感谢您阅读《信息安全技术之：网络基础信息安全技术要求》，您可前往信创致远http://www.dengbao110.com/查看完整版内容。

5.5 数据流控制

网络安全法对网络中以数据流方式实现数据流动的情况，信息安全技术应采用数据流控制机制实现对数据流动的控制，以防止具有高等级安全的数据信息向低等级的区域流动。

5.6 安全审计

5.6.1 安全审计的响应

安全审计 SSF 应按以下要求响应审计事件：

a)记审计日志：当检测到可能有安全侵害事件时，将审计数据记入审计日志；

b)实时报警生成：当检测到可能有安全侵害事件时，生成实时报警信息；

c)违例进程终止：当检测到可能有安全侵害事件时，将违例进程终止；

d)服务取消：当检测到可能有安全侵害事件时，取消当前的服务；

e)用户账号断开与失效：当检测到可能有安全侵害事件时，将当前的用户账号断开，并使其失效。

5.6.2 安全审计数据产生

SSF 应按以下要求产生审计数据：

a)为下述可审计事件产生审计记录：审计功能的启动和关闭；使用身份鉴别机制；将客体引入用户地址空间（例如：打开文件、程序初始化）；删除客体；系统管理员、系统安全员、审计员和一般操作员所实施的操作；其他与系统安全有关的事件或专门定义的可审计事件；

b)对于每一个事件，其审计记录应包括：事件的日期和时间、用户、事件类型、事件是否成功，及其他与审计相关的信息；

c)对于身份鉴别事件，审计记录应包含请求的来源（例如：终端标识符）；

d)对于客体被引入用户地址空间的事件及删除客体事件，审计记录应包含客体名及客体的安全保护等级；

e)将每个可审计事件与引起该事件的用户相关联。

5.6.3 安全审计分析

在信息安全技术基础要求中，安全审计分析应包括：

a)潜在侵害分析：应能用一系列规则去监控审计事件，并根据这些规则指出 SSP 的潜在侵害。

这些规则包括：由已定义的可审计事件的子集所指示的潜在安全攻击的积累或组合；任何其他的规则；

b)基于异常检测的描述：应维护用户所具有的质疑等级历史使用情况，以表明该用户的现行活动与已建立的使用模式的一致性程度。当用户的质疑等级超过门限条件时，SSF 应能指出将要发生对安全性的威胁；

c)简单攻击探测：应能检测到对 SSF 实施有重大威胁的签名事件的出现。为此，SSF 应维护指出对 SSF 侵害的签名事件的内部表示，并将检测到的系统行为记录与签名事件进行比较，当发现两者匹配时，指出一个对 SSF 的攻击即将到来；

d)复杂攻击探测：在上述简单攻击探测的基础上，要求 SSF 应能检测到多步入侵情况，并能根据已知的事件序列模拟出完整的入侵情况，还应指出发现对SSF的潜在侵害的签名事件或事件序列的时间。