一、要求内容 

a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户； 

b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件； 

c)审计记录应包括日期和时间、类型、主体标识、客体标识、事件的结果等； 

d)应能够根据记录数据进行分析，并生成审计报表； 

e)应保护审计进程，避免受到未预期的中断； 

f)应保护审计记录，避免受到未预期的删除、修改或覆盖等； 

g)应能够根据信息系统的统一安全策略，实现集中审计。 

二、实施建议 

首先需要制定完善的主机安全审计要求，至少覆盖用户行为、系统资源的异常使用和重要系统命令的使用等内容，审计记录的内容应当尽可能保证详细以便于事后问题的最终和审计检查；对与系统生成的日志可采取集中异地存储的形式，防止数据被破坏或篡改；应当设立单独的日志审计人员维护和管理数据。 

三、常见问题 

多数企业没有完善的主机安全设备审计要求，部分单位主机设备和数据库都没有开启必要的审计功能，大多设备开启的审计功能都是默认的设置；对于系统生成的日志也没有专门设立单独的人员进行管理。 

四、实施难点 

开启过多和过详细的审计功能必定会影响主机设备和数据库的性能，所以需要根据企业内部的具体要求制定合适的审计规则，保证安全与效率的合理分配。 

五、测评方法 

形式 访谈，检查，测试。 对象 安全审计员，服务器操作系统、数据库和重要终端操作系统。 

实施 

a)应访谈安全审计员，询问主机系统是否设置安全审计；询问主机系统对事件进行审计的选择要求和策略是什么；对审计日志的处理方式有哪些； 

b)应检查服务器操作系统、重要终端操作系统和数据库管理系统，查看当前审计范围是否覆盖到每个用户； 

c)应检查服务器操作系统、重要终端操作系统和数据库管理系统，查看审计策略是否覆盖系统内重要的安全相关事件，例如，用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为（如用超级用户命令改变用户身份，删除系统表）、系统资源的异常使用、重要系统命令的使用（如删除客体）等； 

d)应检查服务器操作系统、重要终端操作系统和数据库管理系统，查看审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源（如末端标识符）、事件的结果等内容； 

e)应检查服务器和重要终端操作系统，查看是否为授权用户浏览和分析审计数据提供专门的审计工具（如对审计记录进行分类、排序、查询、统计、分析和组合查询等），并能根据需要生成审计报表； 

f)应检查服务器操作系统、重要终端操作系统和数据库管理系统，查看审计跟踪设置是否定义了审计跟踪极限的阈值，当存储空间接近极限时，能指定采取必要的措施（如报警并导出）；当存储空间被耗尽时，终止可审计事件的发生； 

g)应检查服务器、重要终端操作系统和数据库管理系统，查看是否提供集中审计系统连接的接口，并能根据集中审计系统的要求发送审计数据； 

h)应测试服务器操作系统、重要终端操作系统和数据库管理系统，可通过非法终止审计功能或修改其配置，验证审计功能是否受到保护； 

i)应测试服务器操作系统、重要终端操作系统和数据库管理系统，在系统上以某个系统用户试图删除、修改或覆盖审计记录，测试安全审计的保护情况与要求是否一致； 

六、参考资料 

《信息安全等级保护 操作系统安全技术要求》中对安全审计内容的要求： 

4.4.1.6 审计 应按照《通用技术要求》6.4.2.4 条审计的要求设计操作系统的审计功能。

本安全级的具体要求为： 

a) 审计功能应与用户标识与鉴别、自主访问控制、标记及强制访问控制等安全功能的设计紧密结合。 

b) 应能够生成、维护及保护审计过程，使其免遭修改、非法访问及破坏，特别要保护审计数据，要严格限制未经授权的用户访问。 

c) 应记录以下类型的事件： 

——使用识别与鉴别机制（如注册过程）； 

——将某个客体引入某个用户的地址空间（如打开文件）； 

——删除客体及计算机操作员、系统管理员与系统安全管理员进程的操作。 

d) 每个审计记录应记录事件发生的日期与时间、产生这一事件的用户、事件的类型以及该事件成功与否。对于识别与鉴别事件，审计记录应记录事件发生的源地点；对于将一个客体信息引入某个用户地址空间中的事件以及删除客体的事件，审计记录应包括客体名及客体的安全级别。 

e) 本安全级要求基本的审计功能主要包括： 

——授权控制和审计跟踪，应能够创建并维护一个对受保护客体访问的审计跟踪，保护审计记录不被未授权的访问、修改和破坏。 

——可记录的安全相关事件，应能指出可记录的审计事件的最少类型，包括建立会话登录成功和失败，使用的系统接口，系统数据库管理的改变（改变用户账户属性、审计跟踪设置和分析、为程序分配设置用户ID、附加或改变系统程序或进程、改变日期和时间等），超级用户命令改变用户身份等。当审计激活时应确保审计跟踪事件的完整性；应提供一个机制来显示当前选择的审计事件，这个机制的使用者应是有限的授权用户。 

——每个事件的数据记录，应包括的信息有：事件发生的日期和时间、触发事件的用户、事件的类型、事件成功或失败等。对于身份识别和认证事件，应记录请求的源（如终端号或网络地址）；对于创建和删除客体的事件，应记录客体的名字和属性。 

——审计跟踪控制、管理和检查，应提供一个受保护的打开和关闭审计的机制。该机制能选择和改变审计事件，并在系统工作时处于默认状态；该机制的使用应受到系统管理员的授权限制，系统管理员应能够选择一个或多个基于身份识别或客体属性的用户的审计活动；审计工具应能够授权个人监察和浏览审计数据，同时数据应得到授权的使用、修改和删除；应提供对审计跟踪管理功能的保护，使之可以完成审计跟踪的创建、破坏、腾空和存档；系统管理员应能够定义超过审计跟踪极限的阈值；当存储空间被耗尽时，应能按管理员的指定决定采取的措施，包括：报警并丢弃未记录的审计信息、暂停审计、覆盖以前的审计记录等。