GB/T 18794.7-2003信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第7部分：安全審計和報警框架

ICS35.100.01L79中華人民共和國國家標(biāo)準(zhǔn)GB/T18794.7-2003/ISO/IEC10181-7:1996信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第7部分：安全審計和報警框架Informationtechnology-OpenSystemsinterconnection-Securityframeworksforopensystems-Part7：Securityauditandalarmsframework(ISO/IEC10181-7:1996,InformationtechnologypenSystemslnterconnection-Securityframeworksforopensystems:Securityauditandalarmsframework,IDT)2003-11-24發(fā)布2004-08-01實施中華人民共和國發(fā)布國家質(zhì)量監(jiān)督檢驗檢疫總局

GB/T18794.7-2003/ISO/IEC10181-7：1996前言引言范圍2規(guī)范性引用文件3術(shù)語和定義4縮略語5注釋6安全審計和報警的一般性論述6.1模型和功能……………6.1.1安全審計和報警功能6.1.2安全審計和報警模型6.1.3安安全審計和報警功能編組6.2安全審計和報警過程的幾個階段66.2.1檢測階段·…6.2.2群別階段6.2.3報警處理階段6.2.4分析階段6.2.5聚集階段6.2.6報告生成階段6.2.7檔階段6.3審計信息的相關(guān)性7安全審計和報警的策略及其他方面7.1策略………7.2法律問題7.3保護(hù)需求7.3.1審計信息保護(hù)7.3.2審計和報警服務(wù)的保護(hù)8安全審計和報警信息及設(shè)施8.1審計和報警信息8.1.1安全審計消息8.1.2安全審計記錄8.1.3安全報警8.1.4安全報告8.1.5構(gòu)成審計和報警信息的示例8.2安全審計和報警設(shè)施8.2.1確定和分析安全事件-審計和報警功能準(zhǔn)則9安全審計和報警機制……10與其他安全服務(wù)和機制的交互

GB/T18794.7-2003/IS0/IEC10181-7：199610.1實體鑒別10數(shù)據(jù)源鑒別10.210.3防問控制10.4機密性10.5完整性1010.6抗抵賴10附錄A（資料性附錄)開放系統(tǒng)互連的安全審計和報警通則安全審計和報警模型的實現(xiàn)附錄B（資料性附錄）附錄C（資料性附錄)安全審計和報警設(shè)施概覽15附錄D（資料性附錄）審計事件的時間注冊……16

GB/T18794.7一2003/ISO/IEC10181-7:1996前GB/T18794《信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架》目前包括以下幾個部分第1部分(即GB/T18794.1:概述第2部分(即GB/T18794.2):鑒別框架第3部分(即GB/T18794.3):訪問控制框架第4部分(即GB/T18794.4)：抗抵賴框架第5部分(即GB/T18794.5):機密性框架第6部分（即GB/T18794.6)：完整性框架第第7部分(即GB/T18794.7).安全審計和報警框架本部分為GB/T18794的第7部分，等同采用國際標(biāo)準(zhǔn)ISO/IEC10181-7:1996《信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架：安全審計和報警框架》英文版)。按照GB/T1.1—2000的規(guī)定,對ISO/IEC10181-7作了下列編輯性修改a）增加了我國的“前言”；b）“本標(biāo)準(zhǔn)"一詞改為"GB/T18794的本部分"或"本部分"；對"規(guī)范性引用文件"一章的導(dǎo)語按GB/T1.1—2000的要求進(jìn)行了修改；在引用的標(biāo)準(zhǔn)中.凡已制定了我國標(biāo)準(zhǔn)的各項標(biāo)準(zhǔn),均用我國的相應(yīng)標(biāo)準(zhǔn)編號代替。對“規(guī)范性引用文件"一章中的標(biāo)準(zhǔn),按照GB/T1.1-2000的規(guī)定重新進(jìn)行了排序。本部分的附錄A至附錄D都是資料性附錄。本部分由中華人民共和國信息產(chǎn)業(yè)部提出。本部分由中國電子技術(shù)標(biāo)準(zhǔn)化研究所歸口。本部分起草單位：四川大學(xué)信息安全研究所本部分主要起草人：龔海澎、周安民、李煥洲、羅萬伯、戴宗坤、陳興蜀、張力。

GB/T18794.7-2003/ISO/IEC10181-7:1996本部分精細(xì)化了GB/T18794.1中描述的安全審計概念。它包括事件檢測和從這些事件引發(fā)的動作。因此，本框架涉及安全審計和安全報警兩方面。安全審計是系統(tǒng)記錄和活動的獨立審查和檢驗。安全審計的目的包括輔助識別和分析未經(jīng)授權(quán)的動作或攻擊：幫助確保將動作歸結(jié)到為其負(fù)責(zé)的實體上；促進(jìn)開發(fā)改進(jìn)的損傷控制處理規(guī)程；確認(rèn)符合既定的安全策略；報告那些可能顯示系統(tǒng)控制缺陷的信息：識別可能需要的對控制、策略和處理程序的變更，在本椎架中.安全審計包括檢測、收集和記錄在安全審計跟蹤中各種與安全有關(guān)的事件，以及分析這些事件。審計和可確認(rèn)性都要求將那些信息記錄下來。安全審計保證例行事件和例外事件的足夠信息均能記錄下來.以便事后的調(diào)查能確定是否有違背安全的事件發(fā)生.以及如果有,則什么信息或資源受到了損害?？纱_認(rèn)性保證將用戶進(jìn)行的動作或代表用戶動作的處理過程的有關(guān)信息都能夠記錄在案，以便能將這些動作的相應(yīng)后果與可疑用戶(們)聯(lián)系，并且能使其對自己的行為承擔(dān)責(zé)任。提供安全審計服務(wù)能幫助提供可確認(rèn)性。安全報警是個人或進(jìn)程發(fā)出的警告.指示發(fā)生了異常情況，可能需要馬上采取動作。安全報警的目的包括：報告實際的或明顯的安全違規(guī)企圖：報告各種安全相關(guān)的事件，包括"正?！笆录簣蟾孢_(dá)到一定門限而觸發(fā)的事件。

GB/T18794.7一2003/ISO/IEC10181-7:1996信息技術(shù)開放系統(tǒng)互連開放系統(tǒng)安全框架第7部分：安全審計和報警框架范圍本開放系統(tǒng)安全框架的標(biāo)準(zhǔn)論述在開放系統(tǒng)環(huán)境中安全服務(wù)的應(yīng)用，此處術(shù)語“開放系統(tǒng)”包括諸如數(shù)據(jù)庫、分布式應(yīng)用、開放分布式處理和開放系統(tǒng)互連這樣一些領(lǐng)域。安全框架涉及定義對系統(tǒng)和系統(tǒng)內(nèi)的對象提供保護(hù)的方法,以及系統(tǒng)間的交互。本安全框架不涉及構(gòu)建系統(tǒng)或機制的方法學(xué)。安全框架論述數(shù)據(jù)元素和操作的序列(而不是協(xié)議元素).這兩者可被用來獲得特定的安全服務(wù)這些安全服務(wù)可應(yīng)用于系統(tǒng)正在通信的實體,系統(tǒng)間交換的數(shù)據(jù)，以及系統(tǒng)管理的數(shù)據(jù)本部分所述安全審計和報警的目的是確保按照安全機構(gòu)適當(dāng)?shù)陌踩呗蕴幚砼c開放系統(tǒng)安全有關(guān)的事件特別是·本框架：a）定義安全審計和報警的基本概念；為安全審計和報警提供一個通用的模型；）識別安全審計和報警服務(wù)與其他安全服務(wù)的關(guān)系。和其他安全服務(wù)一樣，安全審計只能在規(guī)定的安全策略范圍內(nèi)提供。在第6章提供的安全審計和報警模型要支持很多日標(biāo).但并非所有這些日標(biāo)在特定環(huán)境里都是必須的或要求的。安全審計服務(wù)為審計機構(gòu)提供能力，使其能夠確定需要記錄在安全審計跟蹤中的事件很多不同類型的標(biāo)準(zhǔn)能使用本框架，包括：體現(xiàn)審計和報警概念的標(biāo)準(zhǔn)；2規(guī)定含有審計和報警的抽象服務(wù)的標(biāo)準(zhǔn)：3規(guī)定使用審計和報警的標(biāo)準(zhǔn)；規(guī)定在開放系統(tǒng)體系結(jié)構(gòu)內(nèi)提供審計和報警方法的標(biāo)準(zhǔn)：5規(guī)定審計和報警機制的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)能以下述方式使用本框架：標(biāo)準(zhǔn)類型1)2)3)和5)能使用本框架的術(shù)語;標(biāo)準(zhǔn)類型2)、3)、4)和5)能使用第8章定義的設(shè)施；標(biāo)準(zhǔn)類型5)能基于第9章定義的機制特性2規(guī)范性引用文件下述文件中的條款通過GB/T18794的本部分的引用而成為本部分的條款。凡是注日期的引用文件·其隨后所有的修改單(不包括誤的內(nèi)容)或修改版均不適用于本部分，然而.鼓勵根據(jù)本部分達(dá)成協(xié)議的各方研究