- 論壇徽章:
- 0
|
原文 http://www.teczd.com/forum/viewtopic.php?t=28
原帖由 "TecZm" 發(fā)表:
根據(jù)高可控性網(wǎng)絡需求及實踐出發(fā)����,以技術為主����,不針對任何廠商和產(chǎn)品�。
1.功能評估及測試方法
從功能上講應包括以下4大類:
1)計算機軟硬件、計算機資產(chǎn)審計和控制
2)遠程行為審計和控制
3)重要文件數(shù)據(jù)審計和控制
4)網(wǎng)絡審計和控制
具體功能應包括:
(1)主機信息審計功能
(2)資產(chǎn)管理功能
(3)進程審計功能
(4)屏幕審計和遠程屏控功能
(5)鍵盤審計功能
(6)系統(tǒng)日志審計功能
(7)盤符審計功能
(Cool打印審計功能
(9)移動存儲審計功能
(10)內(nèi)網(wǎng)防非法外連功能
(11)內(nèi)網(wǎng)防非法接入功能
(12)網(wǎng)絡審計功能
(13)離線審計功能
(14)IP審計功能
(15)主機真實性識別功能等
各功能細化評估和測試方法如下:
(1)主機信息審計功能
細化功能:可查看機器名����、IP地址、MAC地址����、操作系統(tǒng)版本、當前用戶��、安裝的軟硬件信息����、本地磁盤基本信息、系統(tǒng)應用����、安全及開關機日志、目前運行的進程��,以及各進程調(diào)用系統(tǒng)模塊和動態(tài)鏈接庫等信息。
測試方法:分別對win98�����、win2k���、winXP���、win2003、RH-Linux每種系統(tǒng)至少1臺主機測試審計內(nèi)容是否與真實主機內(nèi)容吻合���。
(2)資產(chǎn)管理功能
細化功能:可查看軟硬件配置情況�����,原基準硬件型號�、新增或卸載硬件型號����,對計算機硬件非授權變更報警并予以停用。
測試方法:分別對win98��、win2k、winXP�、win2003�、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性。
(3)進程審計功能
細化功能:可審計運行的進程及進程調(diào)用系統(tǒng)模塊和動態(tài)鏈接庫��,可標識非法進程和合法進程���;并提供手動和自動阻斷非法進程功能����。
測試方法:分別對win98���、win2k�、winXP���、win2003��、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性�����。
(4)屏幕審計功能和遠程屏控功能
細化功能:實時審計特定計算機�,可指定時間截取屏幕�����?蛇h程控制����。
測試方法:分別對win98、win2k���、winXP��、win2003����、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性��。
(5)鍵盤審計功能
細化功能:實時審計特定計算機的鍵盤,可設置時間段�����,自動審計被監(jiān)管計算機的鍵盤操作���。
測試方法:分別對win98����、win2k、winXP��、win2003�����、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性����。
(6)系統(tǒng)日志審計功能
細化功能:對系統(tǒng)日志��、安全日志���、應用日志審計�,開關機日志查看�。
測試方法:分別對win98、win2k�����、winXP��、win2003、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性�。
(7)盤符審計功能
細化功能:對網(wǎng)絡內(nèi)主機可自動識別USB設備或USB存儲,并允許/禁止使用光��、軟驅(qū)和USB存儲設備��、并口��、串口�、1394口、紅外�����、藍牙口使用���。
測試方法:分別對win98�、win2k��、winXP�����、win2003���、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性���。在測試本地設備允許禁止時需注意:策略改變響應時間應不高于3秒��,同時被審計主機無需重啟��、注銷���。
(Cool打印審計功能
細化功能:對打印機行為審計并且可以還原打印內(nèi)容�。
測試方法:分別對win98、win2k�����、winXP��、win2003�、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性。打印機審計功能應可適用于主機打印機和網(wǎng)絡打印機�。
(9)移動存儲審計功能
細化功能:允許使用的移動存儲設備(移動硬盤、優(yōu)盤���、MP3等)可以在單位內(nèi)部計算機上使用����,否則不能使用。
測試方法:分別對win98�����、win2k�、winXP、win2003����、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性。
(10)內(nèi)網(wǎng)防非法外連功能
細化功能:可允許或禁止主機采用modem�、PPPoE等方式擅自接入外網(wǎng)。
測試方法:分別對win98����、win2k、winXP�����、win2003��、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性�����。
(11)內(nèi)網(wǎng)防非法接入功能
細化功能:對未允許的主機接入網(wǎng)絡后自動報警,提供手動和自動阻斷���。
測試方法:在不同網(wǎng)段接入未允許主機測試該功能可用性和準確性�。
(12)網(wǎng)絡審計功能
細化功能:可定義主機指定網(wǎng)絡進程允許/禁止�、允許的網(wǎng)絡進程源端口、目標端口�����、目標ip及目標ip段����。對非授權網(wǎng)絡連接自動阻斷�����。
測試方法:分別對win98�、win2k、winXP��、win2003���、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性���。
(13)離線審計功能
細化功能:特定計算機網(wǎng)絡連接情況���,在一定時間內(nèi)設置非法網(wǎng)絡連接列表,對離線時間超過設定的自動鎖定�,除非管理員解鎖或重新連入園區(qū)網(wǎng)。設置某些客戶端離線時間�,超時后,系統(tǒng)自動給與提示���。
測試方法:分別對win98�、win2k�、winXP、win2003��、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性��。
(14)IP審計功能
細化功能:允許/禁止主機更改ip地址和mac地址����。
測試方法:分別對win98、win2k、winXP���、win2003��、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性�����。
(15)主機真實性識別功能等
細化功能:對允許更改ip地址和mac地址的主機做到真實唯一性判斷�。
測試方法:分別對win98����、win2k、winXP���、win2003����、RH-Linux每種系統(tǒng)至少1臺主機測試該功能可用性和準確性。
文件審計功能���,即對主機端文件讀����、寫、更名����、移動權限的控制功能。對于高可控性網(wǎng)絡而言�,分布式文件存儲方式在訪問控制、身份鑒別���、物理竊取�����、數(shù)據(jù)容災等方面不具備高可控性��,因此該功能不做為測試要求
2.系統(tǒng)兼容性評估及測試方法
安全審計系統(tǒng)涉及面廣���,其目的在于對內(nèi)部網(wǎng)絡的高度可控,對于被控主機而言����,其功能的實現(xiàn)不能影響正常應用;因此��,對一個安全審計系統(tǒng)的評估應充分考量其系統(tǒng)環(huán)境兼容性和應用環(huán)境兼容性。
系統(tǒng)環(huán)境兼容性要求:適用于win98��、win2k pro���、win2k server���、win XP、win2003和國內(nèi)某行業(yè)使用的RH linux和派生的RF linux桌面版����;測試過程中不會發(fā)生死機、藍屏�����、停止響應或系統(tǒng)間歇性停頓等現(xiàn)象����。
應用環(huán)境兼容性要求:與KV、諾頓����、瑞星、卡巴��、AV����、金山等殺毒軟件無沖突;與Photoshop����、UG、AutoCAD��、MS Office��、3D MAX等大型桌面軟件無明顯性能影響����。
3.系統(tǒng)可靠性評估及測試方法
如前所述,安全審計系統(tǒng)的目的是對內(nèi)部網(wǎng)絡的高度可控����,被控主機使用者為進行非授權活動可能使用黑客工具和技術手段進行反制;因此安全審計系統(tǒng)的防殺能力尤為重要����。
測試手段及工具:
1.安全模式下卸載安全審計系統(tǒng)
2.使用procexp、LP_Check�����、HijackThis、killbox���、aports�����、icesword對安全審計系統(tǒng)防殺能力進行測試����。
4.部署多樣性評估及測試方法
對于高可控性網(wǎng)絡而言�����,其網(wǎng)絡拓撲多為多級部署��,同時由于行政歸屬和安全管理的要求�����,安全審計系統(tǒng)應提供總控部署和多級部署能力���。
------------全文完------------- |
|
免費注冊
發(fā)表于 2005-10-24 14:54
