6.6 安全審計功能

應按照對安全審計的要求進行設計。按安全審計數據產生的描述產生審計數據；按安全審計查閱的描述提供審計查閱、有限審計查閱和可選審計查閱；按安全審計事件選擇的描述提供對審計事件的選擇；按安全審計事件存儲中受保護的審計蹤跡存儲、審計數據的可用性確保、審計數據可能丟失行動和防止審計事件丟失的要求來保存審計事件；按安全審計分析中的潛在侵害分析、基于異常檢測的描述以及簡單攻擊探測和復雜攻擊探測的要求進行審計分析設計；按安全審計的自動響應的要求設計相應的功能。

網絡安全審計涉及與安全有關的事件，包括事件的探測、收集、控制，進行事件責任的追查。審計中必須包含的信息的典型類型包括：標定哪些網段需要有限授權訪問或數據加密，哪些設備、文件和目錄需要加鎖或口令保護，哪些文件應該進行存檔備份，執行備份程序的頻率，以及網絡所使用的病毒防護措施的類型等。安全審計通過對網絡上發生的各種訪問情況記錄日志，并對日志進行統計分析，從而對資源使用情況進行事后分析。審計也是發現和追蹤安全事件的常用措施，能夠自動記錄攻擊發起人的IP地址及企圖攻擊的時間，以及攻擊包數據，給系統安全管理及追查網絡犯罪提供可靠的線索。安全審計應該提供有關網絡所使用的緊急事件和災難處理程序，提供準確的網絡安全審計和趨向分析報告，支持安全程序的計劃和評估。對于較高安全等級的安全審計數據，可通過數字簽名技術進行保護，限定審計數據可由審計員處理，但不可修改。

表7給出了從系統審計保護級到訪問驗證保護級對安全審計功能的分層分級要求。