1、中华人民共和国国家标准信息技术开放系统互连系统管理第部分安全审计跟踪功能发布实施国家技术监督局发布前言本标准等同采用信息技术开放系统互连系统管理安全审计跟踪功能和信息技术开放系统互连系统管理安全审计跟踪功能技术修改根据本标准对的第章附录附录附录附录和附录进行了修改在信息技术开放系统互连系统管理总标题下目前包括以下个部分第部分即客体管理功能第部分即状态管理功能第部分即表示关系的属性第部分即告警报告功能第部分即事件报告管理功能第部分即日志控制功能第部分即安全告警报告功能第部分即安全审计跟踪功能本标准的附录附录附录附录和附录是标准的附录本标准的附录是提示的附录本标准由中华人民共和国电子工业部提出本标
2、准由电子工业部标准化研究所归口本标准起草单位电子工业部标准化研究所本标准主要起草人郑洪仁周小华张小涛黄家英前言国际标准化组织和国际电工委员会是世界性的标准化专门机构国家成员体他们都是或的成员国通过国际组织建立的各个技术委员会参与制定针对特定技术范围的国际标准和的各技术委员会在共同感兴趣的领域内进行合作与和有联系的其他官方和非官方国际组织也可参与国际标准的制定工作对于信息技术和建立了一个联合技术委员会即由联合技术委员会提出的国际标准草案需分发给国家成员体进行表决发布一项国际标准至少需要的参与表决的国家成员体投票赞成国际标准是由信息技术联合技术委员会与合作制定的等同文本为在信息技术开放系统互连系统
3、管理总标题下目前包括以下个部分第部分客体管理功能第部分状态管理功能第部分表示关系的属性第部分告警报告功能第部分事件报告管理功能第部分日志控制功能第部分安全告警报告功能第部分安全审计跟踪功能第部分访问控制的客体和属性第部分记帐计量功能第部分工作负荷监控功能第部分测试管理功能第部分概括功能第部分可信度及诊断测试分类附录和构成为本标准的一部分附录仅提供参考信息引言是遵照和制定的由多个部分组成的标准与以下标准有关信息技术开放系统互连公共管理信息服务定义信息技术开放系统互连系统管理综述信息技术开放系统互连管理信息结构信息技术开放系统互连公共管理信息协议中华人民共和国国家标准信息技术开放系统互连系统管理第
4、部分安全审计跟踪功能国家技术监督局批准实施范围本标准定义了安全审计跟踪功能安全审计跟踪功能是一项系统管理功能它供应用进程在集中式或分散式管理环境中交换信息和命令以便用于所定义的系统管理本标准位于的应用层并按提供的模型定义系统管理功能的作用由描述本标准为需要用来支持安全审计跟踪报告功能的服务定义而建立用户需求定义由安全审计跟踪报告功能提供的服务规定为提供服务所必需的协议定义服务与管理通知之间的关系定义与其他系统管理功能之间的关系规定一致性要求本标准不定义安全审计也不定义如何执行安全审计安全审计可用来帮助评估安全策略的有效性安全策略标识要求审计的安全相关事件的分类以及记录安全审计跟踪日志的单元不定
5、义旨在提供安全审计跟踪功能的任何实现的特性不定义使用安全审计跟踪功能的适当场合不定义建立正常释放和异常释放管理联系所必需的服务不定义由其他标准定义的安全管理者可能感兴趣的任何其他通知引用标准下列标准所包含的条文通过在本标准中引用而构成为本标准的条文本标准出版时所示版本均为有效所有标准都会被修订使用本标准的各方应探讨使用下列标准最新版本的可能性信息处理系统开放系统互连基本参考模型信息处理系统开放系统互连基本参考模型第部分安全体系结构信息处理系统开放系统互连基本参考模型第部分管理框架信息处理系统开放系统互连服务约定信息技术开放系统互连抽象语法记法一规范信息技术开放系统互连抽象语法记法一基本编码规则
6、规范信息技术开放系统互连公共管理信息服务定义信息技术开放系统互连系统管理综述信息技术开放系统互连系统管理第部分告警报告功能信息技术开放系统互连系统管理第部分事件报告管理功能信息技术开放系统互连系统管理第部分日志控制功能信息技术开放系统互连系统管理第部分安全告警报告功能信息技术开放系统互连管理信息结构第部分管理信息定义信息技术开放系统互连管理信息结构第部分被管客体的定义指南信息技术开放系统互连应用层结构信息技术开放系统互连一致性测试方法和框架第部分基本概念信息技术开放系统互连一致性测试方法和框架第部分抽象测试套规范信息技术开放系统互连一致性测试方法和框架第部分实现一致性声明信息技术开放系统互连管
7、理信息结构第部分与管理有关的实现一致性形式表的要求和指南信息技术开放系统互连开放系统安全框架安全审计和跟踪框架定义本标准采用下列定义基本参考模型定义本标准采用中定义的下列术语开放系统安全体系结构定义本标准采用中定义的下列术语安全审计跟踪安全策略管理框架定义本标准采用中定义的下列术语被管客体系统管理概论定义本标准采用中定义的下列术语代理作用被管客体一致性声明管理信息一致性声明管理域管理者作用形式表形式表通知系统管理功能单元事件报告管理功能定义本标准采用中定义的下列术语辨别器安全告警报告定义本标准采用中定义的下列术语安全相关事件日志控制定义本标准采用中定义的下列术语日志日志记录一致性测试定义本标准
8、采用中定义的下列术语形式表协议实现一致性声明系统一致性声明实现一致性声明形式表定义本标准采用中定义的下列术语被管关系一致性声明管理一致性概要管理信息定义声明形式表形式表形式表缩略语抽象语法记法一公共管理信息服务证实实现一致性声明指示管理应用协议数据单元管理一致性概要管理信息一致性声明管理信息定义声明被管客体一致性声明被管关系一致性声明开放系统互连协议实现一致性声明请求响应系统管理应用协议机约定本标准遵循定义的描述性约定为安全审计跟踪功能定义了服务在第章中每项服务的定义包括一个列出服务原语参数的表对一条给定的服务原语每个参数的出现由下列值之一描述参数是必备的参数值等于左列参数之值使用该参数是服务
9、用户的选项在该原语所描述的交互中不存在此参数参数是有条件的条件由描述该参数的文本定义参数受的强制制约注在表中标识的参数在不改变参数的语义或语法的情况下直接映射到服务原语的相应参数上其余参数用于构造需求安全管理用户需要有能力在安全审计跟踪日志中记录管理域里发生的安全相关事件开放系统的安全策略可能需要特定的安全相关事件被送给同一开放系统或不同开放系统中的安全审计跟踪日志可能经受安全审计制约的安全相关事件包括但不局限于连接断开安全机制利用管理操作使用记帐安全管理用户还需要有能力控制安全审计跟踪功能的操作为满足这些要求本标准描述了这些服务和技术的用法模型本标准要求安全相关事件按照中定义的规程被记入日志
10、安全审计跟踪日志中的辨别器构造应予以规定以便允许捕获安全策略要求记入日志的入事件如果要将事件报告发送给不同的目的地则应创建中定义的事件转发辨别器并应设置目的地址以将事件发送给选定的安全审计跟踪日志所在的系统安全审计跟踪日志是中定义的日志将事件报告运送给安全审计跟踪日志位于的系统的模型在中定义创建和检索安全审计跟踪日志中的项的模型在中定义类属定义类属通知本标准定义一组类属安全审计跟踪通知及其可用参数和语义由本标准定义的这组类属通知参数和语义集合详细提供了由定义的服务的下列参数事件类型事件信息事件应答所有通知都是系统管理日志的潜在项定义了由它派生出所有项的类属事件日志记录客体类由事件信息规定的附加
11、信息和事件应答参数事件类型本参数定义安全审计跟踪报告的类型在本标准中定义了下列事件类型服务报告指出属于拒绝或恢复服务条款的事件生成事件的特定原因在中描述使用报告指出包含与安全有关的统计特性信息的记录在其他标准例如中定义的其他通知可被记录在安全审计日志中通知类型类似于安全审计跟踪报告类型及其有关参数在适当的标准中定义事件信息服务报告原因参数构成通知特定事件信息当事件类型规定服务报告并对服务报告的可能原因定义了进一步限制时就应提供本参数本参数值与事件类型值一起决定哪些参数均衡构成服务报告以及这些参数可以是什么可能值用于通知服务报告原因值应在客体类定义的行为条款中指出本标准定义对被管客体类具有广泛适
12、用性的服务报告原因以在定义的系统管理应用上下文中使用这些值按本标准的附录进行登记服务报告原因的语法应是类型客体标识符附加的服务报告原因可被增加到本标准中并使用在中为客体标识符值定义的登记规程登记以在定义的系统管理应用上下文中使用其他服务报告原因可以在本标准范围之外定义并使用中为客体标识符值定义的登记规程进行登记以在定义的系统管理应用上下文中使用定义下列服务报告原因请求服务由于请求提供服务该值规定已生成通知拒绝服务由于请求服务被拒绝该值规定已生成通知服务响应由于请求服务被满足该值规定已生成通知服务失败由于在提供服务的期间检测到引起服务失败的异常条件该值规定已生成通知服务恢复由于服务已从异常条件中
13、恢复该值规定已生成通知其他原因由于除上述以外的原因该值规定已生成通知实际原因和其他相关信息在报告的其他参数中规定事件应答该标准不规定用于事件应答参数中的管理信息被管客体安全审计跟踪记录是被管客体类它派生于在中定义的事件日志记录客体类安全审计跟踪记录客体类表示存储在由安全审计跟踪通知引起的日志中的信息引入的类属定义也使用下列参数这些参数由定义附加信息附加文本相关通知通知标识符符合性通过引用附录中定义的通知样本结合通知规范被管客体类定义支持本标准定义的功能引用机制在中定义对每个安全审计跟踪报告的实例都要求引入本标准定义的一个或多个安全审计跟踪通知的被管客体类定义以便选择安全审计跟踪报告类型使之最贴
14、切地反映导致被管客体发出通知的真实事件对每个引入的通知被管客体类定义应在特性条款中规定要使用哪些选择参数和条件参数使用它们的条件以及它们的值允许声明对参数的使用保留为可选服务定义引言安全审计跟踪通知提供报告由被管客体检测到安全相关事件的能力本参数运送与安全审计跟踪相关的信息安全告警报告服务安全告警报告服务使用第章定义的参数以及在中定义的一般服务参数表列出安全审计跟踪报告服务的参数表安全审计跟踪报告参数参数名称调用标识符方式被管客体类被管客体实例事件类型事件时间事件信息服务报告原因通知标识符相关通知附加文本附加信息当前时间事件应答差错事件时间相关通知和通知标识参数可由发送通知的被管客体或被管系统
15、分配功能单元安全审计跟踪功能构成单个系统管理功能单元协议规程元素代理作用调用安全审计跟踪报告规程由安全审计跟踪报告请求原语启动在收到安全审计跟踪报告请求原语时应构造一个并发出一个带有参数的服务原语参数来自安全审计跟踪报告请求原语在非证实方式下不使用中的规程接收响应在收到一个含有响应安全审计跟踪报告通知的服务原语时应发出一个带有参数的安全审计跟踪报告证实确认原语给安全审计跟踪报告服务用户参数来自服务原语从而完成安全审计跟踪报告规程注忽略收到的中的所有差错安全审计跟踪报告服务用户可以忽略这些差错或者因此联系夭折管理者作用接收请求在收到一个含有请求安全审计跟踪报告服务的服务原语时如果完好则应发出一个
16、带有参数的安全审计跟踪报告指示原语给安全审计跟踪报告服务用户参数来自服务原语否则在证实方式下应构造一个含有差错通知的适当的并发出一个带有差错参数存在的服务原语在非证实方式下不使用中的规程响应在证实方式下应接收安全审计跟踪报告响应原语并构造一个以证实通知并发出一个带有参数的服务原语参数来自安全审计跟踪报告响应原语抽象语法被管客体本标准定义了下列支持客体其抽象语法在中规定属性表标出了中定义的参数与附录中定义的属性类型规范之间的关系表属性参数属性名称服务报告原因属性组本系统管理功能没有定义属性组动作本系统管理功能没有定义特定的动作通知表标出了中定义的通知与附录中定义的通知类型规范之间的关系表通知安全
17、审计跟踪类型通知类型服务报告使用报告中带有通知类型规范所引用的抽象语法服务报告原因表标出了中定义的服务报告原因和附录中定义的值引用之间的关系表服务报告原因服务报告原因值引用请求服务拒绝服务服务响应服务失败服务恢复其他原因安全审计跟踪报告功能单元的协商本标准分配下列客体标识符值作为在中定义的类型之值来协商下列功能单元此处的数字标出了分配给功能单元的比特位置该名称引用第章中定义的功能单元在系统管理应用的上下文范围内协商安全审计跟踪报告功能单元的机制由描述注协商功能单元的需求由应用上下文规定与其他功能的关系对安全审计跟踪报告服务的控制由规定的机制提供安全审计跟踪日志属性的修改由提供安全审计跟踪通知服
18、务可以独立于和的控制服务而存在一致性声称符合本标准的实现应遵守下列各条定义的一致性要求静态一致性本实现在管理者角色代理角色或两种角色方面应符合本标准与至少一个角色有一致性的声称应在表中产生如果所产生的一致性声称是为了支持管理者角色则该实现应支持本标准规定的至少一个通知或至少一个管理操作这些管理操作和通知用的管理者角色的一致性要求在附录引用的表和更多的表中进行标识如果所产生的一致性声称是为了支持代理角色则该实现应支持本标准规定的至少一个通知代理角色的一致性要求在附录引用的表和更多的表中进行标识该实现应支持由规定的名称为的编码规则派生的传送语法以便用于所声称支持的定义引用的抽象数据类型动态一致性声
19、称符合本标准的实现应支持规程元素以及与所声称支持的定义相对应的语义定义管理实现一致性声明要求符合本标准的任何形式表形式表和形式表在技术上应与附录和规定的形式表相同并保持表的编号和项的索引号其差别仅在于页码和页头标不同声称符合本标准的实现供应者应完成一份在附录中提供的管理一致性概要的拷贝作为一致性要求的一部分同时填写所引用的作为那个可应用的任何其他形式表符合本标准的应描述符合本标准的实现按照给出的填写须知将其填写好包括唯一标识供应者及实现两者所必需的信息在别处定义的被管客体类方面关于与本标准定义的管理信息有一致性的声称应包括被管客体类用的中的形式表要求附录标准的附录管理信息定义客体标识符的分配本
20、标准分配下列客体标识符下列值可用作中的服务报告原因参数值被管客体类定义客体类用来定义作为安全审计跟踪通知或事件报告的结果而存储在日志中的信息属性定义通知类型服务报告使用报告抽象语法定义附录标准的附录形式表引言目的和结构管理一致性概要就是供应者的一份声明而该供应者标识了一个实现并提供了关于该实现是否声称了与所列出的规定了管理的一致性要求的文件集合中的任何文件有一致性的信息形式表就是由与相称的实现供应者填写的一张调查表形式的文件填写产生的形式表须知实现的供应者应在所提供的每个方框内录入显式声明特定结构在每张表前面的正文中提供符号缩略语和术语对于本标准的所有附录在和中定义的下列公共记法可用于各状况列
21、必备的任选的有条件的禁止的不适用或超出范围注当按照同一表中的条件项或任选的项嵌入时对和加上前缀对于状况值集合时的可选的选项对附上后缀其中是一个唯一的数对于本标准的所有附录在和中定义的下列公共记法可用于支持列实现的不实现的不要求答案该项可被忽略即在语法上但不是在语义上的进行处理表的格式本标准中的某些表已被分开其原因是信息太宽以至超出页面若这种情况出现了列的第一块的索引号就是列的其余块的相应行的索引号由构成部分重新构成的完整的表应具有下列布局索引号列的第一块列的第二块等等在本标准中表的组成部分可用列的第一块开始连续出现当带有子行的表太宽以至超出页面时续表使用与第张表的相应行的索引号相同的索引号以及
22、使用与每个被索引的行内的子行相对应的子索引号来构成例如如果表具有两行并且续表的每一行都具有两个子行这两张表如下所示表标题支持索引号表续标题索引号子索引号由构成部分重新构成的完整的表应具有下列布局支持索引号子索引号对表内单元进行引用应被理解为在重构表内的引用在上述举例中引用对应于带有索引号的行的列中的空单元相对应于带有子索引号的行的列的空单元实现的标识声明的日期实现的供应者应在下面方框中使用的格式录输入本声明的日期声明的日期实现的标识实现的供应者应在下面方框中录入唯一地标识实现和它可能驻留的系统所必需的信息联系如果有任何关于内容或任何引用的一致性声明的询问实现的供应者应在下面方框中提供与谁联系的
23、信息对已定义管理信息的标准的标识实现的供应者应在下面方框中录入规定的声称一致性的管理信息并对其声称一致性的标准的标题引用号和发布日期声称一致性的标准所实现的技术勘误表实现的供应者应在下面方框中录入所实现的修改被标识标准的技术勘误表的引用号所实现的修正件实现的供应者应在下面方框中说明被标识标准的被实现修正件的标题和引用号管理一致性概要实现的供应者应说明所支持的能力和特征并使用本附录的各表来提供声称与本标准有一致性的概要实现的供应者应规定表中所支持的各个角色表角色索引号所支持的角色状况支持附加信息管理角色支持代理角色支持实现的供应者应规定支持表中的系统管理功能单元表系统管理功能单元管理者角色索引号
24、系统管理功能单元名称状况支持状况支持附加信息安全审计跟踪报告功能单元如果为则为否则为如果为则为否则为实现的供应者应规定支持在表中的管理角色的管理功能表管理角色最小一致性要求索引号项状况支持附加信息服务报告通知使用报告通知对被管客体的操作如果为则为否则如为则为否则为如果为则为否则如为则为否则为注管理者角色最小一致性要求至少支持在本表中所标识的项之一对表中所标识的功能单元的支持委托管理支持那些项中的某些项条件和表达了这些要求中的两种要求实现的供应者应规定支持表中的代理角色的管理功能表代理角色最小一致性要求索引号项状况支持附加信息服务报告通知使用报告通知安全审计跟踪记录被管客体如果为则为否则如为则为
25、否则为如果为和则为否则为注如果支持日志记录条件使得支持与所支持的通知有关的事件日志记录是必备的本表中的表引用列就是声称从本标准中引入通知的被管客体的供应者所支持的的通知引用表事件记录的日志记录索引号项状况支持附加信息实现支持代理角色的事件记录的日志记录吗如果为则为否则为注与本标准的一致性并不要求与的一致性实现的供应者应提供关于与下列各表中所概述的任何标准一致性声称的信息对于实现供应者声称与每个标准的一致性而言相对应的一致性声明应是填写好的或可被引用实现的供应者应填写支持表号及附加信息各列在表至中状况列用来指示是否要求实现供应者填写被引用的表或被引用的项一致性要求按被引用的表或被引用的项中所规定
26、的并且不变化状况列的值类似的是支持列由实现供应者用来指示填写被引用的表或被引用的项表支持概述索引号包含形式表的文件标识形式表的表号描述限制及值状况支持的表号附加信息附加的全部表应用上下文客体标识符注与本标准定义的各的一致性可以通过填写本标准的附录和附录的相对应的各表来声称表支持概述索引号包含形式表的文件标识形式表的表号描述限制及值状况支持的表号附加信息附加的全部表如果为则为否则为表支持概述索引号包含形式表的文件标识形式表的表号描述限制及值状况支持的表号附加信息项日志名称结合如果为则为否则为表支持概述索引号包含形式表的文件标识形式表的表号描述限制及值状况支持的表号附加信息表通知表和表管理操作如果
27、为或则为否则为如果为则为否则为附录标准的附录形式表引言本形式表的目的是为以管理角色向声称与本标准规定的管理信息有一致性的实现供应者提供一种机制以提供本标准形式的一致性信息填写产生的形式表须知在本附录中所包含的形式表按照由表格形式的信息组成除给出的一般指南外附加信息列不应该用来标识所支持管理操作的客体类实现的供应者应说明支持下列各表中的哪些项如果需要还应提供附加信息符号缩略语和术语通篇形式表都使用了下列缩略语状况列和支持列用的记法在中规定与管理信息一致性的声明通知声称支持本标准所规定的通知的管理者角色实现的供应者应引入表的拷贝并填写它表通知支持支持索引号通知类型样板标号通知类型的客体标识符值限制
28、及值状况实现型非证实型附加信息如果为则为否则为如果为则为否则为表完索引号子索引号通知字段名称标号与字段有关的属性类型客体标识符值限制及值状况支持附加信息客体标识符整数要求某些客体客体标识符整数要求某些客体属性声称支持本标准所规定属性的管理操作的管理角色实现的供应者应引入表的拷贝并填写它表属性支持由创建设置获得索引号属性样板标号属性的客体标识符值限制及值状况支持状况支持表完属性支持替换增加移去置为默认索引号状况支持状况支持状况支持状况支持附加信息创建和删除管理操作声称支持本标准所规定被管客体的创建或删除管理操作的管理者角色实现的供应者应引入表的拷贝并填写它表创建和删除支持索引号操作限制及值状况支
29、持附加信息创建支持使用引用客体创建删除支持安全审计跟踪记录被管客体附录标准的附录形式表引言本形式表的目的是向声称与被管客体类有一致性的实现供应者提供一种机制以提供标准形式的一致性信息填写产生的形式表须知在本附录中所包含的形式表按照由表格形式的信息组成实现的供应者应说明支持下列各表中的哪些项如果需要还应提供附加信息符号缩略语和术语通篇形式表都使用了下列缩略语状况列和支持列用的记法在中规定通篇这种形式表公共地使用了下列条件表达如果为或或或或或则为否则为安全审计跟踪记录被管客体类与被管客体类一致性的声明实现的供应者应说明是否安全告警报告记录的所有必备特性都予以支持并且说明所支持的实际类是否和所声称一
30、致性的表中的被管客体类相同表被管客体类支持索引号被管客体类样板标号被管客体类的客体标识符值实现支持所有必备属性吗实际类与所声称一致性的被管客体类相同吗如果在被管客体类支持表中实际类问题的答案是则实现的供应者应在表中给出实际类支持细节表实际类支持索引号实际被管客体类样板标号被管客体类的客体标识符值附加信息包见表表包支持索引号包样板标号包的客体标识符值限制及值状况支持附加信息如果为则为否则为属性见表表属性支持由创建设置获得索引号属性样板标号属性的客体标识符值限制及值状况支持状况支持表续由创建设置获得索引号属性样板标号属性的客体标识符值限制及值状况支持状况支持如果为则为否则为如果为则为否则为如果为则
31、为否则为如果为则为否则为如果为则为否则为如果为则为否则为表完属性支持替换增加移去置为默认索引号状况支持状况支持状况支持状况支持附加信息附录标准的附录通知形式表符号缩略语和术语通篇这种形式表都使用了下列缩略语状况列和支持列用的记法在中规定通知声称支持由所规定的通知的被管理客体类供应者应引入本附录的拷贝并按照规定的须知来填写它表通知支持支持索引号通知类型样板标号通知类型的客体标识符值限制及值状况证实型非证实型附加信息表续通知支持索引号子索引号通知字段名称标号与字段有关的属性类型客体标识符值限制及值状况支持附加信息客体标识符整数某些客体要求表完通知支持索引号子索引号通知字段名称标号与字段有关的属性类型客体标识符值限制及值状况支持附加信息客体标识符整数某些客体要求如果为则为否则为如果为则为否则为附录提示的附录与安全审计框架的关系本标准为把那些潜在的安全相关事件记入日志用于安全审计中提供设施它既不定义安全审计也不定义如何完成安全审计本标准只不过是一种设施该设施可以用来记录那些安全审计可能对之感兴趣的安全相关事件定义了安全审计的概念和目的并提供了安全审计功能的描述因而描述了使用与安全相关事件有关的信息可以做什么而不是如何记录那个信息
