@贝壳儿
2年前 提问
1个回答

安全审计的主要功能有哪些

上官雨宝
2年前
  • 安全审计自动响应功能

    安全审计自动响应(AU_APR)定义在被测事件指示出一个潜在的安全攻击时做出的响应,它是管理审计事件的需要,这些需要包括报警或行动。例如包括实时报警的生成、违例进程的终止、中断服务、用户账号的失效等。根据审计事件的不同,系统将做出不同的响应,其响应的行动可做增加、删除、修改等操作。

  • 安全审计数据生成功能

    安全审计数据生成(AU_GEN)功能要求记录与安全相关的事件的出现,包括鉴别审计层次、列举可被审计的事件类型,以及鉴别由各种审计记录类型提供的相关审计信息的最小集合。系统可定义可审计事件清单,每个可审计事件对应于某个事件级别,如低级、中级、高级。产生的审计数据有以下几方面。

    (1)对于敏感数据项(如口令等)的访问。

    (2)目标对象的删除。

    (3)访问权限或能力的授予和废除。

    (4)改变主体或目标的安全属性,

    (5)标识定义和用户授权认证功能的使用。

    (6)审计动能的启动和关闭。

每一条审计记录中至少应所含的信息有:事件发生的日期:时间、事件类型、主题标识、执行结果(成功、失败)、引起此事件的用户的标识以及对每一个审计事件与该事件有关的审计信息。

  • 安全审计分析功能

    安全审计分析(AU_ SAA)功能定义了分析系统活动和审计数据来寻找可能的或真正的安全违规操作。它可以用于入侵检测或对安全违规的自动响应。当一个审计事件集出现或累计出现一定次数时可以确定一个违规的发生,并执行审计分析。事件的集合能够由经授权的用户进行增加、修改或删除等操作。审计分析分为潜在攻击分析、基于模板的异常检测、简单攻击试探和复杂攻击试探等几种类型。

    (1)潜在攻击分析。系统能用一系列的规则监控审计事件,并根据规则指示系统的潜在攻击。

    (2)基于模板的异常检测。检测系统不同等级用户的行动记录,当用户的活动等级超过其限定的登记时,应指示出此为一个潜在的攻击。

    (3)简单攻击试探。当发现一个系统事件与一个表示对系统潜在攻击的特征事件匹配时,应指示出此为一个潜在的攻击。

    (4)复杂攻击试探。当发现一个系统事件或事迹序列与一个表示对系统潜在攻击的特征事件匹配时,应指示出此为一个潜在的攻击。

  • 安全审计浏览功能

    安全审计浏览(AU_SAR)功能要求审计系统能够使授权的用户有效地浏览审计数据,它包括审计浏览、有限审计浏览、可选审计浏览。

    (1)审计浏览。提供从审计记录中读取信息的服务。

    (2)有限审计浏览。要求除注册用户外,其他用户不能读取信息。

    (3)可选审计信息。要求审计浏览工具根据相应的判断标准选择需浏览的审计数据。

  • 安全审计事件选择功能

    安全审计事件选择(AU_SEL)功能要求系统管理员能够维护、检查或修改审计事件的集合,能够选择对哪些安全属性进行审计。例如,与目标标识、用户标识、主体标识、主机标识或事件类型有关的属性,系统管理员将能够有选择地在个人识别的基础上审计任何一个用户或多个用户的动作。

  • 安全审计事件存储功能

    安全审计事件存储(AU_ STG)功能要求审计系统将提供控制措施;以防止由于资源的不可用丢失审计数据。能够创造、维护、访问它所保护的对象的审计踪迹,并保护其不被修改、非授权访问或破坏。审计数据将受到倮护直至授权用户对它进行的访问。

    它可保证某个指定量度的审计记录被维护,并不受以下事件的影响。

    (1)审计存储空间用尽。

    (2)审计存储故障。

    (3)非法攻击。

    (4)其他任何非预期事件。

    审计系统能够在审计存储发生故障时采取相应的动作,能够在审计存储即将用尽时采取相应的动作。