阅读下列说明，回答下列问题。
[说明] 某企业为防止自身信息资源的非授权访问，建立了如图4－1所示的访问控制系统。

企业访问控制系统    
该系统提供的主要安全机制包括：    
12认证：管理企业的合法用户，验证用户所宣称身份的合法性，该系统中的认证机制集成了基于口令的认证机制和基于PKI的数字证书认证机制；    
13授权：赋予用户访问系统资源的权限，对企业资源的访问请求进行授权决策；    
14安全审计：对系统记录与活动进行独立审查，发现访问控制机制中的安全缺陷，提出安全改进建议。
12、[问题1] 对该访问控制系统进行测试时，用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面？每个方面具体的测试内容又有哪些？（6分）
13、[问题2] 测试过程中需对该访问控制系统进行模拟攻击试验，以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击，并简要说明模拟攻击的基本原理。（3分）
14、[问题3] 对该系统安全审计功能设计的测试点应包括哪些？（3分）

<问题12>
用户权限控制是访问控制系统的核心部分，因此在测试时应该重点关注。测试内容主要包括两个方面：一是评价用户权限控制的体系合理性，看其是否采用了三层的管理模式，即系统管理员、业务领导和操作人员三级分离，这有助于实现职责分离和减少潜在的安全风险；二是测试用户名称的唯一性，确保在同一环境下，不考虑大小写的情况下，不会有重复的用户名称，并且已删除或停用的用户记录应被保留，新用户在注册时不得使用已存在的用户名称。

<问题13>
模拟攻击试验是验证访问控制系统对非授权访问防范能力的重要手段。针对该系统的可能攻击及其基本原理包括：泪滴攻击利用TCP/IP协议中的漏洞进行攻击，口令猜测利用简单的密码或没有设置密码的账户进行破解，伪造电子邮件则通过SMTP协议的不鉴定发送者身份特性来实施欺诈行为。每种攻击都有其特定的防御措施。

<问题14>
对于访问控制系统的安全审计功能，测试点应涵盖系统的数据收集、存储和集中审计能力，以及是否支持基于PKI的应用审计、基于XML的审计数据采集协议和自定义审计规则等。这些功能决定了审计系统的效率和准确性，从而影响到整个系统的安全性和可靠性。