漏洞扫描测试方案Word格式.docx

1、产品名称型号厂商名称产品形态产品组成1.2测试环境要求扫描系统应支持多种灵活的部署方式，可以被安装在便携机或 pc工作站上，也可以也可以预装到机架式硬件工控机中，用户将其连接到被扫描的网络环境中即可进行对全网进行 的脆弱性检测。测试拓扑图如下:设备类型配置描述数量PC硬件要求：X86架构的台式机或笔记本电脑。CPU不低于1.5G主频内存：不低于1G,建议2G以上 硬盘：不低于500M剩余空间，建议 2G以上剩余空间 网卡：至少一块 100Mbps以太网卡 软件要求：操作系统：中文版 Win dows 2000Professio nal/Server with SP4 、Windows XP w

2、ith SP3、WindowsServer 2003 with SP2 、WindowsVista 、Windows Server 2008、Win dows 7浏览器：IE6.0以上版本1台交换机100M/1000M可镜像端口1.3基本情况调查表格二：基本情况调查表产品信息厂家名称产品类型软件硬件软件组件操作系统的兼容性产品体系结构扫描器和管理平台一体化其他操作系统要求 Win dows2000 with SP4 （Professio nal & Server） Win dows XP with SP3 Win dows2003 Server with SP2 Win dows Vista

3、Win dows Sever 2008 Win dows 7数据库支持支持数据库切换系统的功能扫描方式网络扫描主机扫描 Windows域扫描用户管理多管理权限划分权限统一管理权限管理可扫描IP地址数量限制扫描任务次数限制授权服务期限限制功能模块限制策略管理默认17种策略用户自定义策略策略的导入/导出任务管理立即执行定时执行定期循环执行报表功能主机扫描报表漏洞扫描报表全报表任务对比分析报表任务趋势分析报表部门扫描报表部门对比分析报表部门趋势分析角色报表用户自定义报表 WEB报表漏洞类型系统漏洞应用服务漏洞后门程序检测数据库漏洞应用软件漏洞数据库扫描 Oracle MSSql DB2 Sybase

4、 Mysql更新机制专用更新程序手动更新自动在线更新按周升级包季度升级包合集部门管理按网络地址划分部门设置多级子部门部门扫描资产管理手动增加资产自动从扫描结果中导入资产支持资产保护等级属性设置支持资产价值属性设置支持资产类型属性设置资产自动发现资产风险评估（可选模 块）资产弱点评估资产弱点统计资产弱点对比漏洞验证（可选模块）漏洞验证二次开发接口支持（可 选模块）支持xml接口调用支持 WebService接口调用2系统功能测试2.1部署和管理测试目标测试系统安装过程是否简易， 是否需要安装第三方软件， 安装后是否对原系统造成不良影响, 其基本构成是否与厂家提供的说明信息一致。测试结果测试项目测

5、试结果是否为中文界面:是/否安装过程中是否需要用户安装第三方软件是否需要在被扫描的目标系统上安装软件系统是否支持多用户管理用户权限是否可以分级2.2系统升级能力测试系统升级的方式是否方便、 多样，系统是否支持在线升级，升级过程是否安全 （是否进行加密），升级内容是否详细测试结果 是否支持在线升级是/ 否是否支持非在线升级升级后是否能够发现最新公布的安全漏洞2.3扫描任务高级属性系统支持扫描任务的高级属性是否支持断网续扫是否支持断点续扫是否支持域扫描是否支持域名扫描2.4扫描任务参数配置测试是否可以配置不同的扫描任务参数任务优先级最大并行扫描主机数目主机最大线程数目是否针对有防火墙设置的主机有不

6、冋的探测方式是否支持网络延迟设置按操作系统扫描按域扫描只扫描存活主机是否支持快速扫描通知被扫描主机是否支持会话备份2.5扫描策略定制测试扫描系统是否提供定制扫描策略的功能， 扫描策略的定制是否方便， 分类是否足够详细。扫描漏洞库是否分类是否能显示扫描漏洞的数量漏洞资料是否全部中文本地化是否对每个漏洞有注释说明是否容易关闭一个漏洞是否容易启用一个漏洞检测是否可以对策略参数进仃调节是否可以对漏洞参数进行调节策略是否可以导入导出疋否提供专门的 Windows扫扌田策略疋否提供专门的 Unix扫扌田策略疋否提供网络设备扫扌田策略疋否提供数据库扫描策略疋否支扌寸疋制扫描策略缺省的扫描策略种是否支持漏洞筛

7、选用于筛选漏洞的条件有哪几种风险程度 CVE编号应用类型操作系统类型其它，CNCVE是否能够单独选择扫描漏洞列表疋否支持扫描策略的导出和导入口令猜测字典是否分类口令猜测字典是否可以自定义扫描端口范围是否可以自定义是否支持端口服务智能识别技术能够指定扫描目标的参数指定ip地址指定ip网段指定多个ip网段指定多个ip网段中的地址是否支持在指定的时间自动启动扫描疋否支持间隔 疋时间自动扫扌田是否能够使用目标系统的已知账号 / 口令对其进行更有效的扫描使用用户名/口令文件是否支持漏洞查询查询条件是否支持 CVE查询条件是否支持 Bugtraq查询条件是否支持 CNCVE查询结果是否支持批量选择2.6信

8、息收集能力测试测试扫描系统是否能够正确获取目标主机的各类信息等是否能够正确分析出目标系统的操作系统类型是否能够正确地探测目标系统是否能够 PING通是否能够正确探测目标系统上所有打开的 TCP端口是否能够正确探测目标系统上所有打开的 UDP端口是否能够利用finger服务获得目标主机上的用户信息是否能够利用NetBIOS服务获得目标主机上的用户信息2.7及时显示能力测试测试扫描系统是否能够及时列出扫描出的结果信息等是否能够及时列出扫描出的全部漏洞是否能够及时列出扫描出的全部端口是否能够及时列出扫描出的全部账户密码是否能够及时列出扫描出的全部主机是否能够及时显示扫描进度扫描结果是否方便查看2.8

9、扫描文档和报表2.8.1扫描文档、报表的生成灵活程度测试在扫描结束后，用户是否能够灵活地组织其希望生成的报告。扫描结果能否写入数据库是否支持根据设定的条件生成不同的报告不同的风险级别不同的主机地址是否可以组合多种条件决定在生成的报告中包含哪些漏 洞允许组合使用的条件漏洞风险主机地址部门（资产统计和弱点评估）是否可以生成主机间比较的结果报告是否支持实时扫描结果导出是否可以将将新出现的危险情况及时通知管理员是否支持报表邮件发送DocHTML能够生成的报告格式XMLPDFExcelRTF能够任意组合调整报表模板定制报表282报表信息完善程度和正确测试评估不同的扫描系统提供的信息的完善程度和正确程度扫

10、描起止日期、时间扫描使用的策略名称生成报告的策略名称扫描结束的状态扫描目标的描述信息（总数目、 ip地址等）根据漏洞的危险级别统计分析得到的报表和图表根据漏洞的类型统计分析得到的报表和图表针对每台主机列出扫描该主机收集到的信息（端口、服 务、账号等）为每台主机列出该主机上存在的漏洞列表对每个漏洞都简单介绍存在该漏洞的软件的作用对每个漏洞都描述该漏洞可能造成的危害对每个漏洞都给出易于理解的名字对每个漏洞都描述了存在漏洞的原因对每个漏洞都提供了修补漏洞的方法每个漏洞是否具备 CVSS评分每个部门是否具备风险分值及安全等级根据提供的修补方法能够有效地修补漏洞，而不需要参 考其它资料提供了能够获得该漏

11、洞相关信息的网站提供了其它机构对该漏洞的命名 CNCVE CVE Bugtraq否提供的报告为中文信息是否提供对整个系统的安全程度的综合评估2.9系统的安全策略测试扫描系统对于系统操作的日志和审计功能扫描ip地址限制在任何操作前的身份鉴别系统是否具有鉴别失败处理系统是否可以设定失败次数疋否可以对其他管理贝生成的扫描策略信息进仃祭看和 设置察看是否可以对其他管理员生成的扫描日志信息进行察 看和设置2.10文档测试该系统是否提供详尽的文档是否提供全中文的安装说明文档是否提供全中文的用户操作手册是否提供全中文的在线帮助3漏洞扫描测试3.1系统脆弱性测试测试扫描系统是否发现不同操作系统的系统弱口令以及

12、不恰当的共享或危险配置等。是否发现用户的弱口令例如空， 123，admin等是否发现操作系统重要目录设置为共享是否发现FTP服务器匿名用户可以访问是否发现FTP服务器匿名用户文件可写权限是否能够检测出目标系统的操作系统是否支持对ping不通主机的扫描是否支持共享枚举3.2扫描验证测试测试扫描系统是否发现能对扫描出来的漏洞进行验证。测试结果 是否能对扫描出来的共享环境进行验证是否能对扫描出来的开放端口进行验证是否能对扫描出来的用户口令进行验证3.3数据库脆弱性扫描测试测试被扫描的数据库是否包含默认口令、弱口令以及其他漏洞。扫描oracle数据库的信息，如用户/ 口令偏洞等扫描MSSQL数据库的信

13、息，如用户/ 口令偏洞等扫描Sybase数据库的信息，如用户/ 口令/漏洞等扫描DB2数据库的信息，如用户/口令/漏洞等扫描Mysql数据库的信息，如用户/口令/漏洞等3.4系统智能化程度测试测试扫描系统是否能够综合利用扫描获得的信息，是否能够根据一定的规则减少扫描的工作量等智能化性能。是否能够识别该系统为 WINDOWS系统，而且能够得到 系统版本是否能够识别该系统为 LINUX或UNIX系统，而且能够 得到系统版本是否能够识别出开放在别的端口上的服务4资产管理与弱点评估4.1部门管理测试扫描系统是否能够增加、修改和删除部门的功能。 测试结果是否能够增加部门是否能够修改已存在的部门及其属性是

14、否能够删除已存在的部门是否能够实时计算部门最新的风险状态是否能够针对部门开始新的扫描任务4.2资产管理测试扫描系统是否能够增加、修改和删除资产的功能。是否能够增加资产是否能够修改已存在的资产是否能够修改资产的保护级别是否能够修改资产的资产类型是否能够修改资产的保护价值是否能够删除已存在的资产是否可以编辑资产类型（风险级别）是否有专门的资产类报告是否能够资产自动发现并添加资产风险度是否能影响评估分值4.3资产弱点评估是否能够计算资产的弱点分值是否支持资产弱点评估报表是否支持资产统计报表是否支持资产评估对比报表5性能测试5.1扫描速度测试以量化的方式比较不同扫描系统的扫描速度。扫描网络地址范围扫描到的存活主机数目扫描漏洞使用的时间扫描发现漏洞的数目5.2扫描系统资源开销测试目的测试扫描系统运行所需要的资源开销。包括发起扫描主机的 CPU、内存和网络带宽占用情况。扫描系统启动前，cpu利用率扫描系统启动前，内存占用大小扫描系统启动前，进程数扫描系统启动后，cpu利用率扫描系统启动后，内存占用大小扫描系统启动后，进程数扫描系统过程中，cpu利用率扫描系统过程中，内存占用大小扫描系统过程中，进程数扫描花费时间扫描系统过程中，网络带宽占用6其他扫描器在过程中是否宕机Cpu:硬件平台配置情况硬盘：网卡：7总结