1、数据库审计产品测试方案北京中船信息科技有限公司北京思福迪信息技术有限公司2011年03月05日数据库审计产品测试方案 目录一、测试目的4二、测试原则4三、测试环境63.1测试对象63。2测试地点63.3测试时间63。4测试人员63。5测试环境63.6测试拓扑示意图63。7测试准备7四、测试项目84.1产品收集功能测试84。1。1日志收集能力测试84。1。2日志过滤104。1.3日志收集的安全性114.1。4日志收集的标准化124.2产品存储功能测试134。2。1日志导出及备份134.2。2存储使用监控134。2。3存储安全防护144.3产品的查询功能测试154.3。1多条件组合查询154。3.
2、2自定义安全事件查询164。4产品的报表功能测试174。4.1报表结果可视化展现174.4.2报表导出格式184。4.3报表权限194。5产品自身管理及防护功能测试20五、测试结论23参考标准23一、 测试目的本次测试的主要目的,是测试和验证数据库审计产品的各项功能和性能指标能否满足客户的实际需求.二、 测试原则在本次测试过程中,将根据客观、公正、公平的原则,按统一的标准,从客户的业务需求和实际环境出发,对参加测试的厂商的产品进行有重点、有针对性的测试。为此,在测试过程中应坚持以下原则:l 测试环境一致原则本次测试,不同厂家的产品,其测试环境保持一致,即使用相同的网络环境,采用统一的测试工具,
3、设置统一的测试参数进行测试。在一个产品测试完,下一产品测试前,恢复测试环境的初始状态。l 测试内容一致原则针对不同厂家产品采用相同的测试内容进行测试。并且测试内容一旦确定,所有参加测试的产品必须按其内容逐项进行测试。l 代表性原则本次测试并不针对测试的产品所有的功能及性能,而是根据综合安全审计产品的应用特点选取具有代表性的功能指标进行测试.根据以上原则,为有效实现测试目标,同时便于测试的实施,对各厂商提供的产品,按照日志的收集、日志的存储、日志的分析和报表、自身安全管理功能几个方面进行测试.三、 测试环境3.1 测试对象本次测试对象是杭州思福迪信息技术有限公司的数据库审计产品,型号为Logba
4、se-H530测试样机。3.2 测试地点中船信息科技公司3.3 测试时间2011年03月11日.3.4 测试人员厂商人员:赵新 李春3.5 测试环境3.6 测试拓扑示意图3.7 测试准备l 按上述测试拓扑属意图在网络环境中部署数据库审计产品l 为数据库审计产品的管理口配置有效IP,确保可以远程访问、管理和日志接收l 在交换机上设置镜像,将数据库流量镜像到数据库审计产品的监听口四、 测试项目4.1 产品收集功能测试4.1.1 日志收集能力测试说明:依实际情况和需求,测试各家数据库审计产品所能支持的数据库种类,以及对用户关心的主要数据库类型的支持情况。4.1.1.1 Oracle数据库日志收集测试
5、项目Oracle数据库日志收集测试说明测试产品是否支持Oracle数据库的日志审计测试环境LogbaseH530、Logbase-NS1300、oracle数据库前提条件1. 测试环境中有Oracle数据库流量2. 测试使用的交换机具备设置镜像的功能测试步骤1. 在交换机上设置对Oracle数据库流量的镜像2. 访问Oracle数据库制造访问流量3. 观察审计产品对操作情况的记录情况预期结果1. 产品能正确采集和审计Oracle数据库操作流量测试结果可以记录操作oracle数据库的指令备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.1.1.2 S
6、QL-server数据库日志收集测试项目SQLserver数据库日志收集测试说明测试产品是否支持对SQLserver数据库操作行为的审计测试环境Logbase-H530、Logbase-NS1300、SQLserver数据库前提条件1. 测试测试环境中有SQL-server数据库流量2. 测试使用的交换机具备设置镜像的功能测试步骤1. 在交换机上设置对SQLserver数据库流量的镜像2. 访问SQLserver数据库制造流量3. 观察审计系统对操作流量的记录情况预期结果1. 产品能正确采集和审计SQLserver数据库流量信息测试结果可以记录操作SQL-server数据库的指令备注说明测试结
7、论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.1.1.3 其它类型数据库日志收集测试项目其他类型数据库日志收集测试说明选择用户有实际需要的数据库类型,测试审计产品的采集能力测试环境LogbaseH530、Logbase-NS-1300、其他类型数据库前提条件1. 测试测试环境中有实际数据库流量2. 测试使用的交换机具备设置镜像的功能测试步骤1. 在交换机上设置对数据库流量的镜像2. 访问数据库制造流量3. 观察审计系统对操作流量的记录情况预期结果1. 产品能正确采集和审计数据库流量信息测试结果备注说明没有测试环境测试结论o 通过 o 部分通过 o 未通过 o
8、 未测试结果确认中船思福迪日 期日 期4.1.2 日志过滤说明:在进行日志收集时应能对其进行过滤,这样有利于对日志进行管理和分析,同时也能减少存储数据所使用的磁盘空间,降低企业的成本。测试项目日志过滤测试说明测试产品是否支持定制过滤规则以过滤掉不需要的日志测试环境LogbaseH-530、LogbaseNS1300、oracle数据库前提条件镜像Oracle数据库访问流量测试步骤1. 在产品上定制数据库过滤规则:关键字select2. 对oracle数据库进行查询操作3. 登录设备或在设备上进行操作以触发日志预期结果1. 产品能通过定制过滤规则来过滤不需要的日志测试结果可以看都包含select
9、关键字的操作都被过滤了出来备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.1.3 日志收集的安全性说明:日志的内容可能会包含个人隐私如用户名和密码,或者企业内部的重要信息。因此能够安全地收集日志,避免信息泄漏给个人和企业带来恶劣影响和损失对于综合安全审计产品至关重要。测试项目日志收集的安全性测试说明测试产品的日志收集代理在接收到日志后传输给审计中心时采用加密传输测试环境LogbaseH530、logbaseNS1300、netsniffer抓包工具前提条件将审计中心与收集代理之间的流量采用交换机端口镜像到某台主机测试步骤1. 在主机上安装抓包软件
10、并启动2. 在要收集文件型日志的设备上开启自身审计功能3. 登录设备或在设备上进行操作以触发日志4. 查看抓取的数据包是否为明文协议预期结果1. 收集代理与审计中心之间的数据流量已加密,非明文传输测试结果抓包结果显示,没有明文数据传输备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.1.4 日志收集的标准化说明:能够在收集到日志后对其进行标准化和格式化是综合安全审计的重要需求之一.由于在实际环境中日志来源和种类繁多,能以有效的方式和方法来标准化和格式化不同来源和类型的日志对于日志审计和分析至关重要.测试项目日志收集的标准化测试说明测试产品的日志收集
11、代理在接收到日志后是否可以对其进行标准化测试环境LogbaseH-530前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤1. 在要收集文件型日志的设备上开启自身审计功能2. 登录设备或在设备上进行操作以触发日志3. 在审计中心查看日志预期结果1. 日志已被标准化,至少包括事件ID、事件发生的日前和时间、事件的严重度级别、事件的主体、事件的结果等信息测试结果收集到的日志信息均包含发生时间、发生地址、事件ID、事件信息等备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.2 产品存储功能测试4.2.1 日志导出及备份说明:产品应能够在收集到日
12、志后,对其进行导出备份以在发生意外的情况下所有的日志仍然可以访问。测试项目日志导出及备份测试说明测试产品是否可以将收集到的日志进行导出和备份操作测试环境测试产品是否可以将收集到的日志进行导出和备份操作前提条件LogbasH530测试步骤1. 以管理员的身份登录产品2. 在设备上进行日志导出操作和备份操作预期结果1. 产品存储的日志信息可以被导出和备份测试结果支持日志备份及还原;备份的数据可以被导出,并且导出的数据是加密的备注说明设备设有缓存机制,加速查询。存在缓存中的数据是无法备份的测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.2.2 存储使用监控说明
13、:产品应能够设置自身的存储使用上限,并且可以对自身的存储空间的使用情况进行监控,以便在存储使用快达到阈值时管理人员可以提前采取相应的操作如日志导出备份。测试项目存储使用监控测试说明测试产品是否设置存储上限,并且可以对存储的使用情况进行监控测试环境LogbaseH-530前提条件测试步骤1. 以管理员的身份登录产品2. 在设备上进行设置存储上限预期结果1. 可以设置存储的存储上限,并且能够监控存储的使用情况测试结果可以按协议类型设置每个协议可占用磁盘的情况备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.2.3 存储安全防护说明:产品存储的日志信息通
14、常为十分重要的信息,需要有足够的安全保护机制防止存储的日志被私自访问、删除或者修改。测试项目存储安全防护测试说明测试产品是否相关的存储安全防护机制测试环境LogbasH530前提条件测试步骤设备只有管理员有权限进行备份,删除操作。并且对管理员在设备上的操作都会有相应的记录。预期结果1. 产品有响应的安全防护机制可以保护存储的信息免受未授权的访问、删除或修改测试结果非管理员用户没有数据管理权限,无法进行删除操作。备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.3 产品的查询功能测试4.3.1 多条件组合查询说明:产品通常会长期地存储日志,因此在海量
15、的日志中如何能尽快查找到关心的日志十分重要。特别是在发生安全事故后通过日志查询进行取证分析时十分关键。所以产品应提供灵活的日志查询方式,可以使用基于多种关系运算符、逻辑运算符将多个查询条件组合起来进行日志查询。测试项目多条件组合查询测试说明测试产品是否可以提供不限条件数的条件组合式查询测试环境LogbaseH530前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤1. 登录设备或进行任意操作触发日志2. 以管理员的身份登录产品3. 根据多个条件组合查询日志预期结果1. 产品可以不限条件数的进行条件组合式查询测试结果可以进行多条件组合查询,符合测试要求备注说明测试结论o 通过 o 部分
16、通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.3.2 自定义安全事件查询说明:产品应允许用户根据自身的需要,对关注的特定事件进行自定义安全事件查询,以便快速地定位问题。测试项目自定义安全事件查询测试说明测试产品是否允许用户进行自定义事件查询测试环境Logbase-H-530前提条件收集日志对象的设备与日志收集代理之间IP可达测试步骤1. 以管理员的身份登录产品并进行自定义安全事件查询预期结果1. 产品提供用户自定义查询安全事件的功能测试结果可以自定义查询条件,进行检索备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.4 产品的报表功
17、能测试4.4.1 报表结果可视化展现说明:产品在生成报表时,除了以表格形式展现报表结果外,还应同时能以图形(如饼状图、直方图等)的形式表示报表结果。不但便于管理员对报表结果进行快速分析,也有利于非技术人员如管理层理解报表结果,从而有助于IT系统的建设和整体策略的制定。测试项目报表结果可视化展现测试说明测试产品的报表是否提供除表格以外的展现方式测试环境Logbase-H530前提条件测试步骤1. 以管理员的身份登录产品2. 在设备上创建报表并包括支持的图形显示3. 查看实际生成的报表结果预期结果1. 产品的报表结果展现方式至少包括上述类型测试结果报表中包括了柱状图、饼状图、曲线图备注说明测试结论
18、o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期4.4.2 报表导出格式说明:产品应能把生成的报表结果导出为多种常见格式包括: HTML、CSV等,便于用户在不同环境下查看报表结果。测试项目报表导出格式测试说明测试产品当导出生成的报表结果时支持的格式类型是否丰富测试环境LogbaseH530前提条件测试步骤1. 以管理员的身份登录产品并创建报表2. 运行并查看实际生成的报表结果3. 将报表结果导出到本地预期结果1. 产品结果导出的格式至少包括上述类型测试结果报表可以导出为csv、html格式备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思
19、福迪日 期日 期4.4.3 报表权限说明:产品应该可以根据不同权限的人员生成各自需要的审计分析报告,以便查看报表的人员只能看到符合其工作内容的报表结果。测试项目报表权限测试说明测试产品是否可以给不同权限的人员生成各种需要的审计分析报表测试环境LogbaseH530前提条件测试步骤1. 以管理员的身份登录产品并创建报表2. 以不同权限的用户身份登录产品并查看报表预期结果1. 产品可以给不同权限的人员生成各种需要的审计报表测试结果可以对创建的用户分配报表权限,对新建用户可以设置IP地址过滤,使其只能查看分配给他IP范围的设备日志备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认
20、中船思福迪日 期日 期4.5 产品自身管理及防护功能测试4.5.1 用户登录认证说明:产品在用户登录系统执行查询日志等操作前,应首先对用户的身份进行,包括基本的用户名/密码认证方式。测试项目用户登录认证测试说明测试产品是否可以在用户登录前对其身份进行鉴别,至少包括基本的用户名/密码认证方式测试环境LogbaseH-530前提条件测试步骤1. 以正确的用户名/密码组合登录产品2. 以错误的用户名或密码登录产品预期结果1. 产品在用户登入系统前会对其进行身份鉴别测试结果正确的用户名/密码可以登录审计系统,错误的无法登录备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪
21、日 期日 期4.5.2 用户超时重新鉴别说明:产品应提供用户超时鉴别的机制,以防止用户长时间离开系统存储的日志信息被未授权人员访问的意外情况发生.测试项目用户超时重新鉴别测试说明测试产品是否提供用户超时重新鉴别的机制测试环境Logbase-H530前提条件登录审计主机页面,闲置10分钟测试步骤1. 以正确的用户名/密码组合登录产品2. 在指定的时间内不执行任何操作预期结果1. 在指定的时间后已登录的用户自动注销,用户如果要访问日志信息需要再次进行身份鉴别测试结果10分钟后,任意点击页面上的功能按钮,提示系统超时,需重新认证备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中
22、船思福迪日 期日 期4.5.3 自身审计及信息全面说明:作为综合安全审计产品,应能对自身的各类活动包括:自身审计策略修改、配置修改、用户登录、权限变更、用户管理等,并且要包含足够详细的信息。测试项目自身审计及信息全面测试说明测试产品是否至少对包括上述范围的活动的审计测试环境Logbase-H530前提条件测试步骤1. 以管理员的身份登录产品并执行上述操作2. 查看系统自身的审计信息,查看是否有响应的审计记录预期结果1. 系统已生成包括上述活动的审计信息测试结果可以在系统日志中找到管理员操作的日志备注说明测试结论o 通过 o 部分通过 o 未通过 o 未测试结果确认中船思福迪日 期日 期五、 测试结论根据预先制定的测试方案,对Logbase产品的各项功能进行了测试;产品的各项功能符合XXXX关于安全审计的实际需要。测试结果表明,Logbase产品具备上线部署条件.参考标准标准号 标准名称GB/T 183362001信息技术安全技术信息技术安全性评估准则GB178591999信息安全技术 信息系统通用安全技术要求GB/T20271-2006计算机信息系统安全保护等级划分准则GB/T20269-2006信息安全技术 信息系统安全管理要求