GB/T 18794.7-2003信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第7部分：安全審計(jì)和報(bào)警框架

ICS35.100.01L79中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18794.7-2003/ISO/IEC10181-7:1996信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第7部分：安全審計(jì)和報(bào)警框架Informationtechnology-OpenSystemsinterconnection-Securityframeworksforopensystems-Part7：Securityauditandalarmsframework(ISO/IEC10181-7:1996,InformationtechnologypenSystemslnterconnection-Securityframeworksforopensystems:Securityauditandalarmsframework,IDT)2003-11-24發(fā)布2004-08-01實(shí)施中華人民共和國(guó)發(fā)布國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

GB/T18794.7-2003/ISO/IEC10181-7：1996前言引言范圍2規(guī)范性引用文件3術(shù)語(yǔ)和定義4縮略語(yǔ)5注釋6安全審計(jì)和報(bào)警的一般性論述6.1模型和功能……………6.1.1安全審計(jì)和報(bào)警功能6.1.2安全審計(jì)和報(bào)警模型6.1.3安安全審計(jì)和報(bào)警功能編組6.2安全審計(jì)和報(bào)警過(guò)程的幾個(gè)階段66.2.1檢測(cè)階段·…6.2.2群別階段6.2.3報(bào)警處理階段6.2.4分析階段6.2.5聚集階段6.2.6報(bào)告生成階段6.2.7檔階段6.3審計(jì)信息的相關(guān)性7安全審計(jì)和報(bào)警的策略及其他方面7.1策略………7.2法律問(wèn)題7.3保護(hù)需求7.3.1審計(jì)信息保護(hù)7.3.2審計(jì)和報(bào)警服務(wù)的保護(hù)8安全審計(jì)和報(bào)警信息及設(shè)施8.1審計(jì)和報(bào)警信息8.1.1安全審計(jì)消息8.1.2安全審計(jì)記錄8.1.3安全報(bào)警8.1.4安全報(bào)告8.1.5構(gòu)成審計(jì)和報(bào)警信息的示例8.2安全審計(jì)和報(bào)警設(shè)施8.2.1確定和分析安全事件-審計(jì)和報(bào)警功能準(zhǔn)則9安全審計(jì)和報(bào)警機(jī)制……10與其他安全服務(wù)和機(jī)制的交互

GB/T18794.7-2003/IS0/IEC10181-7：199610.1實(shí)體鑒別10數(shù)據(jù)源鑒別10.210.3防問(wèn)控制10.4機(jī)密性10.5完整性1010.6抗抵賴(lài)10附錄A（資料性附錄)開(kāi)放系統(tǒng)互連的安全審計(jì)和報(bào)警通則安全審計(jì)和報(bào)警模型的實(shí)現(xiàn)附錄B（資料性附錄）附錄C（資料性附錄)安全審計(jì)和報(bào)警設(shè)施概覽15附錄D（資料性附錄）審計(jì)事件的時(shí)間注冊(cè)……16

GB/T18794.7一2003/ISO/IEC10181-7:1996前GB/T18794《信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架》目前包括以下幾個(gè)部分第1部分(即GB/T18794.1:概述第2部分(即GB/T18794.2):鑒別框架第3部分(即GB/T18794.3):訪(fǎng)問(wèn)控制框架第4部分(即GB/T18794.4)：抗抵賴(lài)框架第5部分(即GB/T18794.5):機(jī)密性框架第6部分（即GB/T18794.6)：完整性框架第第7部分(即GB/T18794.7).安全審計(jì)和報(bào)警框架本部分為GB/T18794的第7部分，等同采用國(guó)際標(biāo)準(zhǔn)ISO/IEC10181-7:1996《信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架：安全審計(jì)和報(bào)警框架》英文版)。按照GB/T1.1—2000的規(guī)定,對(duì)ISO/IEC10181-7作了下列編輯性修改a）增加了我國(guó)的“前言”；b）“本標(biāo)準(zhǔn)"一詞改為"GB/T18794的本部分"或"本部分"；對(duì)"規(guī)范性引用文件"一章的導(dǎo)語(yǔ)按GB/T1.1—2000的要求進(jìn)行了修改；在引用的標(biāo)準(zhǔn)中.凡已制定了我國(guó)標(biāo)準(zhǔn)的各項(xiàng)標(biāo)準(zhǔn),均用我國(guó)的相應(yīng)標(biāo)準(zhǔn)編號(hào)代替。對(duì)“規(guī)范性引用文件"一章中的標(biāo)準(zhǔn),按照GB/T1.1-2000的規(guī)定重新進(jìn)行了排序。本部分的附錄A至附錄D都是資料性附錄。本部分由中華人民共和國(guó)信息產(chǎn)業(yè)部提出。本部分由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究所歸口。本部分起草單位：四川大學(xué)信息安全研究所本部分主要起草人：龔海澎、周安民、李煥洲、羅萬(wàn)伯、戴宗坤、陳興蜀、張力。

GB/T18794.7-2003/ISO/IEC10181-7:1996本部分精細(xì)化了GB/T18794.1中描述的安全審計(jì)概念。它包括事件檢測(cè)和從這些事件引發(fā)的動(dòng)作。因此，本框架涉及安全審計(jì)和安全報(bào)警兩方面。安全審計(jì)是系統(tǒng)記錄和活動(dòng)的獨(dú)立審查和檢驗(yàn)。安全審計(jì)的目的包括輔助識(shí)別和分析未經(jīng)授權(quán)的動(dòng)作或攻擊：幫助確保將動(dòng)作歸結(jié)到為其負(fù)責(zé)的實(shí)體上；促進(jìn)開(kāi)發(fā)改進(jìn)的損傷控制處理規(guī)程；確認(rèn)符合既定的安全策略；報(bào)告那些可能顯示系統(tǒng)控制缺陷的信息：識(shí)別可能需要的對(duì)控制、策略和處理程序的變更，在本椎架中.安全審計(jì)包括檢測(cè)、收集和記錄在安全審計(jì)跟蹤中各種與安全有關(guān)的事件，以及分析這些事件。審計(jì)和可確認(rèn)性都要求將那些信息記錄下來(lái)。安全審計(jì)保證例行事件和例外事件的足夠信息均能記錄下來(lái).以便事后的調(diào)查能確定是否有違背安全的事件發(fā)生.以及如果有,則什么信息或資源受到了損害?？纱_認(rèn)性保證將用戶(hù)進(jìn)行的動(dòng)作或代表用戶(hù)動(dòng)作的處理過(guò)程的有關(guān)信息都能夠記錄在案，以便能將這些動(dòng)作的相應(yīng)后果與可疑用戶(hù)(們)聯(lián)系，并且能使其對(duì)自己的行為承擔(dān)責(zé)任。提供安全審計(jì)服務(wù)能幫助提供可確認(rèn)性。安全報(bào)警是個(gè)人或進(jìn)程發(fā)出的警告.指示發(fā)生了異常情況，可能需要馬上采取動(dòng)作。安全報(bào)警的目的包括：報(bào)告實(shí)際的或明顯的安全違規(guī)企圖：報(bào)告各種安全相關(guān)的事件，包括"正?！笆录簣?bào)告達(dá)到一定門(mén)限而觸發(fā)的事件。

GB/T18794.7一2003/ISO/IEC10181-7:1996信息技術(shù)開(kāi)放系統(tǒng)互連開(kāi)放系統(tǒng)安全框架第7部分：安全審計(jì)和報(bào)警框架范圍本開(kāi)放系統(tǒng)安全框架的標(biāo)準(zhǔn)論述在開(kāi)放系統(tǒng)環(huán)境中安全服務(wù)的應(yīng)用，此處術(shù)語(yǔ)“開(kāi)放系統(tǒng)”包括諸如數(shù)據(jù)庫(kù)、分布式應(yīng)用、開(kāi)放分布式處理和開(kāi)放系統(tǒng)互連這樣一些領(lǐng)域。安全框架涉及定義對(duì)系統(tǒng)和系統(tǒng)內(nèi)的對(duì)象提供保護(hù)的方法,以及系統(tǒng)間的交互。本安全框架不涉及構(gòu)建系統(tǒng)或機(jī)制的方法學(xué)。安全框架論述數(shù)據(jù)元素和操作的序列(而不是協(xié)議元素).這兩者可被用來(lái)獲得特定的安全服務(wù)這些安全服務(wù)可應(yīng)用于系統(tǒng)正在通信的實(shí)體,系統(tǒng)間交換的數(shù)據(jù)，以及系統(tǒng)管理的數(shù)據(jù)本部分所述安全審計(jì)和報(bào)警的目的是確保按照安全機(jī)構(gòu)適當(dāng)?shù)陌踩呗蕴幚砼c開(kāi)放系統(tǒng)安全有關(guān)的事件特別是·本框架：a）定義安全審計(jì)和報(bào)警的基本概念；為安全審計(jì)和報(bào)警提供一個(gè)通用的模型；）識(shí)別安全審計(jì)和報(bào)警服務(wù)與其他安全服務(wù)的關(guān)系。和其他安全服務(wù)一樣，安全審計(jì)只能在規(guī)定的安全策略范圍內(nèi)提供。在第6章提供的安全審計(jì)和報(bào)警模型要支持很多日標(biāo).但并非所有這些日標(biāo)在特定環(huán)境里都是必須的或要求的。安全審計(jì)服務(wù)為審計(jì)機(jī)構(gòu)提供能力，使其能夠確定需要記錄在安全審計(jì)跟蹤中的事件很多不同類(lèi)型的標(biāo)準(zhǔn)能使用本框架，包括：體現(xiàn)審計(jì)和報(bào)警概念的標(biāo)準(zhǔn)；2規(guī)定含有審計(jì)和報(bào)警的抽象服務(wù)的標(biāo)準(zhǔn)：3規(guī)定使用審計(jì)和報(bào)警的標(biāo)準(zhǔn)；規(guī)定在開(kāi)放系統(tǒng)體系結(jié)構(gòu)內(nèi)提供審計(jì)和報(bào)警方法的標(biāo)準(zhǔn)：5規(guī)定審計(jì)和報(bào)警機(jī)制的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)能以下述方式使用本框架：標(biāo)準(zhǔn)類(lèi)型1)2)3)和5)能使用本框架的術(shù)語(yǔ);標(biāo)準(zhǔn)類(lèi)型2)、3)、4)和5)能使用第8章定義的設(shè)施；標(biāo)準(zhǔn)類(lèi)型5)能基于第9章定義的機(jī)制特性2規(guī)范性引用文件下述文件中的條款通過(guò)GB/T18794的本部分的引用而成為本部分的條款。凡是注日期的引用文件·其隨后所有的修改單(不包括誤的內(nèi)容)或修改版均不適用于本部分，然而.鼓勵(lì)根據(jù)本部分達(dá)成協(xié)議的各方研究