网络安全管理平台测试方案v1.docx
《网络安全管理平台测试方案v1.docx》由会员分享,可在线阅读,更多相关《网络安全管理平台测试方案v1.docx(32页珍藏版)》请在冰点文库上搜索。
网络安全管理平台测试方案v1
中国石油
网络安全域实施项目
边界防护子项目
设备测试建议书
第1章.概述4
1.1测试目的4
1.2参考标准与规范4
第2章.测试环境4
2.1软/硬件配置5
第3章.产品功能测试6
3.1安全监控6
3.1.1资产管理6
3.1.2网络拓扑发现7
3.1.3网络管理8
3.1.4机架视图9
3.1.5安全监控10
3.1.6IP地址管理12
3.1.7业务拓扑12
3.2安全审计13
3.2.1事件采集13
3.2.2事件标准化14
3.2.3关联分析15
3.2.4事件实时监控16
3.2.5事件告警18
3.2.6事件可视化展示19
3.2.7事件查询19
3.2.8审计数据归档20
3.3安全决策21
3.3.1风险管理21
3.3.2工单管理22
3.3.3知识库管理22
3.3.4报表管理23
3.3.5产品管理24
第4章.产品部署方式测试26
4.1单一部署26
4.2分布部署26
4.3分级部署27
第5章.产品自身安全测试28
5.1自身审计数据生成28
5.2支持访问传输加密29
5.3支持对日志进行加密存储29
第6章.产品性能测试30
6.1事件接收峰值测试30
6.2日志查询速率测试30
第1章.测试目的
为了让用户对网络安全管理平台一个全面的了解,受测产品在模拟环境中进行性能、功能、管理等关键指标的测试。
测试范围
本次测试包括以下几个方面:
1.验证网络安全管理平台的基本功能模块(资产管理、网络管理、业务管理、风险管理、预警管理、事件管理、策略管理、审计管理和知识管理)的可用性、易用性及数据接口开放性;
2.验证网络安全管理平台在模拟环境中的稳定性和对系统资源的影响度;
3.验证网络安全管理平台的个性化定制能力;
4.验证网络安全管理平台综合展现能力及界面友好性、灵活性。
第2章.产品功能测试
2.1安全监控
2.1.1资产管理
【测试目标】
测试网络安全管理平台资产管理能力。
【测试步骤】
步骤序号
描述
1
初次需要录入大量资产信息的情况,可以采用自动拓扑发现添加设备信息。
2
能够灵活的对资产进行手工添加、删除、修改、查询、导出等操作,并对资产进行一般属性和安全属性(CIA)的赋值。
一般属性包括资产名称、资产编号、资产类别、资产型号、资产IP、安全属性包括资产完整性、机密性、可用性;用户可以扩展资产属性,进行属性的自定义。
3
将收集到的资产通过划分安全域进行分组管理。
4
能够对资产进行统计并展示。
【测试结果】
测试项目
测试结果
资产导入方式
手工方式
是否
自动拓扑发现方式
是否
资产管理
添加
是否
删除
是否
修改
是否
查询
是否
导出
是否
资产赋值
资产编号
是否
资产类别
是否
资产型号
是否
资产IP
是否
资产CIA值
是否
资产属性自定义
是否
自定义属性能在关联规则中使用
是否
其他
资产统计
是否
资产分组
是否
资产与事件关联
是否
资产管理接口
是否
备注
2.1.2网络拓扑发现
【测试目标】
自动与手动发现发现网络拓扑图
【测试步骤】
步骤序号
描述
1
以带有路由功能或网关设备进行自动拓扑发现,发现网络中的网络设备、安全设备、服务器等
2
设置一个IP段进行设备发现,发现网络中的网络设备、安全设备、服务器等
3
输入IP地址在网络拓扑中进行设备添加
4
在网络拓扑中进行子网的添加
【测试结果】
测试项目
测试结果
自动拓扑发现
发现的网络结构是否准确
是否
发现的设备类型是否准确
是否
发现设备的完整性
是否
发现的速度
是否
手动发现
发现的设备类型是否准确
是否
发现设备的完整性
是否
发现的速度
是否
添加设备
添加设备到网络拓扑图中
是否
拓扑导入
是否
2.1.3网络管理
【测试目标】
通过网络管理实时了解网络中设备的运行状态和对网络设备进行管理
【测试步骤】
步骤序号
描述
1
显示设备之间的连接关系,并显示网络接口之间链路的流量
2
显示设备CPU/内存,接口错包等状态。
3
设备的管理
4
子网的管理
5
设备面板图的查看
【测试结果】
测试项目
测试结果
子网管理
添加子网
是否
删除子网
是否
修改子网属性
是否
链路
链路的状态
是否
链路之间流量
是否
设备管理
添加设备
是否
删除设备
是否
定位到机架拓扑图
是否
查看设备属性
是否
查看设备CPU/内存状态
是否
查看设备端口图
是否
查看设备的告警信息
是否
调用第三方工具对设备进行管理
是否
2.1.4机架视图
【测试目标】
主要用于展现真实的机房环境,可以根据机房实际分布创建一个或多个管理组(即机架组),方便发现问题设备后快速定位到实际位置。
【测试步骤】
步骤序号
描述
1
机架组管理
2
机架管理
3
机架视图中设备管理
4
机架视图可与网络拓扑视图结合,可通过视图图标直接点入下一视图。
5
视图具有容器功能,可用一个图标展示一个视图的告警或事件。
【测试结果】
测试项目
测试结果
机架组管理
添加机架组
是否
删除机架组
是否
修改机架组属性
是否
建立机架
添加机架
是否
删除机架
是否
修改机架属性
是否
机架视图中设备管理
添加设备
是否
删除设备
是否
定位到网络拓扑图
是否
查看设备属性
是否
查看设备端口图
是否
查看设备的告警信息
是否
调用第三方工具对设备进行管理
是否
容器功能
可展示一个视图的状态
是否
可做连接关联
是否
2.1.5安全监控
【测试目标】
包括主机监控、网络设备监控、安全设备监控、数据库监控、中间件监控、服务监控、链路性能监控等。
通过对设备IP以及不同监控类型所需信息建立监控任务的方式来获取所有的监控信息,来了解设备或服务的运行状态,当设备或服务出现异常时可以设备告警来触发一些动作告诉管理员。
【测试步骤】
步骤序号
描述
1
主机监控
2
网络设备监控
3
安全设备监控
4
数据库监控
5
中间件监控
6
服务监控
7
链路性能监控
8
监控明细
9
监控快照
【测试结果】
测试项目
测试结果
主机监控
windows
CPU/内存/磁盘/
/连通性/进程/其它
linux
CPU/内存/磁盘/
/连通性/进程/其它
网络设备监控
路由器
端口/流量/
/连通性/其它
交换机
端口/流量/
/连通性/其它
备注
安全设备
防火墙
端口/流量/
/连通性/其它
备注
中间件
缓存/连接/
/连通性/其它
服务
连通性/可用性
链路性能
是否
监控明细
查看监控明细
是否
设置告警阈值
是否
监控快照
是否
2.1.6IP地址管理
【测试目标】
IP地址管理使管理员对企业内部局域网的IP地址资源进行统一规划、配置、调整,合理安排IP地址资源,避免滥用等问题。
【测试步骤】
步骤序号
描述
IP地址管理
【测试结果】
测试项
测试结果
IP地址管理
IP地址查询
是否
IP地址扫描
是否
IP地址分布查询
是否
添加子网
是否
添加IP
是否
删除子网
是否
删除IP
是否
分配子网
是否
子网属性
是否
IP地址属性
是否
IP地址明细查看
是否
2.1.7业务拓扑
【测试目标】
业务实际上是一系列监控对象的组合,一个监控对象允许属于多个业务,可以根据业务实际相关的各个设备和软件来创建业务,例如一个办公自动化业务,可能包含连接业务的交换机,应用服务器,中间件,数据库服务器,数据库等一系列设备和软件,每一个设备和软件都是一个监控对象,那么在此业务中,就可以同时查看此业务相关设备和软件的使用,性能和故障情况,还可以选择所关心的关键指标计算业务的健康等级,反映业务的实际运行状态。
【测试步骤】
步骤序号
描述
1
业务组管理
2
业务管理
【测试结果】
测试项目
测试结果
业务组管理
添加业务组
是否
删除业务组
是否
修改业务组属性
是否
业务管理管理
添加业务
是否
删除业务
是否
业务拓扑
是否
业务指标
是否
监控快照
是否
监控明细
是否
2.2安全审计
2.2.1事件采集
【测试目标】
测试安全管理平台对各种设备的事件收集能力。
【测试步骤】
步骤序号
描述
1
收集防火墙、入侵检测、主机、数据库、应用系统的事件信息。
【测试结果】
测试项目
测试结果
防火墙
支持
是否
实现方式
Syslog/SNMPTrap/JDBC、ODBC/文件/其他
说明
入侵检测
支持
是否
实现方式
Syslog/SNMPTrap/JDBC、ODBC/文件/其他
说明
主机
Windows
支持
是否
实现方式
Syslog/SNMPTrap/JDBC、ODBC/文件/其他
说明
Linux
支持
是否
实现方式
Syslog/SNMPTrap/JDBC、ODBC/文件/其他
说明
应用
支持
是否
实现方式
Syslog/SNMPTrap/JDBC、ODBC/文件/其他
说明
2.2.2事件标准化
【测试目标】
测试安全管理平台按照一定维度将不同格式的事件转化为标准、统一的事件格式,并写入数据库。
【测试步骤】
步骤序号
描述
1
对收集到的事件根据一定维度进行标准化处理,并写入数据库。
2
对收集到的事件可以根据严重程度重新定级。
【测试结果】
测试项目
测试结果
事件标准化
设备名称
是否
事件名
是否
事件类型
是否
事件级别
是否
时间
是否
源用户
是否
源IP地址
是否
源端口
是否
目的用户
是否
目的IP地址
是否
目的端口
是否
通信协议类型
是否
其他自定义
事件重定级
是否
对于不支持的设备或者应用的日志的标准化方式
2.2.3关联分析
【测试目标】
测试安全管理平台关联分析能力。
通过定义的安全事件规则对安全事件进行分析,深度挖掘安全隐患、判断安全事件的严重程度、关联出可信度更高的关联事件,提高事件处理的信噪比。
【测试步骤】
步骤序号
描述
1
根据模拟事件场景设计关联分析规则。
2
验证模拟事件是否可以触发规则并产生报警。
3
具备可视化的关联规则编辑器。
【测试结果】
测试项目
名称
描述
测试结果
病毒爆发
监控网络上是否已有多台计算机同时感染相同的病毒、蠕虫或木马(恶意程序代码疫情爆发)
是否
账号猜测攻击
监控是否有针对不同账号的猜测攻击行为
是否
密码猜测攻击
监控是否有针对单一账号的密码猜测攻击行为
是否
非法扫描
监控网络上是否有针对多台主机同时进行通讯端口扫描之行为
☐是☐否
Dos攻击
监控是否有针对特定主机的单一DoS攻击行为
是否
Ddos攻击
监控是否有多台主机对特定单一主机发动大量的DoS攻击
是否
具备可视化的关联规则编辑器
是否
能够编写与具体IP地址、时间和端口相关的面向业务的关联规则
是否
备注
2.2.4事件实时监控
【测试目标】
测试安全管理平台对事件的实时监控能力。
【测试步骤】
步骤序号
描述
1
展示高等级的事件,并查看事件详情。
2
设置过滤器,按照事件类型、设备类型和报警级别分别查看到实时的事件上报,并查看事件详情。
3
能够自定义监控场景,能够从业务系统的角度定义监控场景组。
4
能够将事件与(网络/机架/业务)拓扑相关联,从拓扑直接反映事件状态。
5
能够对监控场景设定复杂的监控条件。
6
监控界面的事件展示列表的字段可以自定义,可以对字段进行排序。
7
对监控的事件能够进行定位、追溯。
8
对监控的事件能够导出。
【测试结果】
测试项目
测试结果
高等级事件展示
是否
根据过滤器查看事件
按照事件类型
是否
按照设备类型
是否
按照报警级别
是否
其他
是否
自定义监控场景
内置监控场景
是否
用户自定义场景(从事件类型、设备类型和报警级别的角度)
是否
自定义业务系统监控场景
是否
拓扑展示
事件状态在拓扑直观显示
是否
事件定位、追溯
定位
是否
追溯
是否
事件导出
是否
备注
2.2.5事件告警
【测试目标】
测试安全管理平台事件告警能力。
【测试步骤】
步骤序号
描述
1
可以根据告警信息的严重程度,将告警级别进行划分,能够根据实际需要定义新的告警级别。
2
对系统中持续出现、重复发生以及超过规定时间仍未解决的告警,可以提升该告警的级别,以保证得到优先及时的处理。
3
可以通过声报警、电子邮件、联动、脚本报警等方式进行告警通知。
4
对于系统中已经处理完毕的告警信息,需要设置相关的标志,标记为清除,退出告警处理流程,告警清除可手工清除
5
用户可以设定告警规则。
6
事件告警能够提升为威胁。
7
能够对事件告警数量进行抑制。
8
告警规则可以导入、导出。
【测试结果】
测试项目
测试结果
告警级别定义
是否
告警升级
是否
告警通知
声光报警
是否
电子邮件报警
是否
告警清除
手工清除
是否
告警规则设定
是否
事件告警提升为威胁
是否
事件告警抑制
是否
告警规则导入、导出
是否
备注
2.2.6事件可视化展示
【测试目标】
测试安全管理平台事件可视化展示能力。
【测试步骤】
步骤序号
描述
1
支持将大量事件可视化的展示出来,这种可视化不能是简单的图表曲线,能够反映事件之间的关联关系。
【测试结果】
测试项目
测试结果
可视化展示
事件连接图
是否
事件地图定位
是否
其他事件可视化图形
是否种类[]
事件可视化图形中的事件节点都是可编辑、可点击、可操作的
是否
备注
2.2.7事件查询
【测试目标】
测试系统对审计内容的历史查询实现程度。
【测试步骤】
步骤序号
描述
1
验证审计内容是否能查询到。
2
可以导出成csv文件
【测试结果】
测试项目
测试结果
审计规则匹配方式
精确匹配
是否
模糊匹配
是否
正则表达式匹配
是否
可以导出成csv文件
是否
2.2.8审计数据归档
【测试目标】
测试系统是否具备数据归档和恢复的功能。
【测试步骤】
步骤序号
描述
1
定义归档目录和归档时间间隔,测试自动归档。
2
测试手动归档。
3
测试手动恢复。
4
验证结果。
【测试结果】
测试项目
测试结果
是否提供自动归档
是否
是否提供手动归档
是否
是否提供手动恢复
是否
备注
2.3安全决策
2.3.1风险管理
【测试目标】
测试安全管理平台能够维护资产的弱点、威胁信息,并根据资产的弱点和威胁对资产的安全风险进行统计。
【测试步骤】
步骤序号
描述
1
定期将安全扫描获得的脆弱性信息导入,进行查询、呈现等操作
2
对发生的安全事件进行五级威胁等级定义(很高、高、中、低、很低)并进行统计分析,给出系统威胁分布图表、威胁等级分布图表、资产威胁分布图表、威胁TOPN排名等
3
将事件的威胁、资产价值与资产脆弱性进行关联计算,得出资产的风险值,并可对资产安全域进行风险评估
4
对风险进行实时监控,形成统一的风险级别,进行安全预警,追溯风险威胁源头,并提供直观的可视化风险展现
6
结合静态风险管理功能,可以动态展现过去和现在的安全风险变化趋势
【测试结果】
测试项目
测试结果
资产脆弱性信息导入
是否
资产威胁等级定义
是否
威胁统计
系统威胁分布图表
是否
威胁等级分布图表
是否
资产威胁分布图表
是否
威胁TOPN排名
是否
风险计算
是否
风险监控
是否
风险预警
是否
风险处理
是否
风险变化趋势展现
是否
备注
2.3.2工单管理
【测试目标】
测试安全管理平台通过发送工单的形式来进行工作指令的传达,实现对安全维护、管理、技术工程师的工单派发。
【测试步骤】
步骤序号
描述
1
系统将关联后的安全告警形成故障单,通过运维系统按照台内运维流程进行流转到最终该告警的负责人,该负责人对告警事件进行处理,处理中的各个状态、过程、结果可追踪、可审计、可监督。
【测试结果】
测试项目
测试结果
提供工单管理接口
是否
备注
2.3.3知识库管理
【测试目标】
测试安全管理平台知识库。
【测试步骤】
步骤序号
描述
1
安全知识库包括黑白名单和案例库,便于管理员进行查询
【测试结果】
测试项目
测试结果
知识库管理
黑白名单
是否
安全案例库
是否
手工添加其他知识
是否
备注
2.3.4报表管理
【测试目标】
测试安全管理平台报表生成能力。
【测试步骤】
步骤序号
描述
1
能够提供层次化的统计报表,满足从领导层、管理层、执行层的不同层面的个性化报表内容
2
能够生成各类报表并可以根据用户需求定制报表
3
报表可以导出为PDF、HTML、WORD、EXCLE等文件格式,并发送给相关人员
【测试结果】
测试项目
测试结果
报表定制
系统提供报表模板库
是否
网络报表
是否
审计报表
是否
是否
安全报表
是否
报表页眉页脚修改
是否
报表图标自定义
是否
报表导出
PDF格式
是否
HTML格式
是否
WORD
是否
EXCLE
是否
报表发送
是否
报表调度
是否
报表存档
是否
备注
2.3.5产品管理
【测试目标】
测试安全管理平台部署与管理的易用性。
【测试步骤】
步骤序号
描述
1
硬件配置要求
2
管理界面友好,符合中国人使用习惯,能提供中文管理配置界面
3
支持可视化全局管理,实时自定义面板视图,提高关键安全问题的可视性
4
支持根据不同级别的管理员角色,定义不同的面板视图,能与管理员分级别、分权限安全监控需求相匹配
5
支持提供网络中全部设备与安全产品的动态视图,方便用户查看全网安全事故的收集情况
【测试结果】
测试项目
测试结果
硬件配置
CPU
内存
硬盘
存储
中文管理界面
是否
管理方式
BS方式CS方式
面板视图定制
是否
分权管理
是否
动态视图
是否
安装配置复杂度
备注
第3章.产品部署方式测试
3.1单一部署
【测试目标】
测试安全管理平台的单一部署方式的环境和部署方法。
【测试拓扑】
【测试步骤】
步骤序号
描述
1
安装采集引擎/安全管理平台/日志发包器。
2
日志发包器向采集引擎发送日志。
3
安全管理平台添加采集引擎,进行事件规范化/关联分析/事件查询等功能测试。
【测试结果】
符合
不符合
测试结果
【】
【】
其他问题
3.2分布部署
【测试目标】
测试安全管理平台的分布部署方式的环境和部署方法。
【测试拓扑】
【测试步骤】
步骤序号
描述
1
安装两台采集引擎/安全管理平台/日志发包器。
2
日志发包器分别向两台采集引擎发送日志。
3
安全管理平台添加两台采集引擎,进行事件规范化/关联分析/事件查询等功能测试。
【测试结果】
符合
不符合
测试结果
【】
【】
未实现功能
其他问题
3.3分级部署
【测试目标】
测试安全管理平台的分级部署方式的环境和部署方法。
【测试拓扑】
【测试步骤】
步骤序号
描述
1
安装两台采集引擎/安全管理平台/日志发包器。
2
日志发包器分别向两台采集引擎发送日志。
3
从安全管理平台添加采集引擎2,主安全管理平台添加采集引擎1和从安全管理平台,进行事件规范化/关联分析/事件查询等功能测试。
【测试结果】
符合
不符合
主安全管理平台下发资产/业务信息和事件规范化配置等其他策略
【】
【】
从安全管理平台可向主平台发送本级的事件和告警信息
【】
【】
支持分级管理
【】
【】
未实现功能
其他问题
第4章.产品自身安全测试
4.1自身审计数据生成
【测试目标】
测试安全管理平台的使用者在使用该平台的过程中能够记录审计数据和日志,并提供查询。
【测试步骤】
步骤序号
描述
1
以某个用户身份登录系统,进行一些界面使用和操作。
2
以管理员身份进入自身审计页面,能够查询到刚才那个用户的操作日志。
升级会员 