impervadam产品测试方案

测试环境和准备工 测试拓 测试设 网络环境准 测试进度和安 测试原则和回退方 测试目 测试项 部署和管 数据库部署方 混合部 集中管 分权管 数据库审计和报 审计规 数据库过程的审 报告功 数据库扫描和评 虚拟补 数据库安全和保 数据库特 SQL协议安全检 策略动 数据库相关功 用户 其 网页应用和数据库关联分 测试环境和准备工测试拓测试中，SecureSphere的系统需要两个设备：数据库安全网关和控制终端，控制终端PC机。，在试用部署中，在网关上进行实时数据库的安全分析，并进行告警和日志记录。前方式的改变，如改成部署的方式部署的情况下，检验对的实时阻断的，Securesphere测试设测试设数备Imperva网关（可将管理服务器也启动在单SecureSphereImperva管理服务器SecureSphereDBDB网络环境准DBSQLDBIP如果要保护的DB服务有SSL加密通讯，请提供ServerPEM格式的公钥和私钥，或者PKCS12格式的；是RJ45端口，如果是光口的，需要准备对应的设备接口DB服务器的进出流量通过端口镜像出来，接Imperva的DXG的端口。如果有负载均衡设备，可以在DXG上。镜像端口的流量需要双向流量。采用部署方式，需要保证DB服务器的流量穿过SecureSphere，因此需要将SecureSphereDB服务器前面，如果有负载均衡产品，可以选择串接在负载均衡产品之前或者之后。SecureSphere100M/1000MRJ45的接口，要注意SecureSphere连接的设备的接口应该和这个匹配。请分配一个管理的IP地址给SecureSphere，用于的管理，管理要用到测试设IP地址分配表测试设IP地址和掩备ImpervaX2500Imperva管理服务器（MX100）如需测试分布式集中管理或者HA受保护的DB服务器信息表测试设IP地址和掩备DBDBDB如果上面分配的IP地址有限制，或网关的管理地址和管理服务器之间有，规则源地目的地协议/端动备SecureSphere允许SecureSphereSecureSphere网关管SecureSphereSecureSphere管理服SecureSphere允许网关和管理服务SecureSphere管理服SecureSphere网关管允许管理员通过SSHHttps管理端口管理SecureSphere设备测试进度和安时准备测试的设备和Imperva设备通过桥接方式上Imperva师ImpervaImpervaImperva师GothroughImperva师Imperva师测试原则和回退方测试将以不影响用户现有业务应用为第一原则。Imperva的网关将运行在旁路或者服务器的通路当中完全是透明的。如果出现任何异常网络问题或故障，可将（bypass测试目本次试用的主要目的在于Imperva的数据库防护系统是否能够为数据库安全和管理提供有价值的技术，达到客户要求，满足其功能性测试的包括 数据库用户的行为和行为包括 不允许的数据 不允许的表，或采用了不允许的操 不允许的敏感表，或采用了不允许的操使用了不允许的数据库用户进行从未允许的地址进行使用未允许的的在不允许的时间进行是否能提供详细的、完整的日志记录，和相应的分析能力能否记录日能否定义日志记录的条件（哪些操作需要记录，条件包括数据库/Schema，表，列，操作，源IP，时间，响应的时间，响应记录的是否能查询的参数信源/IP被数据库的工具Stream能否对审计结果提供相应的分析能力，通过审计视图展现用户感的是否能提供全面的数据库安全评估的能力是否能提供提供使用行为评估的能力是否能通过观察数据库流量自动产生每个用户的行为模模型能否自动收敛（具体参数，如指令组的状态由”学习”变为”保护对于已收敛的项目，是否能对产生告警对行为模型的具体项目是否能进行调整（是否对现有业务系统带来任何影响IP地是否能定期对相关安全策略的结果汇总分析，可以用户定制报表格式内容，并可生成使用于塞班斯等审计机构要求的报表设备性能是否足够强500Mbps数据库流量1Gbps数据库流量2Gbps数据库流量丰富的数据库保护功提供丰富的特征代码保护数据库，并且特征代码可以升SQL测试项部署和管网络部署方网络部署方测试项系统提供旁路、透明桥接等多种网络部署方数据库部署方测试项 数据部署方在测试数据库服务器上安装数据库，并验证可成功数据库进行系统提供各种通用平台的数据库程序，应包括AIX、HPUnix、Linux、Solaris、Windows等主流操作系统对应的安装程序AgentAgent成功部署后，可以审计/保护所有的本地、网络数据库流量，包混合部测试项 混合部系统支持同时使用网络和本地的混合部署方式可以通过管理界面同时管理网关设备和数据数据库支持覆测试项数据库支持Oracle、DB2、Informix、SybaseASE、SybaseIQ、，集中管，测试项集中管系统可支持多个网关以及多个数据库程序的集中管理策略设定、数据库程序，在管理界面中验证产品是否可集中管理多个网关设备集中管理界面中可查看到所有网关设备和数据库程序的运行分权管测试项集分权管数据库审计和报审计规测试项审计规ISO27001等SQL出错信息匹配审计日志的完整测试项 审计日志的完整在测试环境中，对目标数据库进行各种数据库的。完成后验证SQL执行错误SQL语句WebSessionID（BS环境Web源地址（BS环境）WebURL（BS环境）数据库响应内容的审测试项 数据库响应内容的审对于一些关键的业务表，不仅仅要对数据库的操作语句进行记录，系统准确记录了数据库对应的响应内敏感表的定测试项 敏感表的定，数据库过程的审，测试项数据过程的审因此需要系统能够自动的获取数据库上创建的各种过程的定义从而实现过程和实际操作的对应使用该过程数据库，观察是否出发了安全规则系统应该提供数据库缺省的过程定义包括OracleDB2MSSQL、Informix、Sybase等主流数据库系统准确的了过程中实际数据库表操作的行数据库绑定变量的审操作内容。因此，在进行数据库审计时需要系统能够准确的审计数据数据库绑定变量的审测试项加密数据库流量的审测试项加密数据库流量的审对于采用SSL方式加密的Oracle数据库流量也需要进行审计SSL采用SSLOracle数据库，并观察是否成功的记录了对应的数SSLOracleSSL应用用户审测试项应用用户审对于采用BS架构或者CS架构等3层架构的数据库，因为大多数都采用的是共享数据库账号的方式进行数据库，因此需要能够进一构架BS方式的三层数据库架配置系统对网页应用用户、数据库的关联分析和审系统应该还可以提供对CS架构的3层架构数据库的应用用户BS业务信息补测试项业务信息补可扩展的接口导入企业现有 通过文件方式或者LDAP方式创建业务补全信息，例如，数据库LDAP、CSV文件、SQL部门、工单、Manager等等敏感数据掩测试项敏感数据掩对于审计日志或告警中出现的敏感信息，应该进行敏感信息的掩码有的Visa进行掩码处理在完成查询该表后，查看记录下的数据库响应内容中，信息是否导入导出命令的审测试项导入导出命令的审OracleOracle测试数据库服务器，使用下面的DirectExport操作，并观察审计效果expuserid=<username>/<password>@<database>file=<filename>log=<log-file>tables=<qualified-table-name>direct=yusername–aprivilegedusernamepassword–thepasswordofthatuserdatabase–nameoftheTNSentryasappearsintnsnames.orafilename–thedatatoexportthefiletolog-file–alogfilefortheexporttables–fullyqualifiedtablename:DirectExport归档和自动清测试项归档和自动由于审计日志量较大，而且需要长时间的保存，因此需要确保系统供灵活的归档方式，并可在成功归档到外部后自动清FTP、SCP、NFS审计日志加测试项 审计日志加日志自动汇聚功测试项日志自动汇聚功进行相同特性的数据库多次，并观察审计日志的展快速审计视快速审计视测试项 报告功测试项报告功ISO27001、SBS等等数据库扫描和评数据库发现和敏感表扫数据库发现和敏感表扫测试项测试方测试方 数据库发 数据库安全评测试项 数据库安全评在具有数据库业务流量环境中，运行数据库安全评估测试，观察扫等系统可提供提供常见数据库、安全配置检安全评估测试可自动更虚拟补测试项虚拟补数据库用户权限汇总分测试项数据库用户权限汇总分常的事情，因此需要有一个可集中汇总所有的数据库账号进行一分析和的工提供内嵌的流数据库安全和保数据库特测试项数据特的 SQL协议安全检测试项 SQL协议安全检检验数据库流量是否符合标准SQL协议规定，对于出现不符合标准SQLSQL自定义数据库安全规测试项自定义数据库安全规ISO27001等SQL出错信息匹配数据库使用模型生测试项数据库使用用户的行为模数据库模型是自动生成名、OS用户、目标数据库、目标表以及操作、查询、查询组等等数据库模型还具备自动更新的能数据库模型安全规测测试项数据库模型安全规，测试方 的数据库用 的主 的OS用 的源应用程 的源地 的数据库和 策略动测试项 策略动检验是否能设置相应控制动作，例如阻挡、短期阻挡、长期阻挡、发、syslog、snmp短期阻断，可基于IP、用户、会话阻断一段较短的时间长期阻断，可基于IP、用户、会话阻断一段较短的时间syslog发送发送数据库信息泄密规测试项 数据库信息泄密规例如，PCI中规定，数据库中不可以信息，如果出现了类对应的操作系统提供预定义的信息策略模可自定义信息安全规安全规则应该应用于所有数据库流量，而不仅仅是被审计的流安全警告信测试项安全告警信进行相应的操作，并观察对应的告警信息是否是预