GB/T 20273-2019安全功能要求解读（七）FAU_SEL.1 选择性审计

（一）前言
（二）FAU_GEN.1 审计数据产生
（三）FAU_GEN.2 用户身份关联
（四）FAU_SAR.1 审计查阅
（五）FAU_SAR.2 限制审计查阅
（六）FAU_SAR.3 可选审计查阅

（七）FAU_SEL.1 选择性审计

GB18336.2

7.5.5 FAU_SEL.1 选择性审计
从属于：无其他组件
依赖关系：
FAU_GEN.1 审计数据产生。
FMT_MTD.1 TSF数据的管理。
7.5.5.1 FAU_SEL.1.1
TSF应能根据以下属性从所有审计事件集合中选择可审计事件：
a）【选择：客体身份、用户身份、主体身份、主机身份、事件类型】；
b）【赋值：审计选择所依据的附加属性表】。

C.6.2 FAU_SEL.1 选择性审计
C.6.2.1 用户应用注释
本组件定义了用于根据用户属性、主体属性、客体属性、或事件类型从所有可审计事件集中选择作为结果被审计的子集的标准。
本组件假设不存在单个用户身份，如路由器等设备就是不支持用户概念的TOE。
对于分布式环境，主机身份可以用作被审计事件的选择条件。
管理功能FMT_MTD.1“TSF数据的管理”将处理授权用户对选择进行查询或修改的权限。
C.6.2.2 操作
C.6.2.2.1 选择
在FAU_SEL.1.1中，PP/ST作者应选择审计选择性所依据的安全属性是否与客体身份、用户身份、主体身份、主机身份或事件类型相关。
C.6.2.2.2 赋值
在FAU_SEL.1.1中，PP/ST作者应详细说明审计选择性所依据的所有附加属性。如果没有附加规则供审计选择性依据，则赋值为“无”。

ISO15408-2

7.5.5 FAU_SEL.1 Selective audit
Hierarchical to: No other components.
Dependencies:
FAU_GEN.1 Audit data generation
FMT_MTD.1 Management of TSF data
7.5.5.1 FAU_SEL.1.1
The TSF shall be able to select the set of events to be audited from the set of all auditable events based on the following attributes:
a) [selection: object identity, user identity, subject identity, host identity, event type]
b) [assignment: list of additional attributes that audit selectivity is based upon]

C.6.2 FAU_SEL.1 Selective audit
C.6.2.1 User application notes
This component defines the selection criteria used, and the resulting audited subsets of the set of all auditable events, based on user attributes, subject attributes, object attributes, or event types.
The existence of individual user identities is not assumed for this component. This allows for TOEs such as routers that may not support the notion of users.
For a distributed environment, the host identity could be used as a selection criteria for events to be audited.
The management function FMT_MTD.1 Management of TSF data will handle the rights of authorised users to query or modify the selections.
C.6.2.2 Operations
C.6.2.2.1 Selection
In FAU_SEL.1.1, the PP/ST author should select whether the security attributes upon which audit selectivity is based, is related to object identity, user identity, subject identity, host identity, or event type.
C.6.2.2.2 Assignment
In FAU_SEL.1.1, the PP/ST author should specify any additional attributes upon which audit selectivity is based. If there are no additional rules upon which audit selectivity is based, this assignment can be completed with “none”.

GB20273

7.2.2.6 选择性审计（FAU_SEL.1）
FAU_SEL.1.1
TSF应能根据以下属性从审计事件集中选择可审计事件：
a）用户身份【选择：客体身份、用户身份、组身份、主体身份、主机身份】；
b）操作类型【选择：定义语句、查询语句、更新语句、控制语句】；
c）权限级别【选择：系统权限、实例权限、数据库权限、模式对象级、细粒度数据权限、
【赋值：ST作者指定的权限列表】】；
d）可审计安全事件【选择：成功、失败、二者】；
e）【赋值：审计选择性所依据的附加属性表】；
f）【选择：【赋值：审计选择性额外的标准列表】、没有额外标准】】。
注：该功能目的是为了捕获充分的审计数据以允许授权管理员执行任务，ST作者在细化时可依据审计目的给出更多的审计数据。

USGovPP

5.1.1.3 Selective audit (FAU_SEL.1-NIAP-0407)
Hierarchical to: No other components.
Dependencies: FAU_GEN.1 Audit data generation
FMT_MTD.1 Management of TSF data
FAU_SEL.1.1-NIAP-0407
Refinement: The TSF shall allow only the administrator to include or exclude auditable events from the set of audited events based on the following attributes:
a) user identity and/or group identity,
b) event type,
c) object identity,
d) [selection: “subject identity”, “host identity”, “none”];
e) [success of auditable security events;
f) failure of auditable security events; and
g) [selection: [assignment: list of additional criteria that audit selectivity is based upon], “no additional criteria”].]
Application Note: “event type” is to be defined by the ST author; the intent is to be able to include or exclude classes of audit events.
Application Note: The intent of this requirement is to capture enough audit data to allow the administrator to perform their task, not necessarily to capture only the needed audit data. In other words, the DBMS does not necessarily need to include or exclude auditable events based on all attributes at any given time.

GB20009

5.1.2.6 选择性审计（FAU_SEL.1）
选择性审计组件定义了向可审计事件集中加入或从中排除事件的能力。该组件安全评估内容如下：
a）应测试是否能根据【选择：客体身份、用户身份、组身份、主体身份、主机身份、【赋值：ST作者指定主体属性】】从审计事件集中选择可审计事件；
b）应测试是否能根据【选择：数据库系统权限、语句级审计、权限级审计、模式对象级审计、列级数据权限、行级数据权限、【赋值：ST作者指定用户操作权限级别】】从审计事件集中选择可审计事件；
c）应测试是否能根据【选择：成功、失败、二者可审计安全事件选项、【赋值：ST作者指定条件】】从审计事件集中选择可审计事件；
d）应测试是否能根据产品审计功能相关的附加属性列表从审计事件集中选择可审计事件。

简析

• 仅产生选中审计事件的审计记录。
• GB18336.2规定：“对于分布式环境，主机身份可以用作被审计事件的选择条件。”
• 根据GB18336.2 7.5.3，GB20273 7.2.6.4和GB20009 5.1.6.7管理功能规范（FMT_SMF.1）的安全管理功能列表应包含“维护查阅/修改审计事件的权限”。