| 1985年美国国家标准局公布的《可信计算机系统评估标准》(Trusted Computer System Evaluation Criteria,TCSEC)中给出了计算机系统的安全审计要求。TCSEC从C2级开始提出了安全审计的要求,随着保护级别的增加而逐渐加强,B3级以及之后更高的级别则不再变化。
|
|
|
| 我国的国家标准GB 17859《计算机信息系统安全保护等级划分准则》(以下简称《准则》)从第二级开始要求提供审计安全机制。其中,第二级为系统审计保护级,该级要求计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。《准则》中明确了各级别对审计的要求,如下表所示。
|
|
|
| 国家已经颁布了网络安全等级保护相关技术规范,对不同安全级别的保护对象给出不同的安全审计要求。云计算、移动互联网、工业控制系统等新出现的系统都有相应的安全审计规定,详细要求参看《信息安全技术网络安全等级保护基本要求第2部分:云计算安全扩展要求(GA/T 1390.2—2017)》《信息安全技术网络安全等级保护基本要求第3部分:移动互联安全扩展要求(GA/T 1390.3—2017)》《信息安全技术网络安全等级保护基本要求第5部分:工业控制系统安全扩展要求(GA/T 1390.5—2017)》。
|
|
|
|
|
|
|
