Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ISO/IEC 10164-8:1995(CAN/CSA‑ISO/IEC 10164‑8‑95)信息技术 开放系统互连 系统管理 第8部分:安全审计追踪功能
系统管理安全审计跟踪功能标准详解——OSI环境中安全事件记录与审计的通用框架
1. 标准概况与适用范围
ISO/IEC 10164-8:1995(加拿大采标为 CAN/CSA‑ISO/IEC 10164‑8‑95)是信息技术-开放系统互连(OSI)系统管理系列标准中的第8部分,正式名称为 “Security audit trail function”(安全审计追踪功能)。本标准定义了一种通用模型,用于在OSI环境中检测、记录和报告与安全相关的审计事件,从而支持安全审计追踪的管理。
该标准适用于以下场景:
- 开放系统互连环境中的网络设备、操作系统、应用服务等需要安全审计功能的系统;
- 分布式管理环境下,管理进程需要收集和分析分散在不同开放系统中的安全事件;
- 需要实现跨厂商互操作的审计追踪收集、存储与转发机制。
截至2026年,本标准仍然是系统管理领域中安全审计功能的重要参考规范,尤其在需要对安全事件进行标准化管理的场景下被广泛引用。
关键提示:ISO/IEC 10164-8 采用 GDMO(管理对象定义指南)和 ASN.1 描述审计管理信息,确保与 OSI 系统管理整体框架无缝集成。实施前建议先熟悉 ISO/IEC 7498-4(安全管理框架)及 ISO/IEC 9595(公共管理信息服务,CMIS)。
2. 主要技术内容与要求
2.1 安全审计追踪模型
标准定义了一个包含日志对象(securityAuditLog)、审计记录对象(securityAuditRecord)以及审计策略对象(securityAuditTrail)的管理模型。核心组件包括:
- 审计事件类型:规定了需要记录的安全相关事件分类,如访问控制违规、认证失败、入侵检测等;
- 审计记录结构:明确每一条记录应包含时间戳、事件类型、主体/客体标识、结果状态等关键字段;
- 审计追踪服务:包括创建记录、设置审计策略(如哪些事件被审计)、检索审计记录、控制日志容量等。
2.2 管理信息定义(GDMO)
本标准使用 GDMO 语法定义了以下关键管理类:
| 管理对象类 | 功能说明 | 关键属性 |
|---|---|---|
securityAuditLog | 审计日志容器,存储审计记录 | 日志容量、日志满行为、记录数量 |
securityAuditRecord | 单条事件记录 | 事件时间、事件类型、产生者标识、主体标识、客体标识、结果 |
securityAuditTrail | 审计策略,控制审计行为 | 审计事件选择器、日志引用、保护完整性指示 |
2.3 审计事件分类
标准将安全审计事件分为若干大类,如下表(典型案例):
| 事件类别 | 典型事件示例 | 记录级别 |
|---|---|---|
| 访问控制 | 越权访问、权限提升失败 | 警告 |
| 认证 | 登录失败、证书验证失败 | 信息/警告 |
| 完整性 | 数据完整性校验失败、对象不一致 | 严重 |
| 入侵检测 | 端口扫描、异常流量模式 | 警告/紧急 |
| 管理操作 | 审计策略变更、系统关闭/启动 | 信息 |
注意:事件分类应按照 ISO/IEC 10164-7(安全告警报告功能)中的告警类型进行关联,确保两者一致。实现时需避免重复记录和冗余存储。
3. 实施与应用要点
3.1 审计策略配置
管理者通过 securityAuditTrail 对象设定审计策略,包括:审计事件选择器(哪些类型的事件被记录)、日志容量策略(循环覆盖、停止或告警)、完整性保护要求(如数字签名或哈希)。建议在实施初期采用“记录所有安全事件”策略,然后再通过分析优化过滤规则。
3.2 审计记录的保护与完整性
标准的 securityAuditRecord 对象包含完整性指示属性。实际部署时应考虑:
- 使用时间协议(如 NTP)同步各审计源的时钟;
- 对审计日志实施访问控制,防止非授权修改;
- 将审计记录存储在只读介质或不可逆加密存储中;
- 定期进行完整性校验,并生成分析报告。
强制性要求:根据标准附录的“一致性规定”,宣称符合本标准的实现必须完整支持安全审计日志对象的创建、删除、获取和设置操作,并能够按照 GDMO 定义的管理类行为生成审计记录。
3.3 分布式环境中的应用
本标准采用 CMIS/P(公共管理信息服务/协议)作为通信基础,因此在多厂商设备互操作时需确认系统管理协议栈的一致性。推荐使用 ISO/IEC 9595/9596 作为管理通信框架,确保审计记录可以跨域传输和汇集。
标准益处:通过采用 ISO/IEC 10164-8,组织能够在异构网络环境中统一审计记录格式,简化安全审计系统的集成和维护,显著提升安全事件的追溯效率。
4. 与其他标准的关系
ISO/IEC 10164-8 是 OSI 系统管理标准家族的重要组成部分,与以下标准紧密关联:
- ISO/IEC 7498-4:安全管理框架,定义了安全审计的通用概念;
- ISO/IEC 10164-1:对象管理功能,提供管理对象生命周期操作;
- ISO/IEC 10164-5:事件报告管理功能,用于封装和转发审计事件;
- ISO/IEC 10164-7:安全告警报告功能,定义了告警类型与审计事件的映射关系;
- ISO/IEC 9595 / ISO/IEC 9596:CMIS/P 作为通信基础。
此外,该标准的审计记录格式对后来安全标准(如 ISO/IEC 15408 通用准则中的审计需求)产生了直接影响。在实现时,还可以参考 IETF 的 syslog 规范和 X.735(ITU-T)以增强现实应用的兼容性。
常见问题 (FAQ)
问:ISO/IEC 10164-8 与 ISO 15408(通用准则)中的审计要求有何关系?
答:ISO/IEC 10164-8 提供了具体的管理对象定义和服务,而 ISO/IEC 15408 则从安全功能保证的角度提出审计通用需求(如 FAU_* 族)。实施时,建议以本标准的记录结构为基础,满足 CC 中对审计数据的完整性和保护要求。
答:ISO/IEC 10164-8 提供了具体的管理对象定义和服务,而 ISO/IEC 15408 则从安全功能保证的角度提出审计通用需求(如 FAU_* 族)。实施时,建议以本标准的记录结构为基础,满足 CC 中对审计数据的完整性和保护要求。
问:标准对审计记录的时间戳格式有何要求?
答:标准采用 OSI 系统管理的时间格式(Generalized Time 或 UTC),建议在使用时统一转换为 UTC 并附加时区字段,避免分布式系统因时间偏差导致审计记录错乱。
答:标准采用 OSI 系统管理的时间格式(Generalized Time 或 UTC),建议在使用时统一转换为 UTC 并附加时区字段,避免分布式系统因时间偏差导致审计记录错乱。
问:实施该标准的最大难点是什么?
答:最大挑战在于将不同厂商的专有审计事件映射到本标准定义的“事件类型”集中,并保持与 CMIS 协议栈的兼容。建议先在仿真环境中建立事件字典,再逐步部署。
答:最大挑战在于将不同厂商的专有审计事件映射到本标准定义的“事件类型”集中,并保持与 CMIS 协议栈的兼容。建议先在仿真环境中建立事件字典,再逐步部署。
问:该标准是否支持审计日志的远程查询?
答:是的,通过 CMIS 的过滤与获取操作,管理者可以远程检索 securityAuditLog 中的记录,并可根据时间范围、事件类型等属性进行条件查询。
答:是的,通过 CMIS 的过滤与获取操作,管理者可以远程检索 securityAuditLog 中的记录,并可根据时间范围、事件类型等属性进行条件查询。
版权声明:本文内容基于 ISO/IEC 10164-8:1995(CAN/CSA‑ISO/IEC 10164‑8‑95)编写,技术分析仅代表作者理解。© 2026 保留所有权利。
