一、要求内容 

a)应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； 

b)应保证无法单独中断审计进程，无法删除、修改或覆盖审计记录； 

c)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等； 

d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能； 

e)应根据系统统一安全策略，提供集中审计接口。 

二、实施建议 

首先需要制定完善的主机安全审计要求，至少覆盖事件的日期、时间、发起者信息、类型、描述和结果等内容，审计记录的内容应当尽可能保证详细以便于事后问题的最终和审计检查；对与系统生成的日志可采取集中异地存储的形式，防止数据被破坏或篡改；应当设立单独的日志审计人员维护和管理数据。 

三、常见问题 

多数企业应用系统的日志主要是保存在系统服务器上面，没有进行严格的安全控制要求，通常系统管理员都有管理权限，没有专人负责日志的管理。 

四、实施难点 

对于许多不同的应用系统要想实现集中审计日志的备份可能需要对程序进行定制和修改，牵涉到不同的厂家。 

五、测评方法 

形式 访谈，检查，测试。 对象 审计员，应用系统。 

实施 

a)应访谈安全审计员，询问应用系统是否设置安全审计功能，对事件进行审计的选择要求和策略是什么，对审计日志的保护措施有哪些； 

b)应检查应用系统，查看其当前审计范围是否覆盖到每个用户； 

c)应检查应用系统，查看其审计策略是否覆盖系统内重要的安全相关事件，例如，用户标识与鉴别、自主访问控制的所有操作记录、重要用户行为（如用超级用户命令改变用户身份，删除系统表）、系统资源的异常使用、重要系统命令的使用（如删除客体）等；

d)应检查应用系统，查看其审计记录信息是否包括事件发生的日期与时间、触发事件的主体与客体、事件的类型、事件成功或失败、身份鉴别事件中请求的来源（如末端标识符）、事件的结果等内容； 

e)应检查应用系统，查看其是否为授权用户浏览和分析审计数据提供专门的审计分析功能（如对审计记录进行查询、统计和分析等），并能根据需要生成审计报表； 

f)应检查应用系统，查看其能否对特定事件指定实时报警方式（如声音、EMAIL、短信等）； 

g)应检查应用系统，查看其安全审计是否有集中审计接口，并根据信息系统的统一安全策略实现集中审计； 

h)应测试应用系统，可通过非法终止审计功能或修改其配置，验证审计进程是否受到保护； 

i)应测试应用系统，在系统上以某个用户试图产生一些重要的安全相关事件（如鉴别失败等），测试安全审计的覆盖情况和记录情况与要求是否一致； 

j)应测试应用系统，在系统上以某个系统用户试图删除、修改或覆盖审计记录，验证安全审计的保护情况与要求是否一致； 

k)应测试应用系统，制造一些安全事件，查看安全审计是否能跟踪监测到可能的安全侵害事件，验证其功能是否正确。 

六、参考资料

IATF 3.1中对系统审计功能要求进行了描述： 7.1.4.7 审计 应用程序和操作系统都可以对用户和软件作用于操作系统的某些行为进行审计。应用程序可追踪用户录入数据到数据库的时刻、与所录入有关的信息或所录入数据在数据库所处的位置。而操作系统可追踪哪个用户启动了有关进程或哪个用户试图访问特定的文件。审计主要是一种支持信息举证和入侵检测的事后行为。入侵检测工具通过审计与安全性有关的日志和数据来检测对计算机或网络的入侵行为。这些工具既可以包含在操作系统或应用程序之中，又可以是有关单独的软件，必要时可被添加到需要检测入侵的系统中。如果想更进一步地了解入侵检测的消息，会参阅第六章保护内部边界/外部链接以及7.2 节中的相应内容。 审计是一种有效的保护措施，它可以在一定意义上阻止威胁信息系统的一些行为。在检测可疑行为和对可疑行为做出响应方面，审计发挥着重要的作用。 在开发程序时，开发者必须充分发挥操作系统的审计能力，为系统管理员或其它安全方面的技术人员使用审计数据做好相应准备，以使审计工具能够更好地发挥作用。当今技术上的隔阂之一便是审计工具的有效性得不到充分发挥。