GB/T 20273-2019安全功能要求解读（九）FAU_STG.4 防止审计数据丢失

（一）前言
（二）FAU_GEN.1 审计数据产生
（三）FAU_GEN.2 用户身份关联
（四）FAU_SAR.1 审计查阅
（五）FAU_SAR.2 限制审计查阅
（六）FAU_SAR.3 可选审计查阅
（七）FAU_SEL.1 选择性审计
（八）FAU_STG.2 审计数据可用性保证

（九）FAU_STG.4 防止审计数据丢失

GB18336.2

7.6.13 FAU_STG.4 防止审计数据丢失
从属于：FAU_STG.3 审计数据可能丢失时的行为。
依赖关系：FAU_STG.1 受保护的审计迹存储。
7.6.13.1 FAU_STG.4.1
如果审计迹已满，TSF应【选择，选取一个：忽略可审计事件、阻止可审计事件，具有特权的授权用户产生的事件除外、覆盖所存储的最早的审计记录】和【赋值：审计存储失效时所采取的其他动作】。

C.7.5 FAU_STG.4 防止审计数据丢失
C.7.5.1 用户应用注释
本组件规定了审计迹已满时TOE的行为：或者忽略审计记录，或者冻结TOE使得任何被审计的事件都不能发生。本要求还规定无论怎样规定这类要求，对此具有特殊权限的授权用户总可以继续产生被审计的事件（采取动作），这是因为要不这样，授权用户甚至将无法重启TOE。因此，一旦审计存储空间满，应考虑选择TSF要采取的动作，如忽视事件，这样能提供更好的TOE可用性，也将准许不带记录且不追查用户责任地执行动作。
C.7.5.2 操作
C.7.5.2.1 选择
在FAU_STG.4.1中，PP/ST作者应选定TSF是否忽略被审计的动作，或者是否应防止被审计动作的发生，或当TSF不能再存储审计记录时将最早的审计记录覆盖。只选择其中一项。
C.7.5.2.2 赋值
在FAU_STG.4.1中，PP/ST作者应详细说明一旦发生审计存储失效，所应采取的其他动作，如通知授权用户。如审计存储失效时不需要采取任何其他动作，则赋值为“无”。

ISO15408-2

7.6.13 FAU_STG.4 Prevention of audit data loss
Hierarchical to: FAU_STG.3 Action in case of possible audit data loss
Dependencies: FAU_STG.1 Protected audit trail storage
7.6.13.1 FAU_STG.4.1
The TSF shall [selection, choose one of: “ignore audited events”, “prevent audited events, except those taken by the authorised user with special rights”, “overwrite the oldest stored audit records”] and [assignment: other actions to be taken in case of audit storage failure] if the audit trail is full.

C.7.5 FAU_STG.4 Prevention of audit data loss
C.7.5.1 User application notes
This component specifies the behaviour of the TOE if the audit trail is full: either audit records are ignored, or the TOE is frozen such that no audited events can take place. The requirement also states that no matter how the requirement is instantiated, the authorised user with specific rights to this effect, can continue to generate audited events (actions). The reason is that otherwise the authorised user could not even reset the TOE.
Consideration should be given to the choice of the action to be taken by the TSF in the case of audit storage exhaustion, as ignoring events, which provides better availability of the TOE, will also permit actions to be performed without being recorded and without the user being accountable.
C.7.5.2 Operations
C.7.5.2.1 Selection
In FAU_STG.4.1, the PP/ST author should select whether the TSF shall ignore audited actions, or whether it should prevent audited actions from happening, or whether the oldest audit records should be overwritten when the TSF can no longer store audit records. Only one of these options may be chosen.
C.7.5.2.2 Assignment
In FAU_STG.4.1, the PP/ST author should specify other actions that should be taken in case of audit storage failure, such as informing the authorised user. If there is no other action to be taken in case of audit storage failure, this assignment can be completed with “none”.

GB20273

7.2.2.8 防止审计数据丢失（FAU_STG.4）
FAU_STG.4.1
如果审计数据已满，系统应【选择，选取一个：忽略可审计事件、阻止可审计事件，除非具有特权的授权用户产生的事件、覆盖所存储的最早的审计记录】和【赋值：审计存储失效时所采取的其他动作】。

USGovPP

无相关内容。

GB20009

5.1.2.8 防止审计数据丢失（FAU_STG.4）
防止审计数据丢失组件规定了当存储在数据库内部审计迹已满或存储在数据库外部磁盘中剩余空间已满时所采取的动作。该组件安全评估内容如下：
a）应测试审计数据【选择：多路复用、【赋值：ST作者指定备份方式】】功能，并验证审计数据存储位置指定等管理能力；
b）应测试审计数据归档功能，包括远程归档功能；
c）应检测审计数据存储可用空间查看视图/工具功能；
d）应检查是否提供了判断审计数据是否已满，并提供忽略可审计事件、阻止可审计事件、覆盖所存储的最早的审计记录或【赋值：审计存储失效时所采取的其他动作】等处理机制。

简析

• 根据GB18336.2 7.6.6，GB20273 7.2.6.4和GB20009 5.1.6.7管理功能规范（FMT_SMF.1）的安全管理功能列表应包含“维护（删除、修改、添加）审计存储失效时所采取的行动”。