《亿赛通内网数据泄露防护产品测试方案》由会员分享,可在线阅读,更多相关《亿赛通内网数据泄露防护产品测试方案(37页珍藏版)》请在金锄头文库上搜索。
1、亿赛通内网数据泄露防护 产品测试方案二九年九月版本历史版本日期备注1.02009年5月22日第1版亿赛通内网数据泄露防护产品测试方案2.02009年9月22日第2版亿赛通内网数据泄露防护产品测试方案Copyright 2009 ESAFENET Corporation BeiJing P. R. ChinaESAFENET CONFIDENTIAL: This document contains proprietary information of ESAFENET Corporation and is not to be disclosed or used except in accorda
2、nce with applicable agreements.Due to update and improvement of ESAFENET products and technologies, information of the document is subjected to change without notice.目 录1适用范围22参考资料23系统简介23.1DLP-CDG系统简介23.2DLP-FileNetSec系统简介34环境准备44.1系统环境44.2环境拓扑45测试计划56测试用例66.1EST-01:用户认证与帐号管理(AD集成认证、用户绑定)66.2EST-02
3、:文档透明加密保护(文档透明保护、策略定义和下发)86.3EST-03:内容安全控制(复制粘贴、另存为、拖拽、拷屏等控制)106.4EST-04:流程化支撑(解密审批流程、离线审批流程、卸载审批流程)146.5EST-05:例外需求处理(邮件外发自动解密审批流程、文档外发控制)176.6EST-06:设备安全管理(设备安全准入控制、安全U盘功能)196.7EST-07:DLP终端安全防护(用户异常状态审计、终端自我防护)216.8EST-08:系统日志审计(系统日志在线审计、报表导出)236.9EST-09:系统兼容(操作系统、应用软件、防病毒体系等兼容)246.10EST-10:应用系统集成
4、整合(安全网关透明加密,安全准入整合)256.11EST-11:文档主动授权控制(授权文档制作,批量授权)276.12EST-12:文档权限细粒化控制(复制粘贴,只读,打印,修改,再授权)296.13EST-13:权限文件流程支持(权限蛮更申请,还原)321 适用范围内网数据泄露防护项目。该测试方案主要用于指导用户针对亿赛通DLP系统测试(本方案含DLP-CDG、DLP-FileNetSec、DLP-SafeUDisk)。根据事先交流给定的需求、性能等要求,从测试组成员和用户的角度对系统进行测试,主要包含如下功能:n DLP-SMARTSEC(透明加解密模块)功能认证与帐号管理、策略管理、文档
5、加密保护、内容安全、流程支撑、例外处理、系统兼容、日志审计、系统集成、自我防护等;n DLP-DRM(权限管理模块)功能集中管理、权限控制、日志审计等;n DLP-ODM(外发管理系统)功能权限控制、系统兼容、日志审计;n DLP-FileNetSec(安全网关过滤设备)功能透明过滤加密、透明过滤解密、系统无缝集成等;n DLP-SafeUDisk(安全U盘)功能身份认证、U盘加密等;2 参考资料亿赛通DLP-CDG产品技术白皮书亿赛通DLP-CDG产品使用手册亿赛通DLP-FileNetSec产品技术白皮书亿赛通DLP-FileNetSec产品使用手册3 系统简介3.1 DLP-CDG系统简
6、介亿赛通数据泄露防护(DLP)体系(以下简称“DLP”),是面向企业客户应用的内网数据安全(文档安全)软件产品。DLP-CDG以数据透明加密为核心,结合身份认证、角色管理、数据保密、权限控制、流程应用、和监控审计技术,创建数据安全为中心的多层次安全模式,保护信息整个生命周期安全,构筑主动防御、阻止、追溯信息泄密的全方位内网安全解决方案。防止来自内部人员以电子文档为载体的企业内部重要信息泄密或外部窃取,降低机密信息、知识产权泄漏风险,减少高额管理成本。该系统保护的企业重要信息包括与产品研发和设计相关的图纸、方案、技术文档,与营销有关的营销策略、市场策划案、客户资料,与财税有关的财务报表等企业重要
7、的知识产权信息、商业秘密等信息。通过技术手段保证企业相关安全制度的有效执行和流程固化,实现 “事先主动防护,事中动态控制,事后全维追踪”的功能,从而杜绝信息泄密。3.2 DLP-FileNetSec系统简介亿赛通文档安全网关FileNetSec是亿赛通文档透明加密系统SmartSec的网络功能模块,用于保障SmartSec系统与其它网络系统的无缝集成并为其他网络系统提供文档安全保障。 NetSec由硬件和软件两大部分组成,其中硬件采用高性能的网络服务器,软件为亿赛通研发的文档安全网关过滤软件。亿赛通文档安全网关过滤软件由“网络加速”、“访问控制”、“访问日志”和“动态加解密”四大模块组成。34
8、4 环境准备4.1 系统环境机器名称用途操作系统环境配置数量DLP-SVR用来部署DLP-SMARTSEC服务器端,对内网终端进行安全管理WINDOWS2000(SP4)/WINDOWS2003(SP2)CPU:P4以上内存:512M以上,推荐1G硬盘:10G以上数据库:SQL2000(SP3)/ SQL2005/MYSQL1DLP-CLT用来部署DLP-SMARTSEC客户端,其中两台模拟内网受控终端,另外一台模拟外网非法终端WINDOWS2000/XP/2003/VISTACPU:800MHZ以上内存:512M以上硬盘:无特殊要求应用:IE6.0/7.0OFFICE2003/2007Ado
9、beAcrobat5.08.0防病毒/防火墙不限34.2 环境拓扑5 测试计划测试预期历时3天,具体安排如下表:日期类型事项时间(天)人员2009-9-N上午环境准备介绍测试方案环境准备0.5天客户方技术顾问、亿赛通技术顾问2009-9-N下午方案测试DLP-CDG功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-9-(N+1)上午DLP-FileNetSec功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-9-(N+1)下午其他拓展功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-7-(N+2)测试总结测试总结/答疑整理测试报告1天客户方技术顾问、亿赛通技术顾问6 测试用例
10、6.1 EST-01:用户认证与帐号管理(AD集成认证、用户绑定)测试编号EST-01-01项 目本地认证与帐号管理(同步AD组织结构、同步AD用户)预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端,配置管理员configadmin需成功配置与AD集成相关的参数测试过程1. 展开“组织人员”功能导航;2. 点击“用户管理”功能按钮,出现右边区域“用户及组织结构”初始化界面;3. 点击“同步用户”,DLP系统将自动同步预先配置的AD架构及帐号信息; 4. 已成功同步的域用户可通过WEB或Client方式登录DLP系统;备注:DLP系统将与AD服务器进行
11、联动认证,帐号及口令均由AD服务器主导认证 。预期结果1. 可成功同步AD中预配置组织结构及用户信息,并以树形结构方式显示;2. 用户利用AD帐号及口令可通过WEB或Client方式成功登录DLP系统;3. 用户修改AD登录口令后,需提交新AD口令才可登录DLP系统。测试结果与结论备注测试人员测试日期测试编号EST-01-02项 目用户与终端绑定(终端绑定、取消绑定)预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端测试过程1. 在“用户管理”功能中找到需绑定用户,双击用户ID,将属性“绑定客户端”选定为“是”或“否”,如已成功同步的AD用户:user
12、1,属性“绑定客户端”选定为“是”;2. user1成功登录某一DLP终端后,注销登录,登录另一终端,提示“用户与某一终端绑定,无法登录当前终端”提示;3. 如需取消绑定,系统管理员用户systemadmin登录DLP服务器端,将user1属性“绑定客户端”选定为 “否”;4. user1登录DLP终端,可成功登录。备注:用户与DLP终端绑定的功能,即可规避帐号盗用、滥用,也可配合规范内网资产使用;对于需重复使用若干DLP终端的特殊用户,可设置属性例外。预期结果1. 可以对已同步的用户设置“绑定客户端”属性;2. 对于属性“绑定客户端”设置为“是”的用户,无法登录其他DLP终端机器;3. 对于
13、属性“绑定客户端”设置为“否”的用户,可以登录其他DLP终端机器。测试结果与结论备注测试人员测试日期6.2 EST-02:文档透明加密保护(文档透明保护、策略定义和下发)测试编号EST-02-01项 目文档透明加密保护(文档透明加密、透明解密)预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端,设定透明加密保护策略并下发给指定用户或用户组测试过程1. user1用户被下发有针对Office文档透明加密策略;2. user1用户登录DLP终端,右键新建测试文档“测试文档.doc”,双击打开并进行任意编辑后保存文档;3. user1用户双击打开“测试文档.
14、doc”,操作使用无任何影响;4. 将“测试文档.doc”通过网络共享、邮件发送或移动存储设备拷贝到其他非DLP终端或无用户登录的DLP终端,双击打开显示乱码无法正常使用;5. 将无法正常使用的“测试文档.doc”重命名为“测试文档-1.doc”后移交至user1用户登录的DLP终端,双击可正常打开使用;6. Office文档在DLP终端上完全透明化使用,用户无任何感知。预期结果1. user1用户使用Office文档无任何感知和影响;2. Office文档离开DLP环境外将无法使用;3. 具备有同样Office透明保护策略的DLP用户间,共享使用Office文档完全透明。测试结果与结论备注测试人员测试日期测试编号EST-02-02项 目文档透明保护策略(策略定义、策略下发)预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端测试过程1. DLP系统完全开放策略定义功能,用户可以完全自主设置透明保护策略,无需厂商定制或二次开发;2. 点击“策略管理”导航中的“策略库编辑”功能,用户可以根据系统规则自主编辑和创建策略库;3. 点击“策略管理”导航中的“管理策略”功能,用户可以自主创建策略,并根据需要设置策略内容,如“加解密控