随着网络应用的迅速普及，信息系统面临着日益严重的安全威胁，人们对于信息安全的需求日益迫切。安全审计作为信息系统的一种安全保障机制，对于系统行为的监控、电子证据的提供都具有重要作用，因此越来越受到各国研究和生产部门的重视。 本文研究了安全审计系统的现状，结合主流操作系统中审计机制的实现和当前信息系统的安全需求，参照审计系统的安全标准，针对底层的入侵和攻击，设计并实现了基于Linux安全模块(LSM)的安全审计系统。LSM是Linux内核的一个轻量级通用访问控制框架，已经被加入到2.6版本的Linux内核代码中。基于LSM的审计系统具有通用性和易用性好，和其他安全模块堆叠简单等优点。 审计系统由运行Linux系统的被审计机和运行Windows系统的审计服务器构成，系统的各个组成模块和工作流程为：在经过审计扩展后的LSM框架上载入审计模块，审计模块根据管理模块发送的指令和配置信息获取审计数据，并由通信模块将数据发送到审计服务器，审计服务器上的数据存储模块负责将从通信模块获得的审计数据按照一定的格式存储到数据库中。分析模块实时分析审计数据，发现异常则弹出报警信息并反馈给被审计机进行相应的安全处理。 审计系统在被审计机上数据的获取和传输都在内核层完成，有效保证了审计数据的真实性和传输的安全性。审计数据的存储采用了转储的形式，即审计数据的存储和分析采用专门的审计服务器完成，有效降低了审计系统对被审计机性能的影响。为了实现转储型审计系统数据传输的标准化，本文提出了审计系统专用传输协议 iAudit。iAudit 协议在TCP协议上层进一步封装自己的协议数据单元，用来满足审计数据传输的特殊需求。 本系统在被审计机上进行了文件服务、邮件服务和Telnet服务等网络服务和应用程序的测试，实践证明该系统可以满足GB 17859-1999中安全等级第四级对审计数据的要求。 本文对基于LSM的安全审计系统实现所需的关键技术做了研究，并进一步实现了该系统的基本功能，为基于LSM的安全审计系统的产品化奠定了基础。