安全審計的主要功能有哪些

• 安全審計自動響應功能

  安全審計自動響應(AU_APR)定義在被測事件指示出一個潛在的安全攻擊時做出的響應，它是管理審計事件的需要，這些需要包括報警或行動。例如包括實時報警的生成、違例進程的終止、中斷服務、用戶賬號的失效等。根據審計事件的不同，系統將做出不同的響應，其響應的行動可做增加、刪除、修改等操作。

• 安全審計數據生成功能

  安全審計數據生成(AU_GEN)功能要求記錄與安全相關的事件的出現，包括鑒別審計層次、列舉可被審計的事件類型，以及鑒別由各種審計記錄類型提供的相關審計信息的最小集合。系統可定義可審計事件清單，每個可審計事件對應于某個事件級別，如低級、中級、高級。產生的審計數據有以下幾方面。

  (1)對于敏感數據項（如口令等）的訪問。

  (2)目標對象的刪除。

  (3)訪問權限或能力的授予和廢除。

  (4)改變主體或目標的安全屬性，

  (5)標識定義和用戶授權認證功能的使用。

  (6)審計動能的啟動和關閉。

每一條審計記錄中至少應所含的信息有：事件發生的日期：時間、事件類型、主題標識、執行結果（成功、失敗）、引起此事件的用戶的標識以及對每一個審計事件與該事件有關的審計信息。

• 安全審計分析功能

  安全審計分析(AU_ SAA)功能定義了分析系統活動和審計數據來尋找可能的或真正的安全違規操作。它可以用于入侵檢測或對安全違規的自動響應。當一個審計事件集出現或累計出現一定次數時可以確定一個違規的發生，并執行審計分析。事件的集合能夠由經授權的用戶進行增加、修改或刪除等操作。審計分析分為潛在攻擊分析、基于模板的異常檢測、簡單攻擊試探和復雜攻擊試探等幾種類型。

  (1)潛在攻擊分析。系統能用一系列的規則監控審計事件，并根據規則指示系統的潛在攻擊。

  (2)基于模板的異常檢測。檢測系統不同等級用戶的行動記錄，當用戶的活動等級超過其限定的登記時，應指示出此為一個潛在的攻擊。

  (3)簡單攻擊試探。當發現一個系統事件與一個表示對系統潛在攻擊的特征事件匹配時，應指示出此為一個潛在的攻擊。

  (4)復雜攻擊試探。當發現一個系統事件或事跡序列與一個表示對系統潛在攻擊的特征事件匹配時，應指示出此為一個潛在的攻擊。

• 安全審計瀏覽功能

  安全審計瀏覽(AU_SAR)功能要求審計系統能夠使授權的用戶有效地瀏覽審計數據，它包括審計瀏覽、有限審計瀏覽、可選審計瀏覽。

  (1)審計瀏覽。提供從審計記錄中讀取信息的服務。

  (2)有限審計瀏覽。要求除注冊用戶外，其他用戶不能讀取信息。

  (3)可選審計信息。要求審計瀏覽工具根據相應的判斷標準選擇需瀏覽的審計數據。

• 安全審計事件選擇功能

  安全審計事件選擇(AU_SEL)功能要求系統管理員能夠維護、檢查或修改審計事件的集合，能夠選擇對哪些安全屬性進行審計。例如，與目標標識、用戶標識、主體標識、主機標識或事件類型有關的屬性，系統管理員將能夠有選擇地在個人識別的基礎上審計任何一個用戶或多個用戶的動作。

• 安全審計事件存儲功能

  安全審計事件存儲(AU_ STG)功能要求審計系統將提供控制措施；以防止由于資源的不可用丟失審計數據。能夠創造、維護、訪問它所保護的對象的審計蹤跡，并保護其不被修改、非授權訪問或破壞。審計數據將受到倮護直至授權用戶對它進行的訪問。

  它可保證某個指定量度的審計記錄被維護，并不受以下事件的影響。

  (1)審計存儲空間用盡。

  (2)審計存儲故障。

  (3)非法攻擊。

  (4)其他任何非預期事件。

  審計系統能夠在審計存儲發生故障時采取相應的動作，能夠在審計存儲即將用盡時采取相應的動作。

回答所涉及的環境：聯想天逸510S、Windows 10。