对于审计子系统的要求

5.6.1　TCSEC对于审计子系统的要求

TCSEC的A1和A1＋两个级别较B3级没有增加任何安全审计特征，C2级的各级别都要求具有审计功能，而B3级提出了关于审计的全部功能要求。因此，TCSEC共定义了四个级别的审计要求：C2、B1、B2、B3。

C2级要求审计以下事件：用户的身份标识和鉴别、用户地址空间中客体的引入和删除、计算机操作员/系统管理员/安全管理员的行为、其他与安全有关的事件。对于每一个审计事件，审计记录应包含以下信息：事件发生的日期和时间、事件的主体（即用户）、事件的类型、事件成功与否；对于用户鉴别这类事件，还要记录请求的来源（如终端号）；对于在用户地址空间中引入或删除客体，则要记录客体的名称；系统管理员对于系统内的用户和系统安全数据库的修改也要在审计记录中得到体现。C2级要求审计管理员应能够根据每个用户的身份进行审计。

B1级相对于C2级增加了以下需要审计的事件：对于可以输出到硬拷贝设备上的人工可读标志的修改（包括敏感标记的覆写和标记功能的关闭）、对任何具有单一安全标记的通信通道或I/O设备的标记指定、对具有多个安全标记的通信通道或I/O设备的安全标记范围的修改。因为增加了强制访问控制机制，B1级要求在审计数据中也要记录客体的安全标记，同时审计管理员也可以根据客体的安全标记制定审计原则。

B2级的安全功能要求较之B1级增加了可信路径和隐蔽通道分析等，因此，除了B1级的审计要求外，对于可能被用于存储型隐蔽通道的活动，在B2级也要求被审计。

B3级在B2级的功能基础上，增加了对可能将要违背系统安全政策这类事件的审计，比如对于时间型隐蔽通道的利用。审计子系统能够监视这类事件的发生或积聚，并在这种积聚达到某个阈值时立即向安全管理员发出通告，如果随后这类危险事件仍然持续下去，系统应在做出最小牺牲的条件下主动终止这些事件。这种及时通告意味着B3级的审计子系统不像其他较低的安全级别那样只要求安全管理员在危险事件发生之后检查审计记录，而是能够更快地识别出这些违背系统安全政策的活动，并产生报告和进行主动响应。响应的方式包括锁闭发生此类事件的用户终端或者终止可疑的用户进程。一般地，“最小的牺牲”是与具体应用有关的，任何终止这类危险事件的行为都是可以接受的。