高可控网络安全审计系统评估和测试方法

　　本文根据高可控性网络需求及实践出发，以技术为主，不针对任何厂商和产品。

　　1.功能评估及测试方法

　　从功能上讲应包括以下4大类：

　　1)计算机软硬件、计算机资产审计和控制

　　2)远程行为审计和控制

　　3)重要文件数据审计和控制

　　4)网络审计和控制

　　具体功能应包括：

　　(1)主机信息审计功能

　　(2)资产管理功能

　　(3)进程审计功能

　　(4)屏幕审计和远程屏控功能

　　(5)键盘审计功能

　　(6)系统日志审计功能

　　(7)盘符审计功能

　　(Cool打印审计功能

　　(9)移动存储审计功能

　　(10)内网防非法外连功能

　　(11)内网防非法接入功能

　　(12)网络审计功能

　　(13)离线审计功能

　　(14)IP审计功能

　　(15)主机真实性识别功能等

　　各功能细化评估和测试方法如下：

　　(1)主机信息审计功能

　　细化功能：可查看机器名、IP地址、MAC地址、操作系统版本、当前用户、安装的软硬件信息、本地磁盘基本信息、系统应用、安全及开关机日志、目前运行的进程，以及各进程调用系统模块和动态链接库等信息。

　　测试方法:分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试审计内容是否与真实主机内容吻合。

　　(2)资产管理功能

　　细化功能：可查看软硬件配置情况，原基准硬件型号、新增或卸载硬件型号，对计算机硬件非授权变更报警并予以停用。

　　测试方法:分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(3)进程审计功能

　　细化功能：可审计运行的进程及进程调用系统模块和动态链接库，可标识非法进程和合法进程；并提供手动和自动阻断非法进程功能。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(4)屏幕审计功能和远程屏控功能

　　细化功能：实时审计特定计算机，可指定时间截取屏幕。可远程控制。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(5)键盘审计功能

　　细化功能：实时审计特定计算机的键盘,可设置时间段，自动审计被监管计算机的键盘操作。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(6)系统日志审计功能

　　细化功能：对系统日志、安全日志、应用日志审计，开关机日志查看。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(7)盘符审计功能

　　细化功能：对网络内主机可自动识别USB设备或USB存储，并允许/禁止使用光、软驱和USB存储设备、并口、串口、1394口、红外、蓝牙口使用。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。在测试本地设备允许禁止时需注意：策略改变响应时间应不高于3秒，同时被审计主机无需重启、注销。

　　(8)打印审计功能

　　细化功能：对打印机行为审计并且可以还原打印内容。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。打印机审计功能应可适用于主机打印机和网络打印机。

　　(9)移动存储审计功能

　　细化功能：允许使用的移动存储设备（移动硬盘、优盘、MP3等）可以在单位内部计算机上使用，否则不能使用。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(10)内网防非法外连功能

　　细化功能：可允许或禁止主机采用modem、PPPoE等方式擅自接入外网。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(11)内网防非法接入功能

　　细化功能：对未允许的主机接入网络后自动报警，提供手动和自动阻断。

　　测试方法：在不同网段接入未允许主机测试该功能可用性和准确性。

　　(12)网络审计功能

　　细化功能：可定义主机指定网络进程允许/禁止、允许的网络进程源端口、目标端口、目标ip及目标ip段。对非授权网络连接自动阻断。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(13)离线审计功能

　　细化功能：特定计算机网络连接情况，在一定时间内设置非法网络连接列表，对离线时间超过设定的自动锁定，除非管理员解锁或重新连入园区网。设置某些客户端离线时间，超时后，系统自动给与提示。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(14)IP审计功能

　　细化功能：允许/禁止主机更改ip地址和mac地址。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　(15)主机真实性识别功能等

　　细化功能：对允许更改ip地址和mac地址的主机做到真实唯一性判断。

　　测试方法：分别对win98、win2k、winXP、win2003、RH-Linux每种系统至少1台主机测试该功能可用性和准确性。

　　文件审计功能，即对主机端文件读、写、更名、移动权限的控制功能。对于高可控性网络而言，分布式文件存储方式在访问控制、身份鉴别、物理窃取、数据容灾等方面不具备高可控性，因此该功能不做为测试要求

　　2.系统兼容性评估及测试方法

　　安全审计系统涉及面广，其目的在于对内部网络的高度可控，对于被控主机而言，其功能的实现不能影响正常应用；因此，对一个安全审计系统的评估应充分考量其系统环境兼容性和应用环境兼容性。

　　系统环境兼容性要求：适用于win98、win2k pro、win2k server、win XP、win2003和国内某行业使用的RH linux和派生的RF linux桌面版；测试过程中不会发生死机、蓝屏、停止响应或系统间歇性停顿等现象。

　　应用环境兼容性要求：与KV、诺顿、瑞星、卡巴、AV、金山等杀毒软件无冲突；与Photoshop、UG、AutoCAD、MS Office、3D MAX等大型桌面软件无明显性能影响。

　　3.系统可靠性评估及测试方法

　　如前所述，安全审计系统的目的是对内部网络的高度可控，被控主机使用者为进行非授权活动可能使用黑客工具和技术手段进行反制；因此安全审计系统的防杀能力尤为重要。

　　测试手段及工具：

　　1.安全模式下卸载安全审计系统

　　2.使用procexp、LP_Check、HijackThis、killbox、aports、icesword对安全审计系统防杀能力进行测试。

　　3.部署多样性评估及测试方法

　　对于高可控性网络而言，其网络拓扑多为多级部署，同时由于行政归属和安全管理的要求，安全审计系统应提供总控部署和多级部署能力。