漏洞掃描測試方案

網(wǎng)絡(luò)漏洞掃描系統(tǒng)測試方案目錄1 產(chǎn)品初步評定 31.1 送測產(chǎn)品登記 31.2 產(chǎn)品功效 31.3 產(chǎn)品布署 31.4 系統(tǒng)配備 41.5 基本狀況調(diào)查 42 系統(tǒng)功效測試 72.1 布署和管理 72.2 系統(tǒng)升級能力 72.3 掃描任務(wù)高級屬性 72.4 掃描任務(wù)參數(shù)配備測試 82.5 掃描方略定制 82.6 信息收集能力測試 92.7 及時顯示能力測試 102.8 掃描文檔和報表 102.8.1 掃描文檔、報表的生成靈活程度測試 102.8.2 報表信息完善程度和對的測試 112.9 系統(tǒng)的安全方略 112.10 文檔 123 漏洞掃描測試 123.1 系統(tǒng)脆弱性測試 123.2 數(shù)據(jù)庫脆弱性掃描測試 133.3 系統(tǒng)智能化程度測試 134 資產(chǎn)管理與弱點評定 134.1 部門管理 134.2 資產(chǎn)管理 144.3 資產(chǎn)弱點評定 145 性能測試 145.1 掃描速度測試 145.2 掃描系統(tǒng)資源開銷 156 其它 157 總結(jié) 15

產(chǎn)品初步評定產(chǎn)品初步評定是指對產(chǎn)品供應(yīng)商的資質(zhì)、產(chǎn)品本身的特性、內(nèi)部配備、合用范疇、技術(shù)支持能力、核心技術(shù)、產(chǎn)品本地化、產(chǎn)品認證等方面進行的書面的初步評定。送測產(chǎn)品登記表格一：送測產(chǎn)品記錄表產(chǎn)品名稱型號廠商名稱產(chǎn)品形態(tài)產(chǎn)品構(gòu)成測試環(huán)境規(guī)定掃描系統(tǒng)應(yīng)支持多個靈活的布署方式，能夠被安裝在便攜機或PC工作站上，也能夠也能夠預(yù)裝到機架式硬件工控機中，顧客將其連接到被掃描的網(wǎng)絡(luò)環(huán)境中即可進行對全網(wǎng)進行的脆弱性檢測。測試拓撲圖以下：設(shè)備類型配備描述數(shù)量PC硬件規(guī)定：X86架構(gòu)的臺式機或筆記本電腦。CPU：不低于1.5G主頻內(nèi)存：不低于1G,建議2G以上硬盤：不低于500M剩余空間，建議2G以上剩余空間網(wǎng)卡：最少一塊100Mbps以太網(wǎng)卡軟件規(guī)定：操作系統(tǒng)：中文版WindowsProfessional/ServerwithSP4、WindowsXPwithSP3、WindowsServerwithSP2、WindowsVista、WindowsServer、Windows7瀏覽器：IE6.0以上版本1臺交換機100M/1000M可鏡像端口1臺基本狀況調(diào)查表格二：基本狀況調(diào)查表產(chǎn)品信息產(chǎn)品名稱廠家名稱產(chǎn)品類型□軟件□硬件軟件組件操作系統(tǒng)的兼容性產(chǎn)品體系構(gòu)造□掃描器和管理平臺一體化□其它操作系統(tǒng)規(guī)定□WindowswithSP4(Professional&Server)□WindowsXPwithSP3□WindowsServerwithSP2□WindowsVista□WindowsSever□Windows7數(shù)據(jù)庫支持□支持數(shù)據(jù)庫切換系統(tǒng)的功效掃描方式□網(wǎng)絡(luò)掃描□主機掃描□Windows域掃描顧客管理□多管理權(quán)限劃分□權(quán)限統(tǒng)一管理權(quán)限管理□可掃描IP地址數(shù)量限制□掃描任務(wù)次數(shù)限制□授權(quán)服務(wù)期限限制□功效模塊限制方略管理□默認17種方略□顧客自定義方略□方略的導(dǎo)入/導(dǎo)出任務(wù)管理□立刻執(zhí)行□定時執(zhí)行□定時循環(huán)執(zhí)行報表功效□主機掃描報表□漏洞掃描報表□全報表□任務(wù)對比分析報表□任務(wù)趨勢分析報表□部門掃描報表□部門對比分析報表□部門趨勢分析□角色報表□顧客自定義報表□WEB報表漏洞類型□系統(tǒng)漏洞□應(yīng)用服務(wù)漏洞□后門程序檢測□數(shù)據(jù)庫漏洞□應(yīng)用軟件漏洞數(shù)據(jù)庫掃描□Oracle□MSSql□DB2□Sybase□Mysql更新機制□專用更新程序□手動更新□自動在線更新□按周升級包□季度升級包合集部門管理□按網(wǎng)絡(luò)地址劃分部門□設(shè)立多級子部門□部門掃描資產(chǎn)管理□手動增加資產(chǎn)□自動從掃描成果中導(dǎo)入資產(chǎn)□支持資產(chǎn)保護等級屬性設(shè)立□支持資產(chǎn)價值屬性設(shè)立□支持資產(chǎn)類型屬性設(shè)立□資產(chǎn)自動發(fā)現(xiàn)資產(chǎn)風(fēng)險評定（可選模塊）□資產(chǎn)弱點評定□資產(chǎn)弱點統(tǒng)計□資產(chǎn)弱點對比漏洞驗證（可選模塊）□漏洞驗證二次開發(fā)接口支持（可選模塊）□支持xml接口調(diào)用□支持WebService接口調(diào)用

系統(tǒng)功效測試布署和管理[測試目的]測試系統(tǒng)安裝過程與否簡易，與否需要安裝第三方軟件，安裝后與否對原系統(tǒng)造成不良影響，其基本構(gòu)成與否與廠家提供的闡明信息一致。[測試成果]測試項目測試成果與否為中文界面□是/□否安裝過程中與否需要顧客安裝第三方軟件□是/□否與否需要在被掃描的目的系統(tǒng)上安裝軟件□是/□否系統(tǒng)與否支持多顧客管理□是/□否顧客權(quán)限與否能夠分級□是/□否系統(tǒng)升級能力[測試目的]測試系統(tǒng)升級的方式與否方便、多樣，系統(tǒng)與否支持在線升級，升級過程與否安全（與否進行加密），升級內(nèi)容與否具體[測試成果]測試項目測試成果與否支持在線升級□是/□否與否支持非在線升級□是/□否升級后與否能夠發(fā)現(xiàn)最新公布的安全漏洞□是/□否掃描任務(wù)高級屬性[測試目的]系統(tǒng)支持掃描任務(wù)的高級屬性[測試成果]與否支持斷網(wǎng)續(xù)掃□是/□否與否支持斷點續(xù)掃□是/□否與否支持域掃描□是/□否與否支持域名掃描□是/□否掃描任務(wù)參數(shù)配備測試[測試目的]與否能夠配備不同的掃描任務(wù)參數(shù)[測試成果]測試項目測試成果任務(wù)優(yōu)先級□是/□否最大并行掃描主機數(shù)目□是/□否主機最大線程數(shù)目□是/□否與否針對有防火墻設(shè)立的主機有不同的探測方式□是/□否與否支持網(wǎng)絡(luò)延遲設(shè)立□是/□否按操作系統(tǒng)掃描□是/□否按域掃描□是/□否只掃描存活主機□是/□否與否支持快速掃描□是/□否告知被掃描主機□是/□否與否支持會話備份□是/□否掃描方略定制[測試目的]測試掃描系統(tǒng)與否提供定制掃描方略的功效，掃描方略的定制與否方便，分類與否足夠具體。[測試成果]測試項目測試成果掃描漏洞庫與否分類□是/□否與否能顯示掃描漏洞的數(shù)量□是/□否漏洞資料與否全部中文本地化□是/□否與否對每個漏洞有注釋闡明□是/□否與否容易關(guān)閉一種漏洞□是/□否與否容易啟用一種漏洞檢測□是/□否與否能夠?qū)Ψ铰詤?shù)進行調(diào)節(jié)□是/□否與否能夠?qū)β┒磪?shù)進行調(diào)節(jié)□是/□否方略與否能夠?qū)雽?dǎo)出□是/□否與否提供專門的Windows掃描方略□是/□否與否提供專門的Unix掃描方略□是/□否與否提供網(wǎng)絡(luò)設(shè)備掃描方略□是/□否與否提供數(shù)據(jù)庫掃描方略□是/□否與否支持定制掃描方略□是/□否缺省的掃描方略____種與否支持漏洞篩選□是/□否用于篩選漏洞的條件有哪幾個□風(fēng)險程度□CVE編號□應(yīng)用類型□操作系統(tǒng)類型□其它，CNCVE與否能夠單獨選擇掃描漏洞列表□是/□否與否支持掃描方略的導(dǎo)出和導(dǎo)入□是/□否口令猜想字典與否分類□是/□否口令猜想字典與否能夠自定義□是/□否掃描端口范疇與否能夠自定義□是/□否與否支持端口服務(wù)智能識別技術(shù)□是/□否能夠指定掃描目的的參數(shù)□指定ip地址□指定ip網(wǎng)段□指定多個ip網(wǎng)段□指定多個ip網(wǎng)段中的地址與否支持在指定的時間自動啟動掃描□是/□否與否支持間隔一定時間自動掃描□是/□否與否能夠使用目的系統(tǒng)的已知賬號/口令對其進行更有效的掃描□是/□否使用顧客名/口令文獻□是/□否與否支持漏洞查詢□是/□否查詢條件與否支持CVE□是/□否查詢條件與否支持Bugtraq□是/□否查詢條件與否支持CNCVE□是/□否查詢成果與否支持批量選擇□是/□否信息收集能力測試[測試目的]測試掃描系統(tǒng)與否能夠?qū)Φ墨@取目的主機的各類信息等[測試成果]測試項目測試成果與否能夠?qū)Φ姆治龀瞿康南到y(tǒng)的操作系統(tǒng)類型□是/□否與否能夠?qū)Φ牡靥綔y目的系統(tǒng)與否能夠PING通□是/□否與否能夠?qū)Φ奶綔y目的系統(tǒng)上全部打開的TCP端口□是/□否與否能夠?qū)Φ奶綔y目的系統(tǒng)上全部打開的UDP端口□是/□否與否能夠運用finger服務(wù)獲得目的主機上的顧客信息□是/□否與否能夠運用NetBIOS服務(wù)獲得目的主機上的顧客信息□是/□否及時顯示能力測試[測試目的]測試掃描系統(tǒng)與否能夠及時列出掃描出的成果信息等[測試成果]測試項目測試成果與否能夠及時列出掃描出的全部漏洞□是/□否與否能夠及時列出掃描出的全部端口□是/□否與否能夠及時列出掃描出的全部賬戶密碼□是/□否與否能夠及時列出掃描出的全部主機□是/□否與否能夠及時顯示掃描進度□是/□否掃描成果與否方便查看□是/□否掃描文檔和報表掃描文檔、報表的生成靈活程度測試[測試目的]在掃描結(jié)束后，顧客與否能夠靈活地組織其但愿生成的報告。[測試成果]測試項目測試成果掃描成果能否寫入數(shù)據(jù)庫□是/□否與否支持根據(jù)設(shè)定的條件生成不同的報告□不同的風(fēng)險級別□不同的主機地址與否能夠組合多個條件決定在生成的報告中包含哪些漏洞□是/□否允許組合使用的條件□漏洞風(fēng)險□主機地址□部門（資產(chǎn)統(tǒng)計和弱點評定）與否能夠生成主機間比較的成果報告□是/□否與否支持實時掃描成果導(dǎo)出□是/□否與否能夠?qū)⑿鲁霈F(xiàn)的危險狀況及時告知管理員□是/□否與否支持報表郵件發(fā)送□是/□否能夠生成的報告格式□Doc□HTML□XML□PDF□Excel□RTF能夠任意組合調(diào)節(jié)報表模板定制報表□是/□否報表信息完善程度和對的測試[測試目的]評定不同的掃描系統(tǒng)提供的信息的完善程度和對的程度[測試成果]測試項目測試成果掃描起止日期、時間□是/□否掃描使用的方略名稱□是/□否生成報告的方略名稱□是/□否掃描結(jié)束的狀態(tài)□是/□否掃描目的的描述信息（總數(shù)目、ip地址等）□是/□否根據(jù)漏洞的危險級別統(tǒng)計分析得到的報表和圖表□是/□否根據(jù)漏洞的類型統(tǒng)計分析得到的報表和圖表□是/□否針對每臺主機列出掃描該主機收集到的信息（端口、服務(wù)、賬號等）□是/□否為每臺主機列出該主機上存在的漏洞列表□是/□否對每個漏洞都簡樸介紹存在該漏洞的軟件的作用□是/□否對每個漏洞都描述該漏洞可能造成的危害□是/□否對每個漏洞都給出易于理解的名字□是/□否對每個漏洞都描述了存在漏洞的因素□是/□否對每個漏洞都提供了修補漏洞的辦法□是/□否每個漏洞與否含有cvss評分□是/□否每個部門與否含有風(fēng)險分值及安全等級□是/□否根據(jù)提供的修補辦法能夠有效地修補漏洞，而不需要參考其它資料□是/□否提供了能夠獲得該漏洞有關(guān)信息的網(wǎng)站□是/□否提供了其它機構(gòu)對該漏洞的命名□CNCVE□CVE□Bugtraq□否提供的報告為中文信息□是/□否與否提供對整個系統(tǒng)的安全程度的綜合評定□是/□否系統(tǒng)的安全方略[測試目的]測試掃描系統(tǒng)對于系統(tǒng)操作的日志和審計功效[測試成果]測試項目測試成果掃描ip地址限制□是/□否在任何操作前的身份鑒別□是/□否系統(tǒng)與否含有鑒別失敗解決□是/□否系統(tǒng)與否能夠設(shè)定失敗次數(shù)□是/□否與否能夠?qū)ζ渌芾韱T生成的掃描方略信息進行察看和設(shè)立□是/□否察看與否能夠?qū)ζ渌芾韱T生成的掃描日志信息進行察看和設(shè)立□是/□否文檔[測試目的]測試該系統(tǒng)與否提供詳盡的文檔[測試成果]測試項目測試成果與否提供全中文的安裝闡明文檔□是/□否與否提供全中文的顧客操作手冊□是/□否與否提供全中文的在線協(xié)助□是/□否漏洞掃描測試系統(tǒng)脆弱性測試[測試目的]測試掃描系統(tǒng)與否發(fā)現(xiàn)不同操作系統(tǒng)的系統(tǒng)弱口令以及不恰當?shù)墓蚕砘蛭ｋU配備等。[測試成果]測試項目測試成果與否發(fā)現(xiàn)顧客的弱口令例如空，123，admin等□是/□否與否發(fā)現(xiàn)操作系統(tǒng)重要目錄設(shè)立為共享□是/□否與否發(fā)現(xiàn)FTP服務(wù)器匿名顧客能夠訪問□是/□否與否發(fā)現(xiàn)FTP服務(wù)器匿名顧客文獻可寫權(quán)限□是/□否與否能夠檢測出目的系統(tǒng)的操作系統(tǒng)□是/□否與否支持對ping不通主機的掃描□是/□否與否支持共享枚舉□是/□否掃描驗證測試[測試目的]測試掃描系統(tǒng)與否發(fā)現(xiàn)能對掃描出來的漏洞進行驗證。[測試成果]測試項目測試成果與否能對掃描出來的共享環(huán)境進行驗證□是/□否與否能對掃描出來的開放端口進行驗證□是/□否與否能對掃描出來的顧客口令進行驗證□是/□否數(shù)據(jù)庫脆弱性掃描測試[測試目的]測試被掃描的數(shù)據(jù)庫與否包含默認口令、弱口令以及其它漏洞。[測試成果]測試項目測試成果掃描oracle數(shù)據(jù)庫的信息，如顧客/口令/漏洞等□是/□否掃描MSSQL數(shù)據(jù)庫的信息，如顧客/口令/漏洞等□是/□否掃描Sybase數(shù)據(jù)庫的信息，如顧客/口令/漏洞等□是/□否掃描DB2數(shù)據(jù)庫的信息，如顧客/口令/漏洞等□是/□否掃描Mysql數(shù)據(jù)庫的信息，如顧客/口令/漏洞等□是/□否系統(tǒng)智能化程度測試[測試目的]測試掃描系統(tǒng)與否能夠綜合運用掃描獲得的信息，與否能夠根據(jù)一定的規(guī)則減少掃描的工作量等智能化性能。[測試成果]測試項目測試成果與否能夠識別該系統(tǒng)為WINDOWS系統(tǒng)，并且能夠得到系統(tǒng)版本□是/□否與否能夠識別該系統(tǒng)為LINUX或UNIX系統(tǒng)，并且能夠得到系統(tǒng)版本□是/□否與否能夠識別出開放在別的端口上的服務(wù)□是/□否資產(chǎn)管理與弱點評定部門管理[測試目的]測試掃描系統(tǒng)與否能夠增加、修改和刪除部門的功效。[測試成果]測試項目測試成果與否能夠增加部門□是/□否與否能夠修改已存在的部門及其屬性□是/□否與否能夠刪除已存在的部門□是/□否與否能夠?qū)崟r計算部門最新的風(fēng)險狀態(tài)□是/□否與否能夠針對部門開始新的掃描任務(wù)□是/□否資產(chǎn)管理[測試目的]測試掃描系統(tǒng)與否能夠增加、修改和刪除資產(chǎn)的功效。[測試成果]測試項目測試成果與否能夠增加