1、數據庫審計產品測試方案北京思福迪信息技術有限公司2011年03月05日目錄一、測試目的 錯誤!未定義書簽二、測試原則 錯誤！未定義書簽三、測試環境 錯誤！未定義書簽測試對象 錯誤！未定義書簽測試地點 錯誤！未定義書簽測試時間 錯誤！未定義書簽測試人員 錯誤！未定義書簽測試環境 錯誤！未定義書簽測試拓撲示意圖 錯誤！未定義書簽測試準備 錯誤！未定義書簽四、測試項目 錯誤！未定義書簽產品收集功能測試 錯誤!未定義書簽日志收集能力測試 錯誤!未定義書簽日志過濾 錯誤！未定義書簽日志收集的安全性 錯誤!未定義書簽日志收集的標準化 錯誤!未定義書簽產品存儲功能測試 錯誤！未定義書簽日志導岀及備份 錯誤！

2、未定義書簽存儲使用監控 錯誤！未定義書簽存儲安全防護 錯誤！未定義書簽產品的查詢功能測試 錯誤！未定義書簽多條件組合查詢 錯誤！未定義書簽自定義安全事件查詢 錯誤！未定義書簽產品的報表功能測試 錯誤！未定義書簽報表結果可視化展現 錯誤！未定義書簽報表導出格式 錯誤！未定義書簽報表權限 錯誤!未定義書簽產品自身管理及防護功能測試 錯誤!未定義書簽五、測試結論 錯誤！未定義書簽參考標準 錯誤!未定義書簽測試目的本次測試的主要目的，是測試和驗證數據庫審計產品的各項功能 和性能指標能否滿足客戶的實際需求。二、測試原則在本次測試過程中，將根據客觀、公正、公平的原則，按統一 的標準，從客戶的業務需求和實際

3、環境出發，對參加測試的廠商的 產品進行有重點、有針對性的測試。為此，在測試過程中應堅持以 下原則：測試環境一致原則本次測試，不同廠家的產品，其測試環境保持一致，即使用相 同的網絡環境，采用統一的測試工具，設置統一的測試參數進行測 試。在一個產品測試完，下一產品測試前，恢復測試環境的初始狀 態O測試內容一致原則針對不同廠家產品采用相同的測試內容進行測試。并且測試內 容一旦確定，所有參加測試的產品必須按其內容逐項進行測試。代表性原則本次測試并不針對測試的產品所有的功能及性能，而是根據綜合安全審計產品的應用特點選取具有代表性的功能指標進行測試根據以上原則，為有效實現測試目標，同時便于測試的實施，對各

4、廠商提供的產品，按照日志的收集、日志的存儲、日志的分析和報表、自身安全管理功能幾個方面進行測試。三、測試環境3.1 測試對象本次測試對象是杭州思福迪信息技術有限公司的數據庫審計產品，型號為Logbase-H-530測試樣機。3.2 測試地點中船信息科技公司3.3 測試時間2011年03月11日。3.4 測試人員廠商人員：趙新李春3.5 測試環境3.6 測試拓撲示意圖3.7 測試準備按上述測試拓撲屬意圖在網絡環境中部署數據庫審計產品為數據庫審計產品的管理口配置有效IP，確保可以遠程訪問、管理和日志接收在交換機上設置鏡像，將數據庫流量鏡像到數據庫審計產品的監聽口四、測試項目4.1 產品收集功能測試

5、4.1.1日志收集能力測試說明：依實際情況和需求，測試各家數據庫審計產品所能支持的數據庫種類，以及對用戶關心的主要數據庫類型的支持情況。4.1.1.1 Oracle數據庫日志收集測試項目Oracle數據庫日志收集測試說明測試產品是否支持Oracle數據庫的日志審計測試環境Logbase-H-530、Logbase-NS-1300、oracle 數據庫前提條件1. 測試環境中有Oracle數據庫流量2. 測試使用的交換機具備設置鏡像的功能測試步驟1. 在交換機上設置對Oracle數據庫流量的鏡像2. 訪冋Oracle數據庫制造訪冋流量3. 觀察審計產品對操作情況的記錄情況預期結果1.產品能正確米

6、集和審計Oracle數據庫操作流量測試結果可以記錄操作oracle數據庫的指令備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.1.1.2 SQL-server數據庫日志收集測試項目SQL-server數據庫日志收集測試說明測試產品是否支持對SQL-server數據庫操作行為的審計測試環境Logbase-H-530、Logbase-NS-1300、SQL-server 數據庫前提條件1. 測試測試環境中有 SQL-server數據庫流量2. 測試使用的交換機具備設置鏡像的功能測試步驟1. 在交換機上設置對 SQL-server數據庫流量的鏡像2. 訪問SQL-server數

7、據庫制造流量3. 觀察審計系統對操作流量的記錄情況預期結果1.產品能正確米集和審計 SQL-server數據庫流量信息測試結果可以記錄操作SQL-server數據庫的指令備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.1.1.3其它類型數據庫日志收集測試項目其他類型數據庫日志收集測試說明選擇用戶有實際需要的數據庫類型，測試審計產品的采集能力測試環境Logbase-H-530、Logbase-NS-1300、其他類型數據庫前提條件1. 測試測試環境中有實際數據庫流量2. 測試使用的交換機具備設置鏡像的功能測試步驟1. 在交換機上設置對數據庫流量的鏡像2. 訪冋數據庫制造流量

8、3.觀察審計系統對操作流量的記錄情況預期結果1.產品能正確米集和審計數據庫流量信息測試結果備注說明沒有測試環境測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.1.2日志過濾說明：在進行日志收集時應能對其進行過濾， 這樣有利于對日志 進行管理和分析，同時也能減少存儲數據所使用的磁盤空間， 降低企 業的成本。測試項目日志過濾測試說明測試產品是否支持定制過濾規則以過濾掉不需要的日志測試環境Logbase-H-530、Logbase-NS-1300、oracle 數據庫前提條件鏡像Oracle數據庫訪問流量測試步驟1. 在產品上定制數據庫過濾規則：關鍵字select2. 對oracle數

9、據庫進行查詢操作3. 登錄設備或在設備上進行操作以觸發日志預期結果1.產品能通過定制過濾規則來過濾不需要的日志測試結果可以看都包含select關鍵字的操作都被過濾了出來備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.1.3日志收集的安全性說明：日志的內容可能會包含個人隱私如用戶名和密碼， 或者企業內部的重要信息。因此能夠安全地收集日志，避免信息泄漏給個人和企業帶來惡劣影響和損失對于綜合安全審計產品至關重要。測試項目日志收集的安全性測試說明測試產品的日志收集代理在接收到日志后傳輸給審計中心時米用加密傳輸測試環境Logbase-H-530、logbase-NS-1300、ne

10、tsniffer抓包工具前提條件將審計中心與收集代理之間的流量采用交換機端口鏡像到某臺主機測試步驟1. 在主機上安裝抓包軟件并啟動2. 在要收集文件型日志的設備上開啟自身審計功能3. 登錄設備或在設備上進行操作以觸發日志4. 查看抓取的數據包是否為明文協議預期結果1.收集代理與審計中心之間的數據流量已加密，非明文傳輸測試結果抓包結果顯示，沒有明文數據傳輸備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.1.4日志收集的標準化說明：能夠在收集到日志后對其進行標準化和格式化是綜合安全審計的重要需求之一。由于在實際環境中日志來源和種類繁多，能以有效的方式和方法來標準化和格式化不同

11、來源和類型的日志對于日志審計和分析至關重要。測試項目日志收集的標準化測試說明測試產品的日志收集代理在接收到日志后是否可以對其進行標準化測試環境Logbase-H-530前提條件收集日志對象的設備與日志收集代理之間IP可達測試步驟1. 在要收集文件型日志的設備上開啟自身審計功能2. 登錄設備或在設備上進行操作以觸發日志3. 在審計中心查看日志預期結果1.日志已被標準化，至少包括事件ID、事件發生的日前和時間、事件的嚴重 度級別、事件的主體、事件的結果等信息測試結果收集到的日志信息均包含發生時間、發生地址、事件ID、事件信息等備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.2

12、 產品存儲功能測試4.2.1日志導出及備份說明：產品應能夠在收集到日志后，對其進行導出備份以在發生 意外的情況下所有的日志仍然可以訪問。測試項目日志導出及備份測試說明測試產品是否可以將收集到的日志進行導出和備份操作測試環境測試產品是否可以將收集到的日志進行導出和備份操作前提條件Logbas-H-530測試步驟1. 以管理員的身份登錄產品2. 在設備上進行日志導出操作和備份操作預期結果1.產品存儲的日志信息可以被導出和備份測試結果支持日志備份及還原；備份的數據可以被導出，并且導出的數據是加密的備注說明設備設有緩存機制，加速查詢。存在緩存中的數據是無法備份的測試結論通過部分通過未通過未測試結果確認

13、中船思福迪日期日期4.2.2存儲使用監控說明：產品應能夠設置自身的存儲使用上限， 并且可以對自身的存儲空間的使用情況進行監控，以便在存儲使用快達到閾值時管理人員可以提前采取相應的操作如日志導出備份。測試項目存儲使用監控測試說明測試產品是否設置存儲上限，并且可以對存儲的使用情況進行監控測試環境Logbase-H-530前提條件測試步驟1. 以管理員的身份登錄產品2. 在設備上進行設置存儲上限預期結果1.可以設置存儲的存儲上限，并且能夠監控存儲的使用情況測試結果可以按協議類型設置每個協議可占用磁盤的情況備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.2.3存儲安全防護說明：產

14、品存儲的日志信息通常為十分重要的信息， 需要有足夠 的安全保護機制防止存儲的日志被私自訪問、刪除或者修改。測試項目存儲安全防護測試說明測試產品是否相關的存儲安全防護機制測試環境Logbas-H-530前提條件測試步驟設備只有管理員有權限進行備份，刪除操作。并且對管理員在設備上 的操作都會有相應的記錄。預期結果1.產品有響應的安全防護機制可以保護存儲的信息免受未授權的訪問、刪除 或修改測試結果非管理員用戶沒有數據管理權限，無法進行刪除操作。備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.3 產品的查詢功能測試4.3.1多條件組合查詢說明：產品通常會長期地存儲日志，因此在海量

15、的日志中如何能盡快查找到關心的日志十分重要。特別是在發生安全事故后通過日志 查詢進行取證分析時十分關鍵。所以產品應提供靈活的日志查詢方式，可以使用基于多種關系運算符、邏輯運算符將多個查詢條件組合起來進行日志查詢。測試項目多條件組合查詢測試說明測試產品是否可以提供不限條件數的條件組合式查詢測試環境Logbase-H-530前提條件收集日志對象的設備與日志收集代理之間IP可達測試步驟1. 登錄設備或進行任意操作觸發日志2. 以管理員的身份登錄產品3. 根據多個條件組合查詢日志預期結果1.產品可以不限條件數的進行條件組合式查詢測試結果可以進行多條件組合查詢，符合測試要求備注說明測試結論通過部分通過未

16、通過未測試結果確認中船思福迪日期日期432自定義安全事件查詢說明：產品應允許用戶根據自身的需要，對關注的特定事件進行 自定義安全事件查詢，以便快速地定位問題。測試項目自定義安全事件查詢測試說明測試產品是否允許用戶進行自定義事件查詢測試環境Logbase-H-530前提條件收集日志對象的設備與日志收集代理之間IP可達測試步驟1.以管理員的身份登錄產品并進行自定義安全事件查詢預期結果1.產品提供用戶自定義查詢安全事件的功能測試結果可以自定義查詢條件，進行檢索備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.4 產品的報表功能測試441報表結果可視化展現說明：產品在生成報表時，除

17、了以表格形式展現報表結果外，還 應同時能以圖形（如餅狀圖、直方圖等）的形式表示報表結果。不但 便于管理員對報表結果進行快速分析，也有利于非技術人員如管理層 理解報表結果，從而有助于IT系統的建設和整體策略的制定。測試項目報表結果可視化展現測試說明測試產品的報表是否提供除表格以外的展現方式測試環境Logbase-H-530前提條件測試步驟1. 以管理員的身份登錄產品2. 在設備上創建報表并包括支持的圖形顯示3. 查看實際生成的報表結果預期結果1.產品的報表結果展現方式至少包括上述類型測試結果報表中包括了柱狀圖、餅狀圖、曲線圖備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期442

18、報表導出格式說明：產品應能把生成的報表結果導出為多種常見格式包括HTML CSV等，便于用戶在不同環境下查看報表結果。測試項目報表導出格式測試說明測試產品當導出生成的報表結果時支持的格式類型是否豐富測試環境Logbase-H-530前提條件測試步驟1. 以管理員的身份登錄產品并創建報表2. 運行并查看實際生成的報表結果3. 將報表結果導出到本地預期結果1.產品結果導出的格式至少包括上述類型測試結果報表可以導出為csv、html格式備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期443報表權限說明：產品應該可以根據不同權限的人員生成各自需要的審計分 析報告，以便查看報表的人員只

19、能看到符合其工作內容的報表結果。測試項目報表權限測試說明測試產品是否可以給不冋權限的人員生成各種需要的審計分析報表測試環境Logbase-H-530前提條件測試步驟1. 以管理員的身份登錄產品并創建報表2. 以不冋權限的用戶身份登錄產品并查看報表預期結果1.產品可以給不冋權限的人員生成各種需要的審計報表測試結果可以對創建的用戶分配報表權限，對新建用戶可以設置IP地址過濾，使其只能查看分配給他IP范圍的設備日志備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.5 產品自身管理及防護功能測試4.5.1用戶登錄認證說明：產品在用戶登錄系統執行查詢日志等操作前， 應首先對用 戶的身

20、份進行，包括基本的用戶名/密碼認證方式。測試項目用戶登錄認證測試說明測試產品是否可以在用戶登錄前對其身份進行鑒別，至少包括基本的用戶名/密碼認證方式測試環境Logbase-H-530前提條件測試步驟1. 以正確的用戶名/密碼組合登錄產品2. 以錯誤的用戶名或密碼登錄產品預期結果1.產品在用戶登入系統前會對其進行身份鑒別測試結果正確的用戶名/密碼可以登錄審計系統，錯誤的無法登錄備注說明測試結論通過部分通過未通過未測試結果確認中船思福迪日期日期4.5.2用戶超時重新鑒別說明：產品應提供用戶超時鑒別的機制，以防止用戶長時間離開系統存儲的日志信息被未授權人員訪問的意外情況發生。測試項目用戶超時重新鑒別測試說明測試產品是否提供用戶超時重新鑒別的機制測試環境Logbase-H-530前提