要了解这个问题需要先知道安全审计的标准:
目前国际上比较重要的安全标准有美国TCSEC(橙皮书)、欧洲ITSEC、加拿大CTCPEC、美国联邦准则FC、联合公共准则CC等等。其中,由美国国防部于1985年公布的《可信任计算机标准评估准则(Trusted Computer System Evaluation Criteria)一TCSEC》是安全信息体系结构中最早、影响范围最广的原则。
TCSEC标准将安全分为四个方面:安全政策、可说明性、安全保障和文档。将计算机操作系统的安全级别划分为四档(A、B、C、D)七级(A1、B3、B2、B1、C2、C1、D)。其中以A1为最高安全级别,D为最低安全级别。TCSEC从C2级开始要求具有审计功能,到B3级提出了关于审计的全部功能要求。
C2级要求审计以下事件:用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/安全管理员的行为、其它与安全有关的事件。对于每一个审计事件,审计记录应包含以下信息:事件发生的日期和时间、事件的主体(即用户)、事件的类型、事件成功与否;对于用户鉴别这类事件,还要记录请求的来源(如终端号);对于在用户地址空间中引入或删除客体,则要记录客体的名称;系统管理员对于系统内的用户和系统安全数据库的修改也要在审计记录中得到体现。C2级要求审计管理员应能够根据每个用户的身份进行审计。
B1级相对于C2级增加了以下需要审计的事件:对于可以输出到硬拷贝设备上的人工可读标志的修改(包括敏感标记的覆写和标记功能的关闭)、对任何具有单一安全标记的通讯通道或I/O设备的标记指定、对具有多个安全标记的通讯通道或I/0设备的安全标记范围的修改。因为增加了强制访问控制机制,B1级要求在审计数据中也要记录客体的安全标记,同时审计管理员也可以根据客体的安全标记制定审计原则。
B2级的安全功能要求较之B1级增加了可信路径和隐蔽通道分析等,因此,除了B1级的审计要求外,对于可能被用于存储型隐蔽通道的活动,在B2级也要求被审计。
B3级在B2级的功能基础上,增加了对可能将要违背系统安全政策这类事件的审计,比如对于时间型隐蔽通道的利用。审计子系统能够监视这类事件的发生或积聚,并在这种积聚达到某个阈值时立即向安全管理员发出通告,如果随后这类危险事件仍然持续下去,系统应在做出最小牺牲的条件下主动终止这些事件。这种及时通告意味着B3级的审计子系统不象其它较低的安全级别那样只要求安全管理员在危险事件发生之后检查审计记录,而是能够更快地识别出这些违背系统安全政策的活动,并产生报告和进行主动响应。响应的方式包括锁闭发生此类事件的用户终端或者终止可疑的用户进程。
昂楷数据库安全审计专家为您讲解,不知道有没有解决您的问题。