Symantec SEP 110测试方案(中国移动-测试用例版).doc

Symantec SEP 11 0 测试方案测试方案 赛门铁克软件 北京 有限公司赛门铁克软件 北京 有限公司 2020 年年 01 月月 文档信息文档信息 属性内容 文档名称 Symantec SEP 11 0 测试方案 文档编号 文档版本 版本日期 文档状态 制作人 审阅人 版本变更记录版本变更记录 版本修订日期修订人描述 1 02007 10 10王斌 简要描述本版本比上一版本变化的内容 1 12007 12 01王斌细化测试方案 添加测试用例和测试方法 SYMANTEC SEP 11 0 测试方案 I 目目 录录 第第 1 章章SEP 11 0 简介简介 1 第第 2 章章测试方案测试方案 2 2 1测试拓扑推荐 2 2 1 1无防火墙环境的拓扑要求 2 2 1 2存在防火墙环境的拓扑要求 3 2 2测试环境要求 4 2 2 1SEP Manager软硬件配置要求 4 2 2 2SEP 客户端软硬件配置要求 6 2 3测试进度 8 2 4测试双方分工界面 8 2 5测试内容 8 2 5 1安装测试 8 2 5 2内存占用测试 11 2 5 3管理能力测试 13 2 5 4防病毒和间谍软件功能测试 17 2 5 5主动威胁防护功能测试 19 2 5 6网络威胁防护功能测试 23 2 5 7升级测试 26 2 5 8报表和监控 27 2 6双方签字 28 SYMANTEC SEP 11 0 测试方案 II 附图目录附图目录 附图 1 SEP 11 0 无防火墙环境的测试拓扑 3 附图 2 SEP 11 0 在防火墙环境环境下的测试拓扑 4 SYMANTEC SEP 11 0 测试方案 III 表格目录表格目录 表格 1 SEP 安装过程测试 11 表格 2 计算机基本状况说明 12 表格 3 SEP Agent 内存占用统计 12 表格 4 计算机基本状况说明 13 表格 5 SEP Agent 内存占用统计 13 表格 6 SEP 管理架构及能力测试 17 表格 7 SEP 防病毒和间谍软件能力测试 19 表格 8 主动威胁扫描测试 20 表格 9 外设控制测试 21 表格 10 进程控制测试 22 表格 11 注册表访问控制测试 23 表格 12 防火墙控制能力测试 25 表格 13 IPS 功能测试 25 表格 14 安全定义和软件版本升级测试 27 表格 15 报表和全局监控测试 28 SYMANTEC SEP 11 0 测试方案 1 第第 1 章章 SEP 11 0 简简介介 Symantec Endpoint Protection 将 Symantec AntiVirus 与高级威胁防御功能 相结合 可以为笔记本 台式机和服务器提供无与伦比的恶意软件防护能力 它甚至可以防御最复杂的攻击 这些攻击能够躲避传统的安全措施 如 rootkit 零日攻击和不断变化的间谍软件 Symantec Endpoint Protection 不仅提供了世界一流 业界领先且基于特征的 防病毒和反间谍软件防护 它还提供了先进的威胁防御能力 能够保护端点免 遭目标性攻击以及之前没有发现的未知攻击侵扰 它包括即刻可用的主动防护 技术以及管理控制功能 主动防护技术能够自动分析应用程序行为和网络通信 以检测并阻止可疑活动 而管理控制功能使管理员能够拒绝对企业来说被视为 高风险的特定设备和应用程序活动 它还可以根据用户位置阻止特定操作 这种多层方法可以显著降低风险 同时能够充分保护企业资产 从而使管 理人员高枕无忧 它是一款功能全面的产品 只要需要 即可立即为企业提供 所需的所有功能 无论攻击是由恶意的内部人员发起 还是来自于外部 端点 都会受到充分保护 Symantec Endpoint Protection 不仅可以增强防护 而且可以通过降低管理开 销以及管理多个端点安全性产品引发的成本来降低总拥有成本 它提供一个代 理 通过一个管理控制台即可进行管理 从而不仅简化了端点安全管理 而且 还提供了出色的操作效能 如单个软件更新和策略更新 统一的集中报告及一 个授权许可和维护计划 SYMANTEC SEP 11 0 测试方案 2 第第 2 章章 测测试试方方案案 2 1 测测试试拓拓扑扑推推荐荐 测试环境中至少需要提供一台专用的硬件服务器作为 SEP 11 0 管理服务器 软硬件配置参见 2 2 1 的要求 和若干客户端 PC 配置要求参见 2 2 2 小节 并提供互联网接入环境以测试在线升级 为了确保此次测试能够收集足够的数据提供给后期作为参考 建议提供至 少 5 个客户端和服务器作为 SEP 客户端参与测试 2 1 1 无无防防火火墙墙环环境境的的拓拓扑扑要要求求 如果测试环境中没有防火墙设备 则可按以下组网拓扑进行测试环境的搭 建 SYMANTEC SEP 11 0 测试方案 3 附图附图 1 SEP 11 0 无防火墙环境的测试拓扑无防火墙环境的测试拓扑 上图中 Microsoft AD 为可选 主要用于测试 SEP 11 0 与 AD 同步的功能 2 5 3 节管理能力测试中的测试用例 2 如果测试该功能 则需要增加服务器 2 1 2 存存在在防防火火墙墙环环境境的的拓拓扑扑要要求求 如果测试环境中存在防火墙 则可按以下组网拓扑进行测试环境的搭建 SYMANTEC SEP 11 0 测试方案 4 附图附图 2 SEP 11 0 在防火墙环境环境下的测试拓扑在防火墙环境环境下的测试拓扑 上图中 Microsoft AD 为可选 主要用于测试 SEP 11 0 与 AD 同步的功能 2 5 3 节管理能力测试中的测试用例 2 如果测试该功能 则需要增加服务器 同时 防火墙需要配置以下规则以确保测试环境能够正常工作 1 允许客户端对 SEP 11 0 管理服务器的 http 80 和 https 8443 端口的访问 2 允许 SEP 11 0 管理服务器对 Internet 的 http 80 访问 2 2 测测试试环环境境 要要求求 2 2 1 SEP Manager 软软硬硬件件配配置置要要求求 如果使用如果使用 32 位处理器的硬件服务器 则要求如下 位处理器的硬件服务器 则要求如下 SYMANTEC SEP 11 0 测试方案 5 CPU P4 2 0GHz 以上 内存内存 2G 以上 硬盘硬盘 10G 以上剩余空间 支持以下操作系统 支持以下操作系统 Windows Server 2003 Web Standard Enterprise Datacenter Edition Service Pack 1 或更高版本 推荐采用 Windows 2000 Professional Server Advanced Server Service Pack 3 或更高 版本 Windows XP Professional Service Pack 1 或更高版本 数据库支持 数据库支持 SQL Server 2005 或者 SQL Server 2004 with SP4 请务必打上该补丁 或者 SEP 内置的 Embedded DB 必须满足下列其他要求 必须满足下列其他要求 Internet Information Services Server 5 0 或更高版本 Internet Explorer 6 0 或更高版本 静态 IP 地址 如果使用如果使用 64 位处理器的硬件服务器 则要求如下 位处理器的硬件服务器 则要求如下 仅限下列仅限下列 1 GHz x64 处理器 处理器 支持 Intel EM64T 的 Intel Xeon 处理器 支持 EM64T 的 Intel Pentium IV 处理器 SYMANTEC SEP 11 0 测试方案 6 AMD 64 位 Opteron 处理器 AMD 64 位 Athlon 处理器 注意 不支持 Itanium 管理组件是 32 位应用程序 内存内存 2G 以上 硬盘硬盘 10G 以上剩余空间 支持以下操作系统支持以下操作系统 Windows XP Professional x64 Edition Service Pack 1 或更高版本 Windows Server 2003 x64 Edition Service Pack 1 或更高版本 数据库支持 数据库支持 SQL Server 2005 或者 SEP 内置的 Embedded DB 必须满足下列其他要求 必须满足下列其他要求 Internet Information Services Server 5 0 或更高版本 Internet Explorer 6 0 或更高版本 静态 IP 地址 2 2 2 SEP 客客户户端端软软硬硬件件配配置置要要求求 对于使用对于使用 32 位处理器的客户端 则要求如下 位处理器的客户端 则要求如下 CPU P4 1 2GHz 以上 内存内存 256M 以上 硬盘硬盘 1G 以上剩余空间 非常重要 SYMANTEC SEP 11 0 测试方案 7 支持以下操作系统 支持以下操作系统 Windows 2000 Professional Server Advanced Server Service Pack 3 或更 高版本 Windows XP Home Edition Professional Tablet PC Edition Windows Server 2003 Web Standard Enterprise Datacenter Edition Windows Vista x86 必须满足下列其他要求 必须满足下列其他要求 Internet Explorer 6 0 或更高版本 对于使用对于使用 64 位处理器的客户端 则要求如下 位处理器的客户端 则要求如下 仅限下列仅限下列 1 GHz x64 处理器 处理器 支持 Intel EM64T 的 Intel Xeon 处理器 支持 EM64T 的 Intel Pentium IV 处理器 AMD 64 位 Opteron 处理器 AMD 64 位 Athlon 处理器 注意 不支持 Itanium 内存内存 256M 以上 硬盘硬盘 1G 以上剩余空间 非常重要 支持以下操作系统支持以下操作系统 Windows XP Professional x64 Edition Service Pack 1 或更高版本 SYMANTEC SEP 11 0 测试方案 8 Windows Server 2003 x64 Edition Service Pack 1 或更高版本 Windows Vista x64 必须满足下列其他要求 必须满足下列其他要求 Internet Explorer 6 0 或更高版本 2 3 测测试试进进度度 现场测试预计 3 个工作日完成 非现场测试主要是由客户端人员使用 SEP 客户端软件 最长期限不应超过 30 天 2 4 测测试试双双方方分分工工界界面面 甲方 中国移动集团公司及各省公司 1 提供良好的测试工作环境 包括工位及通讯设施 2 按照本方案中测试拓扑及测试环境要求搭建测试环境 并具备测试 条件 3 甲方工程师要全程配合和跟踪测试过程 4 测试完毕签署测试报告 乙方 赛门铁克软件 北京 有限公司 1 准备 SEP 11 0 测试产品软件及许可 2 负责完成所有测试项目 3 负责解答测试过程中甲方提出的相关技术问题 4 测试完毕签署测试报告 SYMANTEC SEP 11 0 测试方案 9 2 5 测测试试内内容容 下文测试内容为测试工作的最大集 如果测试条件不满足或甲方根据实际 情况进行选择性测试 则乙方通过展示产品操作手册或其它资料的方式向甲方 负责人证明未测项的可实现性 2 5 1 安安装装测测试试 测试项目测试用例及方法正确结果测试结果备注 使用 SEP 11 0 的中文安装光盘 安装 SEP 管理服务器 安装过程无 异常 通过 未测试 未通过 测试用例 1 本 地光盘或软件包 安装 通过 未测试 未通过 测试用例 2 共 享安装 通过 未测试 未通过 SEP 管理 服务器及 客户端的 安装 客户端提供多 种安装方式 包括 本地 光盘或软件包 安装 共享安 装 远程客户 端安装 使用 第三方软件分 发工具 如 SMS 安装 使 用 AD 安装等 测试用例 3 Web 方式安装 安装过程无 异常 通过 未测试 未通过 SYMANTEC SEP 11 0 测试方案 10 客户端可以在以下功能中选择安 装 1 防病毒和防间谍软件 2 主动型威胁扫描 前提条件为 功能 1 选中 3 应用程序与设备控制 前提条 件为 功能 4 选中 4 网络威胁防护 测试方法 通过 SEP 管理界面的 管理员 安装软件包 客户端安 装功能集 添加客户端安 装功能集 进行功能选择设定 定制功能的 安装包能正 常在客户端 安装 并能 显示其定制 的功能 通过 未测试 未通过 客户端支持的操作系统 32 位 Windows 2000 Professional Server Advanced Server Service Pack 3 或更高版本 Windows XP Home Edition Professional Tablet PC Edition Windows Server 2003 Web Standard Enterprise Datac enter Edition Windows Vista x86 甲方可任选 2 3 种平台进行测试 在所选平台 上能正常安 装 SEP 11 0 客户端软件 安装过程无 异常 通过 未测试 未通过 SYMANTEC SEP 11 0 测试方案 11 客户端支持的操作系统 64 位 Windows XP Professional x64 Edition Service Pack 1 或更高 版本 Windows Server 2003 x64 Edition Service Pack 1 或更高 版本 Windows Vista x64 甲方可任选 2 3 种平台进行测试 在所选平台 上能正常安 装 SEP 11 0 客户端软件 安装过程无 异常 通过 未测试 未通过 连通性 测试用例 客户端与 SEP 管理服 务器连通 测试方法 1 查看客户端右下角 SEP 盾牌上 有显示绿点 2 通过 SEP 管理界面的 客户端 客户端所在的组名 客户端 查看安装 SEP 客户端 的计算机显示在线状态 客户端可以 和管理服务 器进行正常 连接并通信 通过 未测试 未通过 表格 1 SEP 安装过程测试 2 5 2 内内存存占占用用 测测试试 在安装 SEP Agent 的终端上 使用微软官方工具 Process Explorer 查看 SEP Agent 的进程 并记录其内存的占用 2 5 2 1 内内存存占占用用测测试试用用例例 1 请根据下表先统计运行计 SEP Agent 的计算机基本状况 CPU SYMANTEC SEP 11 0 测试方案 12 物理内存 可用硬盘空间 操作系统 表格 2 计算机基本状况说明 然后统计在该计算上 SEP Agent 所有进程的内存资源占用情况 并填写 下表 服务名称二进制名称内存占用 KB Symantec Management ClientSmc exe Symantec Event ManagerccSvcHst exe Symantec Endpoint ProtectionRtvscan exe SMC GUISmcGui exe ccAppccApp exe Symantec Network Access Control 如果安装网络准入组 件或启用 SNAC 的许可 SNAC exe 总计 表格 3 SEP Agent 内存占用统计 2 5 2 2 内内存存占占用用测测试试用用例例 2 请根据下表先统计运行计 SEP Agent 的计算机基本状况 CPU 物理内存 SYMANTEC SEP 11 0 测试方案 13 可用硬盘空间 操作系统 表格 4 计算机基本状况说明 然后统计在该计算上 SEP Agent 所有进程的内存资源占用情况 并填写 下表 服务名称二进制名称内存占用 KB Symantec Management ClientSmc exe Symantec Event ManagerccSvcHst exe Symantec Endpoint ProtectionRtvscan exe SMC GUISmcGui exe ccAppccApp exe Symantec Network Access Control 如果安装网络准入组 件或启用 SNAC 的许可 会出 现该进程 SNAC exe 总计 表格 5 SEP Agent 内存占用统计 2 5 3 管管理理能能力力测测试试 测试 项目 测试用例及方法正确结果测试结果备注 分级 管理 测试用例 客户端分组管理 测试方法 通过在 SEP 管理系统内创建多级 实现与管 理架构一 通过 未测试 SYMANTEC SEP 11 0 测试方案 14 客户端组 即组内嵌套 模拟现实组织架构 的方式实现分级管理 步骤如下 1 首先创建客户端组 通过 SEP 管理界面的 客户端 创建客户端组 实现 2 选择需要移入该组的客户端图标 右键点 击 选择 移动 将其移到创建的新组中 致的多级 客户端组 的创建 未通过 测试用例 将 AD 中的 OU 信息导入 SEP 管理 服务器中 实现客户端组织信息的完整复制 测试方法 前提条件为已经建立好 AD 服务器和域用户 1 在 SEP 管理界面上 管理员 服务 器 中找到 SEP 管理服务器图标 右键选择 属性 在 服务器属性 对话框中选择 目录服务器 选择 添加 弹出 添加目 录服务器 对话框 依次填入 名称 服务 器 IP 地址或名称 用户名 密码 等信息 后 确认 进行与 AD 的连接 2 回到 SEP 管理界面 客户端 查 看客户端 界面 右键点击 Global 选择 导入组织单位或容器 将指定的 AD 信息导 入 SEP 管理服务器中 SEP 管理 服务器与 AD 正常连 接 并能 同步 处 在用户模 式中的客 户端可自 动进入其 所属的 OU 通过 未测试 未通过 分权 管理 测试用例 用户权限分成系统管理员 管理 员和受限的管理员三种权限 实现三种 类型的管 理员权限 通过 未测试 SYMANTEC SEP 11 0 测试方案 15 测试方法 通过 SEP 管理界面的 管理员 管理 员 添加管理员 对话框验证 划分 未通过 测试用例 授予管理员管理一个或若干个客 户端组的管理权限 测试方法 1 通过 SEP 管理界面的 管理员 管 理员 添加管理员 对话框 输入 用户名 密码 等信息 选择 受限的管 理员 选中 管理客户端组 后点击 组权 限 选择其要管理 的组赋予 完全访问权 其余组为 无访问权 确认后退出 SEP 管理 界面 2 以刚刚创建的管理员用户名登录 验证其 管理权限 实现分级 分权管理 通过 未测试 未通过 管理 域设 置 测试用例 建多个可管理的域 不同域中的 策略相互独立 不同域管理员不能查看其它 域上的数据 系统管理员可以看到汇总的数 据 测试方法 1 通过 SEP 管理界面 管理员 域 添加域 添加一个新的域后 选择 管理 域 将受管理的域切换为新建的域 2 通过 管理员 安装软件包 客户端安装软件包 导出客户端 安装软件包 生成新的 SEP Agent 安装软件 不同域中 的策略相 互独立 不同域管 理员不能 查看其它 域上的数 据 系统 管理员可 以看到汇 总的数据 通过 未测试 未通过 SYMANTEC SEP 11 0 测试方案 16 包 3 在客户端安装后 客户端自动连到新的域 控制 模式 选择 测试用例 提供三种控制模式可供用户选择 1 服务器控制 2 混合控制 3 客户端控 制 以适应不同环境要求 测试方法 1 在 SEP 管理界面 客户端 中选中相关组 在右侧信息中选中 策略 特定于位 置的设置 客户端用户界面控制设置 中选择 缺省为 服务器控制 可以选择 控制模式 通过 未测试 未通过 自动 备份 数据 库 测试用例 SEP 管理服务器所有数据可自动 备份 防止数据库损坏 并提供数据恢复工 具 快速修复受损数据库 测试方法 1 在 SEP 管理界面 管理员 服务 器 界面上 选中数据库服务器 在 任务 栏中 选择 备份设置 在对话框中选中 备份日志 要保留的最新备份数据 缺省 为 3 在 调度设置 中 设置每天调度 进行测试 2 到了调度备份的时间后 查看在 SEP 管理 服务器的安装目录 C Program Files Symantec Symantec Endpoint Protection Manager data backup 下生成 以备份开始时间命名的 zip 压缩文件 即为 数据库可 自动备份 并提供恢 复工具进 行恢复 通过 未测试 未通过 SYMANTEC SEP 11 0 测试方案 17 数据库备份文件 HA LB 机制 测试用例 支持在同一站点中部署多台 SPM 管理服务器 实现负载的分担和冗余 测试方法 1 重新安装一台 SEP 管理服务器 并加入已 经建好的管理站点 2 在 SEP 管理服务器管理界面 策略 策略组件 管理服务器列表 中点 击 添加管理服务器列表 后 弹出 管理 服务器列表 对话框 选择 添加 新服务 器 依次输入已经存在的两台 SEP 管理服务 器地址后 确认 3 将新建的管理服务器列表分配至要测试的 客户端组 4 等待几分钟后 停掉原 SEP 管理服务器 查看客户端的管理服务器地址 在客户端界 面右上角 帮助和支持 疑难解答 中显示 有无变化 客户端能 发现所有 的 SEP 管 理服务器 并自动切 换 通过 未测试 未通过 表格 6 SEP 管理架构及能力测试 2 5 4 防防病病毒毒 和和间间谍谍软软件件 功功能能测测试试 测试 项目 测试用例及方法正确结果测试结果备注 扫描 和防 护 支持自动防护 按需扫描和调度扫描 测试用例 文件系统自动防护 能自动检 测出 EICAR 病 通过 未测试 SYMANTEC SEP 11 0 测试方案 18 测试方法 1 在 SEP 管理服务器管理界面 策略 防病毒和防间谍软件 策略中添加一条新的 策略 启用 文件系统自动防护 选项 并分 发到客户端组 2 在 SEP 客户端机器上访问 http www eicar org anti virus test file htm 选择测试样本进行测试 毒样本 未通过 防病毒软件与终端计算机的交互 测试用例 可以在发现病毒或安全风险的受感 染计算机上显示消息 以通知终端操作人员 1 在上个用例中 确认是否在客户端弹出发现 病毒的通知框 2 是否弹出通知框 可在 SEP 管理服务器界面 策略 防病毒和防间谍软件 策略 文件系统自动防护 通知 配置 项中进行配置 通过 未测试 未通过 支持对文件系统自动防护扫 Lotus Notes 和 Outlook 的自动防护电子邮件附件扫描 以及针对使用 POP3 或 SMTP 通信协议的 Internet 电子邮件与附件的自动防护扫描 测试方法 1 在 SEP 管理服务器管理界面 策略 防病毒和防间谍软件 策略中添加一条新的 策略 验证 Internet 电子邮件自动防护 存在该配 置项 SEP 客户 端能接收 到该配置 通过 未测试 未通过 SYMANTEC SEP 11 0 测试方案 19 Outlook 和 Lotus Notes 的自动防护电子邮 件 性能 优化 测试用例 在管理员调度扫描和按需扫描配置 中提供三种扫描优化选项 最佳扫描性能 平 衡性能和最佳应用程序性能 测试方法 1 在 SEP 管理服务器管理界面 策略 防病毒和防间谍软件 策略中选择 管理员 定义扫描 添加一个管理员定义扫描 在 扫 描详细信息 界面中点击 高级扫描选项 优化 分三次选择 最佳扫描性能 平衡性能 和 最佳应用程序性能 并应用 到 SEP 客户端 2 在 SEP 客户端观察调度扫描的执行情况 体 会三种不同性能优化方式的区别 在 最佳 应用程序 性能 情 况下 调 度扫描对 日常工作 基本没有 影响 通过 未测试 未通过 可疑 病毒 的提 交 测试用例 将被隔离的病毒 文件 通 SEP 系统 提交给 Symantec 病毒处理中心 测试方法 1 在 SEP 管理服务器管理界面 策略 防病毒和防间谍软件 策略中选择 提交 隔离的项 中选择 允许客户端计算机手动 将隔离项发送至 Symantec 安全响应中心 后确 认 将该策略分发到客户端组 2 在 SEP 客户端上选择 查看隔离区 选中一 项要提交的内容 点击 提交 按提示步骤提 可以将可 以样本提 交给 Symantec 病毒响应 中心分析 通过 未测试 未通过 SYMANTEC SEP 11 0 测试方案 20 交给 Symantec 表格 7 SEP 防病毒和间谍软件能力测试 2 5 5 主主动动威威胁胁防防护护功功能能 测测试试 2 5 5 1 主主动动威威胁胁扫扫描描 SEP11 0 内置行为检测引擎 通过监控应用程序行为来判断其危害 在没 有病毒定义码的情况下可以检测出特络伊木马 蠕虫和击键记录程序 提高主 动性防御能力 测试用例使用主动威胁扫描引擎发现键盘记录程序 测试方法1 在 SEP 管理服务器管理界面 策略 防病毒和防间 谍软件 策略中添加一条新的策略 编辑该策略选择 主动型 威胁扫描 选中 扫描击键记录程序 取消 使 用 Symantec 定义的默认值 敏感度 调整为 高 在 扫描频率 中 选中 使用自定义扫描频率 后 启用 立 即扫描新进程 完成后点击确认 应用该策略 2 在使用了该策略的 SEP 客户端上运行 fakekeylogger exe 程 序 等待几分钟后观察结果 正确结果主动威胁扫描引擎可以发现运行的 Keylogger 程序 测试结果 通过 未测试 未通过 备注 表格 8 主动威胁扫描测试 2 5 5 2 外外设设管管理理 SEP 11 0 提供对客户端计算机的外设管理功能 能对用户在设备管理器上 看到的任意系统设备进行控制 例如硬盘 光驱 软驱 USB 设备 PCMCIA 设 SYMANTEC SEP 11 0 测试方案 21 备 红外 1394 火线 SCSI 并口 串口等 测试用例禁止 U 盘的使用 测试方法1 在 SEP 管理服务器管理界面 策略 应用程序与设 备控制 中添加一条新的策略 选择 设备控制 在 禁止的设备 一项中 添加 USB 设备 完成后点击确认 应用该策略 2 确认 SEP 客户端已经接收到该策略后 在客户端计算机上插 入 U 盘 查看能否使用 正确结果U 盘不能使用 USB 键盘和鼠标不受影响 测试结果 通过 未测试 未通过 备注 表格 9 外设控制测试 2 5 5 3 进进程程控控制制 SEP 11 0 的进程控制功能 使管理员能够了解到用户和计算机的网络行为 并且可以方便地调整用户和计算机的行为使之符合企业安全策略的要求 对于指定的进程 可以设置根据客户端组的不同设置对该进程的动作反应 如忽视 允许 阻止 结束应用程序等 测试用例禁止 U 盘上 exe 文件的运行 阻止 U 盘传播病毒 测试方法1 在 SEP 管理服务器管理界面 策略 应用程序与设 备控制 中添加一条新的策略 选择 应用程序控制 在 应用程序控制规则集 中点击 添加 弹出 添加应用程 序控制规则集 对话框 选中 规则 1 在 将此规则应用于 下列进程 部分 点击 添加 弹出 添加进程定义 对话框 在 要匹配的进程名称 一项中 输入 表示此规则适用 SYMANTEC SEP 11 0 测试方案 22 于所有应用程序 确认后返回 2 选中 规则 1 点击左下角 添加 按钮 选择 添加条件 启动进程尝试 在 启动进程尝试 的 属性 页的 应用于下列进程 部分 选择 添加 弹出 添加进程定义 对话框 在 要匹配的进程名称 一项中 输入 exe 表 示此规则适用于所有 exe 程序 选中 仅匹配下列驱动器上的 进程 后 选择 可移动驱动器 确认后返回 属性 页面 3 选择 操作 页面 选中 禁止访问 选中 通知用户 输入 禁止在 U 盘上运行 exe 通知信息后 确定 在 应 用程序控制规则集 界面 将该规则应用的环境改为 生产 缺省为 测试 4 将该应用程序控制策略应用到所选的客户端组 5 确认 SEP 客户端已经接收到该策略后 在客户端计算机上插 入带有 exe 文件的 U 盘 点击该 exe 文件 查看能否运行 是 否弹出 禁止在 U 盘上运行 exe 的提示 正确结果Exe 程序无法在 U 盘上被运行 测试结果 通过 未测试 未通过 备注 表格 10 进程控制测试 2 5 5 4 注注册册表表访访问问控控制制 SEP 11 0 的注册表访问控制功能 可以实现控制任意应用程序对注册表中 的任意一个键或者键值的访问控制 包括对 读取 创建 删除或写入尝试 等动作的控制 SYMANTEC SEP 11 0 测试方案 23 测试用例禁止在系统启动项中添加任何键或键值 测试方法1 在 SEP 管理服务器管理界面 策略 应用程序与设 备控制 中添加一条新的策略 选择 应用程序控制 在 应用程序控制规则集 中点击 添加 弹出 添加应用程 序控制规则集 对话框 选中 规则 1 在 将此规则应用于 下列进程 部分 点击 添加 弹出 添加进程定义 对话框 在 要匹配的进程名称 一项中 输入 表示此规则适用 于所有应用程序 确认后返回 2 选中 规则 1 点击左下角 添加 按钮 选择 添加条件 注册表访问尝试 在 注册表访问尝试 的 属性 页的 应用于下列注册表项 部分 选择 添加 弹出 编辑 注册表定义 对话框 在 注册表项 中 输入以下键值 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 其余项为缺省 3 选择 操作 页面 在 读取尝试 部分 选择 允许访问 在 创建 删除或写入尝试 部分 选择 禁止访问 选中 通知用户 输入 请勿修改此部分注册表 通知信息后 确定 在 应用程序控制规则集 界面 将该规则应用的环 境改为 生产 缺省为 测试 4 将该应用程序控制策略应用到所选的客户端组 5 确认 SEP 客户端已经接收到该策略后 在该计算机上编辑注 册项 HKEY LOCAL MACHINE SOFTWARE Microsoft Windows CurrentVersion Run 查看能否成功 是否弹出 请勿修改此部分注册表 的提示 SYMANTEC SEP 11 0 测试方案 24 正确结果相应注册表项只能读取 不能创建新的键或键值 测试结果 通过 未测试 未通过 备注 表格 11 注册表访问控制测试 2 5 6 网网络络威威胁胁防防护护功功能能 测测试试 2 5 6 1 防防火火墙墙控控制制能能力力测测试试 SEP 11 0 中内置了业界最优秀的个人防火墙 Gartner 个人防火墙的神奇 四象限 可以非常方便地通过 SEP 管理服务器进行集中的策略管理和分发 该防火墙能够 针对特定应用程序应用防火墙规则 提供对主机信息的防火墙控制 包括域名 MAC 地址 IP 地址 IP 地址段 IP 子网段 提供对通信时间的防火墙控制 包括指定月 指定日 时 分 秒 星期 工作日等级别 提供对协议 端口的防火墙控制 包括 TCP UDP ICMP IP 等协议 和各种端口管理 提供对流量的不同方向管理 incoming outgoing 或者是双向的不 同策略 对网络流量同时提供对基于 源 目的 和 本地 远程 的管理 提供网络适配器的动态策略 VPN 拨号 无线网卡 以太网卡 动态地采取不同的安全策略以消除和网络连接方式 以太网 拨号 无线网 络 VPN 相关的威胁 SYMANTEC SEP 11 0 测试方案 25 对抗 IP MAC 欺骗 防止黑客通过伪装 IP MAC 地址的手段来劫持通 讯数据 对抗使用协议驱动的攻击行为 防止恶意应用程序使用自己的协议 驱动来绕过防火墙 测试用例创建防火墙规则 禁止客户端访问除 网站 外的其他任何网站 测试方法1 在 SEP 管理服务器管理界面 策略 防火墙策略 中添加一个新的防火墙策略 在 防火墙规则 对话框中选择 规则 在 规则 窗口的蓝线以上部分 创建两条规则 1 允许访问 2 禁止访问其它 Internet 80 端口 2 将该防火墙策略应用到所选的客户端组 3 确认 SEP 客户端收到策略后 在 SEP 客户端计算机上使用浏 览器浏览 和其它网站 查看效果 正确结果除 外 其余网站都不能访问 测试结果 通过 未测试 未通过 备注 表格 12 防火墙控制能力测试 2 5 6 2 网网络络入入侵侵防防护护功功能能测测试试 SEP 11 0 带有基于特征库的入侵检测引擎 使得管理员能够根据已知恶意 通讯的模式来阻断入侵 并且提供自定义特征库的编辑 供用户自行定义对通 信内容的管理 如对指定字符串 特征的过滤等 测试用例IPS 功能演示 SYMANTEC SEP 11 0 测试方案 26 测试方法1 在 SEP 管理服务器管理界面 策略 入侵防护策略 中选择系统自带的入侵防护策略 鼠标双击后显示 入侵防护 策略 对话框 选中 例外 添加 后出现 IPS 签名库 可以查看能检测到哪些攻击 2 对应用缺省入侵防护策略的 SEP 客户端使用流光等扫描软件 进行扫描 查看报警 正确结果IPS 特征分类明确 能有效检测到攻击 测试结果 通过 未测试 未通过 备注 表格 13 IPS 功能测试 2 5 7 升升级级测测试试 测试 项目 测试用例及方法正确结果测试结果备注 安全 定义 升级 测试用例 1 SEP 管理服务器自动在线升级安全 定义后 分发给 SEP 客户端 需要 SEP 管理服 务器能够访问 Internet 自动在线更新的全 定义包括 病毒定义 解压缩程序特征 主动 威胁扫描启发式特征