




版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
网络漏洞扫描系统测试方案1/16目录TOC\o"1-5"\h\z\o"CurrentDocument"1 产品初步评估 3\o"CurrentDocument"1.1 送测产品登记 31.2 产品功能 31.3 产品部署 31.4 系统配置 错误!未定义书签。\o"CurrentDocument"1.5 基本情况调查 4\o"CurrentDocument"2 系统功能测试 7\o"CurrentDocument"2.1 部署和管理 7\o"CurrentDocument"2.2 系统升级能力 7\o"CurrentDocument"2.3 扫描任务高级属性 7\o"CurrentDocument"2.4 扫描任务参数配置测试 8\o"CurrentDocument"2.5 扫描策略定制 8\o"CurrentDocument"2.6 信息收集能力测试 9\o"CurrentDocument"2.7 及时显示能力测试 10\o"CurrentDocument"2.8 扫描文档和报表 102.8.1扫描文档、报表的生成灵活程度测试 102.8.2报表信息完善程度和正确测试 11\o"CurrentDocument"2.9 系统的安全策略 12\o"CurrentDocument"2.10文档 12\o"CurrentDocument"3 漏洞扫描测试 12\o"CurrentDocument"3.1 系统脆弱性测试 12\o"CurrentDocument"3.2 数据库脆弱性扫描测试 13\o"CurrentDocument"3.3 系统智能化程度测试 13\o"CurrentDocument"4 资产管理与弱点评估 14\o"CurrentDocument"4.1 部门管理 14\o"CurrentDocument"4.2 资产管理 14\o"CurrentDocument"4.3 资产弱点评估 15\o"CurrentDocument"5 性能测试 15\o"CurrentDocument"5.1 扫描速度测试 15\o"CurrentDocument"5.2 扫描系统资源开销 15\o"CurrentDocument"6 其他 16\o"CurrentDocument"7 总结 16
1产品初步评估产品初步评估是指对产品供应商的资质、产品本身的特性、内部配置、适用范围、技术支持能力、核心技术、产品本地化、产品认证等方面进行的书面的初步评估。1.1送测产品登记表格一:送测产品登记表产品名称型号厂商名称产品形态产品组成1.2测试环境要求扫描系统应支持多种灵活的部署方式,可以被安装在便携机或pc工作站上,也可以也可以预装到机架式硬件工控机中,用户将其连接到被扫描的网络环境中即可进行对全网进行的脆弱性检测。测试拓扑图如下:变换机服务器终端服务器终端设备类型配置描述数量PC硬件要求:X86架构的台式机或笔记本电脑。CPU:不低于1.5G主频内存:不低于1G,建议2G以上硬盘:不低于500M剩余空间,建议2G以上剩余空间网卡:至少一块100Mbps以太网卡软件要求:操作系统:中文版Windows2000Professional/ServerwithSP4、WindowsXPwithSP3、WindowsServer2003withSP2、WindowsVista、WindowsServer2008、Windows7浏览器:IE6.0以上版本1台交换机100M/1000M可镜像端口1台1.3基本情况调查表格二:基本情况调查表产品信息产品名称厂家名称产品类型□软件□硬件软件组件操作系统的兼容性产品体系结构□扫描器和管理平台一体化□其他操作系统要求Windows2000withSP4(Professional&Server)WindowsXPwithSP3Windows2003ServerwithSP2WindowsVistaWindowsSever2008
□Windows7数据库支持□支持数据库切换系统的功能扫描方式□网络扫描□主机扫描□Windows域扫描用户管理□多管理权限划分□权限统一管理权限管理□可扫描IP地址数量限制□扫描任务次数限制□授权服务期限限制□功能模块限制策略管理□默认17种策略□用户自定义策略□策略的导入/导出任务管理□立即执行□定时执行□定期循环执行报表功能□主机扫描报表□漏洞扫描报表□全报表□任务对比分析报表□任务趋势分析报表□部门扫描报表□部门对比分析报表□部门趋势分析□角色报表□用户自定义报表□WEB报表漏洞类型□系统漏洞□应用服务漏洞□后门程序检测□数据库漏洞□应用软件漏洞数据库扫描OracleMSSqlDB2SybaseMysql更新机制□专用更新程序□手动更新
□自动在线更新□按周升级包□季度升级包合集部门管理□按网络地址划分部门□设置多级子部门□部门扫描资产管理□手动增加资产□自动从扫描结果中导入资产□支持资产保护等级属性设置□支持资产价值属性设置□支持资产类型属性设置□资产自动发现资产风险评估(可选模块)□资产弱点评估□资产弱点统计□资产弱点对比漏洞验证(可选模块)□漏洞验证二次开发接口支持(可选模块)□支持xml接口调用□支持WebService接口调用系统功能测试2.1部署和管理[测试目标]测试系统安装过程是否简易,是否需要安装第三方软件,安装后是否对原系统造成不良影响其基本构成是否与厂家提供的说明信息一致。[测试结果]测试项目测试结果是否为中文界面□是/□否安装过程中是否需要用户安装第三方软件□是/□否是否需要在被扫描的目标系统上安装软件□是/□否系统是否支持多用户管理□是/□否用户权限是否可以分级□是/□否2.2系统升级能力[测试目标]测试系统升级的方式是否方便、多样,系统是否支持在线升级,升级过程是否安全(是否进行加密),升级内容是否详细[测试结果]测试项目测试结果是否支持在线升级□是/□否是否支持非在线升级□是/□否升级后是否能够发现最新公布的安全漏洞□是/□否扫描任务高级属性[测试目标]系统支持扫描任务的高级属性[测试结果]是否支持断网续扫□是/□否是否支持断点续扫□是/□否是否支持域扫描□是/□否
是否支持域名扫描□是/□否扫描任务参数配置测试[测试目标]是否可以配置不同的扫描任务参数[测试结果]测试项目测试结果任务优先级□是/□否最大并行扫描主机数目□是/□否主机最大线程数目□是/□否是否针对有防火墙设置的主机有不冋的探测方式□是/□否是否支持网络延迟设置□是/□否按操作系统扫描□是/□否按域扫描□是/□否只扫描存活主机□是/□否是否支持快速扫描□是/□否通知被扫描主机□是/□否是否支持会话备份□是/□否2.5扫描策略定制[测试目标]测试扫描系统是否提供定制扫描策略的功能,扫描策略的定制是否方便,分类是否足够详细[测试结果]测试项目测试结果扫描漏洞库是否分类□是/□否是否能显示扫描漏洞的数量□是/□否漏洞资料是否全部中文本地化□是/□否是否对每个漏洞有注释说明□是/□否是否容易关闭一个漏洞□是/□否是否容易启用一个漏洞检测□是/□否是否可以对策略参数进行调节□是/□否是否可以对漏洞参数进行调节□是/□否策略是否可以导入导出□是/□否是否提供专门的Windows扫扌田朿略□是/□否是否提供专门的Unix扫描策略□是/□否是否提供网络设备扫描策略□是/□否
是否提供数据库扫描策略□是/□否是否支持定制扫描策略□是/□否缺省的扫描策略种是否支持漏洞筛选□是/□否用于筛选漏洞的条件有哪几种□风险程度□CVE编号□应用类型□操作系统类型□其它,CNCVE是否能够单独选择扫描漏洞列表□是/□否是否支持扫描策略的导出和导入□是/□否口令猜测字典是否分类□是/□否口令猜测字典是否可以自定义□是/□否扫描端口范围是否可以自定义□是/□否是否支持端口服务智能识别技术□是/□否能够指定扫描目标的参数□指定ip地址□指定ip网段□指定多个ip网段□指定多个ip网段中的地址是否支持在指定的时间自动启动扫描□是/□否是否支持间隔一定时间自动扫描□是/□否是否能够使用目标系统的已知账号/口令对其进行更有效的扫描□是/□否使用用户名/口令文件□是/□否是否支持漏洞查询□是/□否查询条件是否支持CVE□是/□否查询条件是否支持Bugtraq□是/□否查询条件是否支持CNCVE□是/□否查询结果是否支持批量选择□是/□否2.6信息收集能力测试[测试目标]测试扫描系统是否能够正确获取目标主机的各类信息等[测试结果]测试项目测试结果是否能够正确分析出目标系统的操作系统类型□是/□否是否能够正确地探测目标系统是否能够PING通□是/□否是否能够正确探测目标系统上所有打开的TCP端口□是/□否是否能够正确探测目标系统上所有打开的UDP端口□是/□否是否能够利用finger服务获得目标主机上的用户信息□是/□否
是否能够利用NetBIOS服务获得目标主机上的用户信息□是/□否2.7及时显示能力测试[测试目标]测试扫描系统是否能够及时列出扫描出的结果信息等[测试结果]测试项目测试结果是否能够及时列出扫描出的全部漏洞□是/□否是否能够及时列出扫描出的全部端口□是/□否是否能够及时列出扫描出的全部账户密码□是/□否是否能够及时列出扫描出的全部主机□是/□否是否能够及时显示扫描进度□是/□否扫描结果是否方便查看□是/□否2.8扫描文档和报表扫描文档、报表的生成灵活程度测试[测试目标]在扫描结束后,用户是否能够灵活地组织其希望生成的报告[测试结果]测试项目测试结果扫描结果能否写入数据库□是/□否是否支持根据设定的条件生成不同的报告□不同的风险级别□不同的主机地址是否可以组合多种条件决定在生成的报告中包含哪些漏洞□是/□否允许组合使用的条件□漏洞风险□主机地址□部门(资产统计和弱点评估)是否可以生成主机间比较的结果报告□是/□否是否支持实时扫描结果导出□是/□否是否可以将将新出现的危险情况及时通知管理员□是/□否是否支持报表邮件发送□是/□否
能够生成的报告格式DocHTMLXMLPDFExcelRTF能够任意组合调整报表模板定制报表□是/□否报表信息完善程度和正确测试[测试目标]评估不同的扫描系统提供的信息的完善程度和正确程度[测试结果]测试项目测试结果扫描起止日期、时间□是/□否扫描使用的策略名称□是/□否生成报告的策略名称□是/□否扫描结束的状态□是/□否扫描目标的描述信息(总数目、ip地址等)□是/□否根据漏洞的危险级别统计分析得到的报表和图表□是/□否根据漏洞的类型统计分析得到的报表和图表□是/□否针对每台主机列出扫描该主机收集到的信息(端口、月服务、账号等)□是/□否为每台主机列出该主机上存在的漏洞列表□是/□否对每个漏洞都简单介绍存在该漏洞的软件的作用□是/□否对每个漏洞都描述该漏洞可能造成的危害□是/□否对每个漏洞都给出易于理解的名字□是/□否对每个漏洞都描述了存在漏洞的原因□是/□否对每个漏洞都提供了修补漏洞的方法□是/□否每个漏洞是否具备CVSS评分□是/□否每个部门是否具备风险分值及安全等级□是/□否根据提供的修补方法能够有效地修补漏洞,而不需要参考其它资料□是/□否提供了能够获得该漏洞相关信息的网站□是/□否提供了其它机构对该漏洞的命名CNCVECVEBugtraq□否提供的报告为中文信息□是/□否
是否提供对整个系统的安全程度的综合评估□是/□否2.9系统的安全策略[测试目标]测试扫描系统对于系统操作的日志和审计功能[测试结果]测试项目测试结果扫描ip地址限制□是/□否在任何操作前的身份鉴别□是/□否系统是否具有鉴别失败处理□是/□否系统是否可以设定失败次数□是/□否是否可以对其他管理员生成的扫描策略信息进行察看和设置□是/□否察看是否可以对其他管理员生成的扫描日志信息进行察看和设置□是/□否2.10文档[测试目标]测试该系统是否提供详尽的文档[测试结果]测试项目测试结果是否提供全中文的安装说明文档□是/□否是否提供全中文的用户操作手册□是/□否是否提供全中文的在线帮助□是/□否漏洞扫描测试3.1系统脆弱性测试[测试目标]测试扫描系统是否发现不同操作系统的系统弱口令以及不恰当的共享或危险配置等。
[测试结果]测试项目测试结果是否发现用户的弱口令例如空,123,admin等□是/□否是否发现操作系统重要目录设置为共享□是/□否是否发现FTP服务器匿名用户可以访问□是/□否是否发现FTP服务器匿名用户文件可写权限□是/□否是否能够检测出目标系统的操作系统□是/□否是否支持对ping不通主机的扫描□是/□否是否支持共享枚举□是/□否3.2扫描验证测试[测试目标]测试扫描系统是否发现能对扫描出来的漏洞进行验证。[测试结果]测试项目测试结果是否能对扫描出来的共享环境进行验证□是/□否是否能对扫描出来的开放端口进行验证□是/□否是否能对扫描出来的用户口令进行验证□是/□否3.3数据库脆弱性扫描测试[测试目标]测试被扫描的数据库是否包含默认口令、弱口令以及其他漏洞。[测试结果]测试项目测试结果扫描oracle数据库的信息,如用户/口令/漏洞等□是/□否扫描MSSQL数据库的信息,如用户/口令/漏洞等□是/□否扫描Sybase数据库的信息,如用户/口令/漏洞等□是/□否扫描DB2数据库的信息,如用户/口令/漏洞等□是/□否扫描Mysql数据库的信息,如用户/口令/漏洞等□是/□否系统智能化程度测试[测试目标]测试扫描系统是否能够综合利用扫描获得的信息,是否能够根据一定的规则减少扫描
的工作量等智能化性能。[测试结果]测试项目测试结果是否能够识别该系统为WINDOWS系统,而且能够得到系统版本□是/□否是否能够识别该系统为LINUX或UNIX系统,而且能够得到系统版本□是/□否是否能够识别出开放在别的端口上的服务□是/□否资产管理与弱点评估4.1部门管理[测试目标]测试扫描系统是否能够增加、修改和删除部门的功能。[测试结果]测试项目测试结果是否能够增加部门□是/□否是否能够修改已存在的部门及其属性□是/□否是否能
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年中国家用电动扳手行业市场全景分析及前景机遇研判报告
- 设备装配单位管理制度
- 设计开发评审管理制度
- 2025年中国机器人集成行业市场全景分析及前景机遇研判报告
- 诊所卫生应急管理制度
- 诊所药房员工管理制度
- 试验人员考核管理制度
- 财务费用报销管理制度
- 财政罚款票据管理制度
- 货场淘汰设备管理制度
- 文献整理表格
- 初一几何综合练习题
- DBJ∕T 13-261-2017 福建省二次供水不锈钢水池(箱)应用技术规程
- GB∕T 16422.3-2022 塑料 实验室光源暴露试验方法 第3部分:荧光紫外灯
- 中国历史地理复习资料
- 05示例:玉米脱粒机的设计(含全套CAD图纸)
- 冷库项目施工组织设计方案
- 年中总结会策划方案
- (最新)污水处理池施工方案
- 肺脓肿护理查房ppt课件
- 我要建一座王宫(正谱)
评论
0/150
提交评论