5.6 安全審計

5.6.1 安全審計的響應

安全審計SSF應按以下要求響應審計事件：

a) 記審計日志：當檢測到可能有安全侵害事件時，將審計數據記入審計日志；

b) 實時報警生成：當檢測到可能有安全侵害事件時，生成實時報警信息；

c) 違例進程終止：當檢測到可能有安全侵害事件時，將違例進程終止；

d) 服務取消：當檢測到可能有安全侵害事件時，取消當前的服務；

e) 用戶賬號斷開與失效：當檢測到可能有安全侵害事件時，將當前的用戶賬號斷開，并使其失效。

5.6.2 安全審計數據產生

SSF應按以下要求產生審計數據：

a) 為下述可審計事件產生審計記錄：

——審計功能的啟動和關閉；

——使用身份鑒別機制；

——將客體引入用戶地址空間（例如：打開文件、程序初始化）；

——刪除客體；

——系統管理員、系統安全員、審計員和一般操作員所實施的操作；

——其他與系統安全有關的事件或專門定義的可審計事件；

b) 對于每一個事件，其審計記錄應包括：事件的日期和時間、用戶、事件類型、事件是否成功，及其他與審計相關的信息；

c) 對于身份鑒別事件，審計記錄應包含請求的來源（例如：終端標識符）；

d) 對于客體被引入用戶地址空間的事件及刪除客體事件，審計記錄應包含客體名及客體的安全保護等級；

e) 將每個可審計事件與引起該事件的用戶相關聯。

5.6.3 安全審計分析

安全審計分析應包括：

a) 潛在侵害分析：應能用一系列規則去監控審計事件，并根據這些規則指出SSP的潛在侵害。這些規則包括：

——由已定義的可審計事件的子集所指示的潛在安全攻擊的積累或組合；

——任何其他的規則；

b) 基于異常檢測的描述：應維護用戶所具有的質疑等級——歷史使用情況，以表明該用戶的現行活動與已建立的使用模式的一致性程度。當用戶的質疑等級超過門限條件時，SSF應能指出將要發生對安全性的威脅；

c) 簡單攻擊探測：應能檢測到對SSF實施有重大威脅的簽名事件的出現。為此，SSF應維護指出對SSF侵害的簽名事件的內部表示，并將檢測到的系統行為記錄與簽名事件進行比較，當發現兩者匹配時，指出一個對SSF的攻擊即將到來；

d) 復雜攻擊探測：在上述簡單攻擊探測的基礎上，要求SSF應能檢測到多步入侵情況，并能根據已知的事件序列模擬出完整的入侵情況，還應指出發現對SSF的潛在侵害的簽名事件或事件序列的時間。

5.6.4 安全審計查閱

安全審計查閱工具應具有：

a) 審計查閱：提供從審計記錄中讀取信息的能力，即要求SSF為授權用戶提供獲得和解釋審計信息的能力。當用戶是人時，必須以人類可懂的方式表示信息；當用戶是外部IT實體時，必須以電子方式無歧義地表示審計信息；

b) 有限審計查閱：在上述審計查閱的基礎上，審計查閱工具應禁止具有讀訪問權限以外的用戶讀取審計信息；

c) 可選審計查閱：在上述有限審計查閱的基礎上，審計查閱工具應具有根據準則來選擇要查閱的審計數據的功能，并根據某種邏輯關系的標準提供對審計數據進行搜索、分類、排序的能力。

5.6.5 安全審計事件選擇

應根據以下屬性選擇可審計事件：

a) 客體身份、用戶身份、主體身份、主機身份、事件類型；

b) 作為審計選擇性依據的附加屬性。

5.6.6 安全審計事件存儲

應具有以下創建并維護安全的審計蹤跡記錄的能力：

a) 受保護的審計蹤跡存儲：要求審計蹤跡的存儲受到應有的保護，能檢測或防止對審計記錄的修改；

b) 審計數據的可用性確保：要求在意外情況出現時，能檢測或防止對審計記錄的修改，以及在發生審計存儲已滿、存儲失敗或存儲受到攻擊時，確保審計記錄不被破壞；

c) 審計數據可能丟失情況下的措施：要求當審計跟蹤超過預定的門限時，應采取相應的措施，進行審計數據可能丟失情況的處理；

d) 防止審計數據丟失：要求在審計蹤跡存儲記滿時，應采取相應的防止審計數據丟失的措施，可選擇“忽略可審計事件”、“阻止除具有特殊權限外的其他用戶產生可審計事件”、“覆蓋已存儲的最老的審計記錄”和“一旦審計存儲失敗所采取的其它行動”等措施，防止審計數據丟失。