亿赛通内网数据泄露防护产品测试方案探析Word文档下载推荐.docx
《亿赛通内网数据泄露防护产品测试方案探析Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《亿赛通内网数据泄露防护产品测试方案探析Word文档下载推荐.docx(29页珍藏版)》请在冰豆网上搜索。
《亿赛通DLP-CDG产品使用手册》
3系统简介
3.1DLP-CDG系统简介
亿赛通数据泄露防护(DLP)体系(以下简称“DLP”),是面向企业客户应用的网数据安全(文档安全)软件产品。
DLP-CDG以数据透明加密为核心,结合身份认证、角色管理、数据、权限控制、流程应用、和监控审计技术,创建数据安全为中心的多层次安全模式,保护信息整个生命周期安全,构筑主动防御、阻止、追溯信息泄密的全方位网安全解决方案。
防止来自部人员以电子文档为载体的企业部重要信息泄密或外部窃取,降低信息、知识产权泄漏风险,减少高额管理成本。
该系统保护的企业重要信息包括与产品研发和设计相关的图纸、方案、技术文档,与营销有关的营销策略、市场策划案、客户资料,与财税有关的财务报表等企业重要的知识产权信息、商业秘密等信息。
通过技术手段保证企业相关安全制度的有效执行和流程固化,实现“事先主动防护,事中动态控制,事后全维追踪”的功能,从而杜绝信息泄密。
4环境准备
4.1系统环境
机器名称
用途
操作系统
环境配置
数量
DLP-SVR
用来部署DLP-CDG服务器端,对网终端进行安全管理
WINDOWS2000(SP4)/WINDOWS2003(SP2)
CPU:
P4以上
存:
512M以上,推荐1G
硬盘:
10G以上
数据库:
SQL2000(SP3)
/SQL2005
1
DLP-CLT
用来部署DLP-CDG客户端,其中两台模拟网研发受控终端,另外一台模拟外网非法终端
WINDOWS2000/XP/2003/VISTA
800MHZ以上
512M以上
无特殊要求
应用:
IE6.0/7.0
OFFICE2003/2007
AdobeAcrobat5.0~8.0
防病毒/防火墙不限
3
4.2环境拓扑
5测试计划
测试预期历时3天,具体安排如下表:
类型
事项
时间(天)
人员
2010-6-N
上午
环境准备
介绍测试方案
0.5天
客户方技术顾问、亿赛通技术顾问
下午
方案测试
DLP-CDG功能测试
2010-6-(N+1)
其他拓展功能测试
2010-6-(N+2)
测试总结
测试总结/答疑
整理测试报告
1天
6测试用例
6.1EST-01:
用户认证与管理(AD集成认证/本地认证管理)
测试编号
EST-01-01
项目
AD认证与管理(同步AD组织结构、同步AD用户)
预置条件
系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端,配置管理员configadmin需成功配置与AD集成相关的参数
测试过程
1.展开“组织人员”功能导航;
2.点击“用户管理”功能按钮,出现右边区域“用户及组织结构”初始化界面;
3.点击“同步用户”,DLP系统将自动同步预先配置的AD架构及信息;
4.已成功同步的域用户可通过WEB或Client方式登录DLP系统;
备注:
DLP系统将与AD服务器进行联动认证,及口令均由AD服务器主导认证。
预期结果
1.可成功同步AD中预配置组织结构及用户信息,并以树形结构方式显示;
2.用户利用AD及口令可通过WEB或Client方式成功登录DLP系统;
3.用户修改AD登录口令后,需提交新AD口令才可登录DLP系统。
测试结果与结论
测试
EST-01-02
本地认证与管理(手动创建组织架构及用户)
系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端
3.点击“组织架构”,DLP系统将支持管理员手动创建DLP多级部门;
4.点击“创建用户”,DLP系统将支持管理员手动创建DLP用户;
5.已成功创建的本地用户可通过WEB或Client方式登录DLP系统;
本地认证和AD认证只能选择其一。
1.可成功创建组织结构及用户信息,并以树形结构方式显示;
2.用户利用默认口令可通过WEB或Client方式成功登录DLP系统,并可强制修改初始化密码;
3.用户修改本地口令后,需提交新口令才可登录DLP系统。
6.2EST-02:
文档透明加密保护(文档透明保护、策略定义和下发)
EST-02-01
文档透明加密保护(文档透明加密、透明解密)
系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端,设定透明加密保护策略并下发给指定用户或用户组
1.user1用户被下发有针对Office文档透明加密策略;
2.user1用户登录DLP终端,右键新建测试文档“测试文档.doc”,双击打开并进行任意编辑后保存文档;
3.user1用户双击打开“测试文档.doc”,操作使用无任何影响;
4.将“测试文档.doc”通过网络共享、发送或移动存储设备拷贝到其他非DLP终端或无用户登录的DLP终端,双击打开显示乱码无常使用;
5.将无常使用的“测试文档.doc”重命名为“测试文档-1.doc”后移交至user1用户登录的DLP终端,双击可正常打开使用;
6.Office文档在DLP终端上完全透明化使用,用户无任何感知。
1.user1用户使用Office文档无任何感知和影响;
2.Office文档离开DLP环境外将无法使用;
3.具备有同样Office透明保护策略的DLP用户间,共享使用Office文档完全透明。
EST-02-02
文档透明保护策略(策略定义、策略下发)
系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端
1.DLP系统完全开放策略定义功能,用户可以完全自主设置透明保护策略,无需厂商定制或二次开发;
2.点击“策略管理”导航中的“策略库编辑”功能,用户可以根据系统规则自主编辑和创建策略库;
3.点击“策略管理”导航中的“管理策略”功能,用户可以自主创建策略,并根据需要设置策略容,如“加解密控制”、“打印控制”、“一般控制”、“应用安全控制”、“全盘初始化”、“白”、“拷贝控制”、“安全U盘”等控制项;
4.如创建策略“atmb_policy”,“加解密控制”中添加“办公类策略组”中“MSOffice策略”,“是否添加加密文件上锁图标”默认为“是”;
“打印控制”中,“水印容”设置为“atmb_print_test”,勾选应用水印等;
5.在“用户管理”中,将策略“atmb_policy”下发给指定用户或指定组织结构,如下发给user1用户;
6.user1用户登录DLP终端后,将实现对Office文档的透明加密保护,用户无论是连接打印机还是虚拟打印,打印出的水印容将包含并不限于“atmb_print_test”等信息。
1.用户可成功自主编辑策略库;
2.用户可成功自主创建策略;
3.用户可成功将策略下发;
4.策略将成功应用并产生对应效果。
6.3EST-03:
容安全控制(复制粘贴、另存为、拖拽、拷屏等控制)
EST-03-01
加密文档容复制粘贴保护(加密文档间、所有文档间)
系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端并成功下发对指定文档进行透明保护策略
1.user1用户成功登录DLP终端,并新建“测试文档1.doc”、“测试文档2.doc”、“测试文档3.xls”、“测试文本.txt”等;
2.系统默认程序打开“测试文档1.doc”、“测试文档2.doc”、“测试文档3.xls”、“测试文本.txt”,在“测试文档1.doc”中复制部分数据,在本文档粘贴成功;
3.将容粘贴至“测试文档2.doc”、“测试文档3.xls”,粘贴成功;
4.将容粘贴至“测试文本.txt”,粘贴失败;
5.在“测试文本.txt”中复制部分数据,可以粘贴至任意文档中;
加密文档的容只能在加密文档间成功复制粘贴,非加密文档则不进行任何控制。
1.“测试文档1.doc”、“测试文档2.doc”、“测试文档3.xls”间可正常复制粘贴;
2.无法将“测试文档1.doc”、“测试文档2.doc”、“测试文档3.xls”的数据容粘贴到“测试文本.txt”中;
3.可以将“测试文本.txt”中的数据容粘贴到任意文档中。
EST-03-02
加密文档容另存为保护
1.user1用户成功登录DLP终端,并新建“测试文档1.doc”;
2.打开“测试文档1.doc”,编辑并保存,可确认文档已被透明加密保护;
3.打开“测试文档1.doc”,另存为“测试文档2.doc”,关闭当前文档,确认“测试文档2.doc”已被透明加密保护;
4.打开“测试文档1.doc”,另存为“测试文档3.txt”,关闭当前文档,确认“测试文档3.txt”已被透明加密保护;
5.打开“测试文档1.doc”,利用双引号方式进行任意格式另存为,如另存为“测试文档4.abc”或“测试文档4.a”,关闭当前文档,确认“测试文档4.abc”或“测试文档4.a”已被透明加密保护;
对加密文档另存为动作将进行“*.*另存为加密保护”,防止数据泄密。
1.另存为“测试文档2.doc”,将成功进行透明加密保护;
2.另存为“测试文档3.txt”,将成功进行透明加密保护;
3.另存为“测试文档4.abc”或“测试文档4.a”,将成功进行透明加密保护。
EST-03-03
加密文档容拖拽保护(加密文档间、所有文档间)
1.user1用户成功登录DLP终端,并新建“测试文档1.doc”、“测试文档2.doc”、“测试文本.txt”等;
2.系统默认程序打开“测试文档1.doc”、“测试文档2.doc”,利用“写字板程序”打开“测试文本.txt”,在“测试文档1.doc”中选定数据,在本文档拖拽成功;
3.将选定容拖拽至“测试文档2.doc”,拖拽成功;
4.将选定容拖拽至“测试文本.txt”,拖拽失败;
5.在“测试文本.txt”中选定部分数据,可以拖拽至任意文档中;
加密文档的容只能在加密文档间成功拖拽,非加密文档则不进行任何控制。
1.“测试文档1.doc”、“测试文档2.doc”间数据可正常拖拽;
2.无法将“测试文档1.doc”、“测试文档2.doc”的数据拖拽到“测试文本.txt”中;
3.可以将“测试文本.txt”中的数据容拖拽到任意文档中。
EST-03-04
加密文档容拷屏保护(开启加密文档控制、开启普通文档不控制)
1.user1用户成功登录DLP终端,并新建“测试文档1.doc”、“测试文本.txt”等;
2.user1用户打开“测试文档1.doc”,按下键盘上“PrtSc”截屏键,无法将“测试文档1.doc”容截屏;
3.user1用户打开“测试文档1.doc”,利用QQ程序的“捕捉屏幕”,无法将“测试文档1.doc”容截屏;
4.user1关闭“测试文档1.doc”,打开“测试文本.txt”,按下键盘上“PrtSc”截屏键,可以将“测试文本.txt”容截屏;
5.user1打开“测试文本.txt”,利用QQ程序的“捕捉屏幕”,,可以将“测试文本.txt”容截屏;
当有加密文档开启时(无论文档是最大化、最小化、小窗口显示等),禁止通过键盘硬拷屏和软件拷屏等泄密;
不开启加密文档时,用户拷屏不控制。
1.当打开加密文档“测试文档1.doc”时,用户无法进行拷屏泄密;
2.当打开非加密文档时,用户可以正常进行拷屏。
6.4EST-04:
流程化支撑(解密审批流程、离线审批流程、卸载审批流程)
EST-04-01
自动解密审批流程
系统管理员systemadmin或具备有审批员设置角色用户WEB方式登录DLP服务器端并成功设置解密审批员角色
1.user1成功登录DLP终端后,通过右键点击托盘区DLP程序图标,通过“业务申请”->
“解密申请”添加需要进行自动解密的文件或文件夹,同时填写解密理由备注;
2.user1也可以通过选定一个或多个待解密文件,右键选择“亿赛通安全文档”->
“密文解密申请”来提交解密申请单;
3.具备有自动解密审批角色的用户,在终端冒泡提醒下,登录DLP服务器端,进行解密审批;
4.解密审批员可在线查看任意待解密文档容、可以拒绝审批或通过审批;
5.当解密审批员审批通过后,申请人将收到终端冒泡提醒,系统将自动解密提交的申请文档;
解密审批员将采用分级审批控制,指定审批员只能审批本部门或本部门及子部门用户所提交的解密申请。
1.用户user1可成功通过右键点击托盘图标或右键直接选定文件的方式提交解密申请;
2.解密审批员在终端冒泡提醒功能下,登录DLP服务器进行解密审批;
3.解密审批员可以通过、拒绝、延时处理当前审批,可以在线查看待审批文档容;
4.审批通过后,申请人可收到终端冒泡提示,系统成功自动解密提交的申请文档;
EST-04-02
离线审批流程
系统管理员systemadmin或具备有审批员设置角色用户WEB方式登录DLP服务器端并成功设置离线审批员角色
“离线申请”填写离线时长,同时填写离线理由备注;
2.user1也可以登录DLP服务器端,在“离线申请”中填写离线申请单;
3.具备有离线审批角色的用户,在终端冒泡提醒下,登录DLP服务器端,进行离线审批;
4.离线审批员可以拒绝审批、通过审批;
5.当离线审批员审批通过后,申请人将收到终端冒泡提醒,系统将自动设置离线策略;
离线审批员将采用分级审批控制,指定审批员只能审批本部门或本部门及子部门用户所提交的离线申请。
1.用户user1可成功通过右键点击托盘图标或WEB方式提交离线申请;
2.离线审批员在终端冒泡提醒功能下,登录DLP服务器进行离线审批;
3.离线审批员可以通过、拒绝当前审批;
4.审批通过后,申请人可收到终端冒泡提示,系统成功设置离线策略。
EST-04-03
卸载审批流程
系统管理员systemadmin或具备有审批员设置角色用户WEB方式登录DLP服务器端并成功设置卸载审批员角色
“卸载申请”填写卸载理由备注;
2.user1也可以登录DLP服务器端,在“卸载申请”中填写卸载申请单;
3.具备有卸载审批角色的用户,在终端冒泡提醒下,登录DLP服务器端,进行卸载审批;
4.卸载审批员可以拒绝审批、通过审批;
5.当卸载审批员审批通过后,申请人将收到终端冒泡提醒,申请人将允许卸载DLP客户端;
卸载审批员将采用分级审批控制,指定审批员只能审批本部门或本部门及子部门用户所提交的卸载申请。
1.用户user1可成功通过右键点击托盘图标或WEB方式提交卸载申请;
2.卸载审批员在终端冒泡提醒功能下,登录DLP服务器进行卸载审批;
3.卸载审批员可以通过、拒绝当前审批;
4.审批通过后,申请人可收到终端冒泡提示,系统成功设置终端保护策略,申请人将允许卸载DLP客户端。
6.5EST-05:
例外需求处理(外发自动解密审批流程、文档外发控制)
EST-05-01
外发自动解密审批流程
系统管理员systemadmin或具备有审批员设置角色用户WEB方式登录DLP服务器端并成功设置外发审批员角色及解密员角色,并正确配置后台服务器参数
1.user1成功登录DLP服务器端后,填写“外发解密申请单”;
2.填写正确的收件人、正文、解密方式、添加加密附件等信息;
3.具备有外发审批角色的用户,在终端冒泡提醒下,登录DLP服务器端,进行外发审批;
4.外发审批员可以同意审批、拒绝审批,也可以下载查看外发附件信息;
5.当外发审批员审批通过后,DLP系统将集成企业服务器自动发送;
外发审批员将采用分级审批控制,指定审批员只能审批本部门或本部门及子部门用户所提交的外发解密申请。
(外发解密申请分自动解密流程或手动解密流程,手动解密流程中,审批员完成审批后流程将自动提交至解密员,附件解密将由解密员完成)
1.user1可以成功提交外发申请单并添加外发解密附件;
2.外发审批员可以同意审批、拒绝审批,也可以下载查看外发附件信息;
3.当外发审批员同意审批后,DLP系统将集成企业服务器自动发送明文附件。
EST-05-02
文档外发安全控制
系统管理员systemadmin或具备有用户高级角色用户WEB方式登录DLP服务器端并成功配置指定用户允许使用外发模块功能
1.user1成功登录DLP终端后,通过右键点击托盘区DLP程序图标,通过“工具”->
“外发工具”添加需要进行外发加密控制的文件或文件夹;
2.user1也可以通过选定一个、多个待外发文件或文件夹,右键选择“亿赛通安全文档”->
“制作外发文档”来制作外发加密文档;
3.可以对外发文档设置访问密级“直接预览”、“密码验证”、“机器标识”等访问密级;
4.可以对外发文档设置访问权限,如“只读”、“打印”,可设置“只读次数”、“只读时长”、“打印水印”等信息;
5.用户在使用外发文档时,无需安装任何浏览器直接使用,文档超出使用权限后将自动销毁;
6.外发文档使用时,禁止复制容、禁止另存为、禁止拖拽、禁止编辑修改。
1.user1可以成功制作外发文档;
2.外发文档使用时,用户无法超出预先分配的权限;
3.外发文档的容将进行安全保护,可防止容再版、篡改。
6.6EST-06:
DLP终端安全防护(用户异常状态审计、终端自我防护)
EST-06-01
用户状态审计与导出
1.进入“组织人员”导航的“用户管理”功能项显示区预,可对所有用户的前一次扫描状态进行审计;
2.执行“状态扫描”功能,可以对“当前页面”用户或“全部用户”进行状态扫描,DLP系统对用户状态提供“未注册”、“脱机”、“在线”三种状态显示;
3.执行“状态扫描”功能时,可以导出用户当前最新连接状态为EXCEL报表;
当用户状态未为“未注册”时,表示该用户没有安装DLP终端或没有成功登录DLP终端;
当用户状态未为“在线”时,表示该用户正在联机使用DLP终端;
当用户状态未为“脱机”时,表示该用户没有联机使用DLP终端。
1.DLP系统支持扫描“当前页面”用户状态,扫描结束后系统显示当前页面中用户最