GB/T 18794.7-2003信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架第7部分：安全審計和報警框架

ICS35.100.01L79中華人民共和國國家標準GB/T18794.7-2003/ISO/IEC10181-7:1996信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架第7部分：安全審計和報警框架Informationtechnology-OpenSystemsinterconnection-Securityframeworksforopensystems-Part7：Securityauditandalarmsframework(ISO/IEC10181-7:1996,InformationtechnologypenSystemslnterconnection-Securityframeworksforopensystems:Securityauditandalarmsframework,IDT)2003-11-24發(fā)布2004-08-01實施中華人民共和國發(fā)布國家質量監(jiān)督檢驗檢疫總局

GB/T18794.7-2003/ISO/IEC10181-7：1996前言引言范圍2規(guī)范性引用文件3術語和定義4縮略語5注釋6安全審計和報警的一般性論述6.1模型和功能……………6.1.1安全審計和報警功能6.1.2安全審計和報警模型6.1.3安安全審計和報警功能編組6.2安全審計和報警過程的幾個階段66.2.1檢測階段·…6.2.2群別階段6.2.3報警處理階段6.2.4分析階段6.2.5聚集階段6.2.6報告生成階段6.2.7檔階段6.3審計信息的相關性7安全審計和報警的策略及其他方面7.1策略………7.2法律問題7.3保護需求7.3.1審計信息保護7.3.2審計和報警服務的保護8安全審計和報警信息及設施8.1審計和報警信息8.1.1安全審計消息8.1.2安全審計記錄8.1.3安全報警8.1.4安全報告8.1.5構成審計和報警信息的示例8.2安全審計和報警設施8.2.1確定和分析安全事件-審計和報警功能準則9安全審計和報警機制……10與其他安全服務和機制的交互

GB/T18794.7-2003/IS0/IEC10181-7：199610.1實體鑒別10數(shù)據(jù)源鑒別10.210.3防問控制10.4機密性10.5完整性1010.6抗抵賴10附錄A（資料性附錄)開放系統(tǒng)互連的安全審計和報警通則安全審計和報警模型的實現(xiàn)附錄B（資料性附錄）附錄C（資料性附錄)安全審計和報警設施概覽15附錄D（資料性附錄）審計事件的時間注冊……16

GB/T18794.7一2003/ISO/IEC10181-7:1996前GB/T18794《信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架》目前包括以下幾個部分第1部分(即GB/T18794.1:概述第2部分(即GB/T18794.2):鑒別框架第3部分(即GB/T18794.3):訪問控制框架第4部分(即GB/T18794.4)：抗抵賴框架第5部分(即GB/T18794.5):機密性框架第6部分（即GB/T18794.6)：完整性框架第第7部分(即GB/T18794.7).安全審計和報警框架本部分為GB/T18794的第7部分，等同采用國際標準ISO/IEC10181-7:1996《信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架：安全審計和報警框架》英文版)。按照GB/T1.1—2000的規(guī)定,對ISO/IEC10181-7作了下列編輯性修改a）增加了我國的“前言”；b）“本標準"一詞改為"GB/T18794的本部分"或"本部分"；對"規(guī)范性引用文件"一章的導語按GB/T1.1—2000的要求進行了修改；在引用的標準中.凡已制定了我國標準的各項標準,均用我國的相應標準編號代替。對“規(guī)范性引用文件"一章中的標準,按照GB/T1.1-2000的規(guī)定重新進行了排序。本部分的附錄A至附錄D都是資料性附錄。本部分由中華人民共和國信息產(chǎn)業(yè)部提出。本部分由中國電子技術標準化研究所歸口。本部分起草單位：四川大學信息安全研究所本部分主要起草人：龔海澎、周安民、李煥洲、羅萬伯、戴宗坤、陳興蜀、張力。

GB/T18794.7-2003/ISO/IEC10181-7:1996本部分精細化了GB/T18794.1中描述的安全審計概念。它包括事件檢測和從這些事件引發(fā)的動作。因此，本框架涉及安全審計和安全報警兩方面。安全審計是系統(tǒng)記錄和活動的獨立審查和檢驗。安全審計的目的包括輔助識別和分析未經(jīng)授權的動作或攻擊：幫助確保將動作歸結到為其負責的實體上；促進開發(fā)改進的損傷控制處理規(guī)程；確認符合既定的安全策略；報告那些可能顯示系統(tǒng)控制缺陷的信息：識別可能需要的對控制、策略和處理程序的變更，在本椎架中.安全審計包括檢測、收集和記錄在安全審計跟蹤中各種與安全有關的事件，以及分析這些事件。審計和可確認性都要求將那些信息記錄下來。安全審計保證例行事件和例外事件的足夠信息均能記錄下來.以便事后的調查能確定是否有違背安全的事件發(fā)生.以及如果有,則什么信息或資源受到了損害?？纱_認性保證將用戶進行的動作或代表用戶動作的處理過程的有關信息都能夠記錄在案，以便能將這些動作的相應后果與可疑用戶(們)聯(lián)系，并且能使其對自己的行為承擔責任。提供安全審計服務能幫助提供可確認性。安全報警是個人或進程發(fā)出的警告.指示發(fā)生了異常情況，可能需要馬上采取動作。安全報警的目的包括：報告實際的或明顯的安全違規(guī)企圖：報告各種安全相關的事件，包括"正常“事件：報告達到一定門限而觸發(fā)的事件。

GB/T18794.7一2003/ISO/IEC10181-7:1996信息技術開放系統(tǒng)互連開放系統(tǒng)安全框架第7部分：安全審計和報警框架范圍本開放系統(tǒng)安全框架的標準論述在開放系統(tǒng)環(huán)境中安全服務的應用，此處術語“開放系統(tǒng)”包括諸如數(shù)據(jù)庫、分布式應用、開放分布式處理和開放系統(tǒng)互連這樣一些領域。安全框架涉及定義對系統(tǒng)和系統(tǒng)內的對象提供保護的方法,以及系統(tǒng)間的交互。本安全框架不涉及構建系統(tǒng)或機制的方法學。安全框架論述數(shù)據(jù)元素和操作的序列(而不是協(xié)議元素).這兩者可被用來獲得特定的安全服務這些安全服務可應用于系統(tǒng)正在通信的實體,系統(tǒng)間交換的數(shù)據(jù)，以及系統(tǒng)管理的數(shù)據(jù)本部分所述安全審計和報警的目的是確保按照安全機構適當?shù)陌踩呗蕴幚砼c開放系統(tǒng)安全有關的事件特別是·本框架：a）定義安全審計和報警的基本概念；為安全審計和報警提供一個通用的模型；）識別安全審計和報警服務與其他安全服務的關系。和其他安全服務一樣，安全審計只能在規(guī)定的安全策略范圍內提供。在第6章提供的安全審計和報警模型要支持很多日標.但并非所有這些日標在特定環(huán)境里都是必須的或要求的。安全審計服務為審計機構提供能力，使其能夠確定需要記錄在安全審計跟蹤中的事件很多不同類型的標準能使用本框架，包括：體現(xiàn)審計和報警概念的標準；2規(guī)定含有審計和報警的抽象服務的標準：3規(guī)定使用審計和報警的標準；規(guī)定在開放系統(tǒng)體系結構內提供審計和報警方法的標準：5規(guī)定審計和報警機制的標準。這些標準能以下述方式使用本框架：標準類型1)2)3)和5)能使用本框架的術語;標準類型2)、3)、4)和5)能使用第8章定義的設施；標準類型5)能基于第9章定義的機制特性2規(guī)范性引用文件下述文件中的條款通過GB/T18794的本部分的引用而成為本部分的條款。凡是注日期的引用文件·其隨后所有的修改單(不包括誤的內容)或修改版均不適用于本部分，然而.鼓勵根據(jù)本部分達成協(xié)議的各方研究