網(wǎng)絡安全管理平臺測試方案

中國石油網(wǎng)絡安全域?qū)嵤╉椖窟吔绶雷o子項目設備測試建議書

第1章. 概述 41.1測試目的 41.2參考標準與規(guī)范 4第2章. 測試環(huán)境 42.1軟/硬件配置 5第3章. 產(chǎn)品功能測試 63.1安全監(jiān)控 63.1.1 資產(chǎn)管理 63.1.2 網(wǎng)絡拓撲發(fā)現(xiàn) 73.1.3 網(wǎng)絡管理 83.1.4 機架視圖 93.1.5 安全監(jiān)控 103.1.6 IP地址管理 123.1.7 業(yè)務拓撲 123.2安全審計 133.2.1 事件采集 133.2.2 事件標準化 143.2.3 關(guān)聯(lián)分析 153.2.4 事件實時監(jiān)控 163.2.5 事件告警 183.2.6 事件可視化展示 193.2.7 事件查詢 193.2.8 審計數(shù)據(jù)歸檔 203.3安全決策 213.3.1 風險管理 213.3.2 工單管理 223.3.3 知識庫管理 223.3.4 報表管理 233.3.5 產(chǎn)品管理 24第4章. 產(chǎn)品部署方式測試 264.1單一部署 264.2分布部署 264.3分級部署 27第5章. 產(chǎn)品自身安全測試 285.1自身審計數(shù)據(jù)生成 285.2支持訪問傳輸加密 295.3支持對日志進行加密存儲 29第6章. 產(chǎn)品性能測試 306.1事件接收峰值測試 306.2日志查詢速率測試 30

測試目的為了讓用戶對網(wǎng)絡安全管理平臺一個全面的了解，受測產(chǎn)品在模擬環(huán)境中進行性能、功能、管理等關(guān)鍵指標的測試。測試范圍本次測試包括以下幾個方面：驗證網(wǎng)絡安全管理平臺的基本功能模塊（資產(chǎn)管理、網(wǎng)絡管理、業(yè)務管理、風險管理、預警管理、事件管理、策略管理、審計管理和知識管理）的可用性、易用性及數(shù)據(jù)接口開放性；驗證網(wǎng)絡安全管理平臺在模擬環(huán)境中的穩(wěn)定性和對系統(tǒng)資源的影響度；驗證網(wǎng)絡安全管理平臺的個性化定制能力；驗證網(wǎng)絡安全管理平臺綜合展現(xiàn)能力及界面友好性、靈活性。產(chǎn)品功能測試安全監(jiān)控資產(chǎn)管理【測試目標】測試網(wǎng)絡安全管理平臺資產(chǎn)管理能力?！緶y試步驟】步驟序號描述1初次需要錄入大量資產(chǎn)信息的情況，可以采用自動拓撲發(fā)現(xiàn)添加設備信息。2能夠靈活的對資產(chǎn)進行手工添加、刪除、修改、查詢、導出等操作，并對資產(chǎn)進行一般屬性和安全屬性（CIA）的賦值。一般屬性包括資產(chǎn)名稱、資產(chǎn)編號、資產(chǎn)類別、資產(chǎn)型號、資產(chǎn)IP、安全屬性包括資產(chǎn)完整性、機密性、可用性；用戶可以擴展資產(chǎn)屬性，進行屬性的自定義。3將收集到的資產(chǎn)通過劃分安全域進行分組管理。4能夠?qū)Y產(chǎn)進行統(tǒng)計并展示?！緶y試結(jié)果】測試項目測試結(jié)果資產(chǎn)導入方式手工方式是否自動拓撲發(fā)現(xiàn)方式是否資產(chǎn)管理添加是否刪除是否修改是否查詢是否導出是否資產(chǎn)賦值資產(chǎn)編號是否資產(chǎn)類別是否資產(chǎn)型號是否資產(chǎn)IP是否資產(chǎn)CIA值是否資產(chǎn)屬性自定義是否自定義屬性能在關(guān)聯(lián)規(guī)則中使用是否其他資產(chǎn)統(tǒng)計是否資產(chǎn)分組是否資產(chǎn)與事件關(guān)聯(lián)是否資產(chǎn)管理接口是否備注網(wǎng)絡拓撲發(fā)現(xiàn)【測試目標】自動與手動發(fā)現(xiàn)發(fā)現(xiàn)網(wǎng)絡拓撲圖【測試步驟】步驟序號描述1以帶有路由功能或網(wǎng)關(guān)設備進行自動拓撲發(fā)現(xiàn)，發(fā)現(xiàn)網(wǎng)絡中的網(wǎng)絡設備、安全設備、服務器等2設置一個IP段進行設備發(fā)現(xiàn)，發(fā)現(xiàn)網(wǎng)絡中的網(wǎng)絡設備、安全設備、服務器等3輸入IP地址在網(wǎng)絡拓撲中進行設備添加4在網(wǎng)絡拓撲中進行子網(wǎng)的添加【測試結(jié)果】測試項目測試結(jié)果自動拓撲發(fā)現(xiàn)發(fā)現(xiàn)的網(wǎng)絡結(jié)構(gòu)是否準確是否發(fā)現(xiàn)的設備類型是否準確是否發(fā)現(xiàn)設備的完整性是否發(fā)現(xiàn)的速度是否手動發(fā)現(xiàn)發(fā)現(xiàn)的設備類型是否準確是否發(fā)現(xiàn)設備的完整性是否發(fā)現(xiàn)的速度是否添加設備添加設備到網(wǎng)絡拓撲圖中是否拓撲導入是否網(wǎng)絡管理【測試目標】 通過網(wǎng)絡管理實時了解網(wǎng)絡中設備的運行狀態(tài)和對網(wǎng)絡設備進行管理【測試步驟】步驟序號描述1顯示設備之間的連接關(guān)系，并顯示網(wǎng)絡接口之間鏈路的流量2顯示設備CPU/內(nèi)存，接口錯包等狀態(tài)。3設備的管理4子網(wǎng)的管理5設備面板圖的查看【測試結(jié)果】測試項目測試結(jié)果子網(wǎng)管理添加子網(wǎng)是否刪除子網(wǎng)是否修改子網(wǎng)屬性是否鏈路鏈路的狀態(tài)是否鏈路之間流量是否設備管理添加設備是否刪除設備是否定位到機架拓撲圖是否查看設備屬性是否查看設備CPU/內(nèi)存狀態(tài)是否查看設備端口圖是否查看設備的告警信息是否調(diào)用第三方工具對設備進行管理是否機架視圖【測試目標】主要用于展現(xiàn)真實的機房環(huán)境，可以根據(jù)機房實際分布創(chuàng)建一個或多個管理組（即機架組），方便發(fā)現(xiàn)問題設備后快速定位到實際位置?！緶y試步驟】步驟序號描述1機架組管理2機架管理3機架視圖中設備管理4機架視圖可與網(wǎng)絡拓撲視圖結(jié)合，可通過視圖圖標直接點入下一視圖。5視圖具有容器功能，可用一個圖標展示一個視圖的告警或事件?！緶y試結(jié)果】測試項目測試結(jié)果機架組管理添加機架組是否刪除機架組是否修改機架組屬性是否建立機架添加機架是否刪除機架是否修改機架屬性是否機架視圖中設備管理添加設備是否刪除設備是否定位到網(wǎng)絡拓撲圖是否查看設備屬性是否查看設備端口圖是否查看設備的告警信息是否調(diào)用第三方工具對設備進行管理是否容器功能可展示一個視圖的狀態(tài)是否可做連接關(guān)聯(lián)是否安全監(jiān)控【測試目標】 包括主機監(jiān)控、網(wǎng)絡設備監(jiān)控、安全設備監(jiān)控、數(shù)據(jù)庫監(jiān)控、中間件監(jiān)控、服務監(jiān)控、鏈路性能監(jiān)控等。通過對設備IP以及不同監(jiān)控類型所需信息建立監(jiān)控任務的方式來獲取所有的監(jiān)控信息，來了解設備或服務的運行狀態(tài)，當設備或服務出現(xiàn)異常時可以設備告警來觸發(fā)一些動作告訴管理員?！緶y試步驟】步驟序號描述1主機監(jiān)控2網(wǎng)絡設備監(jiān)控3安全設備監(jiān)控4數(shù)據(jù)庫監(jiān)控5中間件監(jiān)控6服務監(jiān)控7鏈路性能監(jiān)控8監(jiān)控明細9監(jiān)控快照【測試結(jié)果】測試項目測試結(jié)果主機監(jiān)控windowsCPU/內(nèi)存/磁盤//連通性/進程/其它linuxCPU/內(nèi)存/磁盤//連通性/進程/其它網(wǎng)絡設備監(jiān)控路由器端口/流量//連通性/其它交換機端口/流量//連通性/其它備注安全設備防火墻端口/流量//連通性/其它備注中間件緩存/連接//連通性/其它服務連通性/可用性鏈路性能是否監(jiān)控明細查看監(jiān)控明細是否設置告警閾值是否監(jiān)控快照是否IP地址管理【測試目標】 IP地址管理使管理員對企業(yè)內(nèi)部局域網(wǎng)的IP地址資源進行統(tǒng)一規(guī)劃、配置、調(diào)整，合理安排IP地址資源，避免濫用等問題?！緶y試步驟】步驟序號描述IP地址管理【測試結(jié)果】測試項測試結(jié)果IP地址管理IP地址查詢是否IP地址掃描是否IP地址分布查詢是否添加子網(wǎng)是否添加IP是否刪除子網(wǎng)是否刪除IP是否分配子網(wǎng)是否子網(wǎng)屬性是否IP地址屬性是否IP地址明細查看是否業(yè)務拓撲【測試目標】業(yè)務實際上是一系列監(jiān)控對象的組合，一個監(jiān)控對象允許屬于多個業(yè)務，可以根據(jù)業(yè)務實際相關(guān)的各個設備和軟件來創(chuàng)建業(yè)務，例如一個辦公自動化業(yè)務，可能包含連接業(yè)務的交換機，應用服務器，中間件，數(shù)據(jù)庫服務器，數(shù)據(jù)庫等一系列設備和軟件，每一個設備和軟件都是一個監(jiān)控對象，那么在此業(yè)務中，就可以同時查看此業(yè)務相關(guān)設備和軟件的使用，性能和故障情況，還可以選擇所關(guān)心的關(guān)鍵指標計算業(yè)務的健康等級，反映業(yè)務的實際運行狀態(tài)?！緶y試步驟】步驟序號描述1業(yè)務組管理2業(yè)務管理【測試結(jié)果】測試項目測試結(jié)果業(yè)務組管理添加業(yè)務組是否刪除業(yè)務組是否修改業(yè)務組屬性是否業(yè)務管理管理添加業(yè)務是否刪除業(yè)務是否業(yè)務拓撲是否業(yè)務指標是否監(jiān)控快照是否監(jiān)控明細是否安全審計事件采集【測試目標】測試安全管理平臺對各種設備的事件收集能力?！緶y試步驟】步驟序號描述1收集防火墻、入侵檢測、主機、數(shù)據(jù)庫、應用系統(tǒng)的事件信息?！緶y試結(jié)果】測試項目測試結(jié)果防火墻支持是否實現(xiàn)方式Syslog/SNMPTrap/JDBC、ODBC/文件/其他說明入侵檢測支持是否實現(xiàn)方式Syslog/SNMPTrap/JDBC、ODBC/文件/其他說明主機Windows支持是否實現(xiàn)方式Syslog/SNMPTrap/JDBC、ODBC/文件/其他說明Linux支持是否實現(xiàn)方式Syslog/SNMPTrap/JDBC、ODBC/文件/其他說明應用支持是否實現(xiàn)方式Syslog/SNMPTrap/JDBC、ODBC/文件/其他說明事件標準化【測試目標】測試安全管理平臺按照一定維度將不同格式的事件轉(zhuǎn)化為標準、統(tǒng)一的事件格式，并寫入數(shù)據(jù)庫?！緶y試步驟】步驟序號描述1對收集到的事件根據(jù)一定維度進行標準化處理，并寫入數(shù)據(jù)庫。2對收集到的事件可以根據(jù)嚴重程度重新定級?！緶y試結(jié)果】測試項目測試結(jié)果事件標準化設備名稱是否事件名是否事件類型是否事件級別是否時間是否源用戶是否源IP地址是否源端口是否目的用戶是否目的IP地址是否目的端口是否通信協(xié)議類型是否其他自定義事件重定級是否對于不支持的設備或者應用的日志的標準化方式關(guān)聯(lián)分析【測試目標】測試安全管理平臺關(guān)聯(lián)分析能力。通過定義的安全事件規(guī)則對安全事件進行分析，深度挖掘安全隱患、判斷安全事件的嚴重程度、關(guān)聯(lián)出可信度更高的關(guān)聯(lián)事件，提高事件處理的信噪比?！緶y試步驟】步驟序號描述1根據(jù)模擬事件場景設計關(guān)聯(lián)分析規(guī)則。2驗證模擬事件是否可以觸發(fā)規(guī)則并產(chǎn)生報警。3具備可視化的關(guān)聯(lián)規(guī)則編輯器。【測試結(jié)果】測試項目名稱描述測試結(jié)果病毒爆發(fā)監(jiān)控網(wǎng)絡上是否已有多臺計算機同時感染相同的病毒、蠕蟲或木馬(惡意程序代碼疫情爆發(fā))是否賬號猜測攻擊監(jiān)控是否有針對不同賬號的猜測攻擊行為是否密碼猜測攻擊監(jiān)控是否有針對單一賬號的密碼猜測攻擊行為是否非法掃描監(jiān)控網(wǎng)絡上是否有針對多臺主機同時進行通訊端口掃描之行為是否Dos攻擊監(jiān)控是否有針對特定主機的單一DoS攻擊行為是否Ddos攻擊監(jiān)控是否有多臺主機對特定單一主機發(fā)動大量的DoS攻擊是否具備可視化的關(guān)聯(lián)規(guī)則編輯器是否能夠編寫與具體IP地址、時間和端口相關(guān)的面向業(yè)務的關(guān)聯(lián)規(guī)則是否備注事件實時監(jiān)控【測試目標】測試安全管理平臺對事件的實時監(jiān)控能力?！緶y試步驟】步驟序號描述1展示高等級的事件，并查看事件詳情。2設置過濾器，按照事件類型、設備類型和報警級別分別查看到實時的事件上報，并查看事件詳情。3能夠自定義監(jiān)控場景，能夠從業(yè)務系統(tǒng)的角度定義監(jiān)控場景組。4能夠?qū)⑹录c（網(wǎng)絡/機架/業(yè)務）拓撲相關(guān)聯(lián)，從拓撲直接反映事件狀態(tài)。5能夠?qū)ΡO(jiān)控場景設定復雜的監(jiān)控條件。6監(jiān)控界面的事件展示列表的字段可以自定義，可以對字段進行排序。7對監(jiān)控的事件能夠進行定位、追溯。8對監(jiān)控的事件能夠?qū)С觥！緶y試結(jié)果】測試項目測試結(jié)果高等級事件展示是否根據(jù)過濾器查看事件按照事件類型是否按照設備類型是否按照報警級別是否其他是否自定義監(jiān)控場景內(nèi)置監(jiān)控場景是否用戶自定義場景（從事件類型、設備類型和報警級別的角度）是否自定義業(yè)務系統(tǒng)監(jiān)控場景是否拓撲展示事件狀態(tài)在拓撲直觀顯示是否事件定位、追溯定位是否追溯是否事件導出是否備注事件告警【測試目標】測試安全管理平臺事件告警能力?！緶y試步驟】步驟序號描述1可以根據(jù)告警信息的嚴重程度，將告警級別進行劃分，能夠根據(jù)實際需要定義新的告警級別。2對系統(tǒng)中持續(xù)出現(xiàn)、重復發(fā)生以及超過規(guī)定時間仍未解決的告警，可以提升該告警的級別，以保證得到優(yōu)先及時的處理。3可以通過聲報警、電子郵件、聯(lián)動、腳本報警等方式進行告警通知。4對于系統(tǒng)中已經(jīng)處理完畢的告警信息，需要設置相關(guān)的標志，標記為清除，退出告警處理流程，告警清除可手工清除5用戶可以設定告警規(guī)則。6事件告警能夠提升為威脅。7能夠?qū)κ录婢瘮?shù)量進行抑制。8告警規(guī)則可以導入、導出?！緶y試結(jié)果】測試項目測試結(jié)果告警級別定義是否告警升級是否告警通知聲光報警是否電子郵件報警是否告警清除手工清除是否告警規(guī)則設定是否事件告警提升為威脅是否事件告警抑制是否告警規(guī)則導入、導出是否備注事件可視化展示【測試目標】測試安全管理平臺事件可視化展示能力。【測試步驟】步驟序號描述1支持將大量事件可視化的展示出來，這種可視化不能是簡單的圖表曲線，能夠反映事件之間的關(guān)聯(lián)關(guān)系?！緶y試結(jié)果】測試項目測試結(jié)果可視化展示事件連接圖是否事件地圖定位是否其他事件可視化圖形是否種類[]事件可視化圖形中的事件節(jié)點都是可編輯、可點擊、可操作的是否備注事件查詢【測試目標】測試系統(tǒng)對審計內(nèi)容的歷史查詢實現(xiàn)程度。【測試步驟】步驟序號描述1驗證審計內(nèi)容是否能查詢到。2可以導出成csv文件【測試結(jié)果】測試項目測試結(jié)果審計規(guī)則匹配方式精確匹配是否模糊匹配是否正則表達式匹配是否可以導出成csv文件是否審計數(shù)據(jù)歸檔【測試目標】測試系統(tǒng)是否具備數(shù)據(jù)歸檔和恢復的功能?！緶y試步驟】步驟序號描述1定義歸檔目錄和歸檔時間間隔，測試自動歸檔。2測試手動歸檔。3測試手動恢復。4驗證結(jié)果。【測試結(jié)果】測試項目測試結(jié)果是否提供自動歸檔是否是否提供手動歸檔是否是否提供手動恢復是否備注安全決策風險管理【測試目標】測試安全管理平臺能夠維護資產(chǎn)的弱點、威脅信息，并根據(jù)資產(chǎn)的弱點和威脅對資產(chǎn)的安全風險進行統(tǒng)計?！緶y試步驟】步驟序號描述1定期將安全掃描獲得的脆弱性信息導入，進行查詢、呈現(xiàn)等操作2對發(fā)生的安全事件進行五級威脅等級定義（很高、高、中、低、很低）并進行統(tǒng)計分析，給出系統(tǒng)威脅分布圖表、威脅等級分布圖表、資產(chǎn)威脅分布圖表、威脅TOPN排名等3將事件的威脅、資產(chǎn)價值與資產(chǎn)脆弱性進行關(guān)聯(lián)計算，得出資產(chǎn)的風險值，并可對資產(chǎn)安全域進行風險評估4對風險進行實時監(jiān)控，形成統(tǒng)一的風險級別，進行安全預警，追溯風險威脅源頭，并提供直觀的可視化風險展現(xiàn)6結(jié)合靜態(tài)風險管理功能，可以動態(tài)展現(xiàn)過去和現(xiàn)在的安全風險變化趨勢【測試結(jié)果】測試項目測試結(jié)果資產(chǎn)脆弱性信息導入是否資產(chǎn)威脅等級定義是否威脅統(tǒng)計系統(tǒng)威脅分布圖表是否威脅等級分布圖表是否資產(chǎn)威脅分布圖表是否威脅TOPN排名是否風險計算是否風險監(jiān)控是否風險預警是否風險處理是否風險變化趨勢展現(xiàn)是否備注工單管理【測試目標】測試安全管理平臺通過發(fā)送工單的形式來進行工作指令的傳達，實現(xiàn)對安全維護、管理、技術(shù)工程師的工單派發(fā)?！緶y試步驟】步驟序號描述1系統(tǒng)將關(guān)聯(lián)后的安全告警形成故障單，通過運維系統(tǒng)按照臺內(nèi)運維流程進行流轉(zhuǎn)到最終該告警的負責人，該負責人對告警事件進行處理，處理中的各個狀態(tài)、過程、結(jié)果可追蹤、可審計、可監(jiān)督。【測試結(jié)果】測試項目測試結(jié)果提供工單管理接口是否備注知識庫管理【測試目標】測試安全管理平臺知識庫。【測試步驟】步驟序號描述1安全知識庫包括黑白名單和案例庫,便于管理員進行查詢【測試結(jié)果】測試項目測試結(jié)果知識庫管理黑白名單是否安全案例庫是否手工添加其他知識是否備注報表管理【測試目標】測試安全管理平臺報表生成能力?！緶y試步驟】步驟序號描述1能夠提供層次化的統(tǒng)計報表，滿足從領(lǐng)導層、管理層、執(zhí)行層的不同層面的個性化報表內(nèi)容2能夠生成各類報表并可以根據(jù)用戶需求定制報表3報表可以導出為PDF、HTML、WORD、EXCLE等文件格式，并發(fā)送給相關(guān)人員【測試結(jié)果】測試項目測試結(jié)果報表定制系統(tǒng)提供報表模板庫是否網(wǎng)絡報表是否審計報表是否是否安全報表是否報表頁眉頁腳修改是否報表圖標自定義是否報表導出PDF格式是否HTML格式是否WORD是否EXCLE是否報表發(fā)送是否報表調(diào)度是否報表存檔是否備注產(chǎn)品管理【測試目標】測試安全管理平臺部署與管理的易用性。【測試步驟】步驟序號描述1硬件配置要求2管理界面友好，符合中國人使用習慣，能提供中文管理配置界面3支持可視化全局管理，實時自定義面板視圖，提高關(guān)鍵安全問題的可視性4支持根據(jù)不同級別的管理員角色，定義不同的面板視圖，能與管理員分級別、分權(quán)限安全監(jiān)控需求相匹配5支持提供網(wǎng)絡中全部設備與安全產(chǎn)品的動態(tài)視圖，方便用戶查看全網(wǎng)安全事故的收集情況【測試結(jié)果】測試項目測試結(jié)果硬件配置CPU內(nèi)存硬盤存儲中文管理界面是否管理方式BS方式CS方式面板視圖定制是否分權(quán)管理是否動態(tài)視圖是否安裝配置復雜度備注

產(chǎn)品部署方式測試單一部署【測試目標】測試安全管理平臺的單一部署方式的環(huán)境和部署方法?！緶y試拓撲】【測試步驟】步驟序號描述1安裝采集引擎/安全管理平臺/日志發(fā)包器