【文章內(nèi)容簡(jiǎn)介】 戶提供自定義匹配模式。2) 【增強(qiáng)型】測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：——產(chǎn)品滿足【基本型】相應(yīng)的要求；——各審計(jì)功能之間可協(xié)同工作；——可進(jìn)行關(guān)聯(lián)分析形成最終報(bào)表?！?審計(jì)分析接口a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法： 1) 查看產(chǎn)品說(shuō)明手冊(cè)是否包含提供審計(jì)分析接口的說(shuō)明；2) 對(duì)審計(jì)分析接口進(jìn)行測(cè)試，是否可選擇不同的審計(jì)分析模塊。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品應(yīng)提供審計(jì)分析接口；2) 審計(jì)分析接口設(shè)計(jì)靈活，使用戶可選擇不同的審計(jì)分析模塊?！?審計(jì)報(bào)警信息a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 評(píng)價(jià)者應(yīng)審查產(chǎn)品的報(bào)警信息是否詳細(xì)、完整、容易理解；2） 評(píng)價(jià)者應(yīng)審查產(chǎn)品的報(bào)警信息是否包含以下內(nèi)容：事件ID、事件主體、事件客體、事件發(fā)生時(shí)間、事件危險(xiǎn)級(jí)別及事件描述。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，評(píng)價(jià)者審查內(nèi)容應(yīng)包含以上兩方面。　 審計(jì)分析報(bào)告a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1） 產(chǎn)品的生成報(bào)告是否詳細(xì)、完整、容易理解；2） 評(píng)價(jià)者應(yīng)審查產(chǎn)品是否能支持按關(guān)鍵字生成、按模塊功能生成、按危害等級(jí)生成、按自定義格式生成等方式生成審計(jì)分析報(bào)告；3） 評(píng)價(jià)者應(yīng)審查產(chǎn)品是否能支持文字、圖象兩種描述方式；4） 評(píng)價(jià)者應(yīng)審查審計(jì)數(shù)據(jù)報(bào)告是否能支持txt、html、doc、xls等系統(tǒng)格式。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，評(píng)價(jià)者審查內(nèi)容應(yīng)包含以上四方面。　 事件響應(yīng)　 報(bào)警形式a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1） 評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明手冊(cè)對(duì)支持報(bào)警方式的描述；2） 驗(yàn)證報(bào)警方式是否準(zhǔn)確、有效。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品提供至少兩種報(bào)警方式；2) 報(bào)警方式準(zhǔn)確、有效。　 響應(yīng)方式a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明手冊(cè)是否包含產(chǎn)品對(duì)支持的響應(yīng)方式的描述，并且測(cè)試響應(yīng)機(jī)制是否準(zhǔn)確、有效；c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷?！?審計(jì)查閱　 常規(guī)查閱a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 打開(kāi)審計(jì)跟蹤檢閱器；2) 查閱審計(jì)記錄，生成報(bào)告，打印報(bào)告。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 提供審計(jì)查閱功能；2) 審計(jì)查閱以用戶易理解的方式和格式提供；3) 提供生成報(bào)告并打印的功能。　 有限查閱a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 評(píng)價(jià)者以不具有審計(jì)查閱權(quán)限的用戶身份登錄系統(tǒng)；2) 查閱審計(jì)記錄，生成報(bào)告，打印報(bào)告；3) 進(jìn)入審計(jì)記錄存儲(chǔ)的目錄，檢查是否可以查看審計(jì)記錄。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 只有經(jīng)過(guò)授權(quán)的用戶能查閱審計(jì)記錄；2) 審計(jì)記錄以不可理解的格式進(jìn)行存儲(chǔ)?！?可選查閱a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 進(jìn)入審計(jì)跟蹤檢閱器；2) 進(jìn)行選擇、搜索、分類、排序操作。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 具有針對(duì)審計(jì)記錄選擇、搜索、分類、排序的能力；2) 處理時(shí)具有友好的用戶界面，提供便于理解的處理結(jié)果?！?審計(jì)記錄存儲(chǔ)　 安全保護(hù)a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明手冊(cè)是否包含對(duì)審計(jì)記錄保護(hù)機(jī)制的描述； 2) 對(duì)保護(hù)機(jī)制進(jìn)行核實(shí)；3) 對(duì)審計(jì)記錄數(shù)據(jù)進(jìn)行刪除或修改。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品具有有效機(jī)制保護(hù)審計(jì)記錄免遭未授權(quán)的刪除或修改；2) 針對(duì)審計(jì)記錄數(shù)據(jù)的刪除或修改生成系統(tǒng)自身安全審計(jì)記錄?！?可用性a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明手冊(cè)具有何種保證審計(jì)記錄可用性的機(jī)制；2) 對(duì)保證機(jī)制進(jìn)行核實(shí)。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品崩潰時(shí)審計(jì)記錄的丟失控制在可接受的程度；2) 產(chǎn)品能向用戶提供可選擇操作以處理審計(jì)記錄存貯空間滿的問(wèn)題，如回滾等；3) 用戶可定制警戒值，當(dāng)審計(jì)記錄存儲(chǔ)空間達(dá)到警戒值時(shí)，觸發(fā)報(bào)警機(jī)制?！?保存時(shí)限a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1） 評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明手冊(cè)中審計(jì)數(shù)據(jù)最低保存時(shí)限的說(shuō)明；2） 對(duì)產(chǎn)品是否允許用戶設(shè)置保存時(shí)限進(jìn)行核實(shí)，查看系統(tǒng)缺省保存時(shí)限。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1） 產(chǎn)品具有為審計(jì)數(shù)據(jù)設(shè)置最低保存時(shí)限的功能；2） 用戶可按自身需要設(shè)置審計(jì)數(shù)據(jù)保存時(shí)限，系統(tǒng)缺省保存時(shí)限不低于2個(gè)月?！?審計(jì)策略　 事件分級(jí)和分類a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 打開(kāi)審計(jì)跟蹤檢閱器；2) 查看是否對(duì)可審計(jì)事件進(jìn)行分類、分級(jí)。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)滿足：1) 對(duì)可審計(jì)事件進(jìn)行分類和分級(jí)；2) 事件分類采用用戶可理解的、主流的分類方法；3) 事件分級(jí)有明確界定范圍?！?缺省策略a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 打開(kāi)審計(jì)跟蹤檢閱器；2) 查看產(chǎn)品是否具有缺省策略；3) 對(duì)缺省策略進(jìn)行核實(shí)驗(yàn)證。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品具有缺省策略；2) 產(chǎn)品能按照缺省策略對(duì)可審計(jì)事件進(jìn)行審計(jì)?！?策略模板a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：打開(kāi)審計(jì)跟蹤檢閱器，檢查產(chǎn)品是否提供兩套以上的策略模板；c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品應(yīng)具有兩套以上的缺省策略；2) 內(nèi)置策略應(yīng)有明顯區(qū)別，適用于不同審計(jì)環(huán)境?！?策略定制a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：打開(kāi)審計(jì)跟蹤檢閱器，檢查產(chǎn)品是否提供策略定制能力；c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 產(chǎn)品提供策略定制功能；2) 策略定制提供向?qū)Чδ?，能進(jìn)行復(fù)雜條件的定制?！?審計(jì)數(shù)據(jù)保護(hù)　 數(shù)據(jù)傳輸控制a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：評(píng)價(jià)者分別以授權(quán)管理員和非授權(quán)管理員的身份登錄系統(tǒng)，在審計(jì)代理和審計(jì)跟蹤記錄中心間傳輸審計(jì)記錄數(shù)據(jù)及配置和控制信息；c) 測(cè)試評(píng)估結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 授權(quán)管理員可進(jìn)行數(shù)據(jù)傳輸，可決定數(shù)據(jù)傳輸?shù)膯?dòng)或終止；2) 非授權(quán)管理員不能進(jìn)行數(shù)據(jù)傳輸?！?數(shù)據(jù)傳輸安全a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1） 在審計(jì)代理和審計(jì)跟蹤記錄中心之間傳遞信息，通過(guò)網(wǎng)絡(luò)嗅探的方式獲取傳輸?shù)膬?nèi)容；2） 通過(guò)網(wǎng)絡(luò)注入的方式篡改傳輸?shù)臄?shù)據(jù)，審查系統(tǒng)是否能夠發(fā)現(xiàn)；3） 人為制造異常中斷，審查重新連接后是否重傳；4） 審查開(kāi)發(fā)者文檔中對(duì)保證審計(jì)代理和審計(jì)跟蹤記錄中心之間傳遞信息的安全性的描述。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷,應(yīng)符合：1） 獲取的內(nèi)容應(yīng)為不可理解的內(nèi)容；2） 傳輸數(shù)據(jù)被篡改后，系統(tǒng)提示異?；蛑匦聜鬏敚?） 重新連接后，系統(tǒng)能重發(fā)數(shù)據(jù)；4） 開(kāi)發(fā)者文檔提供為保證審計(jì)代理和審計(jì)跟蹤記錄中心之間數(shù)據(jù)傳輸安全性所采取措施的詳細(xì)描述，列舉所采取的措施?！?安全管理　 管理角色a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法： 1) 檢查產(chǎn)品是否允許定義多個(gè)角色；2) 檢查產(chǎn)品是否具有系統(tǒng)管理員、日志查看員、審計(jì)日志查看員管理角色權(quán)限；3) 檢查各角色是否可以進(jìn)行細(xì)粒度權(quán)限劃分。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，應(yīng)符合：1) 可定義多個(gè)角色的用戶；2) 系統(tǒng)管理員、日志查看員、審計(jì)日志查看員三種管理角色權(quán)限分開(kāi)；3) 每個(gè)角色可具有多個(gè)用戶，每個(gè)用戶只屬于一個(gè)角色；4) 每一個(gè)用戶標(biāo)識(shí)是全局唯一的，不應(yīng)一個(gè)用戶標(biāo)識(shí)用于多個(gè)用戶?！?操作審計(jì)a) 評(píng)價(jià)內(nèi)容：　的內(nèi)容；b) 測(cè)試評(píng)價(jià)方法：1) 評(píng)價(jià)者應(yīng)審查產(chǎn)品說(shuō)明書(shū)是否詳細(xì)描述系統(tǒng)所支持的可審計(jì)行為；2) 評(píng)價(jià)者應(yīng)切換不同角色對(duì)系統(tǒng)進(jìn)行操作測(cè)試并查看審計(jì)記錄是否對(duì)不同角色的管理行為進(jìn)行詳細(xì)而完備的記錄。c) 測(cè)試評(píng)價(jià)結(jié)果：記錄審查結(jié)果并對(duì)該結(jié)果是否符合測(cè)試評(píng)價(jià)方法要求作出判斷，評(píng)價(jià)者審查內(nèi)容應(yīng)
換不同角色，