漏洞掃描測(cè)試方案

1、網(wǎng)絡(luò)漏洞掃描系統(tǒng)測(cè)試方案1 產(chǎn)品初步評(píng)估31.1 送測(cè)產(chǎn)品登記31.2 產(chǎn)品功能31.3 產(chǎn)品部署31.4 系統(tǒng)配置41.5 基本情況調(diào)查42 系統(tǒng)功能測(cè)試72.1 部署和管理72.2 系統(tǒng)升級(jí)能力72.3 掃描任務(wù)高級(jí)屬性72.4 掃描任務(wù)參數(shù)配置測(cè)試 82.5 掃描策略定制82.6 信息收集能力測(cè)試92.7 及時(shí)顯示能力測(cè)試102.8 掃描文檔和報(bào)表102.8.1 掃描文檔、報(bào)表的生成靈活程度測(cè)試102.8.2 報(bào)表信息完善程度和正確測(cè)試112.9 系統(tǒng)的安全策略112.10 文檔123 漏洞掃描測(cè)試123.1 系統(tǒng)脆弱性測(cè)試123.2 數(shù)據(jù)庫(kù)脆弱，f掃描測(cè)試133.3 系統(tǒng)智能化程度測(cè)試

2、134 資產(chǎn)管理與弱點(diǎn)評(píng)估134.1 部門(mén)管理134.2 資產(chǎn)管理144.3 資產(chǎn)弱點(diǎn)評(píng)估145 性能測(cè)試145.1 掃描速度測(cè)試 145.2 掃描系統(tǒng)資源開(kāi)銷(xiāo)156 其他157 總結(jié)151產(chǎn)品初步評(píng)估產(chǎn)品初步評(píng)估是指對(duì)產(chǎn)品供應(yīng)商的資質(zhì)、產(chǎn)品本身的特性、內(nèi)部配置、適用范圍、技 術(shù)支持能力、核心技術(shù)、產(chǎn)品本地化、產(chǎn)品認(rèn)證等方面進(jìn)行的書(shū)面的初步評(píng)估。1.1 送測(cè)產(chǎn)品登記表格一：送測(cè)產(chǎn)品登記表產(chǎn)品名稱(chēng)型號(hào)J商名稱(chēng)產(chǎn)品形態(tài)產(chǎn)品組成1.2 測(cè)試環(huán)境要求掃描系統(tǒng)應(yīng)支持多種靈活的部署方式，可以被安裝在便攜機(jī)或pc工作站上，也可以也可以預(yù)裝到機(jī)架式硬件工控機(jī)中，用戶(hù)將其連接到被掃描的網(wǎng)絡(luò)環(huán)境中即可進(jìn)行對(duì)全網(wǎng)

3、進(jìn)行的脆弱性檢測(cè)。測(cè)試拓?fù)鋱D如下：設(shè)備類(lèi)型配置描述數(shù)量PC硬件要求：X86架構(gòu)的臺(tái)式機(jī)或筆記本電腦。CPU不彳肝1.5G主頻內(nèi)存：不低于1G,建議2G以上硬盤(pán)：不低于 500M剩余空間，建議2G以上剩余空間網(wǎng)卡：至少一塊 100Mbps以太網(wǎng)卡軟件要求：操作系統(tǒng)：中文版 Windows 2000Professional/ServerwithSP4 WindowsXPwithSP3 Windows Server 2003 withSP2 、Windows Vista、WindowsServer 2008、Windows 7瀏覽器：IE6.0以上版本1臺(tái)交換機(jī)100M/1000M可鏡像端口1臺(tái)1.

4、3 基本情況調(diào)查表格二：基本情況調(diào)查表產(chǎn)品信息產(chǎn)品名稱(chēng)廠家名稱(chēng)產(chǎn)品類(lèi)型口軟件 口硬件軟件組件操作系統(tǒng)的兼容性產(chǎn)品體系結(jié)構(gòu)口掃描器和管理平臺(tái)一體化 口其他操作系統(tǒng)要求 Windows2000 with SP4 (Professional & Server)口 Windows XP with SP3 Windows2003 Server with SP2 Windows Vista Windows Sever 2008 Windows 7數(shù)據(jù)庫(kù)支持口支持?jǐn)?shù)據(jù)庫(kù)切換系統(tǒng)的功能掃描方式口網(wǎng)絡(luò)掃描口主機(jī)掃描 Windows域掃描用戶(hù)管理口多管理權(quán)限劃分 口權(quán)限統(tǒng)一管理權(quán)限管理口可掃描IP地址數(shù)量限制口掃

5、描任務(wù)次數(shù)限制口授權(quán)服務(wù)期限限制口功能模塊限制策略管理口默認(rèn)17種策略 口用戶(hù)自定義策略 口策略的導(dǎo)入/導(dǎo)出任務(wù)管理口立即執(zhí)行定時(shí)執(zhí)行口定期循環(huán)執(zhí)行報(bào)表功能主機(jī)掃描報(bào)表口漏洞掃描報(bào)表口全報(bào)表口任務(wù)對(duì)比分析報(bào)表口任務(wù)趨勢(shì)分析報(bào)表口部門(mén)掃描報(bào)表口部門(mén)對(duì)比分析報(bào)表口部門(mén)趨勢(shì)分析口角色報(bào)表口用戶(hù)自定義報(bào)表口 WEB報(bào)表漏洞類(lèi)型口系統(tǒng)漏洞口應(yīng)用服務(wù)漏洞 口后門(mén)程序檢測(cè) 口數(shù)據(jù)庫(kù)漏洞口應(yīng)用軟件漏洞數(shù)據(jù)庫(kù)掃描 Oracle 口 MSSql 口 DB2 Sybase Mysql更新機(jī)制口專(zhuān)用更新程序手動(dòng)更新口自動(dòng)在線更新口按周升級(jí)包口季度升級(jí)包合集部門(mén)管理口按網(wǎng)絡(luò)地址劃分部門(mén)口設(shè)置多級(jí)子部門(mén)口部門(mén)掃描資產(chǎn)管理

6、口手動(dòng)增加資產(chǎn)口自動(dòng)從掃描結(jié)果中導(dǎo)入資產(chǎn) 口支持資產(chǎn)保護(hù)等級(jí)屬性設(shè)置 口支持資產(chǎn)價(jià)值屬性設(shè)置 口支持資產(chǎn)類(lèi)型屬性設(shè)置 口資產(chǎn)自動(dòng)發(fā)現(xiàn)資產(chǎn)風(fēng)險(xiǎn)評(píng)估（可選 模塊）口資產(chǎn)弱點(diǎn)評(píng)估 口資產(chǎn)弱點(diǎn)統(tǒng)計(jì) 口資產(chǎn)弱點(diǎn)對(duì)比漏洞驗(yàn)證（可選模塊）口漏洞驗(yàn)證二次開(kāi)發(fā)接口支持 （可選模塊）口支持xml接口調(diào)用支持 WebService接口調(diào)用第9頁(yè)2系統(tǒng)功能測(cè)試2.1部署和管理測(cè)試目標(biāo)測(cè)試系統(tǒng)安裝過(guò)程是否簡(jiǎn)易，是否需要安裝第三方軟件，安裝后是否對(duì)原系統(tǒng)造成不良影 響，其基本構(gòu)成是否與廠家提供的說(shuō)明信息一致。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否為中文界囿是/口含安裝過(guò)程中是否需要用戶(hù)安裝第三方軟件是/口含是否需要在被掃描的目標(biāo)系

7、統(tǒng)上安裝軟件口是/口否系統(tǒng)是否支持多用戶(hù)管理是/口含用戶(hù)權(quán)限是否可以分級(jí)是/口含2.2 系統(tǒng)升級(jí)能力測(cè)試目標(biāo)測(cè)試系統(tǒng)升級(jí)的方式是否方便、多樣，系統(tǒng)是否支持在線升級(jí)，升級(jí)過(guò)程是否安全（是否 進(jìn)行加密），升級(jí)內(nèi)容是否詳細(xì)測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否支持在線升級(jí)口是/口否是否支持非在線升級(jí)口是/口否升級(jí)后是否能夠發(fā)現(xiàn)最新公布的安全漏洞口是/口否2.3 掃描任務(wù)高級(jí)屬性測(cè)試目標(biāo)系統(tǒng)支持掃描任務(wù)的高級(jí)屬性測(cè)試結(jié)果是否支持?jǐn)嗑W(wǎng)續(xù)掃口是/口否是否支持?jǐn)帱c(diǎn)續(xù)掃口是/口否是否支持域掃描口是/口否是否支持域名掃描是因否2.4 掃描任務(wù)參數(shù)配置測(cè)試測(cè)試目標(biāo)是否可以配置不同的掃描任務(wù)參數(shù)測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果任務(wù)優(yōu)

8、先級(jí)口是/口否最大并行掃描主機(jī)數(shù)目口是/口否主機(jī)最大線程數(shù)目口是/口否是否針對(duì)有防火墻設(shè)置的主機(jī)有不同的探測(cè)方式口是/口否是否支持網(wǎng)絡(luò)延遲設(shè)置口是/口否按操作系統(tǒng)掃描口是/口否按域掃描口是/口否只掃描存活主機(jī)口是/口否是否支持快速掃描口是/口否通知被掃描主機(jī)口是/口否是否支持會(huì)話備份口是/口否2.5 掃描策略定制測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否提供定制掃描策略的功能，掃描策略的定制是否方便，分類(lèi)是否足夠詳 細(xì)。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果掃描漏洞庫(kù)是否分類(lèi)口是/口否是否能顯示掃描漏洞的數(shù)量口是/口否漏洞資料是否全部中文本地化口是/口否是否對(duì)每個(gè)漏洞有注釋說(shuō)明口是/口否是否容易關(guān)閉一個(gè)漏洞口是/口否是否容易

9、啟用一個(gè)漏洞檢測(cè)口是/口否是否可以對(duì)策略參數(shù)進(jìn)行調(diào)節(jié)口是/口否是否可以對(duì)漏洞參數(shù)進(jìn)行調(diào)節(jié)口是/口否策略是否可以導(dǎo)入導(dǎo)出口是/口否是否提供專(zhuān)門(mén)的Windows掃描策略口是/口否是否提供專(zhuān)門(mén)的Unix掃描策略口是/口否是否提供網(wǎng)絡(luò)設(shè)備掃報(bào)i策略口是/口否是否提供數(shù)據(jù)庫(kù)掃描策略口是/口否是否支持定制掃描策略口是/口否缺省的掃描策略種是否支持漏洞篩選口是/口否用于篩選漏洞的條件有哪幾種口風(fēng)險(xiǎn)程度口 CVE編號(hào)口應(yīng)用類(lèi)型操作系統(tǒng)類(lèi)型其它，CNCVE是否能夠單獨(dú)選擇掃描漏洞列表口是/口否是否支持掃描策略的導(dǎo)出和導(dǎo)入口是/口否口令猜測(cè)字典是否分類(lèi)口是/口否口令猜測(cè)字典是否可以自定義口是/口否掃描端口范圍是否

10、可以自定義口是/口否是否支持端口服務(wù)智能識(shí)別技術(shù)口是/口否能夠指定掃描目標(biāo)的參數(shù)指定ip地址指定ip網(wǎng)段指定多個(gè)ip網(wǎng)段指定多個(gè)ip網(wǎng)段中的地址是否支持在指定的時(shí)間自動(dòng)啟動(dòng)掃描口是/口否是否支持間隔一定時(shí)間自動(dòng)掃描口是/口否是否能夠使用目標(biāo)系統(tǒng)的已知賬號(hào)/ 口令對(duì)其進(jìn)行更有效的掃描口是/口否使用用戶(hù)名/口令文件口是/口否是否支持漏洞查詢(xún)口是/口否查詢(xún)條件是否支持CVE口是/口否查詢(xún)條件是否支持Bugtraq口是/口否查詢(xún)條件是否支持CNCVE口是/口否查詢(xún)結(jié)果是否支持批量選擇口是/口否2.6 信息收集能力測(cè)試測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否能夠正確獲取目標(biāo)主機(jī)的各類(lèi)信息等測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否能

11、夠正確分析出目標(biāo)系統(tǒng)的操作系統(tǒng)類(lèi)型口是/口否是否能夠正確地探測(cè)目標(biāo)系統(tǒng)是否能夠PING 通口是/口否是否能夠正確探測(cè)目標(biāo)系統(tǒng)上所有打開(kāi)的TCP 端口口是/口否是否能夠正確探測(cè)目標(biāo)系統(tǒng)上所有打開(kāi)的UDP 端口口是/口否是否能夠利用finger服務(wù)獲得目標(biāo)主機(jī)上的用戶(hù)信息口是/口否是否能夠利用NetBIOS服務(wù)獲得目標(biāo)主機(jī)上的用戶(hù)信息口是/口否2.7 及時(shí)顯示能力測(cè)試測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否能夠及時(shí)列出掃描出的結(jié)果信息等測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否能夠及時(shí)列出掃描出的全部漏洞口是/口否是否能夠及時(shí)列出掃描出的全部端口口是/口否是否能夠及時(shí)列出掃描出的全部賬戶(hù)密碼口是/口否是否能夠及時(shí)列出掃描出的全

12、部主機(jī)口是/口否是否能夠及時(shí)顯示掃描進(jìn)度口是/口否掃描結(jié)果是否方便查看口是/口否2.8 掃描文檔和報(bào)表2.8.1 掃描文檔、報(bào)表的生成靈活程度測(cè)試測(cè)試目標(biāo)在掃描結(jié)束后，用戶(hù)是否能夠靈活地組織其希望生成的報(bào)告。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果掃描結(jié)果能否寫(xiě)入數(shù)據(jù)庫(kù)是/口含是否支持根據(jù)設(shè)定的條件生成不同的報(bào)告口不同的風(fēng)險(xiǎn)級(jí)別 口小同的主機(jī)地址是否可以組合多種條件決定在生成的報(bào)告中包含哪些漏 洞是/口含允許組合使用的條件口漏洞風(fēng)險(xiǎn)主機(jī)地址口部門(mén)（資產(chǎn)統(tǒng)計(jì)和弱點(diǎn)評(píng)估）是否可以生成主機(jī)間比較的結(jié)果報(bào)告是/口含是否支持實(shí)時(shí)掃描結(jié)果導(dǎo)出口是/口否是否可以將將新出現(xiàn)的危險(xiǎn)情況及時(shí)通知管理員口是/口否是否支持報(bào)表郵件發(fā)

13、送是/口含第io頁(yè)能夠生成的報(bào)告格式 Doc口 HTML 口 XML 口 PDF Excel 口 RTF能夠任意組合調(diào)整報(bào)表模板定制報(bào)表口是/口否2.8.2 報(bào)表信息完善程度和正確測(cè)試測(cè)試目標(biāo)評(píng)估不同的掃描系統(tǒng)提供的信息的完善程度和正確程度測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果掃描起止日期、時(shí)間是/口含掃描使用的策略名稱(chēng)口是/口否生成報(bào)告的策略名稱(chēng)是/口含掃描結(jié)束的狀態(tài)是/口含掃描目標(biāo)的描述信息（總數(shù)目、ip地址等）口是/口否根據(jù)漏洞的危險(xiǎn)級(jí)別統(tǒng)計(jì)分析得到的報(bào)表和圖表是/口含根據(jù)漏洞的類(lèi)型統(tǒng)計(jì)分析得到的報(bào)表和圖表是/口含針對(duì)每臺(tái)主機(jī)列出掃描該主機(jī)收集到的信息（端口、服 務(wù)、賬號(hào)等）口是/口否為每臺(tái)主機(jī)列出該

14、主機(jī)上存在的漏洞列表是/口含對(duì)每個(gè)漏洞都簡(jiǎn)單介紹存在該漏洞的軟件的作用是/口含對(duì)每個(gè)漏洞都描述該漏洞可能造成的危害口是/口否對(duì)每個(gè)漏洞都給出易于理解的名字是/口含對(duì)每個(gè)漏洞都描述J存在漏洞的原因是/口含對(duì)每個(gè)漏洞都提供了修補(bǔ)漏洞的方法口是/口否每個(gè)漏洞是否具備cvss評(píng)分是/口含每個(gè)部門(mén)是否具備風(fēng)險(xiǎn)分值及安全等級(jí)是/口含根據(jù)提供的修補(bǔ)方法能夠有效地修補(bǔ)漏洞，而/、需要參 考其它資料口是/口否提供了能夠獲得該漏洞相關(guān)信息的網(wǎng)站是/口含提供了其它機(jī)構(gòu)對(duì)該漏洞的命名口 CNCVE口 CVE Bugtraq口否提供的報(bào)告為中文信息是/口含第ii頁(yè)是否提供對(duì)整個(gè)系統(tǒng)的安全程度的綜合評(píng)估是口否2.9 系統(tǒng)

15、的安全策略測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)對(duì)于系統(tǒng)操作的日志和審計(jì)功能測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果掃描ip地址限制是/口含在任何操作前的身份鑒別是/口含系統(tǒng)是否具有鑒別失敗處理是/口含系統(tǒng)是否可以設(shè)定失敗次數(shù)口是/口否是否可以對(duì)其他管理員生成的掃描策略信息進(jìn)行察看和 設(shè)置是/口含察看是否可以對(duì)其他管理員生成的掃描日志信息進(jìn)行察 看和設(shè)置口是/口否2.10 文檔測(cè)試目標(biāo)測(cè)試該系統(tǒng)是否提供詳盡的文檔測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否提供全中文的安裝說(shuō)明文檔口是/口否是否提供全中文的用戶(hù)操作手冊(cè)是/口含是否提供全中文的在線幫助是/口含3漏洞掃描測(cè)試3.1 系統(tǒng)脆弱性測(cè)試測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否發(fā)現(xiàn)不同操作系統(tǒng)的系統(tǒng)弱口令

16、以及不恰當(dāng)?shù)墓蚕砘蛭ｋU(xiǎn)配置等。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否發(fā)現(xiàn)用戶(hù)的弱口令例如空，123, admin等是/口含是否發(fā)現(xiàn)操作系統(tǒng)重要目錄設(shè)置為共享是/口含是否發(fā)現(xiàn)FTP服務(wù)器匿名用戶(hù)可以訪問(wèn)口是/口否是否發(fā)現(xiàn)FTP服務(wù)器匿名用戶(hù)文件可寫(xiě)權(quán)限是/口含是否能夠檢測(cè)出目標(biāo)系統(tǒng)的操作系統(tǒng)是/口含是否支持對(duì)ping不通主機(jī)的掃描口是/口否是否支持共享枚舉是/口含3.2 掃描驗(yàn)證測(cè)試測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否發(fā)現(xiàn)能對(duì)掃描出來(lái)的漏洞進(jìn)行驗(yàn)證。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否能對(duì)掃描出來(lái)的共享環(huán)境進(jìn)行驗(yàn)證口是/口否是否能對(duì)掃描出來(lái)的開(kāi)放端口進(jìn)行驗(yàn)證是/口含是否能對(duì)掃描出來(lái)的用戶(hù)口令進(jìn)行驗(yàn)證是/口含3.3 數(shù)據(jù)庫(kù)脆弱

17、性掃描測(cè)試測(cè)試目標(biāo)測(cè)試被掃描的數(shù)據(jù)庫(kù)是否包含默認(rèn)口令、弱口令以及其他漏洞。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果掃描oracle數(shù)據(jù)庫(kù)的信息，如用戶(hù)/口令/漏洞等是/口含掃描MSSQL數(shù)據(jù)庫(kù)的信息，如用戶(hù)/口令/漏洞等是/口含掃描Sybase數(shù)據(jù)庫(kù)的信息，如用戶(hù)/口令/漏洞等是/口含掃描DB2數(shù)據(jù)庫(kù)的信息，如用戶(hù)/口令/漏洞等是/口含掃描Mysql數(shù)據(jù)庫(kù)的信息，如用戶(hù)/ 口令/漏洞等口是/口否3.4 系統(tǒng)智能化程度測(cè)試測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否能夠綜合利用掃描獲得的信息，是否能夠根據(jù)一定的規(guī)則減少掃描的工作量等智能化性能。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否能夠識(shí)別該系統(tǒng)為 WINDOWS系統(tǒng)，而且能夠得 到系統(tǒng)版本

18、是/口含是否能夠識(shí)別該系統(tǒng)為 LINUX或UNIX系統(tǒng)，而且能 夠得到系統(tǒng)版本口是/口否是否能夠識(shí)別出開(kāi)放在別的端口上的服務(wù)是/口含4資產(chǎn)管理與弱點(diǎn)評(píng)估4.1 部門(mén)管理測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否能夠增加、修改和刪除部門(mén)的功能。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否能夠增加部門(mén)口是/口否是否能夠修改已存在的部門(mén)及其屬性是/口含是否能夠刪除已存在的部門(mén)是/口含是否能夠?qū)崟r(shí)計(jì)算部門(mén)最新的風(fēng)險(xiǎn)狀態(tài)口是/口否是否能夠針對(duì)部門(mén)開(kāi)始新的掃描任務(wù)是/口含4.2 資產(chǎn)管理測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否能夠增加、修改和刪除資產(chǎn)的功能。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否能夠增加資產(chǎn)口是/口否是否能夠修改已存在的資產(chǎn)口是/口否是否能夠修改資產(chǎn)的保護(hù)級(jí)別是/口含是否能夠修改資產(chǎn)的資產(chǎn)類(lèi)型口是/口否是否能夠修改資產(chǎn)的保護(hù)價(jià)值是/口含是否能夠刪除已存在的資產(chǎn)是/口含是否可以編輯資產(chǎn)類(lèi)型（風(fēng)險(xiǎn)級(jí)別）是/口含是否有專(zhuān)門(mén)的資產(chǎn)類(lèi)報(bào)告口是/口否是否能夠資產(chǎn)自動(dòng)發(fā)現(xiàn)并添加是/口含資產(chǎn)風(fēng)險(xiǎn)度是否能影響評(píng)估分值是/否4.3 資產(chǎn)弱點(diǎn)評(píng)估測(cè)試目標(biāo)測(cè)試掃描系統(tǒng)是否能夠增加、修改和刪除資產(chǎn)的功能。測(cè)試結(jié)果測(cè)試項(xiàng)目測(cè)試結(jié)果是否能夠計(jì)算資產(chǎn)的弱點(diǎn)分值是/口含是否支持資產(chǎn)弱點(diǎn)評(píng)估報(bào)表口是/口否是否支持資產(chǎn)統(tǒng)計(jì)報(bào)表是/口含是否支持資產(chǎn)評(píng)估對(duì)比報(bào)表是/口含5性能測(cè)試5.1 掃描速度測(cè)試測(cè)試目標(biāo)以量化的方式比較不同掃描系統(tǒng)的掃描速