【文章內(nèi)容簡介】 戶提供自定義匹配模式。2) 【增強型】測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：——產(chǎn)品滿足【基本型】相應(yīng)的要求；——各審計功能之間可協(xié)同工作；——可進行關(guān)聯(lián)分析形成最終報表?！?審計分析接口a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法： 1) 查看產(chǎn)品說明手冊是否包含提供審計分析接口的說明；2) 對審計分析接口進行測試，是否可選擇不同的審計分析模塊。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品應(yīng)提供審計分析接口；2) 審計分析接口設(shè)計靈活，使用戶可選擇不同的審計分析模塊。　 審計報警信息a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 評價者應(yīng)審查產(chǎn)品的報警信息是否詳細、完整、容易理解；2） 評價者應(yīng)審查產(chǎn)品的報警信息是否包含以下內(nèi)容：事件ID、事件主體、事件客體、事件發(fā)生時間、事件危險級別及事件描述。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，評價者審查內(nèi)容應(yīng)包含以上兩方面?！?審計分析報告a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1） 產(chǎn)品的生成報告是否詳細、完整、容易理解；2） 評價者應(yīng)審查產(chǎn)品是否能支持按關(guān)鍵字生成、按模塊功能生成、按危害等級生成、按自定義格式生成等方式生成審計分析報告；3） 評價者應(yīng)審查產(chǎn)品是否能支持文字、圖象兩種描述方式；4） 評價者應(yīng)審查審計數(shù)據(jù)報告是否能支持txt、html、doc、xls等系統(tǒng)格式。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，評價者審查內(nèi)容應(yīng)包含以上四方面?！?事件響應(yīng)　 報警形式a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1） 評價者應(yīng)審查產(chǎn)品說明手冊對支持報警方式的描述；2） 驗證報警方式是否準(zhǔn)確、有效。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品提供至少兩種報警方式；2) 報警方式準(zhǔn)確、有效?！?響應(yīng)方式a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：評價者應(yīng)審查產(chǎn)品說明手冊是否包含產(chǎn)品對支持的響應(yīng)方式的描述，并且測試響應(yīng)機制是否準(zhǔn)確、有效；c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷?！?審計查閱　 常規(guī)查閱a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 打開審計跟蹤檢閱器；2) 查閱審計記錄，生成報告，打印報告。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 提供審計查閱功能；2) 審計查閱以用戶易理解的方式和格式提供；3) 提供生成報告并打印的功能?！?有限查閱a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 評價者以不具有審計查閱權(quán)限的用戶身份登錄系統(tǒng)；2) 查閱審計記錄，生成報告，打印報告；3) 進入審計記錄存儲的目錄，檢查是否可以查看審計記錄。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 只有經(jīng)過授權(quán)的用戶能查閱審計記錄；2) 審計記錄以不可理解的格式進行存儲?！?可選查閱a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 進入審計跟蹤檢閱器；2) 進行選擇、搜索、分類、排序操作。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 具有針對審計記錄選擇、搜索、分類、排序的能力；2) 處理時具有友好的用戶界面，提供便于理解的處理結(jié)果?！?審計記錄存儲　 安全保護a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 評價者應(yīng)審查產(chǎn)品說明手冊是否包含對審計記錄保護機制的描述； 2) 對保護機制進行核實；3) 對審計記錄數(shù)據(jù)進行刪除或修改。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品具有有效機制保護審計記錄免遭未授權(quán)的刪除或修改；2) 針對審計記錄數(shù)據(jù)的刪除或修改生成系統(tǒng)自身安全審計記錄?！?可用性a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 評價者應(yīng)審查產(chǎn)品說明手冊具有何種保證審計記錄可用性的機制；2) 對保證機制進行核實。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品崩潰時審計記錄的丟失控制在可接受的程度；2) 產(chǎn)品能向用戶提供可選擇操作以處理審計記錄存貯空間滿的問題，如回滾等；3) 用戶可定制警戒值，當(dāng)審計記錄存儲空間達到警戒值時，觸發(fā)報警機制。　 保存時限a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1） 評價者應(yīng)審查產(chǎn)品說明手冊中審計數(shù)據(jù)最低保存時限的說明；2） 對產(chǎn)品是否允許用戶設(shè)置保存時限進行核實，查看系統(tǒng)缺省保存時限。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1） 產(chǎn)品具有為審計數(shù)據(jù)設(shè)置最低保存時限的功能；2） 用戶可按自身需要設(shè)置審計數(shù)據(jù)保存時限，系統(tǒng)缺省保存時限不低于2個月?！?審計策略　 事件分級和分類a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 打開審計跟蹤檢閱器；2) 查看是否對可審計事件進行分類、分級。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)滿足：1) 對可審計事件進行分類和分級；2) 事件分類采用用戶可理解的、主流的分類方法；3) 事件分級有明確界定范圍?！?缺省策略a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 打開審計跟蹤檢閱器；2) 查看產(chǎn)品是否具有缺省策略；3) 對缺省策略進行核實驗證。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品具有缺省策略；2) 產(chǎn)品能按照缺省策略對可審計事件進行審計?！?策略模板a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：打開審計跟蹤檢閱器，檢查產(chǎn)品是否提供兩套以上的策略模板；c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品應(yīng)具有兩套以上的缺省策略；2) 內(nèi)置策略應(yīng)有明顯區(qū)別，適用于不同審計環(huán)境?！?策略定制a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：打開審計跟蹤檢閱器，檢查產(chǎn)品是否提供策略定制能力；c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品提供策略定制功能；2) 策略定制提供向?qū)Чδ?，能進行復(fù)雜條件的定制。　 審計數(shù)據(jù)保護　 數(shù)據(jù)傳輸控制a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：評價者分別以授權(quán)管理員和非授權(quán)管理員的身份登錄系統(tǒng)，在審計代理和審計跟蹤記錄中心間傳輸審計記錄數(shù)據(jù)及配置和控制信息；c) 測試評估結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 授權(quán)管理員可進行數(shù)據(jù)傳輸，可決定數(shù)據(jù)傳輸?shù)膯踊蚪K止；2) 非授權(quán)管理員不能進行數(shù)據(jù)傳輸。　 數(shù)據(jù)傳輸安全a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1） 在審計代理和審計跟蹤記錄中心之間傳遞信息，通過網(wǎng)絡(luò)嗅探的方式獲取傳輸?shù)膬?nèi)容；2） 通過網(wǎng)絡(luò)注入的方式篡改傳輸?shù)臄?shù)據(jù)，審查系統(tǒng)是否能夠發(fā)現(xiàn)；3） 人為制造異常中斷，審查重新連接后是否重傳；4） 審查開發(fā)者文檔中對保證審計代理和審計跟蹤記錄中心之間傳遞信息的安全性的描述。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷,應(yīng)符合：1） 獲取的內(nèi)容應(yīng)為不可理解的內(nèi)容；2） 傳輸數(shù)據(jù)被篡改后，系統(tǒng)提示異常或重新傳輸；3） 重新連接后，系統(tǒng)能重發(fā)數(shù)據(jù)；4） 開發(fā)者文檔提供為保證審計代理和審計跟蹤記錄中心之間數(shù)據(jù)傳輸安全性所采取措施的詳細描述，列舉所采取的措施?！?安全管理　 管理角色a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法： 1) 檢查產(chǎn)品是否允許定義多個角色；2) 檢查產(chǎn)品是否具有系統(tǒng)管理員、日志查看員、審計日志查看員管理角色權(quán)限；3) 檢查各角色是否可以進行細粒度權(quán)限劃分。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，應(yīng)符合：1) 可定義多個角色的用戶；2) 系統(tǒng)管理員、日志查看員、審計日志查看員三種管理角色權(quán)限分開；3) 每個角色可具有多個用戶，每個用戶只屬于一個角色；4) 每一個用戶標(biāo)識是全局唯一的，不應(yīng)一個用戶標(biāo)識用于多個用戶?！?操作審計a) 評價內(nèi)容：　的內(nèi)容；b) 測試評價方法：1) 評價者應(yīng)審查產(chǎn)品說明書是否詳細描述系統(tǒng)所支持的可審計行為；2) 評價者應(yīng)切換不同角色對系統(tǒng)進行操作測試并查看審計記錄是否對不同角色的管理行為進行詳細而完備的記錄。c) 測試評價結(jié)果：記錄審查結(jié)果并對該結(jié)果是否符合測試評價方法要求作出判斷，評價者審查內(nèi)容應(yīng)
換不同角色，