一种用于终端安全管理软件的测试床系统和测试方法

摘要

本发明公开了一种用于终端安全管理软件的测试床系统，属于网络安全技术领域，所述系统包括：事件产生单元、主机行为监测单元、网络数据监测单元、客户端运行单元、管理端运行单元、测试管理单元和网络系统单元。所述测试方法包括：通过事件产生单元产生用户正常使用终端与外设、违规使用终端与外设以及本地与远程网络攻击的事件，然后分别从管理端运行单元、主机行为监测单元和网络数据监测单元，获取受测终端安全管理软件对不同事件的处置情况，然后进行对比分析得到测试结果。通过本发明，规范了对终端安全管理软件的测试要素和测试过程，提高了测试的标准化水平和效率。

说明书

技术领域

本发明属于网络安全领域，涉及针对网络安全软件的测试系统和测试方法，特别涉及对终端安全管理软件的测试床系统和测试方法。

背景技术

终端是计算机网络与信息系统的业务载体，随着我国信息化的发展，包括PC与各类移动智能终端在内的各类终端数量急剧增加、功能不断丰富，伴随而来的，是终端面临越来越多且越来越严重的安全风险。而近些年来，安全调查表明，政府、企业以及金融证券等单位中超过80%的管理和安全问题来自于终端。与此同时，伴随着国家深入实施信息安全等级保护制度和涉密信息系统分级保护制度，终端安全管理软件在我国关键信息基础设施和重要信息系统中得到了广泛的应用。

终端安全管理软件的普及性应用，产生了对终端安全管理软件进行安全性测试的现实需求。过去，对终端安全管理软件的测试通常是手工进行的，并利用一些小的工具软件配合测试，由于终端安全管理软件的模块化和定制化特性，使得测试变得非常零散而缺乏系统性，测试的广度和深度存在较大不足。例如，面对着大量的违规事件与网络攻击事件，现有的安全软件的测试方法是每存在一个测试需求，测试人员基于经验和对测试任务的理解，将测试任务分散成多个子任务后分配到各主机中进行测试，而测试任务分配工作大多都是由测试人员手动进行的。长此以往，在存在大量的测试需求的情况下，整个测试过程较为繁杂，测试工作内容存在重复，测试效率较低，同时缺乏一个规范化的测试平台，导致对测试结果的准确度难以监控。

因此，如何提高测试效率、规范测试内容和过程成为目前终端安全管理软件测试中亟待解决的技术问题。为此，本发明提出了一种用于终端安全管理软件的测试床系统和测试方法，通过对测试方法、测试环境、测试内容和测试工具等多个方面进行规范，来有效解决测试中存在的上述问题。

发明内容

本发明的目的，是为终端安全管理软件的测试，提供一种规范化的测试床系统和方法，使测试方法、测试环境、测试内容和测试结果评判等测试要素得到明确，从而解决目前测试中存在的种种问题，促进测试标准化水平的提高，以及测试能力和效率的提升。

本发明提供一种用于终端安全管理软件的测试床系统，其特征在于：包括事件产生单元、主机行为监测单元、客户端运行单元、管理端运行单元、测试管理单元、网络系统单元和网络数据监测单元；其中，

事件产生单元、网络数据监测单元、客户端运行单元、管理端运行单元和测试管理单元等五个单元通过网络系统单元建立网络连接；

事件产生单元既支持安装并运行在客户端运行单元和管理端运行单元中，也支持独立运行；

主机行为监测单元安装并运行在客户端运行单元和管理端运行单元中。

所述事件产生单元分为合规事件产生、违规事件产生和网络攻击事件产生三个模块，用于产生测试终端安全管理软件所需的用户符合安全策略的行为、用户违反安全策略的行为和网络攻击行为。

所述主机行为监测单元是运行在终端主机上的监测程序，用于监测主机的操作系统配置修改、文件访问、进程线程启动、网络访问以及外设连接或访问行为。

所述网络数据监测单元是一个连接到网络系统单元的独立装置，用于捕获和分析网络数据包，确定终端主机和测试床中各组成单元的网络行为。

所述客户端运行单元包括终端主机、应用程序和数据，用于为终端安全管理软件的客户端提供运行环境。

所述管理端运行单元包括管理服务器、数据库和数据，用于为终端安全管理软件的服务端提供运行环境。

所述网络系统单元包括网络设备和服务器，并通过对网络设备的配置，为测试床提供分层级、分安全域和分VLAN的网络环境，以及网络应用与服务。

所述网络系统单元的网络设备还支持设置流量镜像端口，所述网络数据监测单元与所述镜像端口建立网络连接。

所述测试管理单元包括测试分析模块和测试结果报告模块。收集来自事件产生单元、主机行为监测单元、网络数据监测单元、终端安全管理软件客户端和终端安全管理软件服务端的数据，进行评判得到测试结果，并对测试结果进行统计分析，输出测试报告。

本发明还提供一种用于终端安全管理软件的测试方法，包括：

①在受测终端安全管理软件的服务端配置安全管理策略，并分发至受测终端安全管理软件的客户端；

②事件产生单元产生包含用户符合安全策略的行为、用户违反安全策略的行为或网络攻击行为的事件；

③利用主机行为监测单元监测分析所述事件在主机中所导致的操作系统配置修改、文件访问、进程线程启动、网络访问以及外设连接或访问行为，得到主机行为分析结果；

④利用网络数据监测单元监测分析所述事件在网络中产生的网络数据，得到网络行为分析结果；

⑤在受测终端安全管理软件的服务端上查看受测终端安全管理软件对所述事件的监控处置结果；

⑥结合所述安全管理策略、所述事件、所述主机行为分析结果、所述网络行为分析结果和所述监控处置结果，得出测试通过或不通过的结论；

⑦重复步骤1至6，直至遍历所有的所述安全管理策略。

在所述步骤1之前，还包括如下准备步骤：

在客户端运行单元安装并运行受测终端安全管理软件的客户端，并根据网络系统单元的配置信息设置相关参数；在管理端运行单元安装并运行受测终端安全管理软件的服务端，并根据网络系统单元的配置信息设置相关参数，使所述受测终端安全管理软件的服务端与所述受测终端安全管理软件的客户端建立网络连接。

附图说明

图1为本发明的一种用于终端安全管理软件的测试床系统的结构框图。

图2是本发明的测试床系统的一种应用部署示意图。

图3是本发明的一种用于终端安全管理软件的测试床系统的方法流程图。

具体实施方式

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明的一种用于终端安全管理软件的测试床系统的结构框图。该测试床系统包括以下模块：

（一）事件产生单元：该事件产生单元的子模块各自产生测试所需的对应具体安管策略的合规事件、违规事件和网络攻击事件。

测试事件要根据待检测的终端安全管理软件发放的策略，所述合规事件也即安全策略中设定为“允许”的行为，所述违规事件也即安全策略中设定为“禁止”的一系列行为，例如在wifi连接限制策略中主机连接某非白名单内wlan的行为；所述网络攻击事件可以从历史攻击数据中提取某完整的网络攻击，然后通过对攻击包进行分析，生成网络攻击事件的环境描述文件和数据文件，并将上述两个文件存储到事件产生单元中，根据终端安全软件策略提取网络攻击事件时，对网络攻击事件进行解析，还原网络攻击事件关键参数与数据，构建客户端和服务端两个数据包发送程序，按照网络攻击顺序来构建整个网络攻击事件。

（二）管理端运行单元：包括管理服务器、数据库和数据，用于为待测试的终端安全管理软件的服务端提供运行环境。

管理端运行单元还用于待测试安全策略的管理，所述安全策略是合规事件、违规事件或网络攻击事件产生的依据。

（三）客户端运行单元：包括终端主机、应用程序和数据，用于为终端安全管理软件的客户端提供运行环境。

（四）主机行为监测单元：运行在终端主机上的监测程序，用于监测主机的操作系统配置修改、文件访问、进程线程启动、网络访问以及外设连接或访问行为。

（五）网络系统单元：包括网络设备和服务器，通过网络系统单元，各单元得以进行网络连接。在终端安全保护中，不同的终端所需求的保护等级可能不同，因此各终端需要的终端安全策略也不同，需要各自分发不同的策略集。在此情况下，网络系统单元可以通过对网络设备的配置，为测试床提供分层级、分安全域和分VLAN的网络环境，以及网络应用与服务。

网络设备还支持设置流量镜像端口，所述网络数据监测单元与所述镜像端口建立网络连接，将被监测流量镜像到监测端口，以便对被监测流量进行故障定位、流量分析、流量备份等。

（六）网络数据监测单元：是一个连接到网络系统单元的独立装置，用于捕获和分析网络数据包，确定终端主机和测试床中各组成单元的网络行为。

（七）所述测试管理单元包括测试分析模块和测试结果报告模块。收集来自事件产生单元、主机行为监测单元、网络数据监测单元、终端安全管理软件客户端和终端安全管理软件服务端的数据，进行评判得到测试结果，并对测试结果进行统计分析，输出测试报告。

图2是本发明的测试床系统的一种应用部署示意图。从清楚说明本发明的角度出发，这里只用了最简化的配置，实际测试所使用的交换机、终端主机和服务器可能会更多。图2中，网络系统单元由两台交换机组成，构建了一个分为两级的网络；在一级交换机形成的网络中，连接有两台服务器S1、S2，以及一台终端主机H1，在二级交换机形成的网络中，连接有两台终端主机H2、H3，并将这两台终端划分到两个不同的安全域或子网（VLAN）中,这样，就形成了一个分级分域的网络环境。

事件产生单元可以是一个独立的软硬件一体的设备，与二级交换机相连，也可以是一个软件，部署在服务器 S1和终端主机H1、H2和H3上，测试时，负责根据测试策略产生对应的合规、违规或网络攻击事件。

主机行为监测单元作为一个软件，部署在服务器 S1和终端主机H1、H2和H3上，用于监测服务器和终端主机上的所有行为。

网络数据监测单元是一个独立的软硬件一体的设备，可以是协议分析仪，与一级交换机和二级交换机的镜像端口（SPAN口）连接，用于监测测试床在测试时产生的网络数据，这里，对应两台交换机的网络数据监测，部署了两台网络数据监测单元。

客户端运行单元包括终端主机、应用程序和数据，在这里是终端主机H1、H2和H3，它为受测的终端安全管理软件客户端提供运行平台，为事件产生单元提供必要的应用软件和数据，同时也为主机行为监测单元提供运行平台。

管理端运行单元包括服务器、数据库和数据，在这里是服务器S1, 它为受测的终端安全管理软件服务端提供运行平台、数据库和数据，同时也为主机行为监测单元提供运行平台。

测试管理单元作为一款软件，运行在服务器S2上，收集来自事件产生单元、主机行为监测单元、网络数据监测单元、终端安全管理软件客户端和终端安全管理软件服务端的数据，进行评判得到测试结果，并对测试结果进行统计分析，输出测试报告。

图3是本发明的一种用于终端安全管理软件的测试床系统的方法流程图，下面以终端安全软件中的网络准入控制中的安装检查功能为例，在不考虑分层级与安全域的情况下，对本测试系统的方法流程进行介绍：

①在客户端运行单元安装并运行受测终端安全管理软件的客户端，并根据网络系统单元的配置信息设置相关参数；

②在管理端运行单元安装并运行受测终端安全管理软件的服务端，并根据网络系统单元的配置信息设置相关参数，使所述受测终端安全管理软件的服务端与所述受测终端安全管理软件的客户端建立网络连接。

③在受测终端安全管理软件的服务端配置安全管理策略，在本实施例中，在受测终端安全软件服务端配置的“入网策略”为“入网策略-安装检查”，源IP地址为all，目的域为all；在待测终端安全软件中配置“安检策略”为只启用“安装检查”，随后，在 “禁止安装”选项中添加“金山毒霸”，在“必须安装”选项中添加“北信源主机监控与审计系统”，修复地址http://www.vrv.com，并分发至受测终端安全管理软件的客户端；

④事件产生单元按照安全策略分别产生 a.违规事件：安装金山毒霸软件或不安装北信源主机监控与审计系统软件。b.合规事件：安装北信源主机监控与审计系统软件且卸载金山毒霸软件。c.网络攻击行为。产生事件后控制客户端访问目的域；

⑤利用主机行为监测单元监测分析所述事件在主机中所导致的操作系统配置修改、文件访问、进程线程启动、网络访问以及外设连接或访问行为，得到主机行为分析结果，在本实施例中，在合规事件、违规事件和网络攻击事件发生时，主机行为监测单元会监测到不同的主机行为轨迹，通过定性与定量分析，将监测到的主机行为与安全策略中要求的处理行为做对比，可以得出待测安全软件的的功能性、安全性等性能要素。

⑥利用网络数据监测单元监测分析所述事件在网络中产生的网络数据，得到网络行为分析结果。在上述示例中，在合规时间测试时，网络数据监测单元没有监测到该入网数据，或在违规事件测试时，网络数据监测单元仍监测到了入网数据，可判断该安全策略失效的分析结果。

⑦在受测终端安全管理软件的服务端上查看受测终端安全管理软件对所述事件的监控处置结果；

⑧结合所述安全管理策略、所述事件、所述主机行为、所述网络行为和所述监控处置行为，通过测试管理单元综合分析得出测试通过或不通过的结论。根据得到的主机分析结果与网络分析结果判断出测试事件是否成功，包括合规事件是否正常运行、违规事件是否主动阻止并警告、网络攻击事件是否成功阻止并报告来分析出相对应的网络安全产品安全策略是否生效。

⑨重复步骤1至8，直至遍历所有的所述安全管理策略。