GB/T 20273-2019安全功能要求解读（四）FAU_SAR.1 审计查阅

（一）前言
（二）FAU_GEN.1 审计数据产生
（三）FAU_GEN.2 用户身份关联

（四）FAU_SAR.1 审计查阅

GB18336.2

7.4.8 FAU_SAR.1 审计查阅
从属于：无其他组件。
依赖关系：FAU_GEN.1 审计数据产生。
7.4.8.1 FAU_SAR.1.1
TSF应为【赋值：授权用户】提供从审计记录中读取【赋值：审计信息列表】的能力。
7.4.8.2 FAU_SAR.1.2
TSF应以便于用户理解的方式提供审计记录。

C.5.2 FAU_SAR.1 审计查阅
C.5.2.1 用户应用注释
本组件用于规定用户或授权用户能够读取审计记录。审计记录将以适合于用户的方式加以提供，因为不同类型的用户（人员用户、机器用户）可能有不同的需求。
可以规定能被查阅的审计记录内容。
C.5.2.2 操作
C.5.2.2.1 赋值
在FAU_SAR.1.1中，PP/ST作者应详细说明能够使用这种能力的授权用户。PP/ST作者也可以适当地指定一些安全角色（参见FMT_SMR.1 安全角色）。
在FAU_SAR.1.1中，PP/ST作者应详细说明准许指定的用户从审计记录中获得信息的类型，如可以是“全部”、“主体身份”或“涉及该用户的所有审计记录信息”。当使用SFR时，FAU_SAR.1不必重复，详细的审计信息列表首先在FAU_GEN.1中规定。使用像“所有”或者“所有审计信息”之类的术语有助于消除歧义和进一步比较分析两个安全要求的需要。

ISO15408-2

7.4.8 FAU_SAR.1 Audit review
Hierarchical to: No other components.
Dependencies: FAU_GEN.1 Audit data generation
7.4.8.1 FAU_SAR.1.1
The TSF shall provide [assignment: authorised users] with the capability to read [assignment: list of audit information] from the audit records.
7.4.8.2 FAU_SAR.1.2
The TSF shall provide the audit records in a manner suitable for the user to interpret the information.
C.5.2 FAU_SAR.1 Audit review
C.5.2.1 Rationale
This component will provide authorised users the capability to obtain and interpret the information. In case of human users this information needs to be in a human understandable presentation. In case of external IT entities the information needs to be unambiguously represented in an electronic fashion.
C.5.2.2 User application notes
This component is used to specify that users and/or authorised users can read the audit records. These audit records will be provided in a manner appropriate to the user. There are different types of users (human users, machine users) that might have different needs.
The content of the audit records that can be viewed can be specified.
C.5.2.3 Operations
C.5.2.3.1 Assignment
In FAU_SAR.1.1, the PP/ST author should specify the authorised users that can use this capability. If appropriate the PP/ST author may include security roles (see FMT_SMR.1 Security roles).
In FAU_SAR.1.1, the PP/ST author should specify the type of information the specified user is permitted to obtain from the audit records. Examples are “all”, “subject identity”, “all information belonging to audit records referencing this user”. When employing the SFR, FAU_SAR.1, it is not necessary to repeat, in full detail, the list of audit information first specified in FAU_GEN.1. Use of terms such as “all” or “all audit information” assist in eliminating ambiguity and the further need for comparative analysis between the two security requirements.

GB20273

7.2.2.3 审计查阅（FAU_SAR.1）
FAU_SAR.1.1
TSF应为【赋值：授权管理员】提供从审计记录中阅读和获取下面所列出的审计信息的能力：
a）用户、用户组或角色标识；
b）审计事件类型；
c）数据库对象标识；
d）【选择：主体标识、主机标识、无】
e）【选择：成功可审计安全事件、失败可审计安全事件、【选择：【赋值：基于其他选择条件的选择性审计事件清单】、没有任何附加条件】】；
f）数据权限【选择：系统权限、实例权限、数据库权限、模式对象权限、细粒度数据权限】。
FAU_SAR.1.2
TSF应以使授权用户理解的方式提供审计记录。

USGovPP

无相关内容。

GB20009

5.1.2.3 审计查阅（FAU_SAR.1）
审计查阅组件为授权管理员提供获得和解释审计数据的能力。该组件安全评估内容如下：
a）应测试能否从审计记录中阅读和获取下面所列出的审计信息：
1）用户身份标识；
2）审计事件类型；
3）数据库对象标识；
4）评估对象指定的【赋值：ST作者指定的审计事件】；
b）应测试是否以使用户理解的方式提供满足查阅条件的审计记录阅读与管理界面（如图形界面）；
c）应测试当授权用户是外部IT实体时，审计数据应以规范化电子方式无歧义地表示；
d）应测试是否禁止所有未授权用户对审计数据的访问。

简析

• 根据GB18336.2 7.4.3，GB20273 7.2.6.4和GB20009 5.1.6.7管理功能规范（FMT_SMF.1）的安全管理功能列表应包含“维护（删除、修改、添加）对审计记录有读访问权的用户组”。