综合安全审计产品测试方案

1、综合安全审计产品测试方案北京中船信息科技有限公司北京思福迪信息技术有限公司2011年03月04日综合安全审计产品测试方案 综合安全审计产品测试方案目录 TOC o 1-3 h z u HYPERLINK l _Toc287254259一、测试目的 PAGEREF _Toc287254259 h 4HYPERLINK l _Toc287254260二、测试原则 PAGEREF _Toc287254260 h 4HYPERLINK l _Toc287254261三、测试环境 PAGEREF _Toc287254261 h 6HYPERLINK l _Toc2872542623.1测试对象 PAGE

2、REF _Toc287254262 h 6HYPERLINK l _Toc2872542633.2测试地点 PAGEREF _Toc287254263 h 6HYPERLINK l _Toc2872542643.3测试时间 PAGEREF _Toc287254264 h 6HYPERLINK l _Toc2872542653.4测试人员 PAGEREF _Toc287254265 h 6HYPERLINK l _Toc2872542663.5测试环境 PAGEREF _Toc287254266 h 6HYPERLINK l _Toc2872542673.6测试拓扑示意图 PAGEREF _To

3、c287254267 h 6HYPERLINK l _Toc2872542683.7测试准备 PAGEREF _Toc287254268 h 6HYPERLINK l _Toc287254269四、测试项目 PAGEREF _Toc287254269 h 8HYPERLINK l _Toc2872542704.1产品收集功能测试 PAGEREF _Toc287254270 h 8HYPERLINK l _Toc287254271日志收集方式 PAGEREF _Toc287254271 h 8HYPERLINK l _Toc287254272日志过滤 PAGEREF _Toc287254272

4、h 10HYPERLINK l _Toc287254273日志收集的安全性 PAGEREF _Toc287254273 h 11HYPERLINK l _Toc287254274日志收集的标准化 PAGEREF _Toc287254274 h 12HYPERLINK l _Toc2872542754.2产品存储功能测试 PAGEREF _Toc287254275 h 13HYPERLINK l _Toc287254276日志导出及备份 PAGEREF _Toc287254276 h 13HYPERLINK l _Toc287254277存储使用监控 PAGEREF _Toc287254277

5、h 13HYPERLINK l _Toc287254278存储安全防护 PAGEREF _Toc287254278 h 14HYPERLINK l _Toc2872542794.3产品的查询功能测试 PAGEREF _Toc287254279 h 15HYPERLINK l _Toc287254280多条件组合查询 PAGEREF _Toc287254280 h 15HYPERLINK l _Toc287254281自定义安全事件查询 PAGEREF _Toc287254281 h 16HYPERLINK l _Toc2872542824.4产品的报表功能测试 PAGEREF _Toc2872

6、54282 h 17HYPERLINK l _Toc287254283报表结果可视化展现 PAGEREF _Toc287254283 h 17HYPERLINK l _Toc287254284报表导出格式 PAGEREF _Toc287254284 h 18HYPERLINK l _Toc287254285报表权限 PAGEREF _Toc287254285 h 19HYPERLINK l _Toc2872542864.5产品自身管理及防护功能测试 PAGEREF _Toc287254286 h 19HYPERLINK l _Toc287254287五、测试结论 PAGEREF _Toc287

7、254287 h 23HYPERLINK l _Toc287254288参考标准 PAGEREF _Toc287254288 h 23测试目的本次测试的主要目的，是测试和验证综合安全审计产品的各项功能和性能指标能是否符合客户的实际需求。测试原则在本次测试过程中，将根据客观、公正、公平的原则，按统一的标准，从客户的业务需求和实际环境出发，对参加测试的厂商的产品进行有重点、有针对性的测试。为此，在测试过程中应坚持以下原则：测试环境一致原则本次测试，不同厂家的产品，其测试环境保持一致，即使用相同的网络环境，采用统一的测试工具，设置统一的测试参数进行测试。在一个产品测试完，下一产品测试前，恢复测试环境

8、的初始状态。测试内容一致原则针对不同厂家产品采用相同的测试内容进行测试。并且测试内容一旦确定，所有参加测试的产品必须按其内容逐项进行测试。代表性原则本次测试并不针对测试的产品所有的功能及性能，而是根据综合安全审计产品的应用特点选取具有代表性的功能指标进行测试。根据以上原则，为有效实现测试目标，同时便于测试的实施，对各厂商提供的产品，按照日志的收集、日志的存储、日志的查询及报表统计、自身安全管理功能几个方面进行测试。测试环境测试对象本次测试对象是北京思福迪信息技术有限公司的综合安全审计产品，型号为Logbase-H-530的测试样机。测试地点中船信息科技公司。测试时间2011年03月11日。测试

9、人员厂商人员：赵新 李春测试环境测试拓扑示意图测试准备按上述测试拓扑属意图在网络环境中部署综合安全审计产品为综合安全审计产品的管理口、日志收集代理配置有效IP，确保可以远程访问、管理和日志接收测试项目产品收集功能测试日志收集方式说明：针对不同的设备其日志收集方式也不同。产品支持的收集方式越多，说明产品功能越强大和灵活，也有利于产品在实际复杂拓扑环境中部署。Syslog方式日志收集测试项目Syslog方式日志收集测试说明测试产品是否支持以Syslog方式发送来的日志测试环境Logbase审计主机、H3C交换机（发送syslog日志）前提条件发送Syslog日志的设备与日志收集代理之间IP可达测试

10、步骤在要收集Syslog日志的设备上开启自身审计功能在设备上进行参数配置，使其Syslog目的地指向日志收集代理登录设备或在设备上进行操作以触发日志预期结果产品能收集以Syslog方式发送的日志测试结果可以接受到交换机发送过来的syslog日志备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期SNMP方式日志收集测试项目SNMP方式日志收集测试说明测试产品是否支持以SNMP Trap方式发送来的日志测试环境Logbase审计主机、H3C交换机（发送snmp trap日志）前提条件发送SNMP日志的设备与日志收集代理之间IP可达测试步骤在要收集SNMP日志的设备上开启

11、自身审计功能在设备上进行参数配置，使其SNMP目的地指向日志收集代理登录设备或在设备上进行操作以触发日志预期结果产品能收集以SNMP方式发送的日志测试结果可以接受到发送过来的SNMP TARP信息备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期自定义syslog日志收集测试项目文件型日志收集测试说明测试产品是否支持收集自定义syslog的日志测试环境Logbase审计主机、H3C交换机（发送syslog日志）前提条件发送Syslog日志的设备与日志收集代理之间IP可达测试步骤在要收集Syslog日志的设备上开启自身审计功能在设备上配置自定义syslog日志，并开启

12、自定义日志的接收功能在设备上进行参数配置，使其Syslog目的地指向日志收集代理登录设备或在设备上进行操作以触发日志预期结果产品能收集自定义syslog的日志测试结果登录审计主机可以看到实时生成的自定义syslog日志备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期日志过滤说明：在进行日志收集时应能对其进行过滤，这样有利于对日志进行管理和分析，同时也能减少存储数据所使用的磁盘空间，降低企业的成本。测试项目日志过滤测试说明测试产品是否支持定制过滤规则以过滤掉不需要的日志测试环境Logbase审计主机、SysLog Sender模拟发包工具前提条件收集日志对象的设备与

13、日志收集代理之间IP可达测试步骤在审计主机上添加syslog规则包含关键字up使用syslog模拟发包工具SysLog Sender发送包含up关键字的信息给协议探针预期结果产品能通过定制过滤规则来过滤不需要的日志测试结果能正常过滤出包含规则内定义的关键字的日志备注说明测试结论通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期日志收集的标准化说明：能够在收集到日志后对其进行标准化和格式化是综合安全审计的重要需求之一。由于在实际环境中日志来源和种类繁多，能以有效的方式和方法来标准化和格式化不同来源和类型的日志对于日志审计和分析至关重要。测试项目日志收集的标准化测试说明测试产品的日志收集

14、代理在接收到日志后是否可以对其进行标准化测试环境Logbase-H-530前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤在要收集文件型日志的设备上开启自身审计功能登录设备或在设备上进行操作以触发日志在审计中心查看日志预期结果日志已被标准化，至少包括事件ID、事件发生的日期和时间、事件的严重度级别、事件的主体、事件的结果等信息测试结果收集到的日志信息均包含发生时间、发生地址、事件ID、事件信息等备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期产品存储功能测试日志导出及备份说明：产品应能够在收集到日志后，对其进行导出备份以在发生意外的情况下所有的日志仍然

15、可以访问。测试项目日志导出及备份测试说明测试产品是否可以将收集到的日志进行导出和备份操作测试环境Logbase审计主机前提条件有一定量的日志存储测试步骤以管理员的身份登录产品在设备上进行日志导出操作和备份操作预期结果产品存储的日志信息可以被导出和备份测试结果支持日志备份及还原；备份的数据可以被导出，并且导出的数据是加密的备注说明设备设有缓存机制，加速查询。存在缓存中的数据是无法备份的测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期存储使用监控说明：产品应能够设置自身的存储使用上限，并且可以对自身的存储空间的使用情况进行监控，以便在存储使用快达到阈值时管理人员可以提前采取相

16、应的操作如日志导出备份。测试项目存储使用监控测试说明测试产品是否设置存储上限，并且可以对存储的使用情况进行监控测试环境Logbase-H-530 前提条件测试步骤以管理员的身份登录产品在设备上进行设置存储上限预期结果可以设置存储的存储上限，并且能够监控存储的使用情况测试结果可以按协议类型设置每个协议可占用磁盘的情况备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期存储安全防护说明：产品存储的日志信息通常为十分重要的信息，需要有足够的安全保护机制防止存储的日志被私自访问、删除或者修改。测试项目存储安全防护测试说明测试产品是否相关的存储安全防护机制测试环境Logbas-

17、H-530 前提条件测试步骤设备只有管理员有权限进行备份，删除操作。并且对管理员在设备上的操作都会有相应的记录。预期结果产品有相应的安全防护机制可以保护存储的信息免受未授权的访问、删除或修改测试结果非管理员用户没有数据管理权限，无法进行删除操作。备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期产品的查询功能测试多条件组合查询说明：产品通常会长期地存储日志，因此在海量的日志中如何能尽快查找到关心的日志十分重要。特别是在发生安全事故后通过日志查询进行取证分析时十分关键。所以产品应提供灵活的日志查询方式，可以使用基于多种关系运算符、逻辑运算符将多个查询条件组合起来进行日

18、志查询。测试项目多条件组合查询测试说明测试产品是否可以提供不限条件数的条件组合式查询测试环境Logbase-H-530 前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤登录设备或进行任意操作触发日志以管理员的身份登录产品根据多个条件组合查询日志预期结果产品可以不限条件数的进行条件组合式查询测试结果可以进行多条件组合查询，符合测试要求备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期自定义安全事件查询说明：产品应允许用户根据自身的需要，对关注的特定事件进行自定义安全事件查询，以便快速地定位问题。测试项目自定义安全事件查询测试说明测试产品是否允许用户进行自定

19、义事件查询测试环境Logbase-H-530前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤以管理员的身份登录产品并进行自定义安全事件查询预期结果产品提供用户自定义查询安全事件的功能测试结果可以自定义查询条件，进行检索备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期产品的报表功能测试报表结果可视化展现说明：产品在生成报表时，除了以表格形式展现报表结果外，还应同时能以图形（如饼状图、直方图等）的形式表示报表结果。不但便于管理员对报表结果进行快速分析，也有利于非技术人员如管理层理解报表结果，从而有助于IT系统的建设和整体策略的制定。测试项目报表结果可视化展

20、现测试说明测试产品的报表是否提供除表格以外的展现方式测试环境Logbase-H-530 前提条件测试步骤以管理员的身份登录产品在设备上创建报表并包括支持的图形显示查看实际生成的报表结果预期结果产品的报表结果展现方式至少包括上述类型测试结果报表中包括了柱状图、饼状图、曲线图备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期自定义报表功能测试项目自定义报表功能测试说明测试产品的报表是否提供除内置报表以外的自定义功能测试环境Logbase-H-530 前提条件测试步骤以管理员的身份登录产品在设备上新建报表并生成该报表查看实际生成的报表结果预期结果自定义报表生成结果与预设一

21、样测试结果自定义报表可以按照定义内容生成备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期报表导出格式说明：产品应能把生成的报表结果导出为多种常见格式包括:、HTML、CSV等，便于用户在不同环境下查看报表结果。测试项目报表导出格式测试说明测试产品当导出生成的报表结果时支持的格式类型是否丰富测试环境Logbase-H-530前提条件测试步骤以管理员的身份登录产品并创建报表运行并查看实际生成的报表结果将报表结果导出到本地预期结果产品结果导出的格式至少包括上述类型测试结果报表可以导出为csv、html格式备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪

22、日 期日 期报表权限说明：产品应该可以根据不同权限的人员生成各自需要的审计分析报告，以便查看报表的人员只能看到符合其工作内容的报表结果。测试项目报表权限测试说明测试产品是否可以给不同权限的人员生成各种需要的审计分析报表测试环境Logbase-H-530前提条件测试步骤以管理员的身份登录产品并创建报表以不同权限的用户身份登录产品并查看报表预期结果产品可以给不同权限的人员生成各种需要的审计报表测试结果可以对创建的用户分配报表权限，对新建用户可以设置IP地址过滤，使其只能查看分配给他IP范围的设备日志备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期产品自身管理及防护功能测试用户登录认证说明：产品在用户登录系统执行查询日志等操作前，应首先对用户的身份进行，包括基本的用户名/密码认证方式。测试项目用户登录认证测试说明测试产品是否可以在用户登录前对其身份进行鉴别，至少包括基本的用户名/密码认证方式测试环境Logbase-H-530前提条件测试步骤以正确的用户名/密码组合登录产品以错误的用户名或密码登录产品预期结果产品在用户登入系统前会对其进行身份鉴别测试结果正确的用户名/密码可以登录审计系统,错误的无法登录备注说明测试结论 通过 部分通过 未通过 未测试结果确认中船思福迪日 期日 期用户超时重新鉴别说明：产品