GB/T 18794.7-2003
基本信息
标准号: GB/T 18794.7-2003
中文名称:信息技术 开放系统互连 开放系统安全框架 第7部分:安全审计和报警框架
标准类别:国家标准(GB)
标准状态:现行
发布日期:2003-11-24
实施日期:2004-08-01
出版语种:简体中文
下载格式:.rar.pdf
下载大小:640483
标准分类号
标准ICS号:信息技术、办公机械设备>>开放系统互连(OSI)>>35.100.01开放系统互连(OSI)综合
中标分类号:电子元器件与信息技术>>信息处理技术>>L79计算机开放与系统互连
关联标准
采标情况:ISO/IEC 10181-7:1996
出版信息
出版社:中国标准出版社
书号:155066.1-20587
页数:16开, 页数:18, 字数:38千字
标准价格:14.0 元
出版日期:2004-08-01
相关单位信息
首发日期:2003-11-24
复审日期:2004-10-14
起草人:龚海澎、周安民、李焕洲、罗万伯、戴宗坤、陈兴蜀、张力
起草单位:四川大学信息安全研究所
归口单位:全国信息技术标准化技术委员会
提出单位:中华人民共和国信息产业部
发布部门:中华人民共和国国家质量监督检验检疫总局
主管部门:国家标准化管理委员会
标准简介
本部分为GB/T18794的第7部分,等同采用国际标准ISO/IEC10181-7:1996《信息技术开放系统互连开放系统安全框架:安全审计和报警框架》。 GB/T 18794.7-2003 信息技术 开放系统互连 开放系统安全框架 第7部分:安全审计和报警框架 GB/T18794.7-2003 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
GB/T 18794.7—2003/ISO/IEC 10181-7:T996前言
H/[18704信息装本开效系统巨连开效系统安全幅案日前括以下几个部分:第1分(即G3/T1871.1:概述
第2部分(即GB/T1573.2):签钢推架第3部分(即83这问控制架
第部分(即GB/T9,4];抗抵赖架第5部分(即G/1R794.5):右密件粒架:第6部分(UGB/128794,6):完禁性框架第了部分即T安全证极警新率
本部分为心B/T18794的第了带分,等同采用际标准IS0/IFC1G1月1-7:1996信总技术开放彩统互连开款系统安会横架安全审计和报奢渠《策文版),按照(GB/T1.1-2000的规定,对1SO/1FL:10181-作了下列缩翔性格收:a)增如了我国的“前言“:
h)“本标准”·间收为“B1794的中部分“感“本部分对\规范忙号用文件”章的导语按GB/T:.!2000的要求进行了改d引用约标确中,H品制定「我司标准的客球标准,跨用我国的相宽标准端号代替,对\规范性引刀文件”卓中的弥准按照心R/T1.一20的规定重新迷行了排序,本分的降录A至降录1都是资料性附求。本部分由中华人民共和国信息产业部提出。卒部分中叫卫于技术标准化研究所归口,木部分起量单位:四川大学信点安全研究所。本就分主婴起性人:企游、周安民、享焕洲罗方伯、戴崇!、陈光盘、张力:m
GB/T18794.7—2003/IS0/IEC10181-7:1996引言
TYKAONIKACa-
本部分粘细化了(13/T1791.1中描述的安全审计候念,它也括争件检测和从这些事件引发的效作,刊比,本程染涉设安全审计知安全报畜两为面。安全市斗是系够记录和活动的独立文审查知检验,安会中计的口的包括:辅助识别汇分析未经授权的动作或攻击;带助确保将动作结到为其负资的实伴上能进升发效选的妞伤控制处理靓乱;一确认符合定的安全筑略:
一报告比可能应心影缺控缺降的信良:一识别可能需尊的对持制、策路和处理程字的更在本拒架中,安全审计沪检测、收拿和运录在安企审计服踪中各和与安企有关的牛件,以及分新这些件.
中计和可认性都要求渐那逆信息记录下来,安全自计保证创行实件和外卒件的足够信息均能记录下来,以谅事后的调立能确定尽否有让背安全的事性发生,以及如兵有,则什么肯息变资源受到词当。以确认性保证将用广进行的动作效代表用户动作的处理过型的关格息乱能够让!录在案,以使服降这动作的润应后果与可能用户(们收系,并也能使其对自已的行手指费在:接供安全单服务能核助提共可确认性,
安全非普是人或进程发的营告,增示发生广开常情说,可能要马上采取或代,安全设的日的包括:
一报告实际的减配寻的安会违规你图:报情各尚安全相关的要件他括“正带事准:报告达到一实门限而触发的事件,1范围
GB/T 18794,7—2003/ISU/IEL 10181-7,1996信息技术开放系统互连
开放系统安全框架
第了部分:安全审计和报警框架本开政系统安全排架的标催岭过在开放系统外境中安全服等所应用.此些术语“开效系统包据如数据件,分布式座用,开款分在式处理和开放系统立序这样一此细域、安全框架涉及定义过系统动系内的对象斑世保扩的方法以及系就间的交万。本安全据荣不秘及构殊系统减机制的为法学,安全准架论述数据元案和操非的序列(而不是协仪议元素)这两者可被用来举待特定的安全非务。这些安全服务可应片于系统正在题信的实体,系统间定换的数斯,及系统普理的数期。本部分所述安全审计和报些的日的是确仅按顾安拿机构适当的安全策格处理与开放系统安全有关的步件.
转别是·本架:
为!定安全率计和报警的基本恒念)为安全审计祁推需提供个调月的举型:e!记别安全审计和报警版务与其他安全服务的关系:和其他安全服务一样,安全声计只能在规定的支全举略尚服内提供,在策6章提以的安全审计和授普模型要支持很多月标,但并非所有这些日标在特定环晓业都足必独的或要求的。安全审计服务为市计机均据供能小,使其能够确定需要证录在安全审计跟废的半件。很多不同炎型的标准能免用握架,包括:1)体现审计和报警就念的标准;2)现定含有审计和报著的非象服务的标准3)现定使丹审计和誉的标准:
规定在开放系统运系结构内提共审计和报等片法的标准5)现当计和报警矾制的标准。
落些标准能以下述力式使用本框架:标信类型1)、2),3)和5)能使用本(架的术:标准类)3),4)和51施使出第草定义的没施一标施资型3?能蒸于第章定义物机制特性、2规范性到用文性
下文件中的条款过(794的本部分的成还部分的条款,凡尽准期的引用计,其欧后所有的修疫关(不包折能送的内容>或修双总均不适用于本部分落而,整购模据本部分送底的设的各方研究后否川使用这些文件的最新版本。尺是不注口期的引用立性,其应新版本适用丁车部分
3B/T9387.11958信息转术开放系统.连英本考税期第1前分,基本模型(:dtIS7431
B/T337.219低信自处理系统开放系统互连基六全考模型第前分:安全体系结构Ci1507496-2:104
GH/T18794,72003/IS0/1EC10181-7:1936-TTKAONKACa
基本毒考蒙型第4部分:营理征架CBT337.41S9F信息处理系统开放系统工选(idt [5()7498 4:1989)
GB/T17143.:927箱息拉术可放系统比连(15:1E)-15193
系统营写第5部分:李件拉告管理功能GB/T17143.S—1947
开放系市道
信总质求
能tl: E0/1E0 :010--:1s93).
143—倍息技术
l:TS0/TE:1014-7,1S92
开放系统互连
信应技术
述(i:IS0/IEC 101x1-1:1996)
3术语买定义
和文证1!的至部
2.1基本模型定文
开放系统互进
G/T17143.3—7信点技术
:开放系统互连
能sc:0-R16s3)
GRT 187U1, 1—2002
系统管归
第部分:口志控制功
系统等
第全部分:支全警报告
系统管理
第界部分:安仑牢审计限除础
开故系统去全准架
:9337.1-1S98立的下可术证和定支适用十G15/T187本分)实ay:
b)改能eliy;
功能funcon
il)服务erv.re:
3.2安全件系结构定义
GH/9437.2--1595确的下到六请和定文适出B1379的大部分。a片oun
b用availahliy
)安全审计pucuriyaudit:
d安金中i踪中yuria
安全策率uity [licy
2.3些理框架定义
GT93374[S6确的刻大话和定适用T1的部分-效管理客运t.agbic
3.4安全框架述定义
GH/:1374.【确节下到本语称定实适用于C9/T18794的本部分:安全成fumrilydamai:1
3、5删加定义
下到人语和定适乐了G/37H的部,3. 5. 1
据警处理器
oimmproressor
一以范它产生会范动作以叫险免费标准下载网bzxz
个安全报当,开丰成案安会中川消息3.5.2
审计(权成)机内auditanthorlty)管所者,负靠定艾适一实境安全当计的安会策略。3.5.3
审计分析器
第部分版
GB/T1B794./—2C03/1SO/IECIC187-7:1996一神动能,它抢查会拿出计限序,部程合适药活,产生案全报和安全审消息。3.5.4
审计归尚器audltarchiver
一部动能,它将一部分专全申计银踪过行忙3.5.5
审计调度器audiidispaiee
一种动能,空将一个分布式安全中计限的某偿部分或部传送治该自出乐的收集考助服3. 5. 6
审计跟踪检验者aidittrallesaminer一补能,些双一个股步个安企审计系踪十形成安全报告,3. 5. 7
审计记录器
dudilrecortler
一种动能,它产生安争审计位录并批这些记录行储在-个安金审计累融均求里。3. 5. 6
审计提供器anadilprovider
种功能:心按求些难则提供专会审计版踪记求3. 5. 9
审计联踪收集器auditrailrollctox一种功能,它将分市式审计限腾:汇集或一下安全审计限路运求3.5.10
李件辨别器eventdiscrimdnator种功垒·它提供卖全相关更件证切始分折,产在企适的时成(个安食出引和/或丧警:3. 5. 11
安全报警gecnrltyalanm
限据安全策略定义的报警条件格函到“小安金州关中件时所产兰的一案消息,安企报警有应以一种时的方式引起适当的实体注克,3.5. 12
serhityalamailministrator
安全报管管理者
确定安全报警配驾的人员或边程。3.5.13
安全相美事件securityrelatedevent极安全带路定义属丁错年的安个嵌实或叫能与全联的止他享件:达对颜与必的值卡东全机关字件的一个剂于
安全由计消息yrturilyaudilmssuge作为一个川市诈的安全相关出件的洁果而当成的一条消息3.5.15
安全申计记录wcarityauditrecnrd-“个安金审计职踪型的一条记求。3.5.165
安全审者securityaudilor
GB/T16794.7—2003/LS0/EEC10181-71996允许访问安企审计到踪和编制管计报告的人国或逆程,3.5.17
安全接告ecurityreport
分析安全审计跟产生的绍具报告能用该报告确定是否出现安金峡陷。4缩露语
QsI开放系统止连(UyetSyatznIntercannection)5注释
-TTKAONTKACa-
术语“吸务“和“机割”,如果法有另外限定,则分指“安全审让服务”和“安全审计机制”,不\申计\如采设有另外限定,划宿安全车”。术语“根誉”如受设有另外限定,则指“安全控替”6安全审计和报警的一般性论证
本单描述的模型用十开效系统欧理安全报普和垫行安全审比。安全审计在许过安会策路的适当性进行阅价,据助接测安会症规,促使个伴刘自的动作(或代表伸们的实体的作)负责·协脱险测资源进用,以及充当对企图毁坏系统的个体的成概内寒:安全审计虹制并不点接融改.安全违初:它们关心险测、心录和分析事件,这就充许对被执行的探作规进行更改,以响声诸如安全违想这类非正常争件安全报警是根据安全策略定义的报誉条件稳测到任何安全相关步件而产4的。这川能包范达划预定义门限的情说,有些事件也许需要立即来取恢友动非,而另一些件可诺需要进一步变研次以便确定造需照来取州应动作
安全育计和报管核划前实境,可能需暨使用其性案全股务来支持安全审计和报警服务并谢保它们正确而有拒地运行,这“土想在第1心章乳进·收讨论虽燃安全审计限和安全审:有其特殊的特征:但其池(非安全)体计派踪和中计也可改使带本施架潜述的收随和扩制,
止如安全的其方面一样,追过确保将特定的安全牢计需求改计在系统中,可以得故大安全效果。固此,系统开发者应当击患对设一过理和开发中的系统两者的审计牛方便检验分析)性:女全计和零慢并不说期其独统各和慢计投实该棋型扭联系,6.1模型和功能
下面陈逆的提型说明了提供安全审计和抵需服务时使用的功能,6.1.1安全审计和报监功能
支持安全车汁和报督务器要客析功能,它们品:一事件辩别器,供事件的初始分析确定量否挥该事件转发给中计记录器或报膏处卵覆:一斗记求器·由接收到的消息生成审计记录,并范该录疗人一个安全审计报原内::批警处现涨,产生回应发企报誉的审计消总以及合适动作一审分析器,检吉安全审计跟炼如果合适,则化成安全控整利安全市计消息:一一市计展踪检验器.根据一个或多个安全申计限影端制启安全毕计报告;审计拨器,接照莱些准则提供审计记录一节计归档器,将安全中型综的某些分山档,利用附加动能支持分布式安会中限除和需也是必要的,包括:一审计跟琼收集器.将分市式审眼券的记录汇集成一个安全中跟踪记录:一申酷度路,将外布式安全审计限踪的某些部分或全部传送给该审计跟踪收集露功能。6.1.2安全审计和报管模型
GB,T18794.7—2003/TS0/TRC 10181-7,1996下面描效单安全审计和报警楼划包括几个阶段。在检澳到一个事付后,必筑决定该事件是否是安全相关州,性分排者评估该事件以碎定品需要产尘安全市计消息和/成安全报资俏息。安全市计消息鼓转送到审计出录器,索全报登消息被转送到圾竞处理能进行评估和进一步采晚动作:然后耳把安全市计销息旁式化井变换求该安全中门限除果的安全事记求。诊安全审计限踪较陈旧的带分可被山偿,开且按服现定的准则,通过选择特定的安全审计跟炼录,该安全中计跟筛及安全中计限炼档案都可用来编制计报,即,可分析安全伴计跟除,至与生放安全审让报行社/或安全报普。安全市计和提警模型见图1.
事件弹尚州
中计柔总
6.1.3安全审计和报答功催诺组
日计谨供照
报警达理课
审计外析程
中计限原检验票
图安全审计和报些模型
一行动
模型量描绘的功能可然中在系统的一个组牛业,变分布在系流的儿个纠件中,这些功能也可配在不同的筛系统,且加以复制。在有些情况下,例如以性能考增,把功能过行编组将后有益的,持别民工作十同审计限跨的所右半记录器,审计时度额,幸计传器和审计分析器,可构战无人值守的端系娩的一部分。
另一税编组力式可以是审计限除检验器和审计分针器,它们对安会市计员非肾有用。可能存在一个按分层方式安排的功能链,传别是在分布式安全官计婴踪中(见图2),此处,一个组件的审别踪收集器从月个组件的中计调在靠收乐审计消息。当一个组件不再支格审计调底器时,这个边能过就终1.了,此耐该组件必新支持审计归档器使式罪够归挡它的安全中计源家记录。至十决定显对什动能编证,是一实现同题,上面的例下仅且示意而已。计
审调社
申计职取临策共
中计度券
图2分布式申计跟踪模型
GR/T 16794,7-2003/1S0/1EC 10181-7:199ETiKAoNiKAca-
6.2安全审计和握管过程的几个阶段安全申卡服务为一个审计机构概供能力.使其能够确定和选择需要在去全审计跟踪检测和记求的事件,以及需要胆发安全报再和安全审士消息的产件。下而的阶段可能在市计对保中发生,检测阶段,检测发全作关李许:禁别阶段.微击些辫别,足否需要在该安企审计型踪内记末该中件,是否需要产牛权势:报警理前位,可能发出“个发全定引报需或安全审计消息!一一一分析阶段,将个安全相关事件与前检划三让录在审计跟床的一世事件一起放正光前这毕享性的工下文中进行评价,并确定出·个功作针:来朱阶段,将分布式安全中证跟院迁总汇来成单人安全审计医综记求!一一报告生成阶设,依划安全审作品的记菜缩制出计报告;一山档阶段,物安全市:股踪记录传送要核安全申计双踪的当案中。比处满座的阶段不需要车对叫上分开也就长说,的们可以交过避行。6.2. 1检测阶段
格测阶段涉及确定已发牛个可能与安全柜关的事件:安际谢对事件采收何科(如有必要)响应,则是事件新别器的任务(光6.2.2),但后在某比情况下(视安全策略需定>川产生一个立吓报督6.2.2辨别阶段
当检测期个安全相关+后,事件辨别器将确起适当的始动作引:接实竹应足下期动作之
无任例动作:
产生安全市计消息!
产生或金批警和宏企审计消息。决定对每个事卧来取的动作为针,依要下快月的安全策略:3.2.3“报善处理防段
在报誉处理阶段,根军处理密分析非警消良,以便确定准确的动作方针。动作应定下列动作之—:
a)无仁圳款作;
b)启动快动作:
c)启动恢量动作,并产学安全审计消良:伙定对每个事行应果区的动作方针,依较上独的安全策路:该:动:和c止库会快该再件变到谐如安全官共或审以样员一类人的兰意,6.2.4分析段
正分析阶段,处问委全料义事件以确定合适的动作方针,讨处阐能比到军期安全柜关率件的信息·例如安全审计限源单记录的信应:该动作应足下刻动作之-:a何动作;
产生安全报善!
)产生安会市计池录
产生安企报警作安全审计记录.
决定对每个求件应采亚叫种动作针中的减一和,依赖于使升的安全策略,作为分析处划的部分,可以通检套安全审让跟练心录和安全审计爆院偿案了解先前的中件,h.7.5展集阶段
必须定期将分在式审限原的午个安全年计记录汇案站一个单独的市计跟东计录,这“对程包部(在收实点便审计惊收第馨和个通南系流)他用审障度器边能这称作聚案(如61.3注举所述·此过超可以是分尽或的),E.2. 6报普生成阶段
GH/T 1e734.7-—2003/[S0/EC 10181-7:1996在需要的其候,或按照安全微略强制要求时伙,可对安全企审计账原记录违行处理。这一过玛将他合分机崇产日川包含安伞中计跟院记录理成合适的格式,安全审计跨分析的坑山是发全抵告,它可能指明已发生破次系轮安全的企函.在这种价下,心能需要采取安全恢复动作安金率习职踪分析能历来估攻走的医度和确定合适的损毁控制视链。安企嵌复服务可用安企报告文以别由安全问题引起的损毁的程境。尤其可用它证男以当工带方式利其效的授权月户使用过的那此实源,还可同它来伴任制数,以使尝战必要的恢复动作。6.2.7归档阶段
安全审计限踪记示叫陷温要长时间保存,在归挡阶段,部分安金审!限路敏传输到长期行端介质中。用作叫档的存帖验必须保持原始记录的完整性:齐本划.也叫证离原始寄计跟病娠进行安全中计我案好者,可能要配需程归档。63审计信息的相关性
一个或多安全串计跟腺的市计记录可能差相五关联的。例如。可以通过人量宁问系统传节·个注接讨求,因此在小闵的安全审计限除果产生发平安全审计法最,许,查要的是在这此安全审计沉求上准确地工1上寸间级州二大联标记。分一个例平尺产间个本向安全律计限除更记录再个不同事件此处最平要的危要能够确是哪个事作先发生,在附录>中讨论,来自不间事件发生器的事件[相美过程中最改的有关问题
产安全申计和报吾的策路及其他方面7. 1策喀
安全审计策路定义安全相关件并识纳用来女案、(在一个安全函源业>他录和分析各种安全相戈事件的划测,市计策路乐以及作为规则的达洗中可能参含有看下信得注总的却项。其中的一个或个可能适用于特定的安全策略.
安全中策珞成为完成各种级另和类翼的安全中计定义求,起尝为产生安企批誉定义准圳,划计系统挖制的充分件、确以与农全资略的待合性·以及确定对第格,控制和现程的指示史改都将离不开对安全审计跨录的分析,以及对系统设计配穿和换作等的式他语率方面的办析。性:演安全结略定安个相关事件的法哨了六的回、7.2法律问题
应注意到有一些门保辛公民总松的法待。在张些情说下、这寄意味并包等纯演个人信息的计数综计录将应士与施必权和访问成与美的国家法律之典,这些录将需要览业本授权泄宽。在安全审计过求萨作为合缺的地方,刘安拿计计治录的快用、存储和保护可能存在特殊要求。7.3保护需求
可冬忘阿个方面药保护间题
一安全单一限除和审计息的保护:一安全中股务的保节,
7.3.1审计信总保护
安全书计医路业收年的信忌部古接来自中计消良或来有别药审计像赢,国此,人安全年于跟踪叫范原个或老一源产生的齿全出引需悠记求的案实,在原尚羊的情况下案全审订限踪包全单个统严生的全部安企实计记录,
安全审计展频必须受剥仅护,以免避到末授摄泄离利/或术投权格改,叫使用价控制,机性,光整性相监划制进行保护。采出的一种只体保护教术尺将带计记录存储在只整被写人一次的介尚上这样就不能用或写与的办达来擦集事件品录,安全审消息、安全报利安会报告也必须加:以保护,以所止末授权泄露即/实未按权偿改此外,其要的尺信良的发送方痴接收方相信数据的源月的地他完全共所户称的,并且该信息木追到任间咬环,突少要求荣些信息的析些性。这可能干如下种理止:我及个人改私的法件丙离;
GB/T$8794.7-2303/1S0/1EC 10181-7:1996—隐蔽过运录或没有记录的审汇事件;随龄报警引起的动作的接受者(垂非接受的身份,7.3.2审计和报署服务的保护
-TTKAONTKAca-
安企审计和报普脏务依赖于有商等级的可用生。拒艳股务是对审计和报警版务约一种威胁,全报警管理员或安全申计易企图得到的信点可能被延迟到信息不再有价值的时候。所以,最联要的起信总底设啦低达独期的对象。
按此保护向题的深人讨论可在第心章中找到.8安全审计和报吾信息及设施
安上审计和投替信息的也理可考虑为叫个方面:一处理项应个意外舟件证产生的消息(即末经请求的安全当计和报制信息);一处理特定安全审七和报危总的请求即运求的信息需要用写限务来控制安全市计和报替处埋的几个方面,包活安争中计限数桃制,在定义对探测安全相关事件所采取的特定效作时遵错的准则,以及处理声计和据需信息时步及的过程8.1审计和报暂信息
安全审训和报管信息他括安全报警,安全审计消息、专全审计灵和安全抵告:8.1.1安全审计消惠
安全审计消自是栏为川审计安全和关事件的结果而土放的消息。例如,安个声计消息可自中件新器对个索全相关中件进始分折也产生,或者作控芦处器或汀分析警的后续评价站果而产生。8.1.2安全审计记录
术语安全审计记录用于描逆安企审计超踪的单个三录:在惩多情况下,定将于单个安全相关事件,问可以想像得出,在一些实现中,一个安全审一运录世可以是作为不止“-于安全相关事许的结采产生的.
兴望的安全审计跟跨记象包恬与消息的源和原因有关的信息,忙可能包含与消总检测即处理中所谢改的实体关的信息。
8.1.3安全报警
安全书暂层格测新,个安全担关中件,而该中件莅确定尽对安全的微在述并构成个报公杂件之后而产土的消息。这以后单个事件,也可以是达划一完门限的结果,不哪一种信识,在安全策珞中利的成一人报警条件的定义避【我定步全报可事件饿影器(作为一个去全争件的讼始评价站果启动、或者在确定有报需条件存在的任何时候·出审计分研器房动。8.1.4安全报告
安全技告走性为安全中目限除分折的结来而产生的信息,当计踪格验器被用来从一个或忘个克余车计限殊中生成安全报:
8.1.5构成审计和报警情息的示例中计和搬警倍息·-般包括下述成分:一:倍息/消息型(迎安企报警,安全审计治息或安全丧告);一可区分的元索标识整(创如安全扫关事竹的发起书/日标,动作士体客体):—消总的原因,
中件将别器:含计提供器门/成中计记录船能可区分标识料6.2安全审计和报警设施
为,有效地应用审计服务村能够述行有效的事件分析·需要一种方法来确定与安全相关的中件,以及好何处理它们:消息分析白过滤机到实施它决定在接收到一个审计消息时应采段的合追动作。过8
GB/T18794.7—2003/1S0/1EC10181-7,t996燃得接照(由审计机特确完的)谨则动作,这此准测为有种消息美型确立要采取的动作,接以采取动作范证测可括:
限计数器:
件类型
引起该与行的实体。
为了受理且的,过越需可以定义为只有规定行为和靠教的被管客件:与市计和根警管理相关的设施供唤立选择准则的力法,该准圳充许户处理为程供安全市计和报登服务所必领的信总。概括地说,这当设施是,)创生、烤收和到除处理安全柜关事件的准购,能和禁止产卡追定的安上审计码息:偿够和菜止产生安全市让跟踪;d)能够和禁止产生、处理报誉。与中引和报换作相关的茂施是:)产生审计利报信总(如产牛拟替.产生审让消息,产作安会报告记录官计和积信息
收象:聚集引和报警信息!
办析中计和报管信息!
归档审计和投警信息
确定和分析安全事件-…审计和握管功催准测8. 2. 1
安全报警年安全审计消息二者识别事件关型,仰息因,事件链探测到的时血,,中件检测老身份以及与事件剂关联的实体的身份(即非起件发生的行为体和客体)。确文准账后在坏定处理不同类型信息时应采取的动作。已定义的准购划下:准则1——事件辨别
这些准则将确案在深测到一个安全相关事许时或采取的实作,候选输人数:
安全柜关中件类型:
引起争件实述。
保选输出参数:
待采取的动作,
一·待产生的安全报客,
一待产生的安全审计消总
准则2——中计跟踪检验
这些准则为缩评安全报件前就包含在一个或多个安全审计限踪中的信总进行选择提供基础。候选翰人专数
审计记求炎型:
一安全补X享件类型:
一在审在之中吊事件的时间:
尚其消求估息的实体。
侯选指出参款:
被造记录消学
——审计跟踪分析准则
准财3-
这些准测确定审计分析器将灯何处理审计激踪。富计限萨的分析将在确定待采农的动华之的.通9
GB/T 18794. 7--2003/IS0/1EC 10181-7:1996过评估事件的发生量和顾度来实现:境选输人存数
件类型:
发生员:
“时间周期。
凝独出登数:
一持采取的动作.
社安全审计记买联安全审归当不要求准见,9安全审长和推禁机制
TYKAONIKACa-
安全审计和报整与本系列钻中措的共他安全服务的之处在于有单小的特完支会部部能用十据供这种能象,审计矶制也许可刻划为基」人量咨理和操作太式的规程,因此,不率细讨抢市计机制,然而,作为用:审计的该美型方式的例了,安全关书件分折的机制叫以包括:一一对照比妇,如基于创可或地理的不寻常的访问,不示常的资激使用等等,比教实体的活动
在某个时间同期内检两件或多种中供类型的缺计值;“正某个时闻同期内观察一种减多种李件类型的不发生情况.上违示制将单并非实举。
10与其他安全服务和机制的交互10.1实体监别
在审计度器和审计收年器之间传送安会审订报除时需要进行双向鉴划,以户计证度需向灿定的中计收来能发布该发全审计跟踪,以及市计集器以颁定的审计调度器接受该安全高计最踪。10.2数据源蓝别
使用数据源整别,可以知道发全计消息和安会举的来测。审分断也月它以保证范米自未知件生虑者变未划事件分析者的消息:10.3访问控制
在存情和传送去全市跟踪记求时必须使用行间控制报等。谢间控制也能用了款止本授义访问安审作殿。
10.4机密性
在传关安全审计民踪、选定的安企审计记录、安全审计消息安会授警的过让声中间使用凯性服务,机密性照务还可用来保护存的百计记录。10.5完整性
兵有头等重要察义的尾·必筑检谢出对安全中户限炼,民定的安全市计记求集、安全平计消总成安全版警的任何末慢效将改:案整准芬叫H于此月的。10.6抗抵藏
山于审计跟除的传退通常在同安全中过行,北教常现将不他出抗抵裤照务16
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
H/[18704信息装本开效系统巨连开效系统安全幅案日前括以下几个部分:第1分(即G3/T1871.1:概述
第2部分(即GB/T1573.2):签钢推架第3部分(即83这问控制架
第部分(即GB/T9,4];抗抵赖架第5部分(即G/1R794.5):右密件粒架:第6部分(UGB/128794,6):完禁性框架第了部分即T安全证极警新率
本部分为心B/T18794的第了带分,等同采用际标准IS0/IFC1G1月1-7:1996信总技术开放彩统互连开款系统安会横架安全审计和报奢渠《策文版),按照(GB/T1.1-2000的规定,对1SO/1FL:10181-作了下列缩翔性格收:a)增如了我国的“前言“:
h)“本标准”·间收为“B1794的中部分“感“本部分对\规范忙号用文件”章的导语按GB/T:.!2000的要求进行了改d引用约标确中,H品制定「我司标准的客球标准,跨用我国的相宽标准端号代替,对\规范性引刀文件”卓中的弥准按照心R/T1.一20的规定重新迷行了排序,本分的降录A至降录1都是资料性附求。本部分由中华人民共和国信息产业部提出。卒部分中叫卫于技术标准化研究所归口,木部分起量单位:四川大学信点安全研究所。本就分主婴起性人:企游、周安民、享焕洲罗方伯、戴崇!、陈光盘、张力:m
GB/T18794.7—2003/IS0/IEC10181-7:1996引言
TYKAONIKACa-
本部分粘细化了(13/T1791.1中描述的安全审计候念,它也括争件检测和从这些事件引发的效作,刊比,本程染涉设安全审计知安全报畜两为面。安全市斗是系够记录和活动的独立文审查知检验,安会中计的口的包括:辅助识别汇分析未经授权的动作或攻击;带助确保将动作结到为其负资的实伴上能进升发效选的妞伤控制处理靓乱;一确认符合定的安全筑略:
一报告比可能应心影缺控缺降的信良:一识别可能需尊的对持制、策路和处理程字的更在本拒架中,安全审计沪检测、收拿和运录在安企审计服踪中各和与安企有关的牛件,以及分新这些件.
中计和可认性都要求渐那逆信息记录下来,安全自计保证创行实件和外卒件的足够信息均能记录下来,以谅事后的调立能确定尽否有让背安全的事性发生,以及如兵有,则什么肯息变资源受到词当。以确认性保证将用广进行的动作效代表用户动作的处理过型的关格息乱能够让!录在案,以使服降这动作的润应后果与可能用户(们收系,并也能使其对自已的行手指费在:接供安全单服务能核助提共可确认性,
安全非普是人或进程发的营告,增示发生广开常情说,可能要马上采取或代,安全设的日的包括:
一报告实际的减配寻的安会违规你图:报情各尚安全相关的要件他括“正带事准:报告达到一实门限而触发的事件,1范围
GB/T 18794,7—2003/ISU/IEL 10181-7,1996信息技术开放系统互连
开放系统安全框架
第了部分:安全审计和报警框架本开政系统安全排架的标催岭过在开放系统外境中安全服等所应用.此些术语“开效系统包据如数据件,分布式座用,开款分在式处理和开放系统立序这样一此细域、安全框架涉及定义过系统动系内的对象斑世保扩的方法以及系就间的交万。本安全据荣不秘及构殊系统减机制的为法学,安全准架论述数据元案和操非的序列(而不是协仪议元素)这两者可被用来举待特定的安全非务。这些安全服务可应片于系统正在题信的实体,系统间定换的数斯,及系统普理的数期。本部分所述安全审计和报些的日的是确仅按顾安拿机构适当的安全策格处理与开放系统安全有关的步件.
转别是·本架:
为!定安全率计和报警的基本恒念)为安全审计祁推需提供个调月的举型:e!记别安全审计和报警版务与其他安全服务的关系:和其他安全服务一样,安全声计只能在规定的支全举略尚服内提供,在策6章提以的安全审计和授普模型要支持很多月标,但并非所有这些日标在特定环晓业都足必独的或要求的。安全审计服务为市计机均据供能小,使其能够确定需要证录在安全审计跟废的半件。很多不同炎型的标准能免用握架,包括:1)体现审计和报警就念的标准;2)现定含有审计和报著的非象服务的标准3)现定使丹审计和誉的标准:
规定在开放系统运系结构内提共审计和报等片法的标准5)现当计和报警矾制的标准。
落些标准能以下述力式使用本框架:标信类型1)、2),3)和5)能使用本(架的术:标准类)3),4)和51施使出第草定义的没施一标施资型3?能蒸于第章定义物机制特性、2规范性到用文性
下文件中的条款过(794的本部分的成还部分的条款,凡尽准期的引用计,其欧后所有的修疫关(不包折能送的内容>或修双总均不适用于本部分落而,整购模据本部分送底的设的各方研究后否川使用这些文件的最新版本。尺是不注口期的引用立性,其应新版本适用丁车部分
3B/T9387.11958信息转术开放系统.连英本考税期第1前分,基本模型(:dtIS7431
B/T337.219低信自处理系统开放系统互连基六全考模型第前分:安全体系结构Ci1507496-2:104
GH/T18794,72003/IS0/1EC10181-7:1936-TTKAONKACa
基本毒考蒙型第4部分:营理征架CBT337.41S9F信息处理系统开放系统工选(idt [5()7498 4:1989)
GB/T17143.:927箱息拉术可放系统比连(15:1E)-15193
系统营写第5部分:李件拉告管理功能GB/T17143.S—1947
开放系市道
信总质求
能tl: E0/1E0 :010--:1s93).
143—倍息技术
l:TS0/TE:1014-7,1S92
开放系统互连
信应技术
述(i:IS0/IEC 101x1-1:1996)
3术语买定义
和文证1!的至部
2.1基本模型定文
开放系统互进
G/T17143.3—7信点技术
:开放系统互连
能sc:0-R16s3)
GRT 187U1, 1—2002
系统管归
第部分:口志控制功
系统等
第全部分:支全警报告
系统管理
第界部分:安仑牢审计限除础
开故系统去全准架
:9337.1-1S98立的下可术证和定支适用十G15/T187本分)实ay:
b)改能eliy;
功能funcon
il)服务erv.re:
3.2安全件系结构定义
GH/9437.2--1595确的下到六请和定文适出B1379的大部分。a片oun
b用availahliy
)安全审计pucuriyaudit:
d安金中i踪中yuria
安全策率uity [licy
2.3些理框架定义
GT93374[S6确的刻大话和定适用T1的部分-效管理客运t.agbic
3.4安全框架述定义
GH/:1374.【确节下到本语称定实适用于C9/T18794的本部分:安全成fumrilydamai:1
3、5删加定义
下到人语和定适乐了G/37H的部,3. 5. 1
据警处理器
oimmproressor
一以范它产生会范动作以叫险免费标准下载网bzxz
个安全报当,开丰成案安会中川消息3.5.2
审计(权成)机内auditanthorlty)管所者,负靠定艾适一实境安全当计的安会策略。3.5.3
审计分析器
第部分版
GB/T1B794./—2C03/1SO/IECIC187-7:1996一神动能,它抢查会拿出计限序,部程合适药活,产生案全报和安全审消息。3.5.4
审计归尚器audltarchiver
一部动能,它将一部分专全申计银踪过行忙3.5.5
审计调度器audiidispaiee
一种动能,空将一个分布式安全中计限的某偿部分或部传送治该自出乐的收集考助服3. 5. 6
审计跟踪检验者aidittrallesaminer一补能,些双一个股步个安企审计系踪十形成安全报告,3. 5. 7
审计记录器
dudilrecortler
一种动能,它产生安争审计位录并批这些记录行储在-个安金审计累融均求里。3. 5. 6
审计提供器anadilprovider
种功能:心按求些难则提供专会审计版踪记求3. 5. 9
审计联踪收集器auditrailrollctox一种功能,它将分市式审计限腾:汇集或一下安全审计限路运求3.5.10
李件辨别器eventdiscrimdnator种功垒·它提供卖全相关更件证切始分折,产在企适的时成(个安食出引和/或丧警:3. 5. 11
安全报警gecnrltyalanm
限据安全策略定义的报警条件格函到“小安金州关中件时所产兰的一案消息,安企报警有应以一种时的方式引起适当的实体注克,3.5. 12
serhityalamailministrator
安全报管管理者
确定安全报警配驾的人员或边程。3.5.13
安全相美事件securityrelatedevent极安全带路定义属丁错年的安个嵌实或叫能与全联的止他享件:达对颜与必的值卡东全机关字件的一个剂于
安全由计消息yrturilyaudilmssuge作为一个川市诈的安全相关出件的洁果而当成的一条消息3.5.15
安全申计记录wcarityauditrecnrd-“个安金审计职踪型的一条记求。3.5.165
安全审者securityaudilor
GB/T16794.7—2003/LS0/EEC10181-71996允许访问安企审计到踪和编制管计报告的人国或逆程,3.5.17
安全接告ecurityreport
分析安全审计跟产生的绍具报告能用该报告确定是否出现安金峡陷。4缩露语
QsI开放系统止连(UyetSyatznIntercannection)5注释
-TTKAONTKACa-
术语“吸务“和“机割”,如果法有另外限定,则分指“安全审让服务”和“安全审计机制”,不\申计\如采设有另外限定,划宿安全车”。术语“根誉”如受设有另外限定,则指“安全控替”6安全审计和报警的一般性论证
本单描述的模型用十开效系统欧理安全报普和垫行安全审比。安全审计在许过安会策路的适当性进行阅价,据助接测安会症规,促使个伴刘自的动作(或代表伸们的实体的作)负责·协脱险测资源进用,以及充当对企图毁坏系统的个体的成概内寒:安全审计虹制并不点接融改.安全违初:它们关心险测、心录和分析事件,这就充许对被执行的探作规进行更改,以响声诸如安全违想这类非正常争件安全报警是根据安全策略定义的报誉条件稳测到任何安全相关步件而产4的。这川能包范达划预定义门限的情说,有些事件也许需要立即来取恢友动非,而另一些件可诺需要进一步变研次以便确定造需照来取州应动作
安全育计和报管核划前实境,可能需暨使用其性案全股务来支持安全审计和报警服务并谢保它们正确而有拒地运行,这“土想在第1心章乳进·收讨论虽燃安全审计限和安全审:有其特殊的特征:但其池(非安全)体计派踪和中计也可改使带本施架潜述的收随和扩制,
止如安全的其方面一样,追过确保将特定的安全牢计需求改计在系统中,可以得故大安全效果。固此,系统开发者应当击患对设一过理和开发中的系统两者的审计牛方便检验分析)性:女全计和零慢并不说期其独统各和慢计投实该棋型扭联系,6.1模型和功能
下面陈逆的提型说明了提供安全审计和抵需服务时使用的功能,6.1.1安全审计和报监功能
支持安全车汁和报督务器要客析功能,它们品:一事件辩别器,供事件的初始分析确定量否挥该事件转发给中计记录器或报膏处卵覆:一斗记求器·由接收到的消息生成审计记录,并范该录疗人一个安全审计报原内::批警处现涨,产生回应发企报誉的审计消总以及合适动作一审分析器,检吉安全审计跟炼如果合适,则化成安全控整利安全市计消息:一一市计展踪检验器.根据一个或多个安全申计限影端制启安全毕计报告;审计拨器,接照莱些准则提供审计记录一节计归档器,将安全中型综的某些分山档,利用附加动能支持分布式安会中限除和需也是必要的,包括:一审计跟琼收集器.将分市式审眼券的记录汇集成一个安全中跟踪记录:一申酷度路,将外布式安全审计限踪的某些部分或全部传送给该审计跟踪收集露功能。6.1.2安全审计和报管模型
GB,T18794.7—2003/TS0/TRC 10181-7,1996下面描效单安全审计和报警楼划包括几个阶段。在检澳到一个事付后,必筑决定该事件是否是安全相关州,性分排者评估该事件以碎定品需要产尘安全市计消息和/成安全报资俏息。安全市计消息鼓转送到审计出录器,索全报登消息被转送到圾竞处理能进行评估和进一步采晚动作:然后耳把安全市计销息旁式化井变换求该安全中门限除果的安全事记求。诊安全审计限踪较陈旧的带分可被山偿,开且按服现定的准则,通过选择特定的安全审计跟炼录,该安全中计跟筛及安全中计限炼档案都可用来编制计报,即,可分析安全伴计跟除,至与生放安全审让报行社/或安全报普。安全市计和提警模型见图1.
事件弹尚州
中计柔总
6.1.3安全审计和报答功催诺组
日计谨供照
报警达理课
审计外析程
中计限原检验票
图安全审计和报些模型
一行动
模型量描绘的功能可然中在系统的一个组牛业,变分布在系流的儿个纠件中,这些功能也可配在不同的筛系统,且加以复制。在有些情况下,例如以性能考增,把功能过行编组将后有益的,持别民工作十同审计限跨的所右半记录器,审计时度额,幸计传器和审计分析器,可构战无人值守的端系娩的一部分。
另一税编组力式可以是审计限除检验器和审计分针器,它们对安会市计员非肾有用。可能存在一个按分层方式安排的功能链,传别是在分布式安全官计婴踪中(见图2),此处,一个组件的审别踪收集器从月个组件的中计调在靠收乐审计消息。当一个组件不再支格审计调底器时,这个边能过就终1.了,此耐该组件必新支持审计归档器使式罪够归挡它的安全中计源家记录。至十决定显对什动能编证,是一实现同题,上面的例下仅且示意而已。计
审调社
申计职取临策共
中计度券
图2分布式申计跟踪模型
GR/T 16794,7-2003/1S0/1EC 10181-7:199ETiKAoNiKAca-
6.2安全审计和握管过程的几个阶段安全申卡服务为一个审计机构概供能力.使其能够确定和选择需要在去全审计跟踪检测和记求的事件,以及需要胆发安全报再和安全审士消息的产件。下而的阶段可能在市计对保中发生,检测阶段,检测发全作关李许:禁别阶段.微击些辫别,足否需要在该安企审计型踪内记末该中件,是否需要产牛权势:报警理前位,可能发出“个发全定引报需或安全审计消息!一一一分析阶段,将个安全相关事件与前检划三让录在审计跟床的一世事件一起放正光前这毕享性的工下文中进行评价,并确定出·个功作针:来朱阶段,将分布式安全中证跟院迁总汇来成单人安全审计医综记求!一一报告生成阶设,依划安全审作品的记菜缩制出计报告;一山档阶段,物安全市:股踪记录传送要核安全申计双踪的当案中。比处满座的阶段不需要车对叫上分开也就长说,的们可以交过避行。6.2. 1检测阶段
格测阶段涉及确定已发牛个可能与安全柜关的事件:安际谢对事件采收何科(如有必要)响应,则是事件新别器的任务(光6.2.2),但后在某比情况下(视安全策略需定>川产生一个立吓报督6.2.2辨别阶段
当检测期个安全相关+后,事件辨别器将确起适当的始动作引:接实竹应足下期动作之
无任例动作:
产生安全市计消息!
产生或金批警和宏企审计消息。决定对每个事卧来取的动作为针,依要下快月的安全策略:3.2.3“报善处理防段
在报誉处理阶段,根军处理密分析非警消良,以便确定准确的动作方针。动作应定下列动作之—:
a)无仁圳款作;
b)启动快动作:
c)启动恢量动作,并产学安全审计消良:伙定对每个事行应果区的动作方针,依较上独的安全策路:该:动:和c止库会快该再件变到谐如安全官共或审以样员一类人的兰意,6.2.4分析段
正分析阶段,处问委全料义事件以确定合适的动作方针,讨处阐能比到军期安全柜关率件的信息·例如安全审计限源单记录的信应:该动作应足下刻动作之-:a何动作;
产生安全报善!
)产生安会市计池录
产生安企报警作安全审计记录.
决定对每个求件应采亚叫种动作针中的减一和,依赖于使升的安全策略,作为分析处划的部分,可以通检套安全审让跟练心录和安全审计爆院偿案了解先前的中件,h.7.5展集阶段
必须定期将分在式审限原的午个安全年计记录汇案站一个单独的市计跟东计录,这“对程包部(在收实点便审计惊收第馨和个通南系流)他用审障度器边能这称作聚案(如61.3注举所述·此过超可以是分尽或的),E.2. 6报普生成阶段
GH/T 1e734.7-—2003/[S0/EC 10181-7:1996在需要的其候,或按照安全微略强制要求时伙,可对安全企审计账原记录违行处理。这一过玛将他合分机崇产日川包含安伞中计跟院记录理成合适的格式,安全审计跨分析的坑山是发全抵告,它可能指明已发生破次系轮安全的企函.在这种价下,心能需要采取安全恢复动作安金率习职踪分析能历来估攻走的医度和确定合适的损毁控制视链。安企嵌复服务可用安企报告文以别由安全问题引起的损毁的程境。尤其可用它证男以当工带方式利其效的授权月户使用过的那此实源,还可同它来伴任制数,以使尝战必要的恢复动作。6.2.7归档阶段
安全审计限踪记示叫陷温要长时间保存,在归挡阶段,部分安金审!限路敏传输到长期行端介质中。用作叫档的存帖验必须保持原始记录的完整性:齐本划.也叫证离原始寄计跟病娠进行安全中计我案好者,可能要配需程归档。63审计信息的相关性
一个或多安全串计跟腺的市计记录可能差相五关联的。例如。可以通过人量宁问系统传节·个注接讨求,因此在小闵的安全审计限除果产生发平安全审计法最,许,查要的是在这此安全审计沉求上准确地工1上寸间级州二大联标记。分一个例平尺产间个本向安全律计限除更记录再个不同事件此处最平要的危要能够确是哪个事作先发生,在附录>中讨论,来自不间事件发生器的事件[相美过程中最改的有关问题
产安全申计和报吾的策路及其他方面7. 1策喀
安全审计策路定义安全相关件并识纳用来女案、(在一个安全函源业>他录和分析各种安全相戈事件的划测,市计策路乐以及作为规则的达洗中可能参含有看下信得注总的却项。其中的一个或个可能适用于特定的安全策略.
安全中策珞成为完成各种级另和类翼的安全中计定义求,起尝为产生安企批誉定义准圳,划计系统挖制的充分件、确以与农全资略的待合性·以及确定对第格,控制和现程的指示史改都将离不开对安全审计跨录的分析,以及对系统设计配穿和换作等的式他语率方面的办析。性:演安全结略定安个相关事件的法哨了六的回、7.2法律问题
应注意到有一些门保辛公民总松的法待。在张些情说下、这寄意味并包等纯演个人信息的计数综计录将应士与施必权和访问成与美的国家法律之典,这些录将需要览业本授权泄宽。在安全审计过求萨作为合缺的地方,刘安拿计计治录的快用、存储和保护可能存在特殊要求。7.3保护需求
可冬忘阿个方面药保护间题
一安全单一限除和审计息的保护:一安全中股务的保节,
7.3.1审计信总保护
安全书计医路业收年的信忌部古接来自中计消良或来有别药审计像赢,国此,人安全年于跟踪叫范原个或老一源产生的齿全出引需悠记求的案实,在原尚羊的情况下案全审订限踪包全单个统严生的全部安企实计记录,
安全审计展频必须受剥仅护,以免避到末授摄泄离利/或术投权格改,叫使用价控制,机性,光整性相监划制进行保护。采出的一种只体保护教术尺将带计记录存储在只整被写人一次的介尚上这样就不能用或写与的办达来擦集事件品录,安全审消息、安全报利安会报告也必须加:以保护,以所止末授权泄露即/实未按权偿改此外,其要的尺信良的发送方痴接收方相信数据的源月的地他完全共所户称的,并且该信息木追到任间咬环,突少要求荣些信息的析些性。这可能干如下种理止:我及个人改私的法件丙离;
GB/T$8794.7-2303/1S0/1EC 10181-7:1996—隐蔽过运录或没有记录的审汇事件;随龄报警引起的动作的接受者(垂非接受的身份,7.3.2审计和报署服务的保护
-TTKAONTKAca-
安企审计和报普脏务依赖于有商等级的可用生。拒艳股务是对审计和报警版务约一种威胁,全报警管理员或安全申计易企图得到的信点可能被延迟到信息不再有价值的时候。所以,最联要的起信总底设啦低达独期的对象。
按此保护向题的深人讨论可在第心章中找到.8安全审计和报吾信息及设施
安上审计和投替信息的也理可考虑为叫个方面:一处理项应个意外舟件证产生的消息(即末经请求的安全当计和报制信息);一处理特定安全审七和报危总的请求即运求的信息需要用写限务来控制安全市计和报替处埋的几个方面,包活安争中计限数桃制,在定义对探测安全相关事件所采取的特定效作时遵错的准则,以及处理声计和据需信息时步及的过程8.1审计和报暂信息
安全审训和报管信息他括安全报警,安全审计消息、专全审计灵和安全抵告:8.1.1安全审计消惠
安全审计消自是栏为川审计安全和关事件的结果而土放的消息。例如,安个声计消息可自中件新器对个索全相关中件进始分折也产生,或者作控芦处器或汀分析警的后续评价站果而产生。8.1.2安全审计记录
术语安全审计记录用于描逆安企审计超踪的单个三录:在惩多情况下,定将于单个安全相关事件,问可以想像得出,在一些实现中,一个安全审一运录世可以是作为不止“-于安全相关事许的结采产生的.
兴望的安全审计跟跨记象包恬与消息的源和原因有关的信息,忙可能包含与消总检测即处理中所谢改的实体关的信息。
8.1.3安全报警
安全书暂层格测新,个安全担关中件,而该中件莅确定尽对安全的微在述并构成个报公杂件之后而产土的消息。这以后单个事件,也可以是达划一完门限的结果,不哪一种信识,在安全策珞中利的成一人报警条件的定义避【我定步全报可事件饿影器(作为一个去全争件的讼始评价站果启动、或者在确定有报需条件存在的任何时候·出审计分研器房动。8.1.4安全报告
安全技告走性为安全中目限除分折的结来而产生的信息,当计踪格验器被用来从一个或忘个克余车计限殊中生成安全报:
8.1.5构成审计和报警情息的示例中计和搬警倍息·-般包括下述成分:一:倍息/消息型(迎安企报警,安全审计治息或安全丧告);一可区分的元索标识整(创如安全扫关事竹的发起书/日标,动作士体客体):—消总的原因,
中件将别器:含计提供器门/成中计记录船能可区分标识料6.2安全审计和报警设施
为,有效地应用审计服务村能够述行有效的事件分析·需要一种方法来确定与安全相关的中件,以及好何处理它们:消息分析白过滤机到实施它决定在接收到一个审计消息时应采段的合追动作。过8
GB/T18794.7—2003/1S0/1EC10181-7,t996燃得接照(由审计机特确完的)谨则动作,这此准测为有种消息美型确立要采取的动作,接以采取动作范证测可括:
限计数器:
件类型
引起该与行的实体。
为了受理且的,过越需可以定义为只有规定行为和靠教的被管客件:与市计和根警管理相关的设施供唤立选择准则的力法,该准圳充许户处理为程供安全市计和报登服务所必领的信总。概括地说,这当设施是,)创生、烤收和到除处理安全柜关事件的准购,能和禁止产卡追定的安上审计码息:偿够和菜止产生安全市让跟踪;d)能够和禁止产生、处理报誉。与中引和报换作相关的茂施是:)产生审计利报信总(如产牛拟替.产生审让消息,产作安会报告记录官计和积信息
收象:聚集引和报警信息!
办析中计和报管信息!
归档审计和投警信息
确定和分析安全事件-…审计和握管功催准测8. 2. 1
安全报警年安全审计消息二者识别事件关型,仰息因,事件链探测到的时血,,中件检测老身份以及与事件剂关联的实体的身份(即非起件发生的行为体和客体)。确文准账后在坏定处理不同类型信息时应采取的动作。已定义的准购划下:准则1——事件辨别
这些准则将确案在深测到一个安全相关事许时或采取的实作,候选输人数:
安全柜关中件类型:
引起争件实述。
保选输出参数:
待采取的动作,
一·待产生的安全报客,
一待产生的安全审计消总
准则2——中计跟踪检验
这些准则为缩评安全报件前就包含在一个或多个安全审计限踪中的信总进行选择提供基础。候选翰人专数
审计记求炎型:
一安全补X享件类型:
一在审在之中吊事件的时间:
尚其消求估息的实体。
侯选指出参款:
被造记录消学
——审计跟踪分析准则
准财3-
这些准测确定审计分析器将灯何处理审计激踪。富计限萨的分析将在确定待采农的动华之的.通9
GB/T 18794. 7--2003/IS0/1EC 10181-7:1996过评估事件的发生量和顾度来实现:境选输人存数
件类型:
发生员:
“时间周期。
凝独出登数:
一持采取的动作.
社安全审计记买联安全审归当不要求准见,9安全审长和推禁机制
TYKAONIKACa-
安全审计和报整与本系列钻中措的共他安全服务的之处在于有单小的特完支会部部能用十据供这种能象,审计矶制也许可刻划为基」人量咨理和操作太式的规程,因此,不率细讨抢市计机制,然而,作为用:审计的该美型方式的例了,安全关书件分折的机制叫以包括:一一对照比妇,如基于创可或地理的不寻常的访问,不示常的资激使用等等,比教实体的活动
在某个时间同期内检两件或多种中供类型的缺计值;“正某个时闻同期内观察一种减多种李件类型的不发生情况.上违示制将单并非实举。
10与其他安全服务和机制的交互10.1实体监别
在审计度器和审计收年器之间传送安会审订报除时需要进行双向鉴划,以户计证度需向灿定的中计收来能发布该发全审计跟踪,以及市计集器以颁定的审计调度器接受该安全高计最踪。10.2数据源蓝别
使用数据源整别,可以知道发全计消息和安会举的来测。审分断也月它以保证范米自未知件生虑者变未划事件分析者的消息:10.3访问控制
在存情和传送去全市跟踪记求时必须使用行间控制报等。谢间控制也能用了款止本授义访问安审作殿。
10.4机密性
在传关安全审计民踪、选定的安企审计记录、安全审计消息安会授警的过让声中间使用凯性服务,机密性照务还可用来保护存的百计记录。10.5完整性
兵有头等重要察义的尾·必筑检谢出对安全中户限炼,民定的安全市计记求集、安全平计消总成安全版警的任何末慢效将改:案整准芬叫H于此月的。10.6抗抵藏
山于审计跟除的传退通常在同安全中过行,北教常现将不他出抗抵裤照务16
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。