网络安全管理平台测试方案v

1、中国石油 网络安全域实施项目 边界防护子项目 设备测试建议书第 1章 . 概述 错误 !未定义书签。 错误 !未定义书签。 3.1 安全监控 3.1.1 资产管理 . 4 3.1.2 网络拓扑发现 . 6 3.1.3 网络管理 . 6 3.1.4 机架视图 . 7 3.1.5 安全监控 . 9 3.1.6 IP 地址管理 . 10 3.1.7 业务拓扑 . 11 3.2 安全审计 12 3.2.1 事件采集 . 12 3.2.2 事件标准化 . 13 3.2.3 关联分析 . 14 3.2.4 事件实时监控 . 15 3.2.5 事件告警 . 16 3.2.6 事件可视化展示 . 18 3.2

2、.7 事件查询 . 18 3.2.8 审计数据归档 . 19 3.3 安全决策 19 3.3.1 风险管理 . 19 3.3.2 工单管理 . 21 3.3.3 知识库管理 . 21 3.3.4 报表管理 . 22 3.3.5 产品管理 . 231.1 测试目的 错误 !未定义书签。 1.2 参考标准与规范 错误 !未定义书签。 第 2章 . 测试环境 错误 !未定义书签。 第 3章 . 产品功能测试 . 4 2.1 软 /硬件配置 第 4章. 产品部署方式测试 . 25 4.1 单一部署 25 4.2 分布部署 25 4.3 分级部署 26 第 5章. 产品自身安全测试 . 27 5.1 自

3、身审计数据生成 27 5.2 支持访问传输加密 28 5.3 支持对日志进行加密存储 28 第 6章. 产品性能测试 . 29 6.1 事件接收峰值测试 29 6.2 日志查询速率测试 29 第1章.测试目的 为了让用户对网络安全管理平台一个全面的了解， 受测产品在模拟环境中进行性 能、功能、管理等关键指标的测试。 测试范围 本次测试包括以下几个方面： 1.1. 验证网络安全管理平台的基本功能模块（资产管理、网络管理、业务管理、 风险管理、预警管理、事件管理、策略管理、审计管理和知识管理）的可用 性、易用性及数据接口开放性； 2.2. 验证网络安全管理平台在模拟环境中的稳定性和对系统资源的影响

4、度； 3.3. 验证网络安全管理平台的个性化定制能力； 4.4. 验证网络安全管理平台综合展现能力及界面友好性、灵活性。 第2章.产品功能测试 2.1安全监控 2.1.1 资产管理 【测试目标】 测试网络安全管理平台资产管理能力 【测试步骤】 步骤序号 描述 1 1 初次需要录入大量资产信息的情况，可以米用自动拓扑发现添加设备信息。 2 2 能够灵活的对资产进行手工添加、删除、修改、查询、导出等操作，并对 资产进行一般属性和安全属性（CIACIA）的赋值。一般属性包括资产名称、资 产编号、资产类别、资产型号、资产 IPIP、安全属性包括资产完整性、机密 性、可用性；用户可以扩展资产属性，进行属

5、性的自定义。 3 3 将收集到的资产通过划分安全域进行分组管理。 4 4 能够对资产进行统计并展示。 【测试结果】 测试项目 测试结果 资产导入方式 手工方式 是 否 自动拓扑发现方式 是 否 资产管理 添加 是 否 删除 是 否 修改 是 否 查询 是 否 导出 是 否 资产赋值 资产编号 是 否 资产类别 是 否 资产型号 是 否 资产 IPIP 是 否 资产 CIACIA 值 是 否 资产属性自定义 是 否 自疋义属性能在关联 规则中使用 是 否 其他 资产统计 是 否 资产分组 是 否 资产与事件关联 是 否 资产管理接口 是 否 备注 【测试目标】 2.1.2 网络拓扑发现 【测试目

6、标】 自动与手动发现发现网络拓扑图 【测试步骤】 步骤序号 描述 1 1 以带有路由功能或网关设备进行自动拓扑发现，发现网络中的网络设备、 安 全设备、服务器等 2 2 设置一个 IPIP 段进行设备发现，发现网络中的网络设备、安全设备、服务器 等 3 3 输入 IPIP 地址在网络拓扑中进行设备添加 4 4 在网络拓扑中进行子网的添加 【测试结果】 测试项目 测试结果 自动拓扑发现 发现的网络结构是否准确 是 否 发现的设备类型是否准确 是 否 发现设备的完整性 是 否 发现的速度 是 否 手动发现 发现的设备类型是否准确 是 否 发现设备的完整性 是 否 发现的速度 是 否 添加设备 添加

7、设备到网络拓扑图中 是 否 拓扑导入 是 否 2.1.3 网络管理【测试目标】 通过网络管理实时了解网络中设备的运行状态和对网络设备进行管理 【测试步骤】 步骤序号 描述 1 1 显示设备之间的连接关系，并显示网络接口之间链路的流量 2 2 显示设备 CPU/CPU/内存，接口错包等状态。 3 3 设备的管理 4 4 子网的管理 5 5 设备面板图的查看 【测试结果】 测试项目 测试结果 子网管理 添加子网 是 否 删除子网 是 否 修改子网属性 是 否 链路 链路的状态 是 否 链路之间流量 是 否 设备管理 添加设备 是 否 删除设备 是 否 定位到机架拓扑图 是 否 查看设备属性 是 否

8、 查看设备 CPUCPU 内存状态 是 否 查看设备端口图 是 否 查看设备的告警信息 是 否 调用第三方工具对设备进行管理 是 否 2.1.4 机架视图 主要用于展现真实的机房环境，可以根据机房实际分布创建一个或多个管理组 （即机架组），方便发现问题设备后快速定位到实际位置。 【测试步骤】 步骤序号 描述 1 1 机架组管理 2 2 机架管理 3 3 机架视图中设备管理 4 4 机架视图可与网络拓扑视图结合，可通过视图图标直接点入下一视图。 5 5 视图具有容器功能，可用一个图标展示一个视图的告警或事件。 【测试结果】 测试项目 测试结果 机架组管理 添加机架组 是 否 删除机架组 是 否

9、修改机架组属性 是 否 建立机架 添加机架 是 否 删除机架 是 否 修改机架属性 是 否 机架视图中设备管理 添加设备 是 否 删除设备 是 否 定位到网络拓扑图 是 否 查看设备属性 是 否 查看设备端口图 是 否 查看设备的告警信息 是 否 调用第三方工具对设备进行管理 是 否 容器功能 可展示一个视图的状态 是 否 可做连接关联 是 否 2.1.5 安全监控 【测试目标】 包括主机监控、网络设备监控、安全设备监控、数据库监控、中间件监控、服务 监控、链路性能监控等。通过对设备 IPIP 以及不同监控类型所需信息建立监控任务的 方式来获取所有的监控信息，来了解设备或服务的运行状态，当设备

10、或服务出现异 常时可以设备告警来触发一些动作告诉管理员。 【测试步骤】 步骤序号 描述 1 1 主机监控 2 2 网络设备监控 3 3 安全设备监控 4 4 数据库监控 5 5 中间件监控 6 6 服务监控 7 7 链路性能监控 8 8 监控明细 9 9 监控快照 【测试结果】 测试项目 测试结果 主机监控 win dowswin dows CPU/CPU/ 内存/ / 磁盘/ / / / 连通性/ / 进程/ / 其它 linuxlinux CPU/CPU/ 内存/ / 磁盘/ / / / 连通性/ / 进程/ / 其它 网络设备监控 路由器 端口 / / 流量/ / / / 连通性/ /

11、其它 交换机 端口 / / 流量/ / / / 连通性/ / 其它 备注 安全设备 防火墙 端口 / / 流量/ / / / 连通性/ / 其它 备注 中间件 缓存/ / 连接/ / / / 连通性/ / 其它 服务 连通性/ / 可用性 链路性能 是 否 监控明细 查看监控明细 是 否 设置告警阈值 是 否 监控快照 是 否 2.1.6 IP 地址管理 【测试目标】 IPIP 地址管理使管理员对企业内部局域网的 IPIP 地址资源进行统一规划、配置、调 整，合理安排 IPIP 地址资源，避免滥用等问题。 【测试步骤】 步骤序号 描述 IPIP 地址管理 【测试结果】 测试项 测试结果 IPI

12、P 地址管理 IPIP 地址杳询 是 否 IPIP 地址扫描 是 否 IPIP 地址分布查询 是 否 添加子网 是 否 添加 IPIP 是 否 删除子网 是 否 删除 IPIP 是 否 分配子网 是 否 子网属性 是 否 IPIP 地址属性 是 否 IPIP 地址明细查看 是 否 2.1.7 业务拓扑 【测试目标】 业务实际上是一系列监控对象的组合， 一个监控对象允许属于多个业务， 可以根 据业务实际相关的各个设备和软件来创建业务，例如一个办公自动化业务，可能包 含连接业务的交换机，应用服务器，中间件，数据库服务器，数据库等一系列设备 和软件，每一个设备和软件都是一个监控对象，那么在此业务中，

13、就可以同时查看 此业务相关设备和软件的使用，性能和故障情况，还可以选择所关心的关键指标计 算业务的健康等级，反映业务的实际运行状态。 【测试步骤】 步骤序号 描述 1 1 业务组管理 2 2 业务管理 【测试结果】 测试项目 测试结果 业务组管理 添加业务组 是 否 删除业务组 是 否 修改业务组属性 是 否 业务管理管理 添加业务 是 否 删除业务 是 否 业务拓扑 是 否 业务指标 是 否 监控快照 是 否 监控明细 是 否 2.2安全审计 2.2.1 事件采集 【测试目标】 测试安全管理平台对各种设备的事件收集能力 【测试步骤】 步骤序号 描述 1 1 收集防火墙、入侵检测、主机、数据库

14、、应用系统的事件信息。 【测试结果】 测试项目 测试结果 防火墙 支持 是 否 实现方式 Syslog/ SNMP Trap/ JDBC ODBC/ Syslog/ SNMP Trap/ JDBC ODBC/ 文件/ / 其他 说明 入侵检测 支持 是 否 实现方式 Syslog/ SNMP Trap/ JDBC ODBC/ Syslog/ SNMP Trap/ JDBC ODBC/ 文件/ / 其他 说明 主机 Win dowsWin dows 支持 是 否 实现方式 Syslog/ SNMP Trap/ JDBC ODBC/ Syslog/ SNMP Trap/ JDBC ODBC/ 文件

15、/ / 其他 说明 Lin uxLin ux 支持 是 否 实现方式 Syslog/ SNMP Trap/ JDBC ODBC/ Syslog/ SNMP Trap/ JDBC ODBC/ 文件/ / 其他 说明 应用 支持 是 否 实现方式 Syslog/ SNMP Trap/ JDBC ODBC/ Syslog/ SNMP Trap/ JDBC ODBC/ 文件/ / 其他 说明 222 事件标准化 【测试目标】 测试安全管理平台按照一定维度将不同格式的事件转化为标准、统一的事件格式, 并写入数据库。 【测试步骤】 步骤序号 描述 1 1 对收集到的事件根据一定维度进行标准化处理，并写入数

16、据库。 2 2 对收集到的事件可以根据严重程度重新定级。 【测试结果】 测试项目 测试结果 事件标准化 设备名称 是 否 事件名 是 否 事件类型 是 否 事件级别 是 否 时间 是 否 源用户 是 否 源 IPIP 地址 是 否 源端口 是 否 目的用户 是 否 目的 IPIP 地址 是 否 目的端口 是 否 通信协议类型 是 否 其他自定义 事件重定级 是 否 对于不支持的设备或者应用的 日志的标准化方式 223 关联分析 【测试目标】 测试安全管理平台关联分析能力。 通过定义的安全事件规则对安全事件进行分析, 深度挖掘安全隐患、判断安全事件的严重程度、关联出可信度更高的关联事件，提高事

17、件处理的信噪比。 【测试步骤】 步骤序号 描述 1 1 根据模拟事件场景设计关联分析规则。 2 2 验证模拟事件是否可以触发规则并产生报警。 3 3 具备可视化的关联规则编辑器。 【测试结果】 测试项目 名称 描述 测试结果 病毒爆发 监控网络上是否已有多台计算 机同时感染相同的病毒、蠕虫 是 否 或木马（恶意程序代码疫情爆 发） 账号猜测攻击 监控是否有针对不同账号的猜 测攻击行为 是 否 密码猜测攻击 监控是否有针对单一账号的密 码猜测攻击行为 是 否 非法扫描 监控网络上是否有针对多台主 机同时进行通讯端口扫描之行 为 是 否 DosDos 攻击 监控是否有针对特定主机的单 一 DoSD

18、oS 攻击行为 是 否 DdosDdos 攻击 监控是否有多台主机对特定单 一主机发动大里的 DoSDoS 攻击 是 否 具备可视化的关联规则编辑器 是 否 能够编写与具体 IPIP 地址、时间和端口相关的面向业务的关 联规则 是 否 备注 224 事件实时监控 【测试目标】 测试安全管理平台对事件的实时监控能力 【测试步骤】 步骤序号 描述 1 1 展示高等级的事件，并查看事件详情。 2 2 设置过滤器，按照事件类型、设备类型和报警级别分别查看到实时的事件 上报，并查看事件详情。 3 3 能够自定义监控场景，能够从业务系统的角度定义监控场景组。 4 4 能够将事件与（网络/ /机架/ /业务

19、）拓扑相关联，从拓扑直接反映事件状态。 【测试目标】 5 5 能够对监控场景设定复杂的监控条件。 6 6 监控界面的事件展示列表的字段可以自定义，可以对字段进行排序。 7 7 对监控的事件能够进行定位、追溯。 8 8 对监控的事件能够导出。 【测试结果】 测试项目 测试结果 高等级事件展示 是 否 根据过滤器查看事件 按照事件类型 是 否 按照设备类型 是 否 按照报警级别 是 否 其他 是 否 自定义监控场景 内置监控场景 是 否 用户自定义场景 （从事 件类型、设备类型和报 警级别的角度） 是 否 自定义业务系统监控 场景 是 否 拓扑展示 事件状态在拓扑直观 显示 是 否 事件定位、追溯

20、 定位 是 否 追溯 是 否 事件导出 是 否 备注 225 事件告警 测试安全管理平台事件告警能力 【测试步骤】 步骤序号 描述 1 1 可以根据告警信息的严重程度，将告警级别进行划分，能够根据实际 需要定义新的告警级别。 2 2 对系统中持续出现、重复发生以及超过规定时间仍未解决的告警，可 以提升该告警的级别，以保证得到优先及时的处理。 3 3 可以通过声报警、电子邮件、联动、脚本报警等方式进行告警通知。 4 4 对于系统中已经处理完毕的告警信息，需要设置相关的标志，标记为 清除，退出告警处理流程，告警清除可手工清除 5 5 用户可以设定告警规则。 6 6 事件告警能够提升为威胁。 7 7

21、 能够对事件告警数量进行抑制。 8 8 告警规则可以导入、导出。 【测试结果】 测试项目 测试结果 告警级别定义 是 否 告警升级 是 否 告警通知 声光报警 是 否 电子邮件报警 是 否 告警清除 手工清除 是 否 告警规则设定 是 否 事件告警提升为威胁 是 否 事件告警抑制 是 否 告警规则导入、导出 是 否 备注 【测试结果】 226 事件可视化展示 【测试目标】 测试安全管理平台事件可视化展示能力 【测试步骤】 步骤序号 描述 1 1 支持将大量事件可视化的展示出来， 能够反映事件之间的关联关系。 这种可视化不能是简单的图表曲线， 【测试结果】 测试项目 测试结果 可视化展示 事件连

22、接图 是 否 事件地图定位 是 否 其他事件可视化图形 是 否 种类 事件可视化图形中的 事件节点都是可编辑、 可点击、可操作的 是 否 备注 2.2.7 事件查询 【测试目标】 测试系统对审计内容的历史查询实现程度。 【测试步骤】 步骤序号 描述 1 1 验证审计内容是否能查询到。 2 2 可以导出成 csvcsv 文件 【测试目标】 测试项目 测试结果 审计规则匹 配方式 精确匹配 是 否 模糊匹配 是 否 正则表达式匹配 是 否 可以导出成 CSVCSV 文件 是 否 228 审计数据归档 【测试目标】 测试系统是否具备数据归档和恢复的功能。 【测试步骤】 步骤序号 描述 1 1 疋义归

23、档目录和归档时间间隔， 测试自动归档。 2 2 测试手动归档。 3 3 测试手动恢复。 4 4 验证结果。 【测试结果】 测试项目 测试结果 是否提供自动归档 是 否 是否提供手动归档 是 否 是否提供手动恢复 是 否 备注 2.3安全决策 2.3.1 风险管理 测试安全管理平台能够维护资产的弱点、 威胁信息，并根据资产的弱点和威胁对 资产的安全风险进行统计 【测试步骤】 步骤序号 描述 1 1 定期将安全扫描获得的脆弱性信息导入，进行查询、呈现等操作 2 2 对发生的安全事件进行五级威胁等级定义（很高、高、中、低、很低）并 进行统计分析，给出系统威胁分布图表、威胁等级分布图表、资产威胁分 布

24、图表、威胁 TOP NTOP N 排名等 3 3 将事件的威胁、资产价值与资产脆弱性进行关联计算，得出资产的风险值， 并可对资产安全域进行风险评估 4 4 对风险进行实时监控，形成统一的风险级别，进行安全预警，追溯风险威 胁源头，并提供直观的可视化风险展现 6 6 结合静态风险管理功能，可以动态展现过去和现在的安全风险变化趋势 【测试结果】 测试项目 测试结果 资产脆弱性信息导入 是 否 资产威胁等级定义 是 否 威胁统计 系统威胁分布图表 是 否 威胁等级分布图表 是 否 资产威胁分布图表 是 否 威胁 TOP NTOP N 排名 是 否 风险计算 是 否 风险监控 是 否 风险预警 是 否

25、 风险处理 是 否 风险变化趋势展现 是 否 备注 2.3.2 工单管理 【测试目标】 测试安全管理平台通过发送工单的形式来进行工作指令的传达，实现对安全维 护、管理、技术工程师的工单派发。 【测试步骤】 步骤序号 描述 1 1 系统将关联后的安全告警形成故障单， 通过运维系统按照台内运维流程进 行流转到最终该告警的负责人， 该负责人对告警事件进行处理， 处理中的 各个状态、 过程、结果可追踪、可审计、可监督。 【测试结果】 测试项目 测试结果 提供工单管理接口 是 否 备注 2.3.3 知识库管理 【测试目标】 测试安全管理平台知识库。 【测试步骤】 步骤序号 描述 1 1 安全知识库包括黑

26、白名单和案例库，便于管理员进行查询 【测试结果】 测试项目 测试结果 知识库管理 黑白名单 是 否 安全案例库 是 否 手工添加其他知识 是 否 备注 234 报表管理 【测试目标】 测试安全管理平台报表生成能力 【测试步骤】 步骤序号 描述 1 1 能够提供层次化的统计报表，满足从领导层、管理层、执行层的不同层面 的个性化报表内容 2 2 能够生成各类报表并可以根据用户需求定制报表 3 3 报表可以导出为 PDF HTML WORDEXCLEPDF HTML WORDEXCLE 等文件格式，并发送给相关人 员 【测试结果】 测试项目 测试结果 报表定制 系统提供报表模板库 是 否 网络报表

27、是 否 审计报表 是 否 是 否 安全报表 是 否 报表页眉页脚修改 是 否 报表图标自定义 是 否 报表导出 PDFPDF 格式 是 否 HTMHTM 格式 是 否 WORDWORD 是 否 EXCLEEXCLE 是 否 报表发送 是 否 报表调度 是 否 报表存档 是 否 备注 235 产品管理 【测试目标】 测试安全管理平台部署与管理的易用性。 【测试步骤】 步骤序号 描述 1 1 硬件配置要求 2 2 管理界面友好，符合中国人使用习惯，能提供中文管理配置界面 3 3 支持可视化全局管理，实时自定义面板视图，提高关键安全问题的可视性 4 4 支持根据不同级别的管理员角色，定义不同的面板视

28、图，能与管理员分级 别、分权限安全监控需求相匹配 5 5 支持提供网络中全部设备与安全产品的动态视图， 方便用户查看全网安全 事故的收集情况 【测试结果】 测试项目 测试结果 硬件配置 CPUCPU 内存 硬盘 存储 中文管理界面 是 否 管理方式 BSBS 方式 CSCS 方式 面板视图定制 是 否 分权管理 是 否 动态视图 是 否 安装配置复杂度 备注 【测试目标】 第3章.产品部署方式测试 3.1单一部署 【测试目标】 测试安全管理平台的单一部署方式的环境和部署方法 【测试拓扑】 【测试步骤】 步骤序号 描述 1 1 安装米集引擎/ /安全管理平台/ /日志发包器。 2 2 日志发包器

29、向米集引擎发送日志。 3 3 安全管理平台添加米集引擎，进行事件规范化/ /关联分析/ /事件查询等功能 测试。 【测试结果】 符合 不符合 测试结果 【】 【】 其他问题 【测试步骤】 3.2分布部署 测试安全管理平台的分布部署方式的环境和部署方法【测试步骤】 【测试拓扑】 采集引擎 1 Ji 一一-_一 七a- _ 日志发包器 SW 安全管理平台 采集引擎 2 【测试步骤】 步骤序号 描述 1 1 安装两台米集引擎/ /安全管理平台/ /日志发包器。 2 2 日志发包器分别向两台米集引擎发送日志。 3 3 安全管理平台添加两台米集引擎，进行事件规范化/ /关联分析/ /事件查询等 功能测试。 【测试结果】 符合 不符合 测试结果 【】 【】 未实现功能 其他问题 3.3分级部署 【测试目标】 测试安全管理平台的分级部署方式的环境和部署方法 【测试拓扑】 【测试步骤】 采集引擎 1 主安全管理 平台 【测试结果】 步骤序号 描述 1 1 安装两台米集引擎/ /安全管理平台/ /日志发包器。 2 2 日志发包器分别向两台米集引擎发送日志。 3 3 从安全管理平台添加采集引擎 2