《某信息科技公司综合安全审计产品测试方案》由会员分享,可在线阅读,更多相关《某信息科技公司综合安全审计产品测试方案(23页珍藏版)》请在金锄头文库上搜索。
1、 综合安全审计产品测试方案北京中船信息科技有限公司北京思福迪信息技术有限公司2011年03月04日目录一、测试目的4二、测试原则4三、测试环境63.1测试对象63.2测试地点63.3测试时间63.4测试人员63.5测试环境63.6测试拓扑示意图63.7测试准备6四、测试项目84.1产品收集功能测试84.1.1日志收集方式84.1.2日志过滤104.1.3日志收集的安全性114.1.4日志收集的标准化124.2产品存储功能测试134.2.1日志导出及备份134.2.2存储使用监控134.2.3存储安全防护144.3产品的查询功能测试154.3.1多条件组合查询154.3.2自定义安全事件查询16
2、4.4产品的报表功能测试174.4.1报表结果可视化展现174.4.2报表导出格式184.4.3报表权限194.5产品自身管理及防护功能测试19五、测试结论23参考标准23 一、 测试目的本次测试的主要目的,是测试和验证综合安全审计产品的各项功能和性能指标能是否符合客户的实际需求。二、 测试原则在本次测试过程中,将根据客观、公正、公平的原则,按统一的标准,从客户的业务需求和实际环境出发,对参加测试的厂商的产品进行有重点、有针对性的测试。为此,在测试过程中应坚持以下原则:l 测试环境一致原则本次测试,不同厂家的产品,其测试环境保持一致,即使用相同的网络环境,采用统一的测试工具,设置统一的测试参数
3、进行测试。在一个产品测试完,下一产品测试前,恢复测试环境的初始状态。l 测试内容一致原则针对不同厂家产品采用相同的测试内容进行测试。并且测试内容一旦确定,所有参加测试的产品必须按其内容逐项进行测试。l 代表性原则本次测试并不针对测试的产品所有的功能及性能,而是根据综合安全审计产品的应用特点选取具有代表性的功能指标进行测试。根据以上原则,为有效实现测试目标,同时便于测试的实施,对各厂商提供的产品,按照日志的收集、日志的存储、日志的查询及报表统计、自身安全管理功能几个方面进行测试。三、 测试环境3.1 测试对象本次测试对象是北京思福迪信息技术有限公司的综合安全审计产品,型号为Logbase-H-5
4、30的测试样机。3.2 测试地点中船信息科技公司。3.3 测试时间2011年03月11日。3.4 测试人员厂商人员: 赵新 李春3.5 测试环境3.6 测试拓扑示意图3.7 测试准备l 按上述测试拓扑属意图在网络环境中部署综合安全审计产品l 为综合安全审计产品的管理口、日志收集代理配置有效IP,确保可以远程访问、管理和日志接收四、 测试项目4.1 产品收集功能测试4.1.1 日志收集方式说明:针对不同的设备其日志收集方式也不同。产品支持的收集方式越多,说明产品功能越强大和灵活,也有利于产品在实际复杂拓扑环境中部署。4.1.1.1 Syslog方式日志收集测试项目Syslog方式日志收集测试说明
5、测试产品是否支持以Syslog方式发送来的日志测试环境Logbase审计主机、H3C交换机(发送syslog日志)前提条件发送Syslog日志的设备与日志收集代理之间IP可达测试步骤1. 在要收集Syslog日志的设备上开启自身审计功能2. 在设备上进行参数配置,使其Syslog目的地指向日志收集代理3. 登录设备或在设备上进行操作以触发日志预期结果1. 产品能收集以Syslog方式发送的日志测试结果可以接受到交换机发送过来的syslog日志备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.1.1.2 SNMP方式日志收集测试项目SNMP方式日志收
6、集测试说明测试产品是否支持以SNMP Trap方式发送来的日志测试环境Logbase审计主机、H3C交换机(发送snmp trap日志)前提条件发送SNMP日志的设备与日志收集代理之间IP可达测试步骤1. 在要收集SNMP日志的设备上开启自身审计功能2. 在设备上进行参数配置,使其SNMP目的地指向日志收集代理3. 登录设备或在设备上进行操作以触发日志预期结果1. 产品能收集以SNMP方式发送的日志测试结果可以接受到发送过来的SNMP TARP信息备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.1.1.3 自定义syslog日志收集测试项目文件型
7、日志收集测试说明测试产品是否支持收集自定义syslog的日志测试环境Logbase审计主机、H3C交换机(发送syslog日志)前提条件发送Syslog日志的设备与日志收集代理之间IP可达测试步骤1. 在要收集Syslog日志的设备上开启自身审计功能2. 在设备上配置自定义syslog日志,并开启自定义日志的接收功能3. 在设备上进行参数配置,使其Syslog目的地指向日志收集代理4. 登录设备或在设备上进行操作以触发日志预期结果1. 产品能收集自定义syslog的日志测试结果登录审计主机可以看到实时生成的自定义syslog日志备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果
8、确认中船思福迪日 期日 期4.1.2 日志过滤说明:在进行日志收集时应能对其进行过滤,这样有利于对日志进行管理和分析,同时也能减少存储数据所使用的磁盘空间,降低企业的成本。测试项目日志过滤测试说明测试产品是否支持定制过滤规则以过滤掉不需要的日志测试环境Logbase审计主机、SysLog Sender模拟发包工具前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤1. 在审计主机上添加syslog规则包含关键字up2. 使用syslog模拟发包工具SysLog Sender发送包含up关键字的信息给协议探针预期结果1. 产品能通过定制过滤规则来过滤不需要的日志测试结果能正常过滤出包含规
9、则内定义的关键字的日志备注说明测试结论o通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.1.3 日志收集的标准化说明:能够在收集到日志后对其进行标准化和格式化是综合安全审计的重要需求之一。由于在实际环境中日志来源和种类繁多,能以有效的方式和方法来标准化和格式化不同来源和类型的日志对于日志审计和分析至关重要。测试项目日志收集的标准化测试说明测试产品的日志收集代理在接收到日志后是否可以对其进行标准化测试环境Logbase-H-530前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤1. 在要收集文件型日志的设备上开启自身审计功能2. 登录设备或在设备上进行操作
10、以触发日志3. 在审计中心查看日志预期结果1. 日志已被标准化,至少包括事件ID、事件发生的日期和时间、事件的严重度级别、事件的主体、事件的结果等信息测试结果收集到的日志信息均包含发生时间、发生地址、事件ID、事件信息等备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.2 产品存储功能测试4.2.1 日志导出及备份说明:产品应能够在收集到日志后,对其进行导出备份以在发生意外的情况下所有的日志仍然可以访问。测试项目日志导出及备份测试说明测试产品是否可以将收集到的日志进行导出和备份操作测试环境Logbase审计主机前提条件有一定量的日志存储测试步骤1.
11、 以管理员的身份登录产品2. 在设备上进行日志导出操作和备份操作预期结果1. 产品存储的日志信息可以被导出和备份测试结果支持日志备份及还原;备份的数据可以被导出,并且导出的数据是加密的备注说明设备设有缓存机制,加速查询。存在缓存中的数据是无法备份的测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.2.2 存储使用监控说明:产品应能够设置自身的存储使用上限,并且可以对自身的存储空间的使用情况进行监控,以便在存储使用快达到阈值时管理人员可以提前采取相应的操作如日志导出备份。测试项目存储使用监控测试说明测试产品是否设置存储上限,并且可以对存储的使用情况进行监控测
12、试环境Logbase-H-530 前提条件测试步骤1. 以管理员的身份登录产品2. 在设备上进行设置存储上限预期结果1. 可以设置存储的存储上限,并且能够监控存储的使用情况测试结果可以按协议类型设置每个协议可占用磁盘的情况备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.2.3 存储安全防护说明:产品存储的日志信息通常为十分重要的信息,需要有足够的安全保护机制防止存储的日志被私自访问、删除或者修改。测试项目存储安全防护测试说明测试产品是否相关的存储安全防护机制测试环境Logbas-H-530 前提条件测试步骤设备只有管理员有权限进行备份,删除操作。
13、并且对管理员在设备上的操作都会有相应的记录。预期结果1. 产品有相应的安全防护机制可以保护存储的信息免受未授权的访问、删除或修改测试结果非管理员用户没有数据管理权限,无法进行删除操作。备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.3 产品的查询功能测试4.3.1 多条件组合查询说明:产品通常会长期地存储日志,因此在海量的日志中如何能尽快查找到关心的日志十分重要。特别是在发生安全事故后通过日志查询进行取证分析时十分关键。所以产品应提供灵活的日志查询方式,可以使用基于多种关系运算符、逻辑运算符将多个查询条件组合起来进行日志查询。测试项目多条件组合查询测试说明测试产品是否可以提供不限条件数的条件组合式查询测试环境Logbase-H-530 前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤1. 登录设备或进行任意操作触发日志2. 以管理员的身份登录产品3. 根据多个条件组合查询日志预期结果1. 产品可以不限条件数的进行条件组合式查询测试结果可以进行多条件组合查询,符合测试要求备注说明测试结论o 通过
