信息安全概论11673.doc

1、1. 信息安全是关注信息本身的安全，以防止偶然的或未授权者对信息的恶意泄漏修改和破坏，从而导致信息的不可靠或无法处理等问题，使得我们在最大限度地利用信息为我们服务的同时而不招致损失或使损失最小。2. 人们常常将信息论、控制论和系统论合称为“三论” ，或统称为“系统科学”或“信息科学” 。3. 信息是事务运动的状态和状态变化的方式。4. 信息的特征：信息来源于物质，又不是物质本身；它从物质的运动中产生出来，又可以脱离源物质而寄生于媒体之中，相对独立地存在信息来源于精神世界信息与能量息息相关，传输信息或处理信息总需要一定的能量来支持，而控制和利用能量总需要有信息来引导信息是具体的并可以被人所感知、

2、提取、识别，可以被传递、存储、变换、处理、显示、检索、复制和共享。5. 信息的性质：普遍性无限性相对性传递性变换性有序性动态性转化性。6. 信息功能：信息是一切生物进化的导向资源信息是知识的来源信息是决策的依据信息是控制的灵魂信息是思维的材料信息是管理的基础，是一切系统实现自组织的保证信息是一种重要的社会资源。7. 信息的分类：从信息的性质出发，信息可以分为语法信息、语义信息和语用信息从信息的过程出发，信息可以分为实在信息，先验信息和实得信息从信息源的性质出发，信息可以分为语音信息图像信息文字信息数据信息计算信息等从信息的载体性质出发，信息可以分为电子信息光学信息和生物信息等从携带信息的信号的

3、形式出发，信息可以分为连续信息、离散信息、半连续信息等。8. 描述信息的一般原则是：要抓住“事务的运动状态”和“状态变换的方式”这两个基本的环节来描述。9. 信息技术是指在计算机和通信技术支持下，用以获取、加工、存储、变换和传输文字、数值、图像、视频、音频以及语音信息，并且包括提供设备和信息服务两大方面的方法与设备的总称。10. 3C：Computer（计算机） 、Communication（通信）和 Control（控制） 。即IT=Computer+Communication+Control。11. 信息安全基本属性：完整性保密性可用性不可否认性可控性。12. 常见的安全威胁：信息泄漏破坏

4、信息的完整性拒绝服务非法使用窃听业务流分析假冒旁路控制授权侵犯特洛伊木马 11 陷阱门 12 抵赖 13 重放 14 计算机病毒 15 人员不慎16 媒体废弃 17 物理侵入 18 窃取 19 业务欺骗。13. 应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁。14. 常见的网络攻击工具有安全扫描工具、监听工具、口令破译工具等。15. 保护信息安全所采用的手段也称做安全机制。16. 一个完整的信息安全系统至少含 3 类措施：技术方面的安全措施，管理方面的安全措施和相应的政策法律。17. 信息安全的技术措施主要有：信息加密数字签名数据完整性保护身份鉴别访问控制数据备份和灾难恢复网络控制技

5、术反病毒技术安全审计业务填充 11）路由控制机制12）公正机制。18. 信息加密是指使有用的信息变为看上去似为无用的乱码，使攻击者无法读懂信息的内容从而保护信息。19. 数字签名机制决定于两个过程：签名过程验证过程。20. 业务填充是指在业务闲时发送无用的随机数据，增加攻击者通过通信流量获得信息的困难。21. 路由控制机制的基本功能：路由选择路由连接安全策略。22. 公证机制：对两个或多个实体间进行通信的数据的性能，如完整性、来源、时间和目的地等，有公证机构加以保证，这种保证由第三方公正者提供。23. 信息安全管理主要涉及以下几个方面：人事管理、设备管理、场地管理、存储媒体管理、软件管理、网络

6、管理、密码和密钥管理。24. 信息安全管理应遵循的原则为：规范原则、预防原则、立足国内原则、选用成熟技术原则、重视实效原则、系统化原则、均衡防护原则、分权制衡原则、应急原则和灾难恢复原则。25. 网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。26. 网络安全的体系构建应该从以下几个方面进行：物理安全网络安全操作系统安全数据安全管理安全。27. 介绍几类简单的单表代换密码：移位密码替换密码仿射密码。28. 密码学中常见的两种体制：一种是对称密码体制，也叫单钥密码体制，令一种是非对称密码体制，也叫公钥密码体制。29. 对称密码体制是指如果一个加密系统的加密密钥和解密密钥相同，或者

7、虽然不相同，但是是由其中的任意一个可以很容易地推导出零一个，即密钥是双方共享的，则该系统所采用的就是对称密码体制。30. IDEA 的设计理念归纳如下：1）TDEA 的设计主要考虑是针对以 16bit 为单位的处理器 2）IDEA 使用了 3 种简单的基本操作，因此在执行时可以达到非常快的速度 3）IDEA 采用 3 种非常简单的基本操作，经混合运算，以达到混淆的目的 4）IDEA 的整体设计非常有规律。31. 一种攻击的复杂度可以分为两部分：数据复杂度和处理复杂度。32. 几种常见的攻击方法：强力攻击差分密码分析线性密码分析。33. 强力攻击常见的有：穷举密钥搜索攻击、字典攻击、查表攻击和时

8、间-存储权衡攻击等。34. 按照对数据的操作模式分类，密码有两种：分组密码和流密码。35. 流密码基本原理：通过随机数发生器产生性能优良的伪随机序列，使用该序列加密信息流，得到密文序列。36. 按照加解密的工作方式，流密码一般分为同步流密码和自同步流密码两种。37. 几种常见的流密码算法：A5 算法Rambutan算法RC4 算法SEAL。38. 信息隐藏主要分为隐写术和数字水印两个分支。39. 信息隐藏的特点：不破坏载体的正常使用载体具有某种冗余性载体具有某种相对的稳定量具有很强的针对性。40. 信息隐藏的方法主要分为两类：空间域算法和变换域算法。41. 信息隐藏攻击者的主要目的为：检测隐藏

9、信息的存在性估计隐藏信息的长度和提取隐藏信息在不对隐藏形象作大的改动的前提下，删除或扰乱隐藏对象中的嵌入信息。42. 混淆和扩散是指导设计密码体系的两个基本原则。43. DES、3DES、IDEA、AES 属于单钥密码算法，RSA、Elgamal、McEliece、ECC 属于公钥密码算法。44. 电子信封技术是结合对称加密技术和非对称加密技术的优点而产生的。45. 认证的目的有两个方面：一是验证信息的发送者是合法的，而不是冒充的，即实体认证，包括信源、信宿的认证和识别；二是验证消息的完整性，验证数据在传输和存储过程中是否被篡改、重放或延迟等。46. Hash 函数也称为咋凑函数或散列函数，其

10、输入为一可变长度，返回一固定长度串，该串被称为输入 x 的 Hash 值，还有形象的说法是数字指纹。47. 攻击 Hash 函数的典型方法有穷举攻击，生日攻击和中途相遇攻击。48. 消息认证码（MAC） ，是与密钥相关的单向 Hash函数，也称为消息鉴别码或消息校验和。49. 数字签名的特性和功能：特性：签名是可信的签名是不可伪造的签名是不可复制的签名的消息是不可改变的签名是不可抵赖的。功能：发送者事后不能否认发送的报文签名接受者能够核实发送者发送的报文签名、接受者不能伪造发送者的报文签名、接受者不能对发送者的报文进行部分篡改网络中的某一用户不能冒充另一用户作为发送者或接受者。50. 有时需要

11、对一个文件签字，而且不像让签名者知道文件的内容，像这样的签名为盲签名。51. 目前常用的身份验证技术分为两大类：一类是基于密码技术的各种电子 ID 身份认证技术，另一类是基于生物特征识别的认证技术。52. 基于密码技术的各种电子 ID 身份识别技术常用方式有两种：一种是使用通行字的方式；另一种是使用持证的方式。53. 身份认证系统的分类：条件安全认证系统与无条件安全认证系统有保密功能的认证系统与无保密功能的认证系统有仲裁人认证系统与无仲裁人认证系统。54. 常见的身份认证技术：基于口令的认证技术双因子身份认证技术生物特征认证技术基于零知识证明的识别技术。55. 挑战握手认证协议（CHAP）的认

12、证过程：当被认证对象要求访问提供服务的系统时，认证方向被认证对象发送递增改变的标识符和一个挑战信息，即一段随机的数据被认证对象向认证方发回一个响应，该响应数据由单向散列函数计算得出，单向散列函数的输入参数有本次认证的标识符、密钥和挑战信息构成认证方将收到的响应与自己根据认证标识符、密钥和挑战信息计算出的散列函数值进行比较，若相符则认证通过，向被认证对象发送“成功”消息，否则发送“失败”消息，切断服务连接。56. 用于身份认证的生物识别技术只要有 6 种：手写签名识别技术指纹识别技术语音识别技术视网膜图样识别技术虹膜图样识别技术脸型识别。57. 利用硬件实现的认证方式有以下 3 种：安全令牌智能

13、卡双向认证。58. 认证令牌的实现有两种具体的方式：时间令牌和挑战应答式令牌。59. 在 FreeBSD 中设置 Kerveros 包括 6 个步骤：建立初始资料库运行 Kerberos创建新的服务器文件定位数据库完整测试数据库设置su 权限。60. 公钥基础设施（PKI）及时是公开密钥密码学完整的、标准化的、成熟的工程框架。61. X.509 证书包括下一些数据：版本号序列号签名算法标识颁发者 X.500 名称证书有效期证书持有者 X.500 名称证书持有者公钥证书颁发者唯一标识号证书持有者唯一标识号证书扩展部分。62. X.509 定义了证书的撤销方法：由 CA 周期性地发布一个 CRL，

14、即证书撤销列表，里面列出了所有未到期却被撤销的证书，终端实体通过 LDAP的方式下载查询 CRL。63. 发布 CRL 的机制主要有以下几种：定期发布 CRL的模式、分时发布 CRL 的模式、分时分段的 CRL的模式、Delta-CRL 的发布模式。64. 一个完整的 PKI 系统对于数字证书操作通常包括：证书颁发证书更新证书废除证书和 CRL的公布证书状态的在线查询证书认证。65. PKI 主要包括 4 个部分：X.509 格式的证书和证书撤销列表 CRL；CA/RA 操作协议；CA 管理协议；CA 政策制定。66. 一个典型、完整、有效的 PKI 应用系统至少包括以下部分：认证机构根 CA

15、注册机构证书目录管理协议操作协议个人安全环境。67. PKIX 中定义的 4 个主要模型为用户、认证机构CA、注册机构 RA 和证书存取库。68. PKI 的应用标准：安全的套接层协议 SSL、传输层安全协议 TLS、安全的多用途互联网邮件扩展协议 S/MIME 和 IP 安全协议 IPSEC。69. 基于 X.509 证书的信任模型主要有以下几种：通用层次结构下属层次信任模型网状模型混合信任模型桥 CA 模型信任链模型。70. 交叉认证是一种把以前无关的 CA 连接在一起的有用机制，从而使得在它们各自主体群体之间的安全成为可能。71. PKI 的服务分为核心服务.支撑服务。72. PKI 与

16、 PMI 的区别主要是：PKI 证明用户是谁，并将用户的身份信息保存在用户的公钥证书中；而 PMI 证明这个用户有什么权限，什么属性，能干什么，并将用户的属性信息保存在授权证书中。73. 在 PKI/PMI 体系中存在两种证书：公钥证书PKC属性证书 AC。74. 基本的特权管理模型由以下 4 个实体组成：对象、特权声称者特权验证者、SOA/AA 即权威源点/属性权威。75. 密钥管理包括：产生与所要求安全级别相称的合适密钥根据访问控制的要求，对于每个密钥决定哪个实体应该接受密钥的拷贝用可靠办法使这些密钥对开放系统中的实体是可用的，即安全地将这些密钥分配给用户某些密钥管理功能将在网络应用实现环

17、境之外执行，包括用可靠手段对密钥进行物理的分配。76. 密钥管理的国际标准规范主要由 3 部分组成：密钥管理框架采用对称密钥技术的机制采用非对称密钥技术的机制。77. 一般将不同场合的密钥分为以下几类：初始密钥会话密钥密钥加密密钥主密钥。78. 密钥的分配要解决两个问题：密钥的自动分配机制，自动分配密钥以提高系统的效率应尽可能减少系统中驻留的密钥量。79. 根据密钥信息的交换方式，密钥分配可以分成 3类：人工密钥分发基于中心的密钥分发基于认证的密钥分发。80. 计算机网络密钥分配方法：只使用会话密钥采用会话和基本密钥采用非对称密码体制的密钥分配。81. 密钥常用的注入方法有：键盘输入、软盘输入

18、、专用密钥注入设备输入。82. 介绍几种私钥存储方案：用口令加密后存放在本地软盘或硬盘中存放在网络目录服务器中智能卡存储USB Key 存储。83. 导致弱密钥的产生有以下两种情形：密钥产生设置的缺陷和密钥空间的减少人为选择的弱密钥。84. 密钥产生的制约条件有 3 个：随机性、密钥强度和密钥空间。85. 噪声源输出随机数序列有以下常见的几种：伪随机序列物理随机序列准随机序列。86. 物理噪声源按照产生的方法不同有以下常见的几种：基于力学噪声源的密钥产生技术基于电子学噪声源的密钥产生技术基于混沌理论的密钥产生技术。87. 目前有 3 种基本的网络管理机构：集中式、层次式和分布式结构。88. 密

19、钥托管：提供强密码算法实现用户的保密通信，并使得合法授权的法律执行机构利用密钥托管机构提供的信息，恢复出会话密钥从而对通信实施监听。89. 密钥托管的重要功能：防抵赖政府监听密钥恢复。90. 密钥托管加密系统按照功能的不同，逻辑上可分为五大部分：用户安全部分（USC）密钥托管部分（KEC）政府监听部分（DRC）法律授权部分（CAC）外部攻击部分（OAC） 。91. 国际标准化组织（ISO）在网络安全标准ISO74980-2 中定义了 5 种层次型安全服务：身份认证服务、访问控制服务、数据保密服务、数据完整性服务和不可否认服务。92. 访问控制的模型：自主访问控制模型强制访问控制模型基于角色的访

20、问控制模型基于任务的访问控制模型基于对象的访问控制模型信息流模型。93. 访问控制是指主体依据某些控制策略或权限对客体本身或是其资源进行的不同授权访问。94. 访问控制包括 3 个要素：主体、客体和控制策略;访问控制包括 3 方面的内容：认证、控制策略实现和审计。95. 自主访问控制策略（DAC）：是根据自主访问控制策略建立的一种模型，允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。96. 自主访问控制又称为任意访问控制。97. 强制访问控制模型（MAC）对访问主体和受控对象标识两个安全标记：一个是具

21、有偏序关系的安全等级标记；另一个是非等级分类标记。98. 根据偏序关系，主体对客体的访问主要有 4 种方式：向下读向上读向下写向上写。99. 基于角色的访问控制模型（RBAC）与强制访问控制模型（MAC）的区别在于：MAC 是基于多级安全需求的，而 RBAC 则不是。100. 基于任务的访问控制模型（TBAC）由工作流、授权结构体、受托人集、许可集 4 部分组成。101. 信息流模型需要遵守的安全规则：在系统状态转换时，信息流只能从访问级别低的状态流向访问级别高状态。102. 安全策略的实施原则：最小特权原则最小泄漏原则多级安全策略。103. 基于身份的安全策略包括：基于个人的策略基于组的策略

22、。104. 基于个人的策略：是指以用户为中心建立的一种策略，策略由一些列表组成，列表限定了针对特定的客体，哪些用户可以实现何种策略操作行为。105. 基于身份的安全策略有两种基本的实现方法：能力表和访问控制列表。106. 访问控制通常在技术实现上包括几部分：接入访问控制资源访问控制网络端口和节点的访问控制。107. 计算机系统的安全级别：D 级别C 级别B 级别A 级别。108. 信任模型有 3 种类型：层次信任模型对等信任模型网状信任模型。109. 审计跟踪可以实现多种安全相关目标：个人职能事件重建入侵检测故障分析。110. 审计的意义在于客体对其自身安全的监控，便于查漏补缺，追踪异常事件，

23、从而达到威慑和追踪不法使用者的目的。111. 目前计算机网络发展的特点是：互联、高速、智能与更为广泛的应用。112. 黑客：指专门研究、发现计算机系统和网络漏洞的计算机爱好者，他们通常非常精通计算机硬件和软件知识，并有能力通过创新的方法剖析系统。113. 常见的网络安全问题表现为：网站被黑、数据被改、数据被窃、秘密泄漏、越权浏览、非法删除、病毒侵害、系统故障等。114. 网络技术和攻击工具正在以下几个方面快速发展：攻击技术手段在快速发展安全漏洞被利用的速度越来越快有组织的攻击越来越多攻击的目的和目标在改变攻击行为越来越隐蔽攻击者的数量不断增加，破坏效果越来越大。115. 网络攻击模型将攻击过程

24、划分为以下阶段：攻击身份和位置隐藏目标系统信息收集弱点信心挖掘分析目标使用权限获取攻击行为隐藏攻击实施开辟后门攻击痕迹清除。116. 网络攻击：指任何非授权而进入或试图进入他人计算机网络的行为。117. 常用的破解口令的方法有以下几种：强制口令破解获取口令文件。118. 缓冲区溢出攻击的原理：通过缓冲区溢出来改变堆栈中存放的过程返回地址，从而改变整个程序的流程，使它转向任何攻击者想要去的地方，这就为攻击者提供了可乘之机。119. 分布式拒绝服务攻击（DDoS）攻击的原理如图（由上到下：攻击者、受控者、受控攻击者、受害者） ，这个过程可以分为以下几个步骤：探测扫描大量主机来寻找可以入侵的目标主机

25、入侵有安全漏洞的主机并且获取控制权在每台入侵主机中安装攻击程序利用已经入侵的主机继续扫描和入侵。120. 网络安全策略：物理安全策略访问控制策略信息安全策略网络安全管理策略。121. 网络防范的方法：实体层次防范对策能量层次防范对策信息层次防范对策管理层次防御对策。122. 网络防范分为积极防范和消极防范。积极安全防范的原理是：对正常的网络行为建立模型，把所有通过安全设备的网络数据拿来和保存在模型内的正常模式想匹配，如果不在这个正常范围以内，那么就认为是攻击行为，对其做出处理。它的优点是可以检测到未知的入侵，但是入侵活动并不总是与异常活动相符合，因而就会出现漏检和虚报。消极安全防范的原理是：对

26、已经发现的攻击方式，经过专家分析后给出其特征进而来构建攻击特征集，然后在网络数据中寻找与之匹配的行为，从而起到发现或阻挡的作用。它的缺点是使用被动安全防范体系，不能对未被发现的攻击方式做出反应。123. 为实现整体网络安全的工作目标，有两种流行的网络安全模型，P2DR 模型和 APPDRR 模型。124. APPDRR 模型包含以下环节：网络安全=风险驱动（A）+制定安全策略（P）+系统防护（P）+实时检测（D）+实时响应（R）+灾难恢复（R） 。125. 操作系统攻击技术：针对认证的攻击基于漏洞的攻击直接攻击被动攻击成功攻击后恶意软件的驻留。126. 操作系统安全机制：身份认证机制访问控制机

27、制安全审计机制。127. Windows XP 的安全机制：安全模板账户策略审计策略NTFS 文件系统注册表的权限菜单（6）用户权力指派（7）安全选项。128. 常见的利用软件缺陷对应用软件系统发起攻击的技术包括：缓冲区溢出攻击栈溢出攻击堆溢出攻击格式化串漏洞利用shellcode技术。129. 可以被黑客利用的*printf（）系列函数的 3个特性：参数个数不固定造成访问越界数据利用%n 格式写入跳转地址利用附加格式符控制跳转地址的值。130. 目前有几种基本的方法保护缓冲区免受溢出的攻击和影响：规范代码写法，加强程序验证通过操作系统使得缓冲区不可执行，从而阻止攻击者植入攻击代码利用编译器的

28、边界检查实现缓冲区的保护在程序指针实效前进行完整性检查。131. 主要的数据库攻击手段包括以下几种：弱口令入侵SQL 注入攻击利用数据库漏洞进行攻击。132. 数据库安全的基本技术：数据库的完整性存取控制机制视图机制数据库加密。133. 数据备份和恢复技术：高可用性系统网络备份SAN 备份归档和分级存储管理数据容灾系统。134. 网络防火墙是一种用来加强网络之间访问控制、防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源、保护内部网络操作环境的特殊网络互联设备。135. 防火墙的作用：防火墙能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部

29、非授权用户的访问，并过滤不良信息的目的。136. 安全、管理、速度是防火墙三大要素。137. 防火墙的优点：保护网络中脆弱的服务作为网络控制的“要塞点几种安全性增强保密性、强化私有权审计和告警防火墙可以限制内部网络的暴露程度安全政策执行。138. 防火墙的缺点：为了提高安全性，限制或关闭了一些存在安全缺陷的网络服务，但这些服务也许正是用户所需要的服务，给用户带来使用的不便目前防火墙对于来自网络内部的攻击还无能为力防火墙不能防范不经过防火墙的攻击，如内部网通过 SLIP 或 PPP 直接进入 Internet防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点实效防火墙不能完全防止病毒感染的文件

30、或软件的传输防火墙不能有效地防范数据驱动式攻击作为一种被动的防护手段，防火墙不能防范 Internet 上不断出现的新的威胁和攻击。139. 防火墙的技术主要有：包过滤技术代理技术VPN 技术状态检测技术地址翻译技术内容检查技术以及其他技术。140. 防火墙的体系结构；双宿/多宿主机模式屏蔽主机模式屏蔽子网模式混合模式。141. 误用检测方法：专家系统状态转移分析基于条件概率的误用检测基于规则的误用检测。142. 异常检测方法：量化分析统计度量非参数统计度量神经网络。143. 混合型检测方:基于代理检测数据挖掘免疫系统方法遗传方法。144. 安全扫描技术也称为脆弱性评估，其基本原理是采用模拟黑

31、客攻击的方式对目标可能存在的已知安全漏洞进行逐项检测，可以对工作站、服务器、交换机、数据库等各种对象进行安全漏洞检测。145. 安全扫描仪的功能：信息收集漏洞检测。146. 安全扫描仪的分类：主机型安全扫描仪网络型安全扫描仪。147. 木马又称特洛伊木马，是一种通过各种方法直接或者间接与远程计算机之间建立起连接，是远程计算机能够通过网络控制本地计算机的程序。148. 病毒的特征：传染性是病毒的基本特征未经授权而执行隐蔽性潜伏性破坏性。149. 按感染对象分类，病毒分为：引导型病毒、文件型病毒和混合型病毒。150. 按感染系统分类，病毒分为：DOS 病毒、宏病毒和 Windows 病毒。151.

32、 按感染方式分类，病毒分为：源码型病毒、入侵型病毒、操作系统型病毒和外壳型病毒。152. 检测计算机病毒的基本方法：外观检测法特征代码法虚拟机技术启发式扫描技术。153. 防范计算机病毒的方法：不轻易上一些不正规的网站千万提防电子邮件病毒的传播对于渠道不明的光盘、软盘、U 盘等便携存储器，使用之前应该查毒经常关注一些网站、BBS 发布的病毒报告，这样可以在为感染病毒的时候做到预先预防对于重要文件、数据做到定期备份不能因为担心病毒而不敢使用网络，那样网络就失去了意义。154. 哪些方面推动了安全标准的发展：安全产品间湖操作性的需要对安全等级认定的需要对服务商能力衡量的需要。155. 标准化组织简

33、介：ISO:国际标准化组织IEC:国际电工委员会IEEE:美国电气电子工程师学会ITU:国际电信联盟NBS：美国国家标准局ANSI：美国国家标准协会BSI:英国标准协会DIN:德国标准化协会AFNOR:法国标准化协会。156. 信息的安全策略的制定要遵循的要求：选择先进的网络安全技术进行严格的安全管理遵循完整一致性坚持动态性实行最小化授权实施全面防御建立控制点检测薄弱环节失效保护。157. 安全审计原理：从总体上说，安全审计为了保证信息系统安全可靠的运行，是采用数据挖掘和数据仓库技术，实现在不同网络环境中终端对终端的监控和管理，在必要时通过多种途径向管理员发出警告或自动采取排错措施，能对历史数据进行分析、处理和追踪。158. 安全审计过程：收集审计事件，产生审计记录根据记录进行安全事件的分析采取处理措施，审计范围包括操作系统和各种应用程序。