絡的輸入中包括當前的信息單元序列和過去的信息單元序列集合，神經網絡由此可進行判斷，并能預測輸出。與概率統計方法相比，神經網絡方法更好地表達了變量之間的非線性關系，并且能自動學習和更新。其他平安審計方法(2)遺傳算法：一個遺傳算法是一類進化算法的一個實例，這些算法在多維優化問題處理方面的能力已經得到認可，并且遺傳算法在對異常檢測的準確率和速度上有較大優勢。主要缺乏在于不能在審計跟蹤中精確定位攻擊，這一點和神經網絡面臨的問題相似。5.5平安審計的數據源平安審計的數據源一般來說平安審計數據具有以下特征：攻擊事件相對于正常的網絡或系統訪問是很少的。平安審計數據在正常情況下是非常穩定的。異常操作總是使平安審計數據的某些特征變量明顯地偏離正常值。平安審計的數據源1．基于主機的數據源2．基于網絡的數據源3．其他數據源(1)來自其他平安產品的數據源(2)來自網絡設備的數據源(3)帶外數據源基于主機的數據源基于主機的平安審計的數據源，包括操作系統的審計記錄、系統日志、應用程序的日志信息以及基于目標的信息。(1)操作系統的審計記錄操作系統的審計記錄是由操作系統軟件內部的專門審計子系統所產生的，其目的是記錄當前系統的活動信息，如用戶進程所調用的系統調用類型以及執行的命令行等，并將這些信息按照時間順序組織為一個或多個審計文件。基于主機的數據源(2)系統日志日志分為操作系統日志和應用程序日志兩局部。操作系統日志與主機的信息源相關，是使用操作系統日志機制生成的日志文件的總稱；應用程序日志是由應用程序自己生成并維護的日志文件的總稱。基于主機的數據源系統日志的平安性與操作系統的審計記錄相比，平安性存在缺乏，主要原因在于：·系統日志是由載操作系統內核外運行的應用程序產生的，容易受到惡意的攻擊和修改。·日志系統通常存儲在不受保護的普通文件目錄中，并且經常以普通文本文件方式儲存，容易受到惡意的篡改和刪除。相反，操作系統審計記錄通常以二進制文件形式存儲，具備較強的保護機制。系統日志又是在于簡單易讀，容易處理，仍然成為平安審計的一個重要的數據源。基于主機的數據源(3)應用程序日志信息操作系統審計記錄和系統日志都屬于系統級別的數據源信息，通常由操作系統及其標準部件統一維護，是平安審計優先選用的輸人數據源。隨著計算機網絡的分布式計算架構的開展，對傳統的平安觀念提出了挑戰。以Web效勞器為例，www效勞是最流行的網絡效勞，也是電子商務的主要應用平臺。Web效勞器的日志信息是最為常見的應用級別數據源，主流的Web效勞器都支持訪問日志機制。基于網絡的數據源隨著基于網絡入侵檢測的日益流行，基于網絡的平安審計也成為平安審計開展的流行趨勢，而基于網絡的平安審計系統所采用的輸入數據即網絡中傳輸的數據。來自用戶使用計算機網絡資源訪問的所有資源和所有訪問過程。通過對一些重要的事件進行記錄,從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。基于網絡的數據源采用網絡數據具有以下優勢：(1)通過網絡被動監聽的方式獲取網絡數據包，作為平安審計系統的輸入數據，不會對目標監控系統的運行性能產生任何影響，而且通常無須改變原有的結構和工作方式。(2)嗅探模塊在工作時，可以采用對網絡用戶透明的模式，降低了其本身受到攻擊的概率。基于網絡的數據源(3)基于網絡數據的輸入信息源，可以發現許多基于主機數據源所無法發現的攻擊手段，例如基于網絡協議的漏洞開掘過程，或是發送畸形網絡數據包和大量誤用數據包的DoS攻擊等。(4)網絡數據包的標準化程度，比主機數據源來說要高得多，如目前幾乎大局部網絡協議都采用了TCP/IP協議族。其標準化程度很高，所以，有利于平安審計系統在不同系統平臺環境下的移植。其他數據源5.6信息平安審計與標準信息平安審計與標準TCSECTCSECD類平安等級D類平安等級只包括D1一個級別。D1的平安等級最低。D1系統只為文件和用戶提供平安保護。D1系統最普通的形式是本地操作系統，或者是一個完全沒有保護的網絡。D1級的計算機系統包括：MS-Dos、Windows95、Apple的System7.xTCSECC類平安等級該類平安等級能夠提供審慎的保護，并為用戶的行動和責任提供審計能力。C類平安等級可劃分為C1和C2兩類。C1級系統要求硬件有一定的平安機制，用戶在使用前必須登錄到系統。C1級系統還要求具有完全訪問控制的能力，經應當允許系統管理員為一些程序或數據設立訪問許可權限。常見的C1級兼容計算機系統有：UNIX系統、XENIX、Novell3.x或更高版本、WindowsNTTCSECC2級C2級實際是平安產品的最低檔次，提供受控的存取保護。C2級引進了受控訪問環境〔用戶權限級別〕的增強特性。授權分級使系統管理員能夠分用戶分組，授予他們訪問某些程序的權限或訪問分級目錄。C2級系統還采用了系統審計。審計特性跟蹤所有的“平安事件〞，以及系統管理員的工作。常見的C2級系統有：操作系統中Microsoft的WindowsNT3.5，UNIX系統。數據庫產品有oracle公司的oracle7，Sybase公司的等。TCSECB類平安等級B類平安等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。強制性保護意味著如果用戶沒有與平安等級相連，系統就不會讓用戶存取對象。B1級B1級系統支持多級平安，多級是指這一平安保護安裝在不同級別的系統中〔網絡、應用程序、工作站等〕，它對敏感信息提供更高級的保護。B2級這一級別稱為結構化的保護〔StructuredProtection)。B2級平安要求計算機系統中所有對象加標簽，而且給設備〔如工作站、終端和磁盤驅動器〕分配平安級別。B3級B3級要求用戶工作站或終端通過可信任途徑連接網絡系統，這一級必須采用硬件來保護平安系統的存儲區。TCSECTCSEC4個等級D類平安等級C類平安等級B類平安等級A類平安等級7個級別D、C1、C2、B1、B2、B3、A1從低到高從低到高TCSECTCSECTCSECTCSEC對于審計子系統的要求TCSEC的A1和A1+兩個級別較B3級沒有增加任何平安審計特征，從C2級的各級別都要求具有審計功能，而B3級提出了關于審計的全部功能要求。因此，TCSEC共定義了四個級別的審計要求:C2、B1、B2、B3。TCSECC2級要求審計以下事件:用戶的身份標識和鑒別、用戶地址空間中客體的引入和刪除、計算機操作員/系統管理員/平安管理員的行為、其它與平安有關的事件。TCSECCCCCCCCC標準中的平安審計功能需求CC標準中，平安需求都以類、族、組件的層次結構形式進行定義，其中，平安功能需求共有11個類，平安審計就是一個單獨的平安功能需求類，其類名為FAU。平安審計類有六個族，分別對審計記錄的選擇、生成、存儲、保護、分析以及相應的入侵響應等功能做出了不同程度的要求。GB17859—1999計算機信息系統平安保護等級劃分準那么這是我國計算機信息系統平安保護等級劃分準那么強制性標準，本標準給出了計算機信息系統相關定義，規定了計算機系統平安保護能力的五個等級。計算機信息系統平安保護能力隨著平安保護等級的增高，逐漸增強。GB17859—1999本標準規定了計算機系統平安保護能力的五個等級，即：第一級：用戶自主保護級；第二級：系統審計保護級；第三級：平安標記保護級；第四級：結構化保護級；第五級：訪問驗證保護級。從低到高GB17859—1999對平安審計的要求從第二級“系統審計保護級〞開始有了對審計的要求，它規定計算機信息系統可信計算基〔TCB〕可以記錄以下事件：使用身份鑒別機制；將客體引入用戶地址空間〔例如：翻開文件、程序初始化〕；刪除客體；由操作員、系統管理員或〔和〕系統平安管理員實施的動作，以及其它與系統平安相關的事件。GB17859—1999對平安審計的要求TCB，TrustedComputingBase，可信計算基可信計算基是"計算機系統內保護裝置的總體，包括硬件、固件、軟件和負責執行平安策略的組合體。它建立了一個根本的保護環境，并提供一個可信計算系統所要求的附加用戶效勞"。通常指構成平安計算機信息系統的所有平安保護裝置的組合體，以防止不可信主體的干擾和篡改。GB17859—19