数据库审计产品测试方案16528.pdf

《数据库审计产品测试方案16528.pdf》由会员分享，可在线阅读，更多相关《数据库审计产品测试方案16528.pdf（24页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 北京中船信息科技有限公司 北京思福迪信息技术有限公司 2011 年 03 月 05 日 数据库审计产品 测试方案 目录 一、测试目的.4 二、测试原则.4 三、测试环境.6 3.1 测试对象.6 3.2 测试地点.6 3.3 测试时间.6 3.4 测试人员.6 3.5 测试环境.6 3.6 测试拓扑示意图.6 3.7 测试准备.6 四、测试项目.8 4.1 产品收集功能测试.8 4.1.1 日志收集能力测试.8 4.1.2 日志过滤.10 4.1.3 日志收集的安全性.11 4.1.4 日志收集的标准化.12 4.2 产品存储功能测试.13 4.2.1 日志导出及备份.13 4.2.2 存储

2、使用监控.14 4.2.3 存储安全防护.15 4.3 产品的查询功能测试.16 4.3.1 多条件组合查询.16 4.3.2 自定义安全事件查询.17 4.4 产品的报表功能测试.18 4.4.1 报表结果可视化展现.18 4.4.2 报表导出格式.19 4.4.3 报表权限.20 4.5 产品自身管理及防护功能测试.21 五、测试结论.24 参考标准.24 一、测试目的 本次测试的主要目的，是测试和验证数据库审计产品的各项功能和性能指标能否满足客户的实际需求。二、测试原则 在本次测试过程中，将根据客观、公正、公平的原则，按统一的标准，从客户的业务需求和实际环境出发，对参加测试的厂商的产品进

3、行有重点、有针对性的测试。为此，在测试过程中应坚持以下原则：测试环境一致原则 本次测试，不同厂家的产品，其测试环境保持一致，即使用相同的网络环境，采用统一的测试工具，设置统一的测试参数进行测试。在一个产品测试完，下一产品测试前，恢复测试环境的初始状态。测试内容一致原则 针对不同厂家产品采用相同的测试内容进行测试。并且测试内容一旦确定，所有参加测试的产品必须按其内容逐项进行测试。代表性原则 本次测试并不针对测试的产品所有的功能及性能，而是根据综合安全审计产品的应用特点选取具有代表性的功能指标进行测试。根据以上原则，为有效实现测试目标，同时便于测试的实施，对各厂商提供的产品，按照日志的收集、日志的

4、存储、日志的分析和报表、自身安全管理功能几个方面进行测试。三、测试环境 3.1 测试对象 本次测试对象是杭州思福迪信息技术有限公司的数据库审计产品，型号为 Logbase-H-530 测试样机。3.2 测试地点 中船信息科技公司 3.3 测试时间 2011 年 03 月 11 日。3.4 测试人员 厂商人员：赵新 李春 3.5 测试环境 3.6 测试拓扑示意图 3.7 测试准备 按上述测试拓扑属意图在网络环境中部署数据库审计产品 为数据库审计产品的管理口配置有效 IP，确保可以远程访问、管理和日志接收 在交换机上设置镜像，将数据库流量镜像到数据库审计产品的监听口 四、测试项目 4.1 产品收集

5、功能测试 4.1.1 日志收集能力测试 说明：依实际情况和需求，测试各家数据库审计产品所能支持的数据库种类，以及对用户关心的主要数据库类型的支持情况。4.1.1.1 Oracle 数据库日志收集 测试项目 Oracle 数据库日志收集 测试说明 测试产品是否支持 Oracle 数据库的日志审计 测试环境 Logbase-H-530、Logbase-NS-1300、oracle 数据库 前提条件 1.测试环境中有 Oracle 数据库流量 2.测试使用的交换机具备设置镜像的功能 测试步骤 1.在交换机上设置对 Oracle 数据库流量的镜像 2.访问 Oracle 数据库制造访问流量 3.观察审

6、计产品对操作情况的记录情况 预期结果 1.产品能正确采集和审计 Oracle 数据库操作流量 测试结果 可以记录操作 oracle 数据库的指令 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.1.1.2 SQL-server 数据库日志收集 测试项目 SQL-server 数据库日志收集 测试说明 测试产品是否支持对 SQL-server 数据库操作行为的审计 测试环境 Logbase-H-530、Logbase-NS-1300、SQL-server 数据库 前提条件 1.测试测试环境中有 SQL-server 数据库流量 2.测试使用的交换机

7、具备设置镜像的功能 测试步骤 1.在交换机上设置对 SQL-server 数据库流量的镜像 2.访问 SQL-server 数据库制造流量 3.观察审计系统对操作流量的记录情况 预期结果 1.产品能正确采集和审计 SQL-server 数据库流量信息 测试结果 可以记录操作 SQL-server 数据库的指令 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.1.1.3 其它类型数据库日志收集 测试项目 其他类型数据库日志收集 测试说明 选择用户有实际需要的数据库类型，测试审计产品的采集能力 测试环境 Logbase-H-530、Logbase-N

8、S-1300、其他类型数据库 前提条件 1.测试测试环境中有实际数据库流量 2.测试使用的交换机具备设置镜像的功能 测试步骤 1.在交换机上设置对数据库流量的镜像 2.访问数据库制造流量 3.观察审计系统对操作流量的记录情况 预期结果 1.产品能正确采集和审计数据库流量信息 测试结果 备注说明 没有测试环境 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.1.2 日志过滤 说明：在进行日志收集时应能对其进行过滤，这样有利于对日志进行管理和分析，同时也能减少存储数据所使用的磁盘空间，降低企业的成本。测试项目 日志过滤 测试说明 测试产品是否支持定制过滤规则以

9、过滤掉不需要的日志 测试环境 Logbase-H-530、Logbase-NS-1300、oracle 数据库 前提条件 镜像 Oracle 数据库访问流量 测试步骤 1.在产品上定制数据库过滤规则：关键字 select 2.对 oracle 数据库进行查询操作 3.登录设备或在设备上进行操作以触发日志 预期结果 1.产品能通过定制过滤规则来过滤不需要的日志 测试结果 可以看都包含 select 关键字的操作都被过滤了出来 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.1.3 日志收集的安全性 说明：日志的内容可能会包含个人隐私如用户名和密码，

10、或者企业内部的重要信息。因此能够安全地收集日志，避免信息泄漏给个人和企业带来恶劣影响和损失对于综合安全审计产品至关重要。测试项目 日志收集的安全性 测试说明 测试产品的日志收集代理在接收到日志后传输给审计中心时采用加密传输 测试环境 Logbase-H-530、logbase-NS-1300、netsniffer 抓包工具 前提条件 将审计中心与收集代理之间的流量采用交换机端口镜像到某台主机 测试步骤 1.在主机上安装抓包软件并启动 2.在要收集文件型日志的设备上开启自身审计功能 3.登录设备或在设备上进行操作以触发日志 4.查看抓取的数据包是否为明文协议 预期结果 1.收集代理与审计中心之间

11、的数据流量已加密，非明文传输 测试结果 抓包结果显示，没有明文数据传输 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.1.4 日志收集的标准化 说明：能够在收集到日志后对其进行标准化和格式化是综合安全审计的重要需求之一。由于在实际环境中日志来源和种类繁多，能以有效的方式和方法来标准化和格式化不同来源和类型的日志对于日志审计和分析至关重要。测试项目 日志收集的标准化 测试说明 测试产品的日志收集代理在接收到日志后是否可以对其进行标准化 测试环境 Logbase-H-530 前提条件 收集日志对象的设备与日志收集代理之间 IP 可达 测试步骤 1.

12、在要收集文件型日志的设备上开启自身审计功能 2.登录设备或在设备上进行操作以触发日志 3.在审计中心查看日志 预期结果 1.日志已被标准化，至少包括事件 ID、事件发生的日前和时间、事件的严重度级别、事件的主体、事件的结果等信息 测试结果 收集到的日志信息均包含发生时间、发生地址、事件 ID、事件信息等 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.2 产品存储功能测试 4.2.1 日志导出及备份 说明：产品应能够在收集到日志后，对其进行导出备份以在发生意外的情况下所有的日志仍然可以访问。测试项目 日志导出及备份 测试说明 测试产品是否可以将收

13、集到的日志进行导出和备份操作 测试环境 测试产品是否可以将收集到的日志进行导出和备份操作 前提条件 Logbas-H-530 测试步骤 1.以管理员的身份登录产品 2.在设备上进行日志导出操作和备份操作 预期结果 1.产品存储的日志信息可以被导出和备份 测试结果 支持日志备份及还原；备份的数据可以被导出，并且导出的数据是加密的 备注说明 设备设有缓存机制，加速查询。存在缓存中的数据是无法备份的 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.2.2 存储使用监控 说明：产品应能够设置自身的存储使用上限，并且可以对自身的存储空间的使用情况进行监控，以便在存储

14、使用快达到阈值时管理人员可以提前采取相应的操作如日志导出备份。测试项目 存储使用监控 测试说明 测试产品是否设置存储上限，并且可以对存储的使用情况进行监控 测试环境 Logbase-H-530 前提条件 测试步骤 1.以管理员的身份登录产品 2.在设备上进行设置存储上限 预期结果 1.可以设置存储的存储上限，并且能够监控存储的使用情况 测试结果 可以按协议类型设置每个协议可占用磁盘的情况 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.2.3 存储安全防护 说明：产品存储的日志信息通常为十分重要的信息，需要有足够的安全保护机制防止存储的日志被私自

15、访问、删除或者修改。测试项目 存储安全防护 测试说明 测试产品是否相关的存储安全防护机制 测试环境 Logbas-H-530 前提条件 测试步骤 设备只有管理员有权限进行备份，删除操作。并且对管理员在设备上的操作都会有相应的记录。预期结果 1.产品有响应的安全防护机制可以保护存储的信息免受未授权的访问、删除或修改 测试结果 非管理员用户没有数据管理权限，无法进行删除操作。备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.3 产品的查询功能测试 4.3.1 多条件组合查询 说明：产品通常会长期地存储日志，因此在海量的日志中如何能尽快查找到关心的日志十

16、分重要。特别是在发生安全事故后通过日志查询进行取证分析时十分关键。所以产品应提供灵活的日志查询方式，可以使用基于多种关系运算符、逻辑运算符将多个查询条件组合起来进行日志查询。测试项目 多条件组合查询 测试说明 测试产品是否可以提供不限条件数的条件组合式查询 测试环境 Logbase-H-530 前提条件 收集日志对象的设备与日志收集代理之间 IP 可达 测试步骤 1.登录设备或进行任意操作触发日志 2.以管理员的身份登录产品 3.根据多个条件组合查询日志 预期结果 1.产品可以不限条件数的进行条件组合式查询 测试结果 可以进行多条件组合查询，符合测试要求 备注说明 测试结论 通过 部分通过 未

17、通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.3.2 自定义安全事件查询 说明：产品应允许用户根据自身的需要，对关注的特定事件进行自定义安全事件查询，以便快速地定位问题。测试项目 自定义安全事件查询 测试说明 测试产品是否允许用户进行自定义事件查询 测试环境 Logbase-H-530 前提条件 收集日志对象的设备与日志收集代理之间 IP 可达 测试步骤 1.以管理员的身份登录产品并进行自定义安全事件查询 预期结果 1.产品提供用户自定义查询安全事件的功能 测试结果 可以自定义查询条件，进行检索 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日

18、 期 4.4 产品的报表功能测试 4.4.1 报表结果可视化展现 说明：产品在生成报表时，除了以表格形式展现报表结果外，还应同时能以图形（如饼状图、直方图等）的形式表示报表结果。不但便于管理员对报表结果进行快速分析，也有利于非技术人员如管理层理解报表结果，从而有助于 IT 系统的建设和整体策略的制定。测试项目 报表结果可视化展现 测试说明 测试产品的报表是否提供除表格以外的展现方式 测试环境 Logbase-H-530 前提条件 测试步骤 1.以管理员的身份登录产品 2.在设备上创建报表并包括支持的图形显示 3.查看实际生成的报表结果 预期结果 1.产品的报表结果展现方式至少包括上述类型 测试

19、结果 报表中包括了柱状图、饼状图、曲线图 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.4.2 报表导出格式 说明：产品应能把生成的报表结果导出为多种常见格式包括:HTML、CSV 等，便于用户在不同环境下查看报表结果。测试项目 报表导出格式 测试说明 测试产品当导出生成的报表结果时支持的格式类型是否丰富 测试环境 Logbase-H-530 前提条件 测试步骤 1.以管理员的身份登录产品并创建报表 2.运行并查看实际生成的报表结果 3.将报表结果导出到本地 预期结果 1.产品结果导出的格式至少包括上述类型 测试结果 报表可以导出为 csv、h

20、tml 格式 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.4.3 报表权限 说明：产品应该可以根据不同权限的人员生成各自需要的审计分析报告，以便查看报表的人员只能看到符合其工作内容的报表结果。测试项目 报表权限 测试说明 测试产品是否可以给不同权限的人员生成各种需要的审计分析报表 测试环境 Logbase-H-530 前提条件 测试步骤 1.以管理员的身份登录产品并创建报表 2.以不同权限的用户身份登录产品并查看报表 预期结果 1.产品可以给不同权限的人员生成各种需要的审计报表 测试结果 可以对创建的用户分配报表权限，对新建用户可以设置 IP

21、 地址过滤，使其只能查看分配给他 IP 范围的设备日志 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.5 产品自身管理及防护功能测试 4.5.1 用户登录认证 说明：产品在用户登录系统执行查询日志等操作前，应首先对用户的身份进行，包括基本的用户名/密码认证方式。测试项目 用户登录认证 测试说明 测试产品是否可以在用户登录前对其身份进行鉴别，至少包括基本的用户名/密码认证方式 测试环境 Logbase-H-530 前提条件 测试步骤 1.以正确的用户名/密码组合登录产品 2.以错误的用户名或密码登录产品 预期结果 1.产品在用户登入系统前会对其进

22、行身份鉴别 测试结果 正确的用户名/密码可以登录审计系统,错误的无法登录 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.5.2 用户超时重新鉴别 说明：产品应提供用户超时鉴别的机制，以防止用户长时间离开系统存储的日志信息被未授权人员访问的意外情况发生。测试项目 用户超时重新鉴别 测试说明 测试产品是否提供用户超时重新鉴别的机制 测试环境 Logbase-H-530 前提条件 登录审计主机页面,闲置 10 分钟 测试步骤 1.以正确的用户名/密码组合登录产品 2.在指定的时间内不执行任何操作 预期结果 1.在指定的时间后已登录的用户自动注销，用户

23、如果要访问日志信息需要再次进行身份鉴别 测试结果 10 分钟后，任意点击页面上的功能按钮，提示系统超时，需重新认证 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 4.5.3 自身审计及信息全面 说明：作为综合安全审计产品，应能对自身的各类活动包括：自身审计策略修改、配置修改、用户登录、权限变更、用户管理等，并且要包含足够详细的信息。测试项目 自身审计及信息全面 测试说明 测试产品是否至少对包括上述范围的活动的审计 测试环境 Logbase-H-530 前提条件 测试步骤 1.以管理员的身份登录产品并执行上述操作 2.查看系统自身的审计信息，查看是否

24、有响应的审计记录 预期结果 1.系统已生成包括上述活动的审计信息 测试结果 可以在系统日志中找到管理员操作的日志 备注说明 测试结论 通过 部分通过 未通过 未测试 结果确认 中船 思福迪 日 期 日 期 五、测试结论 根据预先制定的测试方案，对 Logbase 产品的各项功能进行了测试；产品的各项功能符合 XXXX 关于安全审计的实际需要。测试结果表明，Logbase 产品具备上线部署条件。参考标准 标准号 标准名称 GB/T 18336-2001 信息技术安全技术信息技术安全性评估准则 GB17859-1999 信息安全技术 信息系统通用安全技术要求 GB/T20271-2006 计算机信息系统安全保护等级划分准则 GB/T20269-2006 信息安全技术 信息系统安全管理要求