网络安全预警产品测试标准方案Word文档格式.docx

1、 78.2.1 HTTP协议病毒检测 78.2.2 FTP协议病毒检测 88.2.3 SMTP协议病毒检测 88.2.4 POP3协议病毒检测 88.2.5 SAMBA协议病毒检测 98.3 病毒检测系统协议非标准端口检测测试 98.3.1 协议非标准端口病毒检测 98.4 病毒检测系统蠕虫和恶意网址过滤检测，并对病毒进行定位。 98.4.1 网络蠕虫病毒检测 98.4.2 恶意网址过滤 108.4.3 病毒准确定位 108.5 病毒检测系统支持自定义检测文件大小和自定义检测层数 108.5.1 自定义检测文件大小 108.5.2 压缩文件检测 118.6 病毒检测系统网络性能测试 118.6

2、.1 病毒检测系统性能指标 118.6.2 网络性能稳定性 118.7 病毒检测系统支持bypass和热备机制 128.7.1 bypass模式 128.7.2 热备机制 128.8 病毒检测系统支持与杀毒软件、防病毒网关联动。 128.8.1 与杀毒软件联动机制 128.8.2 与防病毒网关联动机制 138.9 病毒检测系统病毒库升级方式。 138.9.1 病毒库升级（注、设备需要激活才能升级病毒库） 138.10 病毒检测系统日志报表管理。8.10.1 病毒日志报表丰富 138.10.2 单位日志报表丰富 148.10.3 病毒检测系统相关日志支持存储远程服务器 148.11 病毒检测系统

3、病毒告警。 148.11.1 病毒传播告警提示 149 测试总体评论 151测试背景随着信息技术的快速发展，病毒技术也在不断悄然变革，从感染影响单台主机，到利用邮件、局域网共享传播；从利用操作系统漏洞，到利用各种应用程序漏洞传播；从一个人员编写传播，到集团化分工协作；从主机传播，到基于互联网自动更新，批量传播；从恶作剧，到以经济为目的疯狂盗窃信息。当前，90%的病毒利用互联网传播，各种热门网站、客户端软件和浏览器，都存在着众多漏洞和安全薄弱点，使得用户遭到攻击的渠道暴增；而且，随着黑客-病毒产业链臻于完善，支撑互联网发展的多种商业模式都遭到了盗号木马、木马点击器的侵袭，使得用户对于网络购物、网

4、络支付、网游产业的安全信心遭到打击。面对网络病毒的威胁，单独的杀毒软件的被动杀毒方式已经明显不能满足目前病毒防范的实际需求，因此，如何充分利用现有安全基础设施，采纳最新的防病毒、反黑客技术手段，建立全网防御、整体作战的综合防治体系对整体网络进行全面监控，是目前所面临的一项重要任务。目前, XXX信息网上主要的风险是存在计算机病毒大面积侵害运行网络的可能，但是现在还没有对各种病毒进行全局监控和预警、防范的保障措施，没有全面的对病毒事件的大面积发作的处理预案，XXX信息网络的正常运行就会受到严重的威胁。因此，必须从全局出发，以防为主、防杀结合，防病毒厂商为技术支持单位的计算机病毒联合防范管理体系，

5、依托集病毒监测等技术为一体的强大技术支撑系统，构筑成为整体网络的病毒预警防范体系。对发生在XXX信息网络上的病毒事件做到早预防、早发现、早报警、早清杀，及时分发系统漏洞补丁并加以修补，最大程度地降低病毒事件对信息网造成的安全风险。病毒检测预警系统要求适用于各种复杂的网络拓扑环境，具备针对HTTP、FTP、SMTP、POP3和SAMBA协议内容检查的能力，对发生在XXX信息网络上的病毒事件做到早预防、早发现、早报警、早清杀，及时分发系统漏洞补丁并加以修补，最大程度地降低病毒事件对信息网造成的安全风险。 通过本次测试，在XXXXX网络的实际网络中，了解各品牌病毒检测预警系统检测的功能效果，并检验其

6、性能是否能适应目前的网络吞吐率要求。2测试目标体验病毒检测预警系统的病毒检测效果和产品功能.3测试设备此次测试，选择业界专业的病毒检测厂商，具体产品要求如下：1.国内自主研发且具有自主知识产权的病毒检测系统（防病毒引擎与病毒库升级）2.具有公安部颁发的销售许可证3.支持HTTP/SMTP/POP3/FTP/SAMBA等协议的病毒检测与过滤4.支持恶意网址的检测（恶意网址库实时升级）5.支持5000用户规模6.支持镜像数据二次转发功能7.支持多镜像数据接入模式4测试时间年 月 日5测试地点XXXXX6项目测试人员为保证在不影响用户业务的前提下，病毒检测系统能正常运行、测试，达到用户测试效果，建议

7、产品的测试由用户单位项目负责人、厂商技术人员共同成立测试项目小组，负责整个项目的测试，解决在产品测试过程中所遇到的问题。其中测试组的人员组成及工作职责如下：测试负责人：由用户单位的项目负责人担任，主要负责测试的计划安排和技术确认。测试技术工程师：由厂商技术工程师组成，负责产品的具体实施和测试，并解决在测试中可能出现的问题。7病毒检测系统网络部署病毒检测系统部署在XXXXX路由器与XXXXX核心交换机中间。8病毒检测系统功能测试8.1病毒检测系统管理部署方式8.1.1集中管理机制测试目的：检验病毒检测系统可以实现统一管理测试步骤：将多台病毒检测系统病毒探针旁路接入测试网络中，通过一个系统中心作为

8、管理平台，可以实现对下级探针的管理和策略下发等动作。预计效果：通过统一管理功能，可以统一升级病毒库及病毒策略下发等测试结果：通过 失败 8.1.2部署模式检验病毒检测系统是否能顺利接入到网络环境中，并尽量减少对现有网络影响 将病毒检测系统端口1设定为监听方式，接入网络镜像口，确认网络连通性是否正常，端口1是否有数据。检查客户的网络是否正常，系统中心和探针分开，此连接方式不用调整网络架构，可以根据需要灵活选择部署方式，病毒检测系统部署简单。8.1.3镜像数据重转发模式检验病毒检测系统是否能顺利把镜像数据通过设备本身转发，提供另外一台镜像数据分析的设备使用。达到通过1个镜像口，实现二次分析的效果，

9、并尽量减少对现有交换机镜像口的需求。将探针的E0口修改为转发模式，转发接收接口为E1口，E0口接入交换机镜像口，E1口接第三方设备。确认镜像数据是否转发。可以满足对不同安全设备对同一数据进行分析需求，且不会对现有网络造成影响，不用调整网络架构。通过 失败 8.2病毒检测系统协议检测测试，要求支持HTTP、FTP、SMTP、POP3、SAMBA等协议。8.2.1HTTP协议病毒检测检验病毒检测系统是否能够检测HTTP主流协议类型的病毒。访问www.eicar.org病毒测试网站，检查病毒检测系统是否能准确检测病毒测试样本。下载eicar网站病毒样本会检测，能及时发现http协议病毒传播信息，快速

10、定位传播源和受害者及详细路径。8.2.2FTP协议病毒检测检验病毒检测系统是否能够检测FTP协议的病毒。下载www.eicar.org病毒测试网站的样本，通过ftp协议传输病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。传输过程中病毒样本被检测，快速定位下载和上传FTP服务器的资料时感染病毒的传播源和受害者及详细路径。8.2.3SMTP协议病毒检测检验病毒检测系统是否能够检测SMTP协议的病毒。下载www.eicar.org病毒测试网站的样本，通过SMTP协议传输病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。邮件发送过程中病毒样本被检测，快速定位传播源和受害者及详细路径。

11、8.2.4POP3协议病毒检测检验病毒检测系统是否能够检测POP3协议的病毒。下载www.eicar.org病毒测试网站的样本，通过POP3协议访问病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。邮件接收过程中病毒样本被检测，快速定位传播源和受害者及详细路径。8.2.5SAMBA协议病毒检测检验病毒检测系统是否能够检测SAMBA协议的病毒。下载www.eicar.org病毒测试网站的样本，通过网络共享方式访问病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。文件在通过SAMBA传输过程中病毒样本被检测，快速定位传播源和受害者及详细路径。8.3病毒检测系统协议非标准端口检测测试

12、8.3.1协议非标准端口病毒检测检验病毒检测系统是否能够检测非标准协议端口（HTTP、SMTP、POP3、FTP）等协议非常规端口的病毒。下载常规www.eicar.org病毒测试网站的样本， SMTP改为8025，POP3改为8110访问病毒样本测试,检查病毒检测系统是否能准确检测病毒测试样本。可以检测一些非标准协议端口传输的病毒，避免一些病毒通过特殊端口传播，快速定位传播源和受害者及详细路径。8.4病毒检测系统蠕虫和恶意网址过滤检测，并对病毒进行定位。8.4.1网络蠕虫病毒检测检验病毒检测系统是否支持网络蠕虫病毒检测。病毒检测系统接入网络中，通过一台携带网络蠕虫病毒的电脑接入测试网络中。病

13、毒检测系统会检测网络蠕虫的攻击，快速定位传播源和受害者及详细路径。8.4.2恶意网址过滤检测病毒检测系统是否能够拦截各类恶意网站。接入测试网络中，通过访问恶意网站，查看是否可以检测恶意网站可以检测访问恶意网站。快速定位传播源和受害者及详细路径。8.4.3病毒准确定位检验病毒检测系统是否可以定位到病毒传播源和被感染源、以及病毒文件的精确路径。通过网络传输病毒，然后查看病毒检测系统的病毒日志，是否有病毒的传播地址和目的地址、以及病毒文件的详细URL地址。帮助用户迅速定位传播源和被感染者，并通过准确的病毒文件路径，清除相关病毒。8.5病毒检测系统支持自定义检测文件大小和自定义检测层数8.5.1自定义

14、检测文件大小检测病毒检测系统是否可以灵活的调整检测文件的大小。病毒检测系统接入网络中，调整病毒检测系统策略，修改检测文件的大小文件大小调整后，也可以顺利的进行检测，避免因文件过小或者过大躲避病毒检测系统的检测。8.5.2压缩文件检测检测病毒检测系统是否能够检测各类经过多层压缩的文件病毒。病毒检测系统接入网络中，下载www.eicar.org病毒测试网站的压缩样本，通过邮件方式传输病毒样本测试,检查病毒检测系统是否能准确检测病毒压缩样本。可以检测各种多层压缩的压缩文件类型病毒，避免病毒通过压缩方式躲避安全设备的检测。8.6病毒检测系统网络性能测试8.6.1病毒检测系统性能指标将设备以旁路方式接入

15、网络，病毒检测系统正常工作时观察病毒检测系统的系统负荷（检测策略全开）。将病毒检测系统杀毒策略全部打开，接入实际网络中。满足CPU使用率80%以内，内存使用效率60%以内。8.6.2网络性能稳定性将设备以旁路方式接入网络，病毒检测系统正常工作时（检测策略全开），查看网络访问速度稳定，无明显延迟和中断现象。将病毒检测系统杀毒策略全部打开，接入实际网络中，ping目的地址，浏览网页和其他应用。满足页面访问无明显延迟，ping无异常丢包8.7病毒检测系统支持bypass和热备机制8.7.1bypass模式检验病毒检测系统在出现设备断电或系统故障，不会对现有网络造成影响将病毒检测系统接入实际网络链路中，把设备电源关闭。当设备出现停电异常时，设备不能正常工作，但是客户的网络不受影响，数据可以正常传输。