技術領域

本發明涉及信息安全領域，特別涉及一種安全審計方法和裝置。

背景技術

隨著互聯網的發展，操作系統的安全也越來越受到關注。然而，隨之產生的各種仿冒軟件、惡意軟件對企業和用戶的信息安全構成了巨大的威脅。因此，對操作系統進行安全審計是十分必要的。

然而，操作系統中的文件數量眾多，種類繁雜，導致審計的結果混亂無序。現有技術中的安全審計方法無法解決這一問題。

發明內容

本發明實施例所要解決的一個技術問題是：提供一種全面、有序的面向操作系統的安全審計方法。

根據本發明實施例的一個方面，提供一種安全審計方法，包括：獲取待審計事件涉及的各個系統層級上的待審計數據；生成待審計事件在各個系統層級上的審計策略，審計策略包括若干審計操作；確定各個審計操作相應的待審計數據；按照各個層級上的審計策略中的審計操作對相應的待審計數據進行審計，獲得待審計事件的審計結果數據。

在一個實施例中，采用各個層級上的審計策略中的審計操作對待審計數據進行審計，獲得待審計事件的審計結果數據包括：按照待審計層級上的審計策略中的審計操作，并結合待審計層級以外的其他層級的審計結果數據，對相應的待審計數據進行審計，獲得待審計事件在待審計層級的審計結果數據；根據各個待審計層級的審計結果數據獲得待審計事件的審計結果數據。

在一個實施例中，確定各個審計操作相應的待審計數據包括：根據待審計數據的文件格式和/或頭文件的特征確定待審計數據的文件類型；將進行各個審計操作所需的文件類型對應的待審計數據確定為各個審計操作相應的待審計數據。

在一個實施例中，獲取待審計事件涉及的各個系統層級上的待審計數據包括：獲取各個系統層級上的原始數據；根據原始數據的特征，采用原始數據的特征對應的解析模板提取原始數據中與待審計事件相關聯的待審計數據。

在一個實施例中，根據待審計數據的文件格式和/或獲取路徑確定待審計數據所屬的系統層級。

在一個實施例中，還包括：檢測當前剩余的存儲空間；如果當前剩余的存儲空間小于預設值，將審計結果數據寫入審計報表，并刪除審計操作產生的臨時數據。

在一個實施例中，還包括：檢測當前剩余的緩存空間；如果當前剩余的緩存空間小于預設值，暫停當前正在進行的審計操作，并釋放緩存空間。

在一個實施例中，安全審計方法用于移動終端的操作系統。

根據本發明實施例的二個方面，提供一種安全審計裝置，包括：待審計數據獲取模塊，用于獲取待審計事件涉及的各個系統層級上的待審計數據；審計策略生成模塊，用于生成待審計事件在各個系統層級上的審計策略，審計策略包括若干審計操作；審計數據對應模塊，用于確定各個審計操作相應的待審計數據；審計模塊，用于按照各個層級上的審計策略中的審計操作對相應的待審計數據進行審計，獲得待審計事件的審計結果數據。

在一個實施例中，審計模塊包括：層級審計單元，用于按照待審計層級上的審計策略中的審計操作，并結合待審計層級以外的其他層級的審計結果數據，對相應的待審計數據進行審計，獲得待審計事件在待審計層級的審計結果數據；審計結果匯總單元，用于根據各個待審計層級的審計結果數據獲得待審計事件的審計結果數據。

在一個實施例中，審計數據對應模塊包括：文件類型確定單元，用于根據待審計數據的文件格式和/或頭文件的特征確定待審計數據的文件類型；待審計數據對應單元，用于將進行各個審計操作所需的文件類型對應的待審計數據確定為各個審計操作相應的待審計數據。

在一個實施例中，待審計數據獲取模塊包括：原始數據獲取單元，用于獲取各個系統層級上的原始數據；待審計數據提取單元，用于根據原始數據的特征，采用原始數據的特征對應的解析模板提取原始數據中與待審計事件相關聯的待審計數據。

在一個實施例中，裝置還包括：系統層級確定模塊，用于根據待審計數據的文件格式和/或獲取路徑確定待審計數據所屬的系統層級。

在一個實施例中，裝置還包括：存儲空間檢測模塊，用于檢測當前剩余的存儲空間；審計結果數據清理模塊，用于在當前剩余的存儲空間小于預設值時，將審計結果數據寫入審計報表，并刪除審計操作產生的臨時數據。

在一個實施例中，裝置還包括：緩存空間檢測模塊，用于檢測當前剩余的緩存空間；審計操作暫停模塊，用于在當前剩余的緩存空間小于預設值時，暫停當前正在進行的審計操作，并釋放緩存空間。

在一個實施例中，安全審計裝置用于移動終端的操作系統。