Doc-01中国电力科学研究所-亿赛通内网数据泄露防护产品测试方案(DLP

亿赛通内网数据泄露防护产品测试方案二〇一〇年五月版本历史版本日期备注1.02010年6月10日第1版《中国电力科学研究所-亿赛通内网数据泄露防护产品测试方案》Copyright©2009ESAFENETCorporationBeiJingP.R.ChinaESAFENETCONFIDENTIAL:ThisdocumentcontainsproprietaryinformationofESAFENETCorporationandisnottobedisclosedorusedexceptinaccordancewithapplicableagreements.DuetoupdateandimprovementofESAFENETproductsandtechnologies，informationofthedocumentissubjectedtochangewithoutnotice.目录1适用范围...........................................................................................................................22参考资料...........................................................................................................................23系统简介...........................................................................................................................23.1DLP-CDG系统简介........................................................................................................23.2DLP-FileNetSec系统简介................................................................错误!未定义书签。4环境准备...........................................................................................................................34.1系统环境...........................................................................................................................34.2环境拓扑...........................................................................................................................45测试计划...........................................................................................................................46测试用例...........................................................................................................................56.1EST-01：用户认证与帐号管理(AD集成认证/本地认证管理)....................................56.2EST-02：文档透明加密保护(文档透明保护、策略定义和下发)................................76.3EST-03：内容安全控制(复制粘贴、另存为、拖拽、拷屏等控制)............................96.4EST-04：流程化支撑(解密审批流程、离线审批流程、卸载审批流程)..................136.5EST-05：例外需求处理(邮件外发自动解密审批流程、文档外发控制)..................166.6EST-06：DLP终端安全防护(用户异常状态审计、终端自我防护)..........................186.7EST-07：系统日志审计(系统日志在线审计、报表导出)..........................................206.8EST-08：系统兼容(操作系统、应用软件、防病毒体系等兼容)..............................216.9EST-09：研发核心业务集成整合测试(代码管理，编辑、编译测试).错误!未定义书签。6.10EST-10：文档主动授权控制(授权文档制作，批量授权)-可选.................................226.11EST-11：文档权限细粒化控制(复制粘贴，只读，打印，修改，再授权)-可选.....246.12EST-12：权限文件流程支持(权限变更申请，还原)-可选.........................................2721适用范围内网数据泄露防护项目。该测试方案主要用于指导中国电力科学研究所用户针对亿赛通DLP系统测试(本方案主要参考亿赛通DLP体系CDG产品模块，满足中国电力科学研究所客户涉密环境数据加密需求，也可对通用办公文档的权限控制需求进行测试)。根据事先交流给定的需求、性能等要求，从测试组成员和用户的角度对系统进行测试，主要包含如下功能：DLP-CDG(透明加解密模块)功能认证与帐号管理、策略管理、文档加密保护、内容安全、流程支撑、例外处理、系统兼容、日志审计、系统集成、自我防护等；DLP-DRM(权限管理模块)功能集中管理、权限控制、日志审计等；DLP-ODM(外发管理系统)功能权限控制、系统兼容、日志审计；2参考资料《亿赛通DLP-CDG产品技术白皮书》《亿赛通DLP-CDG产品使用手册》3系统简介3.1DLP-CDG系统简介亿赛通数据泄露防护(DLP)体系（以下简称“DLP”），是面向企业客户应用的内网数据安全（文档安全）软件产品。DLP-CDG以数据透明加密为核心，结3合身份认证、角色管理、数据保密、权限控制、流程应用、和监控审计技术，创建数据安全为中心的多层次安全模式，保护信息整个生命周期安全，构筑主动防御、阻止、追溯信息泄密的全方位内网安全解决方案。防止来自内部人员以电子文档为载体的企业内部重要信息泄密或外部窃取，降低机密信息、知识产权泄漏风险，减少高额管理成本。该系统保护的企业重要信息包括与产品研发和设计相关的图纸、方案、技术文档，与营销有关的营销策略、市场策划案、客户资料，与财税有关的财务报表等企业重要的知识产权信息、商业秘密等信息。通过技术手段保证企业相关安全制度的有效执行和流程固化，实现“事先主动防护，事中动态控制，事后全维追踪”的功能，从而杜绝信息泄密。4环境准备4.1系统环境机器名称用途操作系统环境配置数量DLP-SVR用来部署DLP-CDG服务器端,对内网终端进行安全管理WINDOWS2000(SP4)/WINDOWS2003(SP2)CPU:P4以上内存:512M以上，推荐1G硬盘:10G以上数据库:SQL2000(SP3)/SQL20051DLP-CLT用来部署DLP-CDG客户端，其中两台模拟内网研发受控终端，另外一台模拟外网非法终端WINDOWS2000/XP/2003/VISTACPU:800MHZ以上内存:512M以上硬盘:无特殊要求应用:IE6.0/7.0OFFICE2003/2007AdobeAcrobat5.0~8.0防病毒/防火墙不限344.2环境拓扑DLP-CDG服务器CDG客户端CDG客户端普通客户端Ldap/AD/CA服务器(可选测)OA服务器文档安全网关FileNetSec(不涉及)2U5测试计划测试预期历时3天，具体安排如下表：日期类型事项时间（天）人员2010-6-N上午环境准备介绍测试方案环境准备0.5天客户方技术顾问、亿赛通技术顾问2010-6-N下午方案测试DLP-CDG功能测试0.5天客户方技术顾问、亿赛通技术顾问2010-6-(N+1)上午DLP-CDG功能测试0.5天客户方技术顾问、亿赛通技术顾问2010-6-(N+1)下午其他拓展功能测试0.5天客户方技术顾问、亿赛通技术顾问52010-6-(N+2)测试总结测试总结/答疑整理测试报告1天客户方技术顾问、亿赛通技术顾问6测试用例6.1EST-01：用户认证与帐号管理(AD集成认证/本地认证管理)测试编号EST-01-01项目AD认证与帐号管理(同步AD组织结构、同步AD用户)预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端，配置管理员configadmin需成功配置与AD集成相关的参数测试过程1.展开“组织人员”功能导航；2.点击“用户管理”功能按钮，出现右边区域“用户及组织结构”初始化界面；3.点击“同步用户”，DLP系统将自动同步预先配置的AD架构及帐号信息；4.已成功同步的域用户可通过WEB或Client方式登录DLP系统；备注：DLP系统将与AD服务器进行联动认证，帐号及口令均由AD服务器主导认证。预期结果1.可成功同步AD中预配置组织结构及用户信息，并以树形结构方式显示；2.用户利用AD帐号及口令可通过WEB或Client方式成功登录DLP系统；3.用户修改AD登录口令后，需提交新AD口令才可登录DLP系统。测试结果与结论备注测试人员测试日期6测试编号EST-01-02项目本地认证与帐号管理(手动创建组织架构及用户)预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端测试过程1.展开“组织人员”功能导航；2.点击“用户管理”功能按钮，出现右边区域“用户及组织结构”初始化界面；3.点击“组织架构”，DLP系统将支持管理员手动创建DLP多级部门；4.点击“创建用户”，DLP系统将支持管理员手动创建DLP用户；5.已成功创建的本地用户可通过WEB或Client方式登录DLP系统；备注：本地认证和AD认证只能选择其一。预期结果1.可成功创建组织结构及用户信息，并以树形结构方式显示；2.用户利用默认口令可通过WEB或Client方式成功登录DLP系统，并可强制修改初始化密码；3.用户修改本地口令后，需提交新口令才可登录DLP系统。测试结果与结论备注测试人员测试日期76.2EST-02：文档透明加密保护(文档透明保护、策略定义和下发)测试编号EST-02-01项目文档透明加密保护(文档透明加密、透明解密)预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端，设定透明加密保护策略并下发给指定用户或用户组测试过程1.user1用户被下发有针对Office文档透明加密策略；2.user1用户登录DLP终端，右键新建测试文档“测试文档.doc”，双击打开并进行任意编辑后保存文档；3.user1用户双击打开“测试文档.doc”，操作使用无任何影响；4.将“测试文档.doc”通过网络共享、邮件发送或移动存储设备拷贝到其他非DLP终端或无用户登录的DLP终端，双击打开显示乱码无法正常使用；5.将无法正常使用的“测试文档.doc”重命名为“测试文档-1.d