Doc-01.亿赛通内网数据泄露防护产品测试方案(CDG+FileNetSec+SafeUDisk)

亿赛通内网数据泄露防护产品测试方案二〇〇九年九月版本历史版本日期备注1.02009年5月22日第1版《亿赛通内网数据泄露防护产品测试方案》2.02009年9月22日第2版《亿赛通内网数据泄露防护产品测试方案》Copyright©2009ESAFENETCorporationBeiJingP.R.ChinaESAFENETCONFIDENTIAL:ThisdocumentcontainsproprietaryinformationofESAFENETCorporationandisnottobedisclosedorusedexceptinaccordancewithapplicableagreements.DuetoupdateandimprovementofESAFENETproductsandtechnologies，informationofthedocumentissubjectedtochangewithoutnotice.目录1适用范围.........................................................................................................22参考资料.........................................................................................................23系统简介.........................................................................................................23.1DLP-CDG系统简介.......................................................................................................33.2DLP-FileNetSec系统简介..............................................................................................34环境准备.........................................................................................................44.1系统环境.........................................................................................................................44.2环境拓扑.........................................................................................................................45测试计划.........................................................................................................56测试用例.........................................................................................................66.1EST-01：用户认证与帐号管理(AD集成认证、用户绑定)........................................66.2EST-02：文档透明加密保护(文档透明保护、策略定义和下发)...............................86.3EST-03：内容安全控制(复制粘贴、另存为、拖拽、拷屏等控制).........................106.4EST-04：流程化支撑(解密审批流程、离线审批流程、卸载审批流程).................146.5EST-05：例外需求处理(邮件外发自动解密审批流程、文档外发控制).................176.6EST-06：设备安全管理(设备安全准入控制、安全U盘功能)................................196.7EST-07：DLP终端安全防护(用户异常状态审计、终端自我防护).........................216.8EST-08：系统日志审计(系统日志在线审计、报表导出).........................................236.9EST-09：系统兼容(操作系统、应用软件、防病毒体系等兼容).............................246.10EST-10：应用系统集成整合(安全网关透明加密，安全准入整合).........................256.11EST-11：文档主动授权控制(授权文档制作，批量授权).........................................276.12EST-12：文档权限细粒化控制(复制粘贴，只读，打印，修改，再授权).............296.13EST-13：权限文件流程支持(权限蛮更申请，还原).................................................3221适用范围内网数据泄露防护项目。该测试方案主要用于指导用户针对亿赛通DLP系统测试(本方案含DLP-CDG、DLP-FileNetSec、DLP-SafeUDisk)。根据事先交流给定的需求、性能等要求，从测试组成员和用户的角度对系统进行测试，主要包含如下功能：DLP-SMARTSEC(透明加解密模块)功能认证与帐号管理、策略管理、文档加密保护、内容安全、流程支撑、例外处理、系统兼容、日志审计、系统集成、自我防护等；DLP-DRM(权限管理模块)功能集中管理、权限控制、日志审计等；DLP-ODM(外发管理系统)功能权限控制、系统兼容、日志审计；DLP-FileNetSec(安全网关过滤设备)功能透明过滤加密、透明过滤解密、系统无缝集成等；DLP-SafeUDisk(安全U盘)功能身份认证、U盘加密等；2参考资料《亿赛通DLP-CDG产品技术白皮书》《亿赛通DLP-CDG产品使用手册》《亿赛通DLP-FileNetSec产品技术白皮书》《亿赛通DLP-FileNetSec产品使用手册》3系统简介33.1DLP-CDG系统简介亿赛通数据泄露防护(DLP)体系（以下简称“DLP”），是面向企业客户应用的内网数据安全（文档安全）软件产品。DLP-CDG以数据透明加密为核心，结合身份认证、角色管理、数据保密、权限控制、流程应用、和监控审计技术，创建数据安全为中心的多层次安全模式，保护信息整个生命周期安全，构筑主动防御、阻止、追溯信息泄密的全方位内网安全解决方案。防止来自内部人员以电子文档为载体的企业内部重要信息泄密或外部窃取，降低机密信息、知识产权泄漏风险，减少高额管理成本。该系统保护的企业重要信息包括与产品研发和设计相关的图纸、方案、技术文档，与营销有关的营销策略、市场策划案、客户资料，与财税有关的财务报表等企业重要的知识产权信息、商业秘密等信息。通过技术手段保证企业相关安全制度的有效执行和流程固化，实现“事先主动防护，事中动态控制，事后全维追踪”的功能，从而杜绝信息泄密。3.2DLP-FileNetSec系统简介亿赛通文档安全网关FileNetSec是亿赛通文档透明加密系统SmartSec的网络功能模块，用于保障SmartSec系统与其它网络系统的无缝集成并为其他网络系统提供文档安全保障。NetSec由硬件和软件两大部分组成，其中硬件采用高性能的网络服务器，软件为亿赛通研发的文档安全网关过滤软件。亿赛通文档安全网关过滤软件由“网络加速”、“访问控制”、“访问日志”和“动态加解密”四大模块组成。44环境准备4.1系统环境机器名称用途操作系统环境配置数量DLP-SVR用来部署DLP-SMARTSEC服务器端,对内网终端进行安全管理WINDOWS2000(SP4)/WINDOWS2003(SP2)CPU:P4以上内存:512M以上，推荐1G硬盘:10G以上数据库:SQL2000(SP3)/SQL2005/MYSQL1DLP-CLT用来部署DLP-SMARTSEC客户端，其中两台模拟内网受控终端，另外一台模拟外网非法终端WINDOWS2000/XP/2003/VISTACPU:800MHZ以上内存:512M以上硬盘:无特殊要求应用:IE6.0/7.0OFFICE2003/2007AdobeAcrobat5.0~8.0防病毒/防火墙不限34.2环境拓扑5DLP-CDG服务器CDG客户端CDG客户端普通客户端Ldap/AD/CA服务器PDM服务器文档安全网关FileNetSec2U5测试计划测试预期历时3天，具体安排如下表：日期类型事项时间（天）人员2009-9-N上午环境准备介绍测试方案环境准备0.5天客户方技术顾问、亿赛通技术顾问2009-9-N下午方案测试DLP-CDG功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-9-(N+1)上午DLP-FileNetSec功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-9-(N+1)下午其他拓展功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-7-(N+2)测试总结测试总结/答疑整理测试报告1天客户方技术顾问、亿赛通技术顾问66测试用例6.1EST-01：用户认证与帐号管理(AD集成认证、用户绑定)测试编号EST-01-01项目本地认证与帐号管理(同步AD组织结构、同步AD用户)预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端，配置管理员configadmin需成功配置与AD集成相关的参数测试过程1.展开“组织人员”功能导航；2.点击“用户管理”功能按钮，出现右边区域“用户及组织结构”初始化界面；3.点击“同步用户”，DLP系统将自动同步预先配置的AD架构及帐号信息；4.已成功同步的域用户可通过WEB或Client方式登录DLP系统；备注：DLP系统将与AD服务器进行联动认证，帐号及口令均由AD服务器主导认证。预期结果1.可成功同步AD中预配置组织结构及用户信息，并以树形结构方式显示；2.用户利用AD帐号及口令可通过WEB或Client方式成功登录DLP系统；3.用户修改AD登录口令后，需提交新AD口令才可登录DLP系统。测试结果与结论备注测试人员测试日期7测试编号EST-01-02项目用户与终端绑定(终端绑定、取消绑定)预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端测试过程1.在“用户管理”功能中找到需绑定用户，双击用户ID，将属性“绑定客户端”选定为“是”或“否”，如已成功同步的AD用户：user1，属性“绑定客户端”选定为“是”；2.user1成功登录某一DLP终端后，注销登录，登录另一终端，提示“用户与某一终端绑定，无法登录当前终端”提示；3.如需取消绑定，系统管理员用户systemadmin登录DLP服务器端，将user1属性“绑定客户端”选定为“否”;4.user1登录DLP终端，可成功登录。备注：用户与DLP终端绑定的功能，即可规避帐号盗用、滥用，也可配合规范内网资产使用；对于需重复使用若干DLP终端的特殊用户，可设置属性例外。预期结果1.可以对已同步的用户设置“绑