安全區域邊界

控制點

5.安全審計

安全審計是指標對等級保護物件中與安全活動相關的資訊進行識別、記錄、儲存和分析的整個過程。安全審計功能可確保使用者對其行為負責，證實安全政策得以實施，並可用作調查工具。通過檢查審計記錄結果可以判斷髮生了哪些安全相關活動以及哪個使用者要對這些活動負責。另外安全審計可協助安全管理員及時發現網路系統侵或潛在的系統漏洞及隱患。

安全審計主要關注是否對重要事件進行了審計、審計的內容、審計記錄的保護以及特殊行為的審計。

a)*

安全要求：應在網路邊界、重要網路節點進行安全審計，審計覆蓋到每個使用者，對重要的使用者行為和重要安全事件進行審計。

要求解讀：為了對重要使用者行為和重要安全事件進行審計，需要在網路邊界部署相關係統，啟用重要網路節點日誌功能，將系統日誌資訊輸出至各種管理埠、內部快取或者日誌伺服器。

檢查方法

1.檢查是否部署了綜合安全審計系統或類似功能的系統平臺。

2.檢查安全審計範圍是否覆蓋到每個使用者並對重要的使用者行為和重要安全事件進行了審計。

測評物件

1.綜合安全審計系統部署情況
2.安全審計範圍覆蓋情況

期望結果

1.在網路邊界處、重要網路節點處部署了審計裝置。

2.審計的範圍能夠覆蓋到每個使用者，且審計記錄包含了重要的使用者行為和重要的安全事件。

高風險判定

滿足以下條件即可判定為高風險且無補償因素：

（二級及以上系統）

1.在網路邊界、關鍵網路節點無法對重要的使用者行為進行日誌審計。

2.在網路邊界、關鍵網路節點無法對重要安全事件進行日誌審計。

（注：網路安全審計指通過對網路邊界或重要網路節點的流量資料進行分析，從而形成的網路安全審計資料，網路安全審計包括網路流量審計和網路安全事件審計，其中網路流量審計主要是通過對網路流量進行統計，關聯分析、識別和篩選，實現對網路中特定重要行為的審計，例如對各種違規的訪問協議及其流量的審計，對訪問敏感資料的人員行為或系統行為的審計等，網路安全事件審計包括但不限於對網路入侵檢測，網路入侵防禦，防病毒產品等裝置檢測到的網路攻擊行為，惡意程式碼傳播行為的審計等。）

b)

安全要求：審計記錄應包括事件的日期和時間、使用者、事件型別、事件是否成功及其他與審計相關的資訊。

要求解讀：審計記錄包含內容是否全面將直接影響審計的有效性，網路邊界處和重要網路節點的日誌審計內容應記錄事件的時間、型別、使用者、事件型別、事件是否成功等必要的資訊。

檢查方法

核查審計記錄資訊是否包括事件的日期和時間、使用者、事件型別、事件是否成功及其他與審計相關的資訊。

一般來說，對於主流路由器和交換機裝置，可以實現對系統錯誤、網路和介面的變化、登入失敗、AGL匹配等進行審計，審計內容包括了時間、型別、使用者等相關資訊。因此，只要這些路由器和交換機裝置啟用審計功能就能符合該項要求。但對於防火牆等安全裝置來說，由於其訪問控制策略命中日誌需要手動啟用，因此應重點核查其訪問控制策略命中日誌是否啟用。

測評物件

審計記錄資訊相關文件

期望結果

審計記錄包含了事件的日期和事件、使用者、事件型別、事件是否成功等資訊。

c)

安全要求：應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

要求解讀：審計記錄能夠幫助管理人員及時發現系統執行狀況和網路攻擊行為，因此需要對審計記錄實施技術上和管理上的保護，防止未授權修改、刪除和破壞。可以設定專門的日誌伺服器來接收裝置傳送出的報警資訊。非授權使用者（審計員除外）無權刪除本地和日誌伺服器上的審計記錄。

檢查方法

1.檢查是否採取了技術措施對審計記錄進行保護。

2.檢查審計記錄的備份機制和備份策略是否合理。

測評物件

審計記錄保護/備份措施

期望結果

1.審計系統開啟了日誌外發功能，日誌轉發至日誌伺服器。

2.審計記錄儲存超過6個月以上。

d)*

安全要求：應能對遠端訪問的使用者行為、訪問網際網路的使用者行為等單獨進行行為審計和資料分析。

要求解讀：對於遠端訪問使用者，應在相關裝置提供用認證功能。通過配置使用者、使用者組，並結合訪問控制規則可以實現對認證成功的使用者允許訪問受控資源。此外，還需對內部使用者訪問網際網路的行為進行審計分析。

檢查方法

檢查是否對遠端訪問使用者及網際網路訪問使用者行為單獨進行審計分析，並核查審計分析的記錄是否包含了用於管理遠端訪問行為、訪問網際網路使用者行為必要的資訊。

測評物件

遠端訪問使用者及網際網路訪問使用者行為的審計記錄

期望結果

在網路邊界處的審計系統對遠端訪問的使用者行為進行了審計，審計系統對訪問網際網路的行為進行了單獨的審計。