漏洞掃描測試方案

漏洞掃描測試方案(總16頁)--本頁僅作為文檔封面，使用時請直接刪除即可----3網(wǎng)絡(luò)漏洞掃描系統(tǒng)測試方案目 錄產(chǎn)品初步評估 錯誤!未定義書簽。送測產(chǎn)品登記 錯誤!未定義書簽。產(chǎn)品功能 錯誤!未定義書簽。產(chǎn)品部署 錯誤!未定義書簽。系統(tǒng)配置 錯誤!未定義書簽。根本狀況調(diào)查 錯誤!未定義書簽。系統(tǒng)功能測試 錯誤!未定義書簽。部署和治理 錯誤!未定義書簽。系統(tǒng)升級力量 錯誤!未定義書簽。掃描任務(wù)高級屬性 錯誤!未定義書簽。掃描任務(wù)參數(shù)配置測試 錯誤!未定義書簽。掃描策略定制 錯誤!未定義書簽。信息收集力量測試 錯誤!未定義書簽。準時顯示力量測試 錯誤!未定義書簽。掃描文檔和報表 錯誤!未定義書簽。掃描文檔、報表的生成敏捷程度測。報表信息完善程度和正確測。系統(tǒng)的安全策略 錯誤!未定義書簽。文檔 錯誤!未定義書簽。漏洞掃描測試 錯誤!未定義書簽。系統(tǒng)脆弱性測試 錯誤!未定義書簽。數(shù)據(jù)庫脆弱性掃描測試 錯誤!未定義書簽。系統(tǒng)智能化程度測試 錯誤!未定義書簽。資產(chǎn)治理與弱點評估 錯誤!未定義書簽。部門治理 錯誤!未定義書簽。資產(chǎn)治理 錯誤!未定義書簽。資產(chǎn)弱點評估 錯誤!未定義書簽。性能測試 錯誤!未定義書簽。掃描速度測試 錯誤!未定義書簽。掃描系統(tǒng)資源開銷 錯誤!未定義書簽。其他 錯誤!未定義書簽?？偨Y(jié) 錯誤!未定義書簽。10產(chǎn)品初步評估的初步評估。送測產(chǎn)品登記表格一：送測產(chǎn)品登記表產(chǎn)品名稱型號產(chǎn)品名稱型號廠商名稱產(chǎn)品形態(tài)產(chǎn)品組成測試環(huán)境要求PC環(huán)境中即可進展對全網(wǎng)進展的脆弱性檢測。測試拓撲圖如下：設(shè)備類型設(shè)備類型PC配置描述硬件要求：X86架構(gòu)的臺式機或筆記本電腦。數(shù)量CPU：不低于主頻間，建議2G以上剩余空間網(wǎng)卡軟件要求：操作系統(tǒng)：中文版Windows2023Professional/ServerwithSP4、WindowsXPwithSP3、WindowsServer2023withSP2WindowsVista、WindowsServer2023、Windows7掃瞄器：以上版本交換機根本狀況調(diào)查

表格二：根本狀況調(diào)查表產(chǎn)品信息產(chǎn)品類型 □軟件□硬件軟件組件操作系統(tǒng)的兼容性

掃描器和治理平臺一體化其他掃描方式策略治理任務(wù)治理報表功能漏洞類型數(shù)據(jù)庫掃描

Windows2023withSP4(Professional&Server)WindowsXPwithSP3Windows2023ServerwithSP2WindowsVistaWindowsSever2023Windows7支持數(shù)據(jù)庫切換系統(tǒng)的功能網(wǎng)絡(luò)掃描主機掃描Windows多治理權(quán)限劃分權(quán)限統(tǒng)一治理可掃描IP地址數(shù)量限制掃描任務(wù)次數(shù)限制授權(quán)效勞期限限制功能模塊限制17種策略用戶自定義策略策略的導入/導出馬上執(zhí)行定時執(zhí)行定期循環(huán)執(zhí)行主機掃描報表漏洞掃描報表全報表任務(wù)比照分析報表任務(wù)趨勢分析報表部門掃描報表部門比照分析報表部門趨勢分析角色報表用戶自定義報表WEB系統(tǒng)漏洞應(yīng)用效勞漏洞后門程序檢測數(shù)據(jù)庫漏洞應(yīng)用軟件漏洞OracleMSSqlDB2Sybase更機制更機制部門治理資產(chǎn)治理資產(chǎn)風險評估〔可選模塊〕〔可選模塊〕二次開發(fā)接口支持〔可選模塊〕Mysql專用更程序手動更自動在線更按周升級包季度升級包合集按網(wǎng)絡(luò)地址劃分部門設(shè)置多級子部門部門掃描手動增加資產(chǎn)自動從掃描結(jié)果中導入資產(chǎn)支持資產(chǎn)保護等級屬性設(shè)置支持資產(chǎn)價值屬性設(shè)置支持資產(chǎn)類型屬性設(shè)置資產(chǎn)自動覺察資產(chǎn)弱點評估資產(chǎn)弱點統(tǒng)計資產(chǎn)弱點比照漏洞驗證xml□支持WebService接口調(diào)用系統(tǒng)功能測試部署和治理[測試目標]造成不良影響，其根本構(gòu)成是否與廠家供給的說明信息全都。[測試結(jié)果]測試工程 測試結(jié)果是否為中文界面系統(tǒng)是否支持多用戶治理用戶權(quán)限是否可以分級

□是/□否□是/□否□是/□否□是/□否□是/□否系統(tǒng)升級力量[測試目標]安全〔是否進展加密〕，升級內(nèi)容是否具體[測試結(jié)果]測試工程測試工程是否支持在線升級升級后是否能夠覺察最公布的安全漏洞測試結(jié)果□是/□否□是/□否□是/□否掃描任務(wù)高級屬性[測試結(jié)果]是否支持斷網(wǎng)續(xù)掃是否支持斷網(wǎng)續(xù)掃是否支持域掃描□是/□否□是/□否□是/□否是否支持域名掃描是否支持域名掃描□是/□否掃描任務(wù)參數(shù)配置測試[測試結(jié)果]

測試工程

測試結(jié)果□是/□否主機最大線程數(shù)目是否支持網(wǎng)絡(luò)延遲設(shè)置按域掃描只掃描存活主機通知被掃描主機

□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否掃描策略定制[測試目標]是否足夠具體。[測試結(jié)果]測試工程測試結(jié)果掃描漏洞庫是否分類□是/□否是否能顯示掃描漏洞的數(shù)量□是/□否漏洞資料是否全部中文本地化□是/□否是否對每個漏洞有注釋說明□是/□否是否簡潔關(guān)閉一個漏洞□是/□否是否簡潔啟用一個漏洞檢測□是/□否是否可以對策略參數(shù)進展調(diào)整□是/□否是否可以對漏洞參數(shù)進展調(diào)整□是/□否策略是否可以導入導出□是/□否是否供給特地的Windows掃描策略□是/□否是否供給特地的Unix掃描策略□是/□否是否供給數(shù)據(jù)庫掃描策略是否支持定制掃描策略缺省的掃描策略用于篩選漏洞的條件有哪幾種

□是/□否□是/□否□是/□否 種□是/□否□風險程度□CVE□應(yīng)用類型□操作系統(tǒng)類型□其它，CNCVE是否能夠單獨選擇掃描漏洞列表 □是/□否是否支持掃描策略的導出和導入 □是/□否口令猜測字典是否分類 □是/□否口令猜測字典是否可以自定義 □是/□否掃描端口范圍是否可以自定義 □是/□否是否支持端口效勞智能識別技術(shù) □是/□否ipipip能夠指定掃描目標的參數(shù) □指定多個ip網(wǎng)段中的地址是否支持在指定的時間自動啟動掃描 □是/□否是否支持間隔肯定時間自動掃描 否是否能夠使用目標系統(tǒng)的賬號/口令對其進展□是/□否更有效的掃描使用用戶名/口令文件 □是/□否是否支持漏洞查詢 □是/□否查詢條件是否支持CVE □是/□否查詢條件是否支持Bugtraq □是/□否查詢條件是否支持CNCVE □是/□否查詢結(jié)果是否支持批量選擇 □是/□否信息收集力量測試[測試結(jié)果]測試工程測試工程是否能夠正確分析出目標系統(tǒng)的操作系統(tǒng)類型PINGTCP測試結(jié)果□是/□否□是/□否□是/□否口口UDP口信息戶信息□是/□否□是/□否□是/□否準時顯示力量測試[測試結(jié)果]測試工程測試結(jié)果是否能夠準時列出掃描出的全部漏洞□是/□否是否能夠準時列出掃描出的全部端口□是/□否是否能夠準時列出掃描出的全部賬戶密碼□是/□否是否能夠準時列出掃描出的全部主機□是/□否是否能夠準時顯示掃描進度□是/□否掃描結(jié)果是否便利查看□是/□否掃描文檔和報表掃描文檔、報表的生成敏捷程度測試[測試結(jié)果]測試工程測試工程掃描結(jié)果能否寫入數(shù)據(jù)庫是否支持依據(jù)設(shè)定的條件生成不同的報告哪些漏洞允許組合使用的條件測試結(jié)果□是/□否□不同的風險級別□不同的主機地址□是/□否是否可以生成主機間比較的結(jié)果報告漏洞風險主機地址資產(chǎn)統(tǒng)計和弱點評估〕□是/□否是否支持實時掃描結(jié)果導出是否支持報表郵件發(fā)送能夠生成的報告格式能夠任意組合調(diào)整報表模板定制報表

□是/□否□是/□否□是/□否DocHTMLXMLPDFExcelRTF□是/□否報表信息完善程度和正確測試[測試結(jié)果]測試工程 測試結(jié)果掃描起止日期、時間 □是/□否掃描使用的策略名稱 □是/□否生成報告的策略名稱 □是/□否掃描完畢的狀態(tài) □是/□否〕□是/□否依據(jù)漏洞的危急級別統(tǒng)計分析得到的報表和圖表□是/□否依據(jù)漏洞的類型統(tǒng)計分析得到的報表和圖表□是/□否針對每臺主機列出掃描該主機收集到的信息〔端□是/□否口、效勞、賬號等〕為每臺主機列出該主機上存在的漏洞列表□是/□否對每個漏洞都簡潔介紹存在該漏洞的軟件的作用□是/□否對每個漏洞都描述該漏洞可能造成的危害□是/□否對每個漏洞都給出易于理解的名字 對每個漏洞都描述了存在漏洞的緣由 □是/□否對每個漏洞都供給了修補漏洞的方法 □是/□否每個漏洞是否具備cvss評分 否每個部門是否具備風險分值及安全等級□是/□否依據(jù)供給的修補方法能夠有效地修補漏洞，而不□是/□否需要參考其它資料供給了能夠獲得該漏洞相關(guān)信息的網(wǎng)站□是/□否供給了其它機構(gòu)對該漏洞的命名 □CNCVE□CVE供給的報告為中文信息

Bugtraq否□是/□否□是/□否系統(tǒng)的安全策略[測試結(jié)果]

測試工程

測試結(jié)果□是/□否在任何操作前的身份鑒別觀察和設(shè)置進展觀察和設(shè)置

□是/□否□是/□否□是/□否□是/□否□是/□否文檔[測試結(jié)果]測試工程是否供給全中文的在線幫助

測試結(jié)果□是/□否□是/□否□是/□否漏洞掃描測試系統(tǒng)脆弱性測試配置等。測試工程測試結(jié)果是否覺察用戶的弱口令例如空，123，admin等□是/□否是否覺察操作系統(tǒng)重要名目設(shè)置為共享□是/□否是否覺察FTP效勞器匿名用戶可以訪問□是/□否是否覺察FTP效勞器匿名用戶文件可寫權(quán)限□是/□否是否能夠檢測出目標系統(tǒng)的操作系統(tǒng)□是/□否是否支持對ping不通主機的掃描□是/□否是否支持共享枚舉□是/□否掃描驗證測試[測試結(jié)果]測試工程測試工程是否能對掃描出來的共享環(huán)境進展驗證測試結(jié)果□是/□否□是/□否□是/□否數(shù)據(jù)庫脆弱性掃描測試[測試結(jié)果]測試工程測試工程/口令/漏洞等測試結(jié)果□是/□否口令/漏洞等掃描Sybase數(shù)據(jù)庫的信息，如用戶/口令/漏洞等掃描DB2數(shù)據(jù)庫的信息，如用戶/口令/漏洞等口令/漏洞等

□是/□否□是/□否□是/□否□是/□否系統(tǒng)智能化程度測試[測試目標]削減掃描的工作量等智能化性能。[測試結(jié)果]測試工程測試工程得到系統(tǒng)版本且能夠得到系統(tǒng)版本是否能夠識別出開放在別的端口上的效勞測試結(jié)果□是/□否□是/□否□是/□否資產(chǎn)治理與弱點評估部門治理[測試結(jié)果]測試工程測試結(jié)果是否能夠增加部門□是/□否是否能夠修改已存在的部門及其屬性□是/□否是否能夠刪除已存在的部門□是/□否是否能夠?qū)崟r計算部門最的風險狀態(tài)□是/□否是否能夠針對部門開頭的掃描任務(wù)4.2□是/□否[測試結(jié)果]

測試工程

測試結(jié)果□是/□否是否能夠修改已存在的資產(chǎn)是否能夠刪除已存在的資產(chǎn)〔風險級別〕是否有特地的資產(chǎn)類報告是否能夠資產(chǎn)自動覺察并添加

□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否□是/□否4.3[測試結(jié)果]測試工程測試工程是否支持資產(chǎn)弱點評估報表是否支持資產(chǎn)統(tǒng)計報表是否支持資產(chǎn)評估比照報表測試結(jié)果□是/□否□是/□否□