GB T 18794.7-2003 信息技术 开放系统互连 开放系统安全框架 第7部分;安全审计和报警框架.pdf

1、GB/T 18794. 7-2003/ISO/IEC 10181-7 ,1996 前言GB/T 18794 (信息技术开放系统豆连开放系统安全框架目前包括以下几个部分=第1部分(即GB/T18794. )概述一一第2部分(即GB/T18794.2)，鉴别框架第3部分(即GB/T18794.3) ，访问控制框架第4部分(即GB/T18794.4)，抗抵赖框架第5部分(即GB/T18794.5)，机密性框架一一第6部分(即GB/T18794.6)，完整性框架一一一第7部分(即GB/T18794.7)，安全审计和报警框架本部分为GB/T18794的第7部分，等问采用国际标准ISO/IEC10181-

2、7，1996(信息技术开放系统互连开放系统安全框架z安全审计和报警框架以英文版。按照GB/T1. 1-2000的规定，对ISO/IEC10181-7作了下列编辑性修改za) 增加了我国的前言与b) 本标准一词改为GB/T18794的本部分或本部分;c) 对规范性引用文件一章的导语按GB/T1. 1-2000的要求进行了修改;d) 在引用的标准中，凡己制定了我国标准的各项标准，均用我国的相应标准编号代替。对规范性引用文件一章中的标准，按照GB/T1. 1-2000的规寇重新进行了排序。本部分的附录A至附录D都是资料性附录。本部分由中华人民共和国信息产业部提出。本部分由中国电子技术标准化研究所归口

3、。本部分起草单位:四川大学信息安全研究所。本部分主要起草人z龚海澎、周安民、李焕洲、罗万伯、戴宗坤、陈兴蜀、张力。皿GB/T 18794. 7-2003/ISO/IEC 10181-7 ,1996 引垂rF司本部分精细化了GB/T18794. 1中描述的安全审计概念。它包括事件检测和从这些事件引发的动作。因此，本框架涉及安全审计和安全报警两方面。安全审计是系统记录和活动的独立审查和检验。安全审计的目的包括=辅助识别和分析未经授权的动作或攻击;帮助确保将动作归结到为其负责的实体上g一一促进开发改进的损伤控制处理规程s一一确认符合既定的安全策略g一一报告那些可能显示系统控制缺陷的信息p一一识别可能

4、需要的对控制、策略和处理程序的变更在本框架中，安全审计包括检测、收集和记录在安全审计跟踪中各种与安全有关的事件，以及分析这些事件。审计和可确认性都要求将那些信息记录下来。安全审计保证例行事件和例外事件的足够信息均能记录下来，以便事后的调查能确定是否有违背安全的事件发生，以及如果有，则什么信息或资源受到了损害。可确认性保证将用户进行的动作或代表用户动作的处理过程的有关信息都能够记录在案，以便能将这些动作的相应后果与可疑用户(们)联系，并且能使其对自己的行为承担责任。提供安全审计服务能帮助提供可确认性。安全报警是个人或进程发出的警告，指示发生了异常情况，可能需要马上采取动作。安全报警的目的包括2N

5、 报告实际的或明显的安全违规企图g一报告各种安全相关的事件，包括正常事件;一一报告达到一定门限而触发的事件。GB/T 18794. 7-2003/ISO/IEC 10181-7: 1996 信息技术开放系统互连开放系统安全框架第7部分z安全审计和报警框架1 范围本开放系统安全框架的标准论述在开放系统环境中安全服务的应用，此处术语开放系统包括诸如数据库、分布式应用、开放分布式处理和开放系统互连这样一些领域。安全框架涉及定义对系统和系统内的对象提供保护的方法，以及系统间的交互。本安全框架不涉及构建系统或机制的方法学。安全框架论述数据元素和操作的序列(而不是协议元素)，这两者可被用来获得特定的安全服

6、务。这些安全服务可应用于系统正在通信的实体，系统间交换的数据，以及系统管理的数据。本部分所述安全审计和报警的目的是确保按照安全机构适当的安全策略处理与开放系统安全有关的事件。特别是，本框架gd 定义安全审计和报警的基本概念:b) 为安全审计和报警提供一个通用的模型;c) 识别安全审计和报警服务与其他安全服务的关系。和其他安全服务一样，安全审计只能在规定的安全策略范围内提供。在第6章提供的安全审计和报警模型要支持很多目标，但并非所有这些目标在特定环境里都是必须的或要求的。安全审计服务为审计机构提供能力，使其能够确定需要记录在安全审计跟踪中的事件。很多不同类型的标准能使用本框架，包括20 体现审计

7、和报警概念的标准;2) 规定含有审计和报警的抽象服务的标准53) 规定使用审计和报警的标准p的规定在开放系统体系结构内提供审计和报警方法的标准;5) 规定审计和报警机制的标准。这些标准能以下述方式使用本框架g标准类型1)、2人3)和5)能使用本框架的术语;一一-标准类型2)、3)、4)和5)能使用第8章定义的设施g一一标准类型5)能基于第9章定义的机制特性。2 规范性引用文件下述文件中的条款通过GBjT18794的本部分的引用而成为本部分的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修改版均不适用于本部分，然而，鼓励根据本部分达成协议的各方研究是否可使用这些文件的最新版

8、本。凡是不注日期的引用文件，其最新版本适用于本部分。GBjT 9387. 1-1998信息技术开放系统互连基本参考模型第1部分.基本模型(idtSO 74981: 1989) GBjT 9387. 2-1995信息处理系统开放系统互连基本参考模型第2部分安全体系结构(idt SO 74982: 1989) GB/T 18794. 7-2003/ISO/IEC 10181-7 ,1996 GB/T 9387.4-1996信息处理系统开放系统互连基本参考模型第4部分管理框架Cidt ISO 7498-4 ,1 989) GB/T 17143.5-1997信息技术开放系统互连系统管理第5部分事件报告

9、管理功能(idt ISO/IEC 10164-5 ,1993) GB/T 17143. 6-1997 信息技术开放系统互连系统管理第6部分2日志控制功能(idtISO/IEC 10164-6，1993)。GB/T 17143.7-1997信息技术开放系统互连系统管理第7部分g安全告警报告功能(idtISO/IEC 10164-7 ,1992) GB/T 17143.8-1997信息技术开放系统互连系统管理第8部分:安全审计跟踪功能(】dtISO/IEC 10164-8 ,1 993) GB/T 18794. 1-2002 信息技术开放系统互连开放系统安全框架第1部分概述CidtIS0/IEC

10、10181-1 ,1996) 3 术语和定义下列术语和定义适用于GB/T18794的本部分。3.1 基本模型定义GB/T 9387. 11998确立的下列术语和定义适用于GB/T18794的本部分。a) 实体entlty;b) 设施facility;c) 功能function;d) 服务serVlceo3.2 安全体系结构定义GB/T 9387. 2.一1995确立的下列术语和定义适用于GB/T18794的本部分。a) 可确认性accountahliy;b) 可用性availability;c) 安全审计securityaudit;d) 安全审计跟踪securityaudit trail; 时

11、安全策略目curitypolicy。3.3 管理框架定义GB/T 9387.4-1996确立的下列术语和定义适用于GB/T18794的本部分。被管理客体managedobject。3.4 安全框架概述定义GB!18794.1确立的下列术语和定义适用于(;B/T18794的本部分。安全域securitydomain o 3.5 附加定义下列术语和定义适用于GB!T18794的本部分。3.5.1 报警处理器alarm processor 一种功能，它产生合适动作以响应一个安全报警，并生成条安全审计消息。3.5.2 审计(权威机构audit authority 管理者，负责定义适于实现安全审川的安全

12、策略。3.5.3 审计分析器audit analyzer GB/T 18794. 7-2003/ISO/IEC 10181-7: 1996 一种功能，它检查安全审计跟踪，如果合适的话，如l产生安全报警和安全审计消息。3.5.4 审计归档器audit arcbiver 一种功能，它将一部分安全审计跟踪进行归挡。3.5.5 审计调度稽audit dispatcher 一种功能，它将一个分布式安全审计跟踪的某些部分或全部传送给该审计跟踪的收集者功能。3.5.6 审计跟踪检验者audit trail examiner 一种功能，它从一个或多个安全审i十跟踪中形成安全报告。3.5.7 审计记录器audi

13、t recorder 一种功能，它产生安全审计记录并把这些记录存储在一个安全审讨跟踪记录里。3.5.8 审计提供器audit provider 一种功能，它按某些准则提供安全审计跟踪记录。3.5.9 审计跟踪收集器audit trail collec如r一种功能，它将分布式审计跟踪记录汇集成一个安全审计跟踪记录。3.5.10 事件辨别器event discriminator 一种功能，它提供安全相关事件的初始分析，并在合适时生成(一个)安全审计和/或报警。3.5.11 安全报警securityalarm根据安全策略定义的报警条件检测到一个安全相关事件时所产生的一条消息。安全报警有意以一种及时的

14、方式引起适当的实体注意。r o a s n m Ju a 回程Lm进呵呵或抗uua八酣盹置者配理警管报警全报安全定吃安确Ea 内JM3.5.13 安全相关事件security related event 根据安全策略定义属于潜在的安全缺陷或可能与安全关联的任何事件。达到预定义的阀值是安全相关事件的个例子。3.5.14 安全审计消息security audt message 作为一个可审计的安全相关事件的结果而生成的条消息。3.5.15 安全审计记录securi.ty audit record 一个安全审计跟踪里的一条记录。3.5.16 安全审计者security auditor GBjT 18

15、794. 7-2003jISOjIEC 10181-7: 1996 允许访问安全审计跟踪和编制审计报告的人员或进程。3.5.17 安全报告security report 分析安全审计踉踪产生的结果报告，能用该报告确定是否出现安全缺陷。4 缩略语OSI 开放系统互连(OpenSystem Interconnection) 5 注释术语服务和机制.，如果没有另外限定，则分别指安全审计服务和安全审计机制。术语审计如果没有另外限定，则指安全审计气术语报警如果没有另外限定，贝tl指安全报警气6 安全审计和报警的一般性论述本章描述的模型用于开放系统处理安全报警和执行安全审汁。安全审计允许对安全策略的适当性

16、进行评价，帮助检测安全违规，促使个体对自己的动作或代表他们的实体的动作)负责，协助检测资源滥用，以及充当对企图毁坏系统的个体的威慑因素。安全审计机制并不直接涉及防止安全违规它们关心检测、记录和分析事件。这就允许对被执行的操作规程进行更改，以响应诸如安全违规这类非正常事件。安全报警是根据安全策略定义的报警条件检测到任何安全相关事件而产生的。这可能包括达到预定义门限的情况。有些事件也许需要立即采取恢复动作，而另-些事件则可能需要进一步调查研究，以便确定是否需要采取相应动作。安全审计和报警模型的实现，可能需要使用其他安全服务来支持安全审计和报警服务并确保它们正确而有把握地运行回这个主题在第10章里进

17、-步讨论。虽然安全审计跟踪和安全审计有其特殊的特征，但其他(非安全审计跟踪和审计也可以使用本框架描述的设施和机制。正如安全的其他方面一样，通过确保将特定的安全审计需求设计在系统中，可以获得最大安全效果。因此，系统开发者应当考虑对设计过程和开发中的系统两者的可审计性(即方便检验和分析。注=安全审计和报警模型并不说明其他系统管理和操作设施如何与该模型相联系。6.1 模型和功能下面陈述的模型说明了提供安全审计和报警服务时使用的功能。6. 1. 1 安全审计和报警功能支持安全审计和报警服务需要多种功能，它们是2事件辨别器，提供事件的初始分析并确定是否将该事件转发给审计记录器或报警处理器;一一审计记录器

18、，由接收到的消息生成审计记录，并把该记录存入一个安全审计跟踪内;一-报警处理器，产生回应安全报警的审计消息以及合适动作g审计分析器，检查安全审计跟踪，如果合适，则生成安全报警和安全审汁消息;一-审计跟踪检验器，根据一个或多个安全审汁跟踪编制出安全审计报告;一审计提供器，按照某些准则提供审计记录;一一审计归档器，将安全审计跟踪的某些部分归档。利用附加功能支持分布式安全审计跟踪和报警也是必要的，包括z一审计跟踪收集器，将分布式审计跟踪的记录汇集成一个安全审计跟踪记录;一审计调度器，将分布式安全审计跟踪的某些部分或全部传送给该审计跟踪收集器功能。6. 1. 2 安全审计和报警模型GB/T 18794

19、. 7-2003/ISO/IEC 10181-7 ,1996 下面描绘的安全审计和报警模型包括几个阶段。在检测到一个事件后，必须决定该事件是否是安全相关事件.事件分辨者评估该事件以确定是否需要产生安全审计消息和/或安全报警消息。安全审计消息被转送到审计记录器。安全报警消息被转送到报警处理器进行评估和进一步采取动作。然后再把安全审计消息格式化并变换成该安全审计跟踪里的安全审计记录。该安全审计跟踪较陈旧的部分可被归档，并且按照规定的准则，通过选择特定的安全审计跟踪记录，该安全审计跟踪及安全审计跟踪档案都可用来编制审计报告。RP，可分析安全审计跟踪，并且可生成安全审计报告和/或安全报警。安全审计和报

20、警模型见图l。图1安全审计和报警模型6. 1. 3 安全审计和报警功能编组模型里描绘的功能可集中在系统的一个组件里，或分布在系统的几个组件中。这些功能也可配置在不同的端系统，且可加以复制。在有些情况下，例如从性能考虑，把功能进行编组将是有益的。特别是工作于同一审计跟踪的所离审计记录器、审计调度器、审计提供器和审计分析器，可构成元人值守的端系统的一部分。另一种编组方式可以是审计跟踪检验器和审计分析器，它们对安全审计员非常有用。可能存在一个按分层方式安排的功能链，特别是在分布式安全审计跟踪中(见图2)。此处，一个组件的审计跟踪收集器从另一个组件的审计调度器收集审计消息。当一个组件不再支持审计调度器

21、时，这个功能链就终止了，此时该组件必须支持审计归档器使其能够归档它的安全审计跟踪记录。至于决定应对什么功能编组，则是一个实现问题。上面的例子仅仅是示意而已。审计跟踪收集器图2分布式审计跟踪模型GB/T 18794. 7-2003/ISO/IEC 10181-7 ,1996 6.2 安全审计和报警过程的几个阶段安全审计服务为一个审计机构提供能力，使其能够确定和选择需要在安全审计跟踪中检测和记录的事件，以及需要触发安全报警和安全审计消息的事件。下面的阶段可能在审计过程中发生g检测阶段，检测l安全相关事件:一一辨别阶段，做出初始辨别，是否需要在该安全审计跟踪内记录该事件，或是否需要产生报警g一一报警

22、处理阶段，可能发出一个安全审计报警或安全审计消息;一一一分析阶段，将一个安全相关事件与先前检测到且记录在审计跟踪里的一些事件一起放在先前这些事件的上下文中进行评价，并确定出一个动作方针g聚集阶段，将分布式安全审计跟踪记录汇集成单个安全审讨跟踪记录;报告生成阶段，依据安全审计跟踪的记录编制出审计报告;归档阶段，将安全审计跟踪记录传送到该安全审计跟踪的档案中。此处描述的阶段不需要在时间上分开，也就是说，它们可以交叉进行。6.2.1 检测阶段检测阶段涉及确定已发生一个可能与安全相关的事件。实际确定对该事件采取何种(如有必要)响应，则是事件辨别器的任务(见6.2.2)，但是，在某些情况下(视安全策略而

23、定)可产生一个立即报警。6.2.2 辨别阶段当检测到一个安全相关事件后，事件辨别器将确定适当的初始动作方针。该动作应是下列动作之a) 无任何动作pb) 产生安全审计消息:。产生安全报警和安全审计消息。决定对每个事件应采取的动作方针，依赖于使用的安全策略。6.2.3 报警处理阶段在报警处理阶段，报警处理器分析报警消息，以便确定正确的动作方针。该动作应是下列动作之a) 无任何动作;b) 启动恢复动作gc) 启动恢复动作，并产生安全审计消息。决定对每个事件应采取的动作方针，依赖于使用的安全策略。注动作b)和c)也许会使该事件受到诸如安全官员或审计管理员类人的注意。6.2.4 分析阶段在分析阶段，处理

24、安全相关事件，以确定合适的动作方针。这种处理也能用到早期安全相关事件的信息，例如安全审汁跟踪里记录的信息。该动作应是下列动作之一zal 无任何动作gb) 产生安全报警;c) 产生安全审计记录;dl 产生安全报警和安全审计记录。决定对每个事件应采取四种动作方针中的哪一种，依赖于使用的安全策略。作为分析处理的一部分，可以通过检查安全审计跟踪记录和安全审计跟踪档案了解先前的事件。6.2.5 聚集阶段必须定期将分布式审计跟踪的各个安全审计记录汇集成一个单独的审计跟踪记录。这过程包括(在收集点)使用审计跟踪收集器和(在远程系统)使用审计调度器功能，这称作聚集(如6.1. 3注释所述，此过程可以是分层式的

25、)。6.2.6 报告生成阶段GB/T 18794. 7-2003/ISO/IEC 10181-7 ,1996 在需要的时候，或按照安全策略强制要求的时候，可对安全审计跟踪记录进行处理。这过程将包含分析元素，并且也可包含把安全审计跟踪记录整理成合适的格式。安全审计跟踪分析的输出是安全报告，它可能指明已发生破坏系统安全的企图，在这种情况下，可能需要采取安全恢复动作。安全审计跟踪分析能用来评估攻击的程度和确定合适的损毁控制规程。安全恢复服务可用安全报告来识别由安全问题引起的损毁的程度。尤其可用它识别以非正常方式利用其权力的授权用户使用过的那些资源。还可用它来评估损毁，以便尝试必要的恢复动作。6.2.

26、7 归档阶段安全审计跟踪记录可能需要长时间保存。在归档阶段，部分安全审计跟踪被传输到长期存储介质中。用作归挡的存储者必须保持原始记录的完整性。可在本机，也可远离原始审计跟踪源进行安全审计跟踪归档。可能要配置远程归档。6.3 审计信息的相关性一个或多个安全审计跟踪的审计记录可能是相互关联的。例如，可以通过大量中间系统传输一个连接请求，因此可在不同的安全审计跟踪里产生若干安全审计记录。也许，重要的是在这些安全审计记录上准确地加上时间戳或相互关联标记。另一个例子是在两个不同安全审计跟踪里记录两个不同事件，此处最重要的是要能够确定哪个事件先发生。在附录D中讨论了来自不同事件发生器的事件时间相关过程中涉

27、及的有关问题。7 安全审计和报警的策略及其他方面7.1 策略安全审计策略定义安全相关事件并识别用来收集、(在一个安全跟踪里)记录和分析各种安全相关事件的规则曰在审计策略里以及作为规则的表达式中可能包含有若干值得注意的事项，其中的一个或多个可能适用于特定的安全策略。安全审计策略应为完成各种级别和类型的安全审计定义需求，也要为产生安全报警定义准则。测试系统控制的充分性，确认与安全策略的符合性，以及确定对策略、控制和规程的指示更改，都将离不开对安全审计跟踪记录的分析，以及对系统设计、配置和操作等的其他诸多方面的分析。在按安全策略定义安全相关事件的方法超出了本部分的范围。7.2 法律问题应注意到有一些

28、专门保护公民隐私的法律。在某些情况下，这将意味着包含纯属个人信息的审计跟踪记录将属于与隐私权和访问信息有关的国家法律之列。这些记录将需要防止未授权泄露。在安全审计记录被作为合法证据的地方，对安全审计记录的使用、存储和保护可能存在特殊要求。7.3 保护需求可考虑两个方面的保护问题._. 安全审计跟踪和审计信息的保护;一安全审计服务的保护。7.3.1 审计信息保护安全审计跟踪里收集的信息可直接来自审i十消息，或来自别的审计跟踪。因此，一个安全审计跟踪可能是一个或多个源产生的安全审计跟踪记录的聚集。在最简单的情况下，安全审计跟踪包含单个系统产生的全部安全审计记录。安全审计跟踪必须受到保护，以免遭到未

29、授权泄露和/或未授权修改。可使用访问控制、机密性、完整性和鉴别机制进行保护。被采用的一种具体保护技术是将审计记录存储在只能被写入一次的介质上，这样就不能用重写的办法来擦除事件记录。安全审计消息、安全报警和安全报告也必须加以保护，以防止未授权泄露和/或未授权修改。此外，重要的是信息的发送方和接收方相信数据的源和目的地完全是所声称的.并且该信息未遭到任何破坏。至少要求某些信息的机密性。这可能出于如下几种理由=一涉及个人隐私的法律因素;GB/T 18794. 7-2003/ISO/IEC 10181-7: 1996 隐蔽已记录或没有记录的审计事件:一一隐蔽报警引起的动作的接受者(或非接受者)的身份。

30、7.3.2 审计和报警服务的保护安全审计和报警服务依赖于有高等级的可用性。拒绝服务是对审计和报警服务的一种威胁。安全报警管理员或安全审计员企图得到的信息可能被延迟到该信息不再有价值的时候。所以，最重要的是信息应及时抵达预期的对象。这些保护问题的深入讨论可在第10章中找到。B 安全审计和报警信息及设施安全审计和报警信息的处理可考虑为两个方面:处理响应一个意外事件而产生的消息(即未经请求的安全审计和报警信息、刘处理特定安全审计和报警信息的请求即请求的信息)。需要用管理服务来控制安全审计和报警处理的几个方面，包括安全审计跟踪机制，在定义对探测安全相关事件所采取的特定动作时遵循的准则，以及处理审计和报

31、警信息时涉及的过程。8.1 审计和报警信息安全审计和报警信息包括安全报警、安全审计消息、安全审计记录和安全报告。8. 1. 1 安全审计消息安全审计消息是作为可审计安全相关事件的结果而生成的消息。例如，安全审计消息可由事件辨别器对一个安全相关事件进行初始分析而产生，或者作为报警处理器或审计分析器的后续评价结果而产生。8. 1. 2 安全审计记录术语安全审计记录用于描述安全审计跟踪里的单个记录。在很多情况下，它将对应于单个安全相关事件，但可以想像得出，在一些实现中，一个安全审计记录也可以是作为不止一个安全相关事件的结果而产生的。典型的安全审计跟踪记录包括与消息的源和原因有关的信息，也可能包含与消

32、息检测和处理中所涉及的实体有关的信息。8. 1. 3 安全报警安全报警是检测到一个安全相关事件，而该事件被确定是对安全的潜在破坏并构成一个报警条件之后而产生的消息。这可以是单个事件，也可以是达到一起门限的结果。不管哪一种情况，在安全策略中对构成一个报警条件的定义做了规定。安全报警可由事件辨别器(作为一个安全事件的初始评价结果)启动，或者在确定有报警条件存在的任何时候，由审计分析器启动。8. 1. 4 安全报告安全报告是作为安全审计跟踪分析的结果而产生的信息。审计跟踪检验器被用来从一个或多个安全审计跟踪中生成安全报告。8. 1. 5 构成审计和报警信息的示例审计和报警信息一般包括下述成分z信息/

33、消息类型(即安全报警，安全审计消息或安全报告);一一可区分的元素标识符(例如安全相关事件的发起者/目标，动作主体/客体);一一消息的原因g事件辨别器，审计提供器和/或审计记录器的可区分标识符。8.2 安全审计和报警设施为了有效地应用审计服务和能够进行有效的事件分析，需要一种方法来确定与安全相关的事件，以及如何处理它们。消息分析由过滤机制实施，它决定在接收到个审计消息时应采取的合适动作。过GB/T 18794. 7-2003/ISO/IEC 10181-7 ,1996 滤器按照(由审计机构确定的)准则动作，这些准则为每一种消息类型确立要采取的动作。赖以采取动作的准则包括2时刻$门限计数器;事件类

34、型p一一引起该事件的实体。为了管理目的，过滤器可以定义为具有规定行为和参数的被管客体。与审计和报警管理相关的设施提供确立选择准则的方法，该准则允许用户处理为提供安全审计和报警服务所必须的信息。概括地说，这些设施是a) 创建、修改和删除处理安全相关事件的准则gb) 能够和禁止产生指定的安全审计消息5c) 能够和禁止产生安全审计跟踪pd) 能够和禁止产生、处理报警。与审计和报警操作相关的设施是ga) 产生审计和报警信息(如产生报警.产生审计消息，产生安全报告); b) 记录审计和报警信息;c) 收集/聚集审计和报警信息;d) 分析审计和报警信息;e) 归挡审计和报警信息。8.2.1 确定和分析安全

35、事件一一审计和报警功能准则安全报警和安全审计消息、二者识别事件类型、事件原因、事件被探测到的时间、事件检测者身份以及与事件相关联的实体的身份(即引起事件发生的行为主体和客体)。确立准则旨在规定处理不同类型信息时应采取的动作。已定义的准则如下z准则1一一事件瓣Il这些准则将确定在探测到一个安全相关事件时应采取的动作。候选输入参数:安全相关事件类型;时刻tl;一一引起事件的实体。候选输出参数待采取的动作;-一待产生的安全报警g待产生的安全审计消息。准则2一一审计跟踪检验这些准则为编译安全报告而就包含在一个或多个安全审计跟踪中的信息进行选择提供基础。候选输入参数z审计记录类型;一一安全相关事件类型:

36、在审查之中的事件的时间;向其请求信息的实体。候选输出参数z被选记录清单。准则3一一审计跟踪分析准则这些准则确定审计分析器将如何处理审汁跟踪。审计跟踪的分析将在确定待采取的动作之前，通GB/T 18794. 7-2003/ISO/IEC 10181-7: 1996 过评估事件的发生量和频度来实现。候选输入参数z事件类型，发生量p时间周期。候选输出参数=待采取的动作。注2安全审计记录或安全审计归挡不要求准则。9 安全审计和报警机制安全审计和报警服务与本系列标准中搭述的其他安全服务的不同之处在于没有单个的特定安全机制能用于提供这种服务。审计机制也许可刻划为基于大量管理和操作方式的规程。因此，不详细讨

37、论审计机制。然而，作为用于审计的该类型方式的例子，安全相关事件分析的机制可以包括.一一对照-已知轮廓，如基于时间或地理的不寻常的访问，不寻常的资源使用等等，比较实体的活动;一一一在某个时间周期内检测一种或多种事件类型的累计值;在某个时间周期内观察一种或多种事件类型的不发生情况。上述示例清单并非穷举。10 与其他安全服务和机制的交互10.1 实体鉴别在审计调度器和审计收集器之间传送安全审计跟踪时需要进行双向鉴别，以使审计调度器向预定的审计收集器发布该安全审计跟踪，以及审计收集器从预定的审计调度器接受该安全审计跟踪。10.2 鼓据源鉴别使用数据源鉴别，可以知道安全审计消息和安全报警的来源。审计分析

38、器也使用它以保证拒绝来自未知事件生成者或未知事件分析者的消息。10.3 访问控制在存储和传送安全审计跟踪记录时必须使用访问控制服务。访问控制也能用于防止未授权访问安全审计跟踪。10.4 机密性在传送安全审计跟踪、选定的安全审计记录、安全审计消息和安全报警的过程中可使用机密性服务。机密性服务还可用来保护存储的审计记录。10.5 完整性具有头等重要意义的是，必须检测出对安全审计跟踪、选定的安全审计记录集、安全审计消息或安全报警的任何未授权修改。完整服务可用于此目的。10.6 抗抵赖由于审计跟踪的传送通常在同一安全域中进行，因此按常规将不使用抗抵赖服务。10 GB/T 18794. 7-2003/I

39、SO/IEC 10181-7 ,1996 附录A(资料性附录)开放系统互连的安全审计和报警通则建议总是对下述类型的安全相关事件进行审计:一一-与安全信息管理有关的操作;改变被审计事件集的操作;一一改变被审计对象身份证明的操作。本附录详细说明那些可能将引起一个安全相关事件的OSI事件。正常的和反常的两种条件可能都需要审计，例如，每一个连接请求，不管它是否是非正常请求，也不论是否被接受，都可以是一个安全审计跟踪记录的主体。下述事件在处于其他事件之间时，可以是审计的主体。这个清单并非穷举，仅提供指导而已。与一个具体连接有关的安全相关事件:连接请求，一一-连接证实;断开请求;断开证实;属于连接的统计。

40、与使用安全服务有关的安全相关事件:安全服务请求s安全机制使用;一一安全报警。与管理有关的安全相关事件2管理操作，管理通知。叮审计事件的清单至少应包括拒绝访问;鉴别，改变属性;创建对象;删除对象$一修改对象;使用特权。对单个安全服务而言，下述安全相关事件非常重要:鉴别:验证成功;一一鉴别2验证失败:访问控制:判决访问成功;访问控制.判决访问失败，抗抵赖:消息来源可抗抵赖;抗抵赖2消息接收可抗抵赖;抗抵赖:对事件的不成功抵赖;一抗抵赖:对事件的成功抵赖;完整性z使用屏蔽，11 GB/T 18794. 7-2003/ISO/IEC 10181-7: 1996 完整性z使用去屏蔽，完整性=证实成功;完

41、整性:证实失败;机密性z使用隐藏s机密性z使用显现;审计z选择审计事件s审计2不选择审计事件g一-审计2改变审计事件选择准则。注:当把访问控制作为完整性或机密性机制的基础时，可把与判决坊间失败关联的审计记录转变为显式指示一个企图对机密性或完整性的违规D对一个特定通信实例的全部审计跟踪记录都应该明确地予以标识，以确保对该记录的跟踪。GB/T 17143.5的服务可用于管理事件转发服务、配置事件转发辨别器，它们为与安全审计有关的安全相关事件确定选择准则。GB/T 17143.8的安全审计跟踪报告服务可被实体用于产生安全审计消息。GB/T 17143.6的服务可用于确定选择存储在安全审计跟踪里的安全

42、审计消息。GB/T 17143. 7的安全报警报告服务可被安全审计跟踪应用程序用来产生安全报警。12 GB/T 18794. 7-2003/ISO/IEC 10181-7 ,1996 附录B(资料性附录)安全审计和报警模型的实现安全审计和报警模型的功能如图1所示。整个规程可分布在许多独立的开放系统中，每一个系统则负责该规程的一个或多个方面。图B.l所示是一个示例e企图使用一个账号上的无效口令登录系统则可能是安全事件的示例。审计跟踪分析可能揭露出这是利用假口令登录该账号的一系列企图之一，并且在达到一定门限后会产生一个报警。SI有能力按照定义的准则(准则1)检测安全相关事件并分析它们，但没有安全审

43、计跟踪能力，所以，其安全报警被送到绍，其安全审计消息则被送到S3以便包含在该安全审汁跟踪里。S3负责更新安全审计跟踪。S3还向S6提供对安全审计跟踪和安全审计跟踪档案的访问，这样可以按照定义的准则(准则2)选择安全审计跟踪审计记录，并汇集成安全报告。S4负责归档和检索审计跟踪记录。S5包含一个应用，该应用按照定义的准则(准则3)分析审计跟踪记录(和归档的记录)，并在超过门限极限或检测到其他报警事件时，向S2发出报警。13 GB/T 18794. 7-2003/ISO/IEC 10181-7: 1996 罩绕A噩统B 明白口一时!审计提供器 _ _ _ _ _ _ _ _ J r-. - - 1

44、 审计归档器;22量21522冉:注:统审计者缸1图B.1实现报警和审计服务示例14 GB/T 18794. 72003/ISO/IEC 10181-7: 1996 附录C(资料性附录)安金审计和报警设施概览实体-审计机楠、报警管理者、安全审计者。元素功能:事件辨别器、审计记录器、报警处理器、审计分析器、审计跟踪检安全设施概览验器、审计槐供棒、审计调度器、审计跟踪收集器。传怠对象z安全窜i十法患、安全审计记录、安全报告，服务鼠标保证信息开放式矗统的安圭相关信息被记录在案，并亘在适当的时候，做出报告体审计机构功能确定和分析安全相关事件管理将关准则1，事件草草J的活动准辑q2，审计摄踪检验准!IJ

45、3:审计跟踪分析实体报警管理黯安全审计者发起者/阁标主体/事体事件设辨别器施审计分析器事件辨别器审计记录器:摄警处穰器窜诗里草案审计分析吉普检验器审计提供器审计归档器产生被警产生审计消息操作精关的设施收集审计消息收集报警分析审计消息准则l准则2准则3一一事伶类型记录类缀黯母类翠审计机构管理的在才!可事件类型一一发生数量数据元肃一一实体时间周期待采取的动作待3在眠的动作信j患:斗待产生的安全信息; 记录清单消息/信息类型操作中使用的信-:嚣的可区分标识符息类型叫消息，原因一事件辨别器、审计提供器和/或审计记录器的可区分标识符i控部综毡; 对饵，发生率15 GB/T 18794.7-23/ISO/

46、IEC 10181-7 ,1996 附录D(资料性附亵)审计事件的时间注册不同的事件发生器或事件记录器之间在实际上不可能完全同步。在这种情况下，需要一种关联安全审计跟踪内时间的方法。安全审计记录由安全审计消息产生，该消息可以包含、也可以不包含时间戳。如果包含时间戳，则可以利用该安全审计消息里提供的时间指示来产生安全审计记录。后一种情况下，根据接收到的安全相关事件而产生的安全记录，则包含有可利用审计记录器的时间参考的时间戳。在这两种情况下，都必须产生具有事件发生器和审计记录器之间时间关系的审计记录。在前一种情况，必须估计事件发生器时间参考与审计记录器时间参考之间的差值。审计记录必须包括事件发生器

47、的身份标识，事件发生器的时间参考，审计记录器的时间参考，这些时间参考之间的延迟以及该延迟的容许度。在后种情况，审计记录器必须指示事件发生器的身份标识，审计记录器的时间参考，事件发生器和审计记录器之间延迟的估值，以及该延迟的容许度。要对每一个事件都产生这样的记录显然并不实际。只有依赖于时间参考之间的联系或偏移性质，才能产生这样的记录。如果经过一段观察时期后发现延迟是可以忽略的，则可以省去这些记录。如果没有延迟测量，则可以使用线性插值。同一类型的问题也会在审计记录器时间参考与定位在另-端系统上的审计调度器时间参考之间发生。然而，在这种情况下，两个系统都将有时间参考。时间差值测量可以在两个通信者之间的任何时间进行，或在发生安全审计跟踪传送的时间进行。记录应包含事件发生器的身份标识，审计调度器的身份标识，审计记录器的时间参考，审计记录器和审计调度器之间延迟的估计值，以及该延迟的容许度。确定两个事件中哪一个先发生，可以通过加上或减去一系列时间参考之间的延迟，并加上全部的容许度来实现。如果得到的延迟比容许度小，则无法区别先后次序。同样的理由也适用于需要产生安全审计报告的时候。利用审计跟踪中提供的信息，可以按照不同的时间参考把事件分类。然而，只有在延迟容许度比该时间差加上下一事件的容许度小时，才能保证事件的次序正确。为此，必须能够计算每一个事件的累计容许度。16