网络安全预警产品测试标准方案x
时间:2020-11-16 16:18:08 来源:勤学考试网 本文已影响 人 
PAGE
PAGE 15
XXXXXXX
病毒检测系统测试标准
目 录
TOC \o "1-3" \h \z \u 1 测试背景 4
2 测试目标 5
3 测试设备 5
4 测试时间 5
5 测试地点 5
6 项目测试人员 5
7 病毒检测系统网络部署 6
8 病毒检测系统功能测试 6
8.1 病毒检测系统管理部署方式 6
8.1.1 集中管理机制 6
8.1.2 部署模式 7
8.1.3 镜像数据重转发模式 7
8.2 病毒检测系统协议检测测试,要求支持HTTP、FTP、SMTP、POP3、SAMBA等协议。 7
8.2.1 HTTP协议病毒检测 7
8.2.2 FTP协议病毒检测 8
8.2.3 SMTP协议病毒检测 8
8.2.4 POP3协议病毒检测 8
8.2.5 SAMBA协议病毒检测 9
8.3 病毒检测系统协议非标准端口检测测试 9
8.3.1 协议非标准端口病毒检测 9
8.4 病毒检测系统蠕虫和恶意网址过滤检测,并对病毒进行定位。 9
8.4.1 网络蠕虫病毒检测 9
8.4.2 恶意网址过滤 10
8.4.3 病毒准确定位 10
8.5 病毒检测系统支持自定义检测文件大小和自定义检测层数 10
8.5.1 自定义检测文件大小 10
8.5.2 压缩文件检测 11
8.6 病毒检测系统网络性能测试 11
8.6.1 病毒检测系统性能指标 11
8.6.2 网络性能稳定性 11
8.7 病毒检测系统支持bypass和热备机制 12
8.7.1 bypass模式 12
8.7.2 热备机制 12
8.8 病毒检测系统支持与杀毒软件、防病毒网关联动。 12
8.8.1 与杀毒软件联动机制 12
8.8.2 与防病毒网关联动机制 13
8.9 病毒检测系统病毒库升级方式。 13
8.9.1 病毒库升级(注、设备需要激活才能升级病毒库) 13
8.10 病毒检测系统日志报表管理。 13
8.10.1 病毒日志报表丰富 13
8.10.2 单位日志报表丰富 14
8.10.3 病毒检测系统相关日志支持存储远程服务器 14
8.11 病毒检测系统病毒告警。 14
8.11.1 病毒传播告警提示 14
9 测试总体评论 15
测试背景
随着信息技术的快速发展,病毒技术也在不断悄然变革,从感染影响单台主机,到利用邮件、局域网共享传播;从利用操作系统漏洞,到利用各种应用程序漏洞传播;从一个人员编写传播,到集团化分工协作;从主机传播,到基于互联网自动更新,批量传播;从恶作剧,到以经济为目的疯狂盗窃信息。当前,90%的病毒利用互联网传播,各种热门网站、客户端软件和浏览器,都存在着众多漏洞和安全薄弱点,使得用户遭到攻击的渠道暴增;而且,随着黑客-病毒产业链臻于完善,支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭,使得用户对于网络购物、网络支付、网游产业的安全信心遭到打击。
面对网络病毒的威胁,单独的杀毒软件的被动杀毒方式已经明显不能满足目前病毒防范的实际需求,因此,如何充分利用现有安全基础设施,采纳最新的防病毒、反黑客技术手段,建立全网防御、整体作战的综合防治体系对整体网络进行全面监控,是目前所面临的一项重要任务。
目前, XXX信息网上主要的风险是存在计算机病毒大面积侵害运行网络的可能,但是现在还没有对各种病毒进行全局监控和预警、防范的保障措施,没有全面的对病毒事件的大面积发作的处理预案,XXX信息网络的正常运行就会受到严重的威胁。因此,必须从全局出发,以防为主、防杀结合,防病毒厂商为技术支持单位的计算机病毒联合防范管理体系,依托集病毒监测等技术为一体的强大技术支撑系统,构筑成为整体网络的病毒预警防范体系。对发生在XXX信息网络上的病毒事件做到早预防、早发现、早报警、早清杀,及时分发系统漏洞补丁并加以修补,最大程度地降低病毒事件对信息网造成的安全风险。
病毒检测预警系统要求适用于各种复杂的网络拓扑环境,具备针对HTTP、FTP、SMTP、POP3和SAMBA协议内容检查的能力,对发生在XXX信息网络上的病毒事件做到早预防、早发现、早报警、早清杀,及时分发系统漏洞补丁并加以修补,最大程度地降低病毒事件对信息网造成的安全风险。
通过本次测试,在XXXXX网络的实际网络中,了解各品牌病毒检测预警系统检测的功能效果,并检验其性能是否能适应目前的网络吞吐率要求。
测试目标
体验病毒检测预警系统的病毒检测效果和产品功能.
测试设备
此次测试,选择业界专业的病毒检测厂商,具体产品要求如下:
国内自主研发且具有自主知识产权的病毒检测系统(防病毒引擎与病毒库升级)
具有公安部颁发的销售许可证
支持HTTP/SMTP/POP3/FTP/SAMBA等协议的病毒检测与过滤
支持恶意网址的检测(恶意网址库实时升级)
支持5000用户规模
支持镜像数据二次转发功能
支持多镜像数据接入模式
测试时间
年 月 日
测试地点
XXXXX
项目测试人员
为保证在不影响用户业务的前提下,病毒检测系统能正常运行、测试,达到用户测试效果,建议产品的测试由用户单位项目负责人、厂商技术人员共同成立测试项目小组,负责整个项目的测试,解决在产品测试过程中所遇到的问题。其中测试组的人员组成及工作职责如下:
测试负责人:由用户单位的项目负责人担任,主要负责测试的计划安排和技术确认。
测试技术工程师:由厂商技术工程师组成,负责产品的具体实施和测试,并解决在测试中可能出现的问题。
病毒检测系统网络部署
病毒检测系统部署在XXXXX路由器与XXXXX核心交换机中间。
病毒检测系统功能测试
病毒检测系统管理部署方式
集中管理机制
测试目的:检验病毒检测系统可以实现统一管理
测试步骤:将多台病毒检测系统病毒探针旁路接入测试网络中,通过一个系统中心作为管理平台,可以实现对下级探针的管理和策略下发等动作。
预计效果:通过统一管理功能,可以统一升级病毒库及病毒策略下发等
测试结果:
通过 □ 失败 □
部署模式
测试目的:检验病毒检测系统是否能顺利接入到网络环境中,并尽量减少对现有网络影响
测试步骤: 将病毒检测系统端口1设定为监听方式,接入网络镜像口,确认网络连通性是否正常,端口1是否有数据。
预计效果:检查客户的网络是否正常,系统中心和探针分开,此连接方式不用调整网络架构,可以根据需要灵活选择部署方式,病毒检测系统部署简单。
测试结果:
通过 □ 失败 □
镜像数据重转发模式
测试目的:检验病毒检测系统是否能顺利把镜像数据通过设备本身转发,提供另外一台镜像数据分析的设备使用。达到通过1个镜像口,实现二次分析的效果,并尽量减少对现有交换机镜像口的需求。
测试步骤:将探针的E0口修改为转发模式,转发接收接口为E1口,E0口接入交换机镜像口,E1口接第三方设备。确认镜像数据是否转发。
预计效果:可以满足对不同安全设备对同一数据进行分析需求,且不会对现有网络造成影响,不用调整网络架构。
测试结果:
通过 □ 失败 □
病毒检测系统协议检测测试,要求支持HTTP、FTP、SMTP、POP3、SAMBA等协议。
HTTP协议病毒检测
测试目的:检验病毒检测系统是否能够检测HTTP主流协议类型的病毒。
测试步骤:访问病毒测试网站,检查病毒检测系统是否能准确检测病毒测试样本。
预计效果:下载eicar网站病毒样本会检测,能及时发现http协议病毒传播信息,快速定位传播源和受害者及详细路径。
测试结果:
通过 □ 失败 □
FTP协议病毒检测
测试目的:检验病毒检测系统是否能够检测FTP协议的病毒。
测试步骤:下载病毒测试网站的样本,通过ftp协议传输病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。
预计效果:传输过程中病毒样本被检测,快速定位下载和上传FTP服务器的资料时感染病毒的传播源和受害者及详细路径。
测试结果:
通过 □ 失败 □
SMTP协议病毒检测
测试目的:检验病毒检测系统是否能够检测SMTP协议的病毒。
测试步骤:下载病毒测试网站的样本,通过SMTP协议传输病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。
预计效果:邮件发送过程中病毒样本被检测,快速定位传播源和受害者及详细路径。
测试结果:
通过 □ 失败 □
POP3协议病毒检测
测试目的:检验病毒检测系统是否能够检测POP3协议的病毒。
测试步骤:下载 病毒测试网站的样本,通过POP3协议访问病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。
预计效果:邮件接收过程中病毒样本被检测,快速定位传播源和受害者及详细路径。
测试结果:
通过 □ 失败 □
SAMBA协议病毒检测
测试目的:检验病毒检测系统是否能够检测SAMBA协议的病毒。
测试步骤:下载 病毒测试网站的样本,通过网络共享方式访问病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。
预计效果:文件在通过SAMBA传输过程中病毒样本被检测,快速定位传播源和受害者及详细路径。
测试结果:
通过 □ 失败 □
病毒检测系统协议非标准端口检测测试
协议非标准端口病毒检测
测试目的:检验病毒检测系统是否能够检测非标准协议端口(HTTP、SMTP、POP3、FTP)等协议非常规端口的病毒。
测试步骤:下载常规 病毒测试网站的样本, SMTP改为8025,POP3改为8110访问病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。
预计效果:可以检测一些非标准协议端口传输的病毒,避免一些病毒通过特殊端口传播,快速定位传播源和受害者及详细路径。
测试结果:
通过 □ 失败 □
病毒检测系统蠕虫和恶意网址过滤检测,并对病毒进行定位。
网络蠕虫病毒检测
测试目的:检验病毒检测系统是否支持网络蠕虫病毒检测。
测试步骤:病毒检测系统接入网络中,通过一台携带网络蠕虫病毒的电脑接入测试网络中。
预计效果:病毒检测系统会检测网络蠕虫的攻击,快速定位传播源和受害者及详细路径。
测试结果:
通过 □ 失败 □
恶意网址过滤
测试目的:检测病毒检测系统是否能够拦截各类恶意网站。
测试步骤:接入测试网络中,通过访问恶意网站,查看是否可以检测恶意网站
预计效果:可以检测访问恶意网站。快速定位传播源和受害者及详细路径。
测试结果:
通过 □ 失败 □
病毒准确定位
测试目的:检验病毒检测系统是否可以定位到病毒传播源和被感染源、以及病毒文件的精确路径。
测试步骤:通过网络传输病毒,然后查看病毒检测系统的病毒日志,是否有病毒的传播地址和目的地址、以及病毒文件的详细URL地址。
预计效果:帮助用户迅速定位传播源和被感染者,并通过准确的病毒文件路径,清除相关病毒。
测试结果:
通过 □ 失败 □
病毒检测系统支持自定义检测文件大小和自定义检测层数
自定义检测文件大小
测试目的:检测病毒检测系统是否可以灵活的调整检测文件的大小。
测试步骤:病毒检测系统接入网络中,调整病毒检测系统策略,修改检测文件的大小
预计效果:文件大小调整后,也可以顺利的进行检测,避免因文件过小或者过大躲避病毒检测系统的检测。
测试结果:
通过 □ 失败 □
压缩文件检测
测试目的:检测病毒检测系统是否能够检测各类经过多层压缩的文件病毒。
测试步骤:病毒检测系统接入网络中,下载病毒测试网站的压缩样本,通过邮件方式传输病毒样本测试,检查病毒检测系统是否能准确检测病毒压缩样本。
预计效果:可以检测各种多层压缩的压缩文件类型病毒,避免病毒通过压缩方式躲避安全设备的检测。
测试结果:
通过 □ 失败 □
病毒检测系统网络性能测试
病毒检测系统性能指标
测试目的:将设备以旁路方式接入网络,病毒检测系统正常工作时观察病毒检测系统的系统负荷(检测策略全开)。
测试步骤:将病毒检测系统杀毒策略全部打开,接入实际网络中。
预计效果:满足CPU使用率80%以内,内存使用效率60%以内。
测试结果:
通过 □ 失败 □
网络性能稳定性
测试目的:将设备以旁路方式接入网络,病毒检测系统正常工作时(检测策略全开),查看网络访问速度稳定,无明显延迟和中断现象。
测试步骤:将病毒检测系统杀毒策略全部打开,接入实际网络中,ping目的地址,浏览网页和其他应用。
预计效果:满足页面访问无明显延迟,ping无异常丢包
测试结果:
通过 □ 失败 □
病毒检测系统支持bypass和热备机制
bypass模式
测试目的:检验病毒检测系统在出现设备断电或系统故障,不会对现有网络造成影响
测试步骤:将病毒检测系统接入实际网络链路中,把设备电源关闭。
预计效果:当设备出现停电异常时,设备不能正常工作,但是客户的网络不受影响,数据可以正常传输。
测试结果:
通过 □ 失败 □
热备机制
测试目的:检验主病毒检测系统在出现故障时,会自动的切换到备病毒检测系统
测试步骤:将2台病毒检测系统串联接入2条链路中,把其中一台病毒检测系统关闭,数据会自动的切换到另外一台病毒检测系统。
预计效果:通过热备机制实现客户网络的正常运行,避免因其中一台设备故障,造成客户网络无法正常访问。
测试结果:
通过 □ 失败 □
病毒检测系统支持与杀毒软件、防病毒网关联动。
与杀毒软件联动机制
测试目的:检验病毒检测系统通过与杀毒软件联动,收集杀毒软件病毒日志,病毒检测系统可以展现病毒感染状况
测试步骤:将病毒检测系统接入实际网络中,通过病毒检测系统与杀毒软件的联动设定,收集杀毒软件病毒日志,病毒检测系统可以展现病毒感染状况。
预计效果:可以实现对杀毒软件的病毒日志收集,对主机感染病毒的病毒情况进行统计分析
测试结果:
通过 □ 失败 □
与防病毒网关联动机制
测试目的:检验病毒检测系统通过与防病毒网关联动,收集防病毒网关病毒日志,对防病毒网关设备进行统一管理,配置下发、病毒库升级等
测试步骤:将病毒检测系统接入实际网络中,通过病毒检测系统与防病毒网关的联动设定,收集杀毒软件病毒日志,病毒检测系统可以展现病毒感染状况,对防病毒网关设备进行管理,配置下发、病毒库升级等。
预计效果:可以实现对防病毒网关的病毒日志收集,并对防病毒网关设备进行统一管理,配置下发、病毒库升级等测试结果:
通过 □ 失败 □
病毒检测系统病毒库升级方式。
病毒库升级(注、设备需要激活才能升级病毒库)
测试目的:检验病毒检测系统是否支持在线、本地升级功能,能够及时升级病毒特征库及病毒引擎等相关的内容,从而不断提高病毒检测系统的防病毒能力和检测能力。
测试步骤:在指定的自动升级时间后病毒检测系统是否已自动更新或者手工升级到最新版本。
预计效果:检查病毒检测系统的病毒库升级是否正常,能在不同的网络环境中使用(OA网或者互联网)
测试结果:
通过 □ 失败 □
病毒检测系统日志报表管理。
病毒日志报表丰富
测试目的:检验病毒检测系统是否支持日志报表自定义选择,实现报表的丰富性。
测试步骤:通过网络传输病毒,然后查看病毒检测系统的病毒日志,病毒检测系统可以不通过第三方工具,报表通过新增和删除等动作,展现不同的病毒报表。
预计效果:满足用户各种相关审计等需求,了解网络病毒现状。
测试结果:
通过 □ 失败 □
单位日志报表丰富
测试目的:检验病毒检测系统是否支持以组/单位的日志报表,实现报表的丰富性。
测试步骤:通过网络IP地址与单位名称对应,然后查看病毒检测系统的病毒日志,病毒检测系统可以根据单位名称分析病毒趋势,报表通过新增和删除等动作,展现不同的病毒报表。
预计效果:满足用户内部各种相关审计及考核等需求,了解网络病毒现状。
测试结果:
通过 □ 失败 □
病毒检测系统相关日志支持存储远程服务器
测试目的:检验病毒检测系统的病毒、系统、管理日志可以发送syslog服务器。
测试步骤:在病毒检测系统进行syslog相关设定,把相关日志都指向syslog服务器,检查syslog服务器是否收到相关日志。
预计效果:满足日志的异地存储和分析。
测试结果:
通过 □ 失败 □
病毒检测系统病毒告警。
病毒传播告警提示
测试目的:检验病毒检测系统的检测到病毒可以及时告警。
测试步骤:在病毒检测系统进行邮箱相关设定,可以及时的把病毒日志信息通过邮件发送给管理员。
预计效果:满足用户及时获取网络病毒传播情况。
测试结果:
通过 □ 失败 □
测试总体评论
参与测试的厂商,需严格按照测试的要求进行测试,并组建专门的测试团队,负责测试过程的顺利进行,最终的评判标准,根据产品资质,功能,性能,稳定性,兼容性,防护效果,技术服务等综合评定。
