学习GB/T 20273-2019（二）FAU功能类：安全审计

（一）学习方法

（二）FAU功能类：安全审计

GB18336.2中，安全审计包括识别、记录、存储和分析那些与安全相关活动有关的信息。可通过检查审计记录结果确定发生了哪些安全相关活动以及哪个用户要对这些活动负责。

FAU功能类包括6个功能族。

1、FAU_ARP功能族：安全审计自动响应

定义在检测到潜在安全侵害事件时所作出的响应。

FAU_ARP功能族包括1个功能组件。

（1）FAU_ARP.1功能组件：安全告警

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

2、FAU_GEN功能族：安全审计数据产生

定义一些在TOE安全功能控制下对安全相关事件的发生情况进行记录的要求。识别审计的级别，列举TOE安全功能可审计的事件类型，以及标识在各种审计记录内应提供的审计相关信息的最小集合。

FAU_GEN功能族包括2个功能组件。

（1）FAU_GEN.1功能组件：审计数据产生

定义可审计事件的级别，并规定在每个记录中应记录的数据列表。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（2）FAU_GEN.2功能组件：用户身份关联

TOE安全功能应把审计事件与单个用户身份相关联。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

3、FAU_SAA功能族：安全审计分析

定义一些采用自动化手段分析系统活动和审计数据以寻找可能的或真正的安全侵害的要求。这种分析通过入侵检测来实现，或对潜在的安全侵害作出自动响应。基于检测而采取的动作，可用FAU_ARP“安全审计自动响应”功能族来规范。

FAU_SAA功能族包括4个功能组件。

（1）FAU_SAA.1功能组件：潜在侵害分析

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（2）FAU_SAA.2功能组件：基于轮廓的异常检测

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（3）FAU_SAA.3功能组件：简单攻击探测

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（4）FAU_SAA.4功能组件：复杂攻击探测

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

4、FAU_SAR功能族：安全审计查阅

定义一些有关审计工具的要求，授权用户可使用这些审计工具查阅审计数据。

FAU_SAR功能族包括3个功能组件。

（1）FAU_SAR.1功能组件：审计查阅

提供从审计记录中读取信息的能力。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（2）FAU_SAR.2功能组件：限制审计查阅

要求除在FAU_SAR.1“审计查阅”功能组件中确定的用户外，其他用户不能读取信息。

GB20273 EAL2无此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（3）FAU_SAR.3功能组件：可选审计查阅

要求审计查阅工具根据标准来选择要查阅的审计数据。

GB20273 EAL2无此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

5、FAU_SEL功能族：安全审计事件选择

定义在TOE运行期间从所有审计事件集合中选取被审计事件的要求。

FAU_SEL功能族包括1个功能组件。

（1）FAU_SEL.1功能组件：选择性审计

要求能够由PP/ST作者根据规定的属性从所有在“FAU_GEN.1 审计事件产生”功能组件中标识的审计事件集合中选取被审计事件。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

6、FAU_STG功能族：安全审计事件存储

定义一些TOE安全功能能够创建并维护一个安全审计线索的要求。存储的审计记录是指审计线索中的那些记录，而不是经过选择操作后得到的临时存储的审计记录。

FAU_STG功能族包括4个功能组件。

（1）FAU_STG.1功能组件：受保护的审计线索存储

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（2）FAU_STG.2功能组件：审计数据可用性保证

规定保证意外情况出现时TOE安全功能还能维护审计数据。

GB20273 EAL2有此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。

（3）FAU_STG.3功能组件：审计数据可能丢失时的行为

GB20273 EAL2无此功能组件。
GB20273 EAL3无此功能组件。
GB20273 EAL4无此功能组件。

（4）FAU_STG.4功能组件：防止审计数据丢失

规定当审计线索已满时所采取的动作。

GB20273 EAL2无此功能组件。
GB20273 EAL3有此功能组件。
GB20273 EAL4有此功能组件。