保护工具的功能: ___________________________________________________________________
主机安全
安全审计
f) 应保护审计记录，避免受到未预期的删除、修改或覆盖等。
1）访谈审计记录保护措施，是否有日志服务器。2）通过非审计员账户试图删除、修改、覆盖审计记录，是否能成功。
d) 应能够根据记录数据进行分析，并生成审计报表；
访谈并查看提供浏览和分析审计记录功能的专用工具。
可以生成报表。
1.主要服务器和重要终端操作系统，是否为授权用户提供浏览和分析审计记录的功能。是 □ 否 □;是否可以根据需要自动生成不同格式的审计报表。是 □ 否 □
2.是否有对审计记录的查看、分析和审计报表。 是 □ 否 □
(EG:事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、事件的结果等内容)
2.在“管理工具”中，查看：事件查看器，事件记录内容包括哪些：________________________________________________________________________________________________________________等。(EG:事件的日期、时间、类型、主体标识、客体标识和结果)
5)检查主要应用系统，查看其是否为授权用户浏览和分析审计数据提供专门的审计分析功能，并能根据需要生成审计报表；
6)测试主要应用系统，在应用系统上试图产生一些重要的安全相关事件（如用户登录、修改用户权限等），查看应用系统是否对其进行了审计，验证应用系统安全审计的覆盖情况是否覆盖到每个用户；如果进行了审计则查看审计记录内容是否包含事件的日期、时间、发起者信息、类型、描述和结果等；
2.安全审计策略是否覆盖到服务器和重要终端操上的每个操作系统用户。是 □ 否 □
3.是否采用第三方安全设计产品实现审计要求。是 □ 否 □
4.主机系统的安全审计策略包括哪些：__________________________________________________________________________________
非审计员账户无查看审计权限。
1.主要服务器操作系统、重要终端操作系统，是否可通过非审计员的其他帐户试图中断审计进程。是 □ 否 □
2.审计进程是否受到保护。是 □ 否 □；如何做的保护：________________________________.
3.是否有第三方审计进行保护的工具。是 □ 否 □；保护工具名称：_______________________
2)检查主要应用系统，查看其当前审计范围是否覆盖到每个用户；
3)检查主要应用系统，查看其审计策略是否覆盖系统内重要的安全相关事件，例如，用户标识与鉴别、访问控制的所有操作记录、重要用户行为、系统资源的异常使用、重要系统命令的使用等；
4)检查主要应用系统，查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源、事件的结果等内容；
8.审计工具覆盖范围：服务器 □重要客户端 □ 其他：_____________________________
b) 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件；
在本地安全设置-本地策略-审核策略中检查审核
帐户管理、审核帐户登陆事件、审核系统事件、审核特权使用、审核对象访问等。
包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
1.审计内容包括哪些：_______________________________________________________________________________________________________________________________________________________________
适用范围
安全控制
测评项
实施过程
预期结果
结果记录
结论
主机安全
安全审计
a) 审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户；
1）查看系统是否开启了安全审计功能；
2）询问并查看是否有第三方审计工具或系统。
开启安全审计功能或通过第三方审计工具。
1.主要服务器操作系统、重要终端操作系统，是否配置安全审计策略。是 □ 否 □
3.是否有日志服务器。是 □ 否 □；日志服务器存储空间：___________________；
日志服务器更新模式：___________________
应用安全
安全审计
a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计；
1)访谈安全审计员，询问应用系统是否有安全审计功能，对事件进行审计的策略是什么，对审计日志的保护措施有哪些；
配置日志服务Байду номын сангаас。
1.主要服务器操作系统、重要终端操作系统，是否对审计记录实施了保护措施,使其避免受到未预期的删除、修改或覆盖等未授权的操作。是 □ 否 □
2.是否有对审计记录的存储、备份和保护的措施。 是 □ 否 □；
审计记录的存储、备份和保护的措施有哪些：_____________________________________________________
7)测试主要应用系统，试图非授权删除、修改或覆盖审计记录，验证安全审计的保护情况是否无法非授权删除、修改或覆盖审计记录。
系统重要安全事件及每个用户的安全都进行了审计
1.查看系统是否启用了事件安全审计的功能。
是 □ 否 □
2.目前安全审计策略为：
3.目前的审计日志的保护措施为：
b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录；
3.是否有第三方报表工具。是 □ 否 □；报表工具名称：________________________；
报表工具的功能：___________________________________________________________
e) 应保护审计进程，避免受到未预期的中断；
1）访谈对审计进程监控和保护的措施。2）通过非审计员的其他帐户试图中断审计进程，验证审计进程是否受到保护。
提供了对审计记录数据进行统计、查询、分析及生成审计报表的功能。
1.查看审计记录，系统是否可以对审计记录进行统计 是 □ 否 □
是否可以对记录进行查询是 □ 否 □
是否可以对记录进行分析及生成审计报表
是 □ 否 □
注：本测评手册适用于安全运维审计系统、网络安全审计系统等安全审计设备。
(EG:系统内重要用户行为、系统资源的异常和重要系统命令的使用等重要的安全相关事件)
5.是否具有日志服务器或审计服务器。是 □ 否 □
6.开始-运行Secpol.msc，查看"安全设置"->"本地策略"->"审核策略"系统是否开启了安全审计功能。 是 □ 否 □
7.询问系统管理员，并查看是否有第三方审计工具或系统。是 □ 否 □审计工具的名称：___________________
无法删除修改或覆盖审计记录
1.已普通用户的形式登录系统对日志进行删除、修改等操作，是否可以了操作成功。
是 □ 否 □
c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结
果等；
审计内容包含事件的所有信息
1.查看系统审计记录，记录包括内容有：
d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
在计算机管理-事件查看器中检查事件的日期、时间等。
审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果。
1.主要服务器操作系统、重要终端操作系统，审计记录信息包括哪些内容：______________________________________________________________________________________________________________________________________________________________________.
(EG:用户的添加和删除、审计功能的启动和关闭、审计策略的调整、权限变更、系统资源的异常使用、重要的系统操作（如用户登录、退出）等)。
2.windows在“安全设置”中，展开“本地策略”，显示“审核策略”、“用户权利指派”以及“安全选项”策略。审核账户登录事件：□成功 □失败
审核账户管理： □成功 □失败
审核目录服务访问：□成功 □失败
审核登录事件： □成功 □失败
审核对象访问： □成功 □失败
审核策略更改： □成功 □失败
审核系统事件： □成功 □失败
审计的内容是否包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件且都已经启用。 是 □ 否 □
主机安全
安全审计
c) 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等；