通过对安全审计技术和产品的分析，我们不难发现，客户为了实现安全审计的目标，首先要将需求进行分解，对应到一组审计对象之上，然后选取最合适的技术手段，从而选定适当的审计产品。这也是审计产品选型的推荐过程。

审计对象和审计技术手段已经详细阐述过，这里，审计目标就是IT安全审计定义中的目标，包括：

l 判定现有IT安全控制的有效性;

l 检查IT系统的误用和滥用行为;

l 验证当前安全策略的合规性;

l 获取犯罪和违规的证据;

l 确认必要的记录被文档化;

l 检测网络异常和入侵。

针对不同的审计目标，审计需求分解会不一样，进而审计对象和技术的选择也会有所不同。对于不同的审计对象，每种审计手段都各有利弊。

日志审计具有最广泛的适用性，能够对各类审计对象进行审计，审计目标能够覆盖国家等级化保护、IT内控指引和规范的大部分要求，实现大部分客户 的大部分审计目标。同时，日志审计的技术实现代价较小，对网络系统影响不大，后期维护代价适中。因而一般建议用户构建安全审计体系首先从日志审计开始。日 志审计最主要的缺陷在于有时候无法获得被审计对象的日志信息，从而无法进行后续分析。

基于网络协议分析的审计技术多用于对网络、数据库和应用系统，以及用户行为进行审计。该技术具有对被审计对象无影响的特点，但是需要购买专门的 审计设备和系统，需要专门的维护。该技术最主要的缺陷在于一般无法审计加密信息，或者为了审计加密信息而不得不改变网络结构，进而增加影响网络性能的风 险。此外，在审计用户上网行为的过程中，需要不断地更新应用协议解析库，存在一个被动升级的过程。目前，该技术的变种较多，具体实现技术手段也都各异。

基于本机代理的审计技术较为固定，基本上就用于对主机服务器和终端的审计之上。该技术的缺陷就是需要安装代理，需要考虑代理的兼容性和对主机或者终端的自身运行影响性。此外，代理的升级和维护也是一个难点，具有较高的维护代价。一般用于有较高安全需求的场合。

基于远程代理的审计技术使用范围也较广，可适用于对关键基础设施的审计，并且对被审计对象基本无影响。但是，该技术实现的审计目标较窄，集中于对审计对象的漏洞审计，以及对审计对象的配置基线进行稽核。

审计对象与审计技术实现方式的一般对应关系如下图所示：

　　图：审计对象与审计技术的一般性对应关系