实用测试工具集

测试工具简介

类别：信息安全类 (2)

1.数据库安全 (2)

1.1.ADpro数据库安全扫描器 (2)

1.2.DBP数据库安全防护 (2)

2.代码安全 (3)

2.1.Fortify SCA源代码安全扫描器 (3)

2.2.Coverity源代码缺陷检测工具 (4)

2.3.Veracode二进制代码检测工具 (4)

3.网络及系统安全 (4)

3.1.Ixia安全测试 (5)

3.2.RNSS网络安全扫描器 (6)

3.3.Retina CS安全漏洞管理工具 (6)

3.4.Blink统一客户端安全 (6)

3.5.Iris 网络流量分析器 (7)

4.Web安全扫描器 (7)

4.1.RWSS Web安全扫描器 (7)

4.2.HP WebInspect Web安全扫描器 (7)

类别：音视频测试工具 (8)

4.3.Video Clarity 视频质量分析系统 (8)

4.4.VideoHans 3D视频监测 (8)

4.5.Sarnoff 视频质量测试 (8)

4.6.VideoQ 视频质量测试 (9)

4.7.IneoQuest IPTV 综合测试仪 (9)

4.8.Hamlet 视频信号发生/分析系统 (10)

4.9.Triveni 码流分析仪 (10)

4.10.Sage话音质量测试仪 (10)

类别：网络测试工具 (10)

4.11.iTrinegy 网络仿真器 (11)

4.12.Ixia性能测试系统 (11)

4.13.Radcom协议分析仪 (12)

4.14.Qosmotec无线信道仿真及协议分析 (12)

4.15.IEEE 802.15.4/ Zigbee无线协议分析仪 (12)

类别：信息安全类

1.数据库安全

1.1.ADpro数据库安全扫描器

在IT 审计和安全评估中，对存储和处理关键业务信息的数据库进行检查是一项非常重要的任务，而AppSec公司的ADpro能使您能高效、快速、可靠地完成任务。作为IT 审计和安全评估工具， ADpro目前已经在全球130多个国家部署，完成了数以十万计的数据库评估任务。也正因为如此，ADpro也逐渐成为对数据库进行IT 审计和安全评估的事实标准。

ADpro 完整的收集了数据库控制、脆弱性和配置错误检查等信息以确保全面评估数据库成为可能。其主要功能包括：

数据库发现：只需将笔记本接入网络并运行 ADpro，即可获得网络上所有数据库的信息；

数据库安全扫描和脆弱性评估：可以选择无需任何授权的由外向内的“黑客视角”进行扫描，也可以选择通过一个只读账号由内向外进行扫描，并对扫描结果进行脆弱性评估；

数据库访问控制检查：对用户权限进行扫描及检查，确定每个用户的有效权限，判断是否存在权限过大、滥用权限的情况；

工作计划和策略的调查问卷：提供全面的调查问卷协助你获取数据库配置和参数设置之外的信息，从而实现对安全策略和过程文档的彻底检查。

1.2.DBP数据库安全防护

在一个动态的数据库生态系统中，应用程序、数据库、用户、软件等的更新、添加等操作，将使整个信息系统越来越难以保持受控状态。而DBP这套全新的、

自动化的工具能够帮助组织机构简化并控制数据库安全进程实现对数据库的有

效保护。DBP可以协助组织机构解决以下五个关键问题：

隔离敏感数据库：为已部署的所有数据库维护一个准确的清单并标识出数据库中的敏感数据；消除漏洞隐患：对数据库进行扫描、定位、检查、报告并修复安全漏洞及错误配置；

强制执行最小权限：提供详细的视图展现一个组织机构中数据的所有权、访问控制权等，确保只赋予员工完成其工作所需的最小访问权限；

偏离监控：自定义监视策略实现对数据库中未修复的漏洞、特定事件、特定用户行为、特定数据的监视，确保及时发现那些偏离授权的行为；

对可疑行为进行响应：可根据未经授权行为或可疑行为的类型自定义系统响应的方式，包括：IT警报、SIEM（安全信息与事件管理）系统警报、打开故障清单、启动对恶意软件的扫描、阻止可疑的和未经授权的行为，使受攻击的风险最小化

2.代码安全

2.1.Fortify SCA源代码安全扫描器

HP的Fortify SCA是一个静态的、白盒的软件源代码安全扫描工具。其扫

描结果不但能够定位造成漏洞的代码所在行，而且能够提供详细的安全漏洞的信息，及相关的安全知识的说明，以及修复意见。

SCA的分析引擎以最大和最全面的安全编码规则为基础，该规则中的漏洞类别超过500种。能够支持将扫描结果按照OWASP 10 2004， 2007， 2010年分类显示和统计，提供比较性报表，方便对照。

Fortify SCA支持Java、JSP、https://www.360docs.net/doc/cb161264.html,、C#、https://www.360docs.net/doc/cb161264.html,、C、C++、COBOL、ColdFusion、Transact-SQL、PL/SQL、JavaScript/Ajax、Classic、ASP、VBScript、VB6、PHP 以及Python、 Flex、 ABAP等共计21种编程语言，是目前扫描语言种类最多的检测工具。

能够和现有成熟的软件开发环境集成，如Visual Studio 2003，2005，2008，2010， Eclipse 2.X 3.X JDeveloper和WSAD，RAD工具。能够支持主流的操作系统：Windows、 Linux 、AIX，HP-Unix，Mac OS， Solaris，Android。

2.2.Coverity源代码缺陷检测工具

Coverity Static Analysis (也称Prevent或Coverity)是检测和解决C、C++、Java和C#源代码中软件缺陷和安全隐患的领先的自动化方法。Coverity 的源代码分析引擎综合分析源代码、编译构建系统和操作系统等可能使软件产生的缺陷。Coverity是第一个能够快速、准确分析当今的大规模（几百万、甚至几千万行的代码）、高复杂度代码的工具，Coverity解决了影响源代码分析有效性的很多关键问题：构建集成、编译兼容性、高误报率、有效的错误根源分析等。

Coverity能够及时的发现并发缺陷、死锁、内存泄漏、空指针引用、释放后引用、逻辑错误导致的死代码、API错误处理等软件缺陷。

Coverity支持PowerPC，ARM，MIPS，x86，SPARC，XScale等目标机平台，支持VxWorks，Embedded Linux，QNX，RTEMS，ucOS，WinCE等嵌入式操作系统，支持ARM ADS/RVCT，Freescale Codewarrior ，GNU C/C++等编译器。

2.3.Veracode二进制代码检测工具

Veracode的测试平台对应用软件的二进制代码采用静态和动态的分析，该分析过程会通过对可执行的机器码（这往往是攻击者所能接触到的）进行控制流和数据流的分析并由此产生一个行为模型。通过扫描二进制代码（也称为编译代码或字节代码）而不是源代码，Veracode的静态代码分析技术使企业能够更有效地、更全面地测试软件，从而为组织机构提供更高的安全性，该分析技术被行业分析师Gartner机构称做"突破"性的技术。与源代码检测工具的不同之处是这种方法不但能够准确检测到核心应用的问题还能延伸覆盖到第三方的库、预先包装的组件以及由编译器或平台的具体解释引入的代码。使用这种分析方法能有效的、持续地完成漏洞评估并帮助开发者在基础架构的各层快速部署安全技术。

3.网络及系统安全

3.1.Ixia安全测试

Ixia 公司提供完整的网络测试产品，用于测量安全性：

?有效性- 检测并防止各种形式的攻击。

?准确性- 准确执行其功能，防止出现重大“误报”结果。

?性能- 实施安全机制同时保持可接受的网络性能。即使在遭遇最具侵略性攻击时，安全执行机制必须继续保证“良好”流量的通过。

Ixia的IxLoad-Attack业界最先进的网络性能及安全性测试工具，它通过模拟真实应用流来预测真实负载情况下的网络设备和系统的性能及安全性。在性能测试方面支持2~3层线速数据流的生成与分析、高性能路由/桥接协议仿真，4~7层应用流量生成和用户仿真。在安全性测试方面，能够模拟多种常见攻击，可以单独仿真各种攻击和恶意数据流，或与正常数据流混合，支持诊断、评估和报告能力，支持自动化测试。支持8000种以上的漏洞和恶意软件威胁仿真测试，覆盖所有已公布的Microsoft系统漏洞，IxLoad-Attack 的DDoS功能利用Ixia 平台的强大处理能力与扩展能力提供线速拒绝服务攻击，其中含有几十种DDoS 攻击，包括 SYN、ICMP 和 ARP floods。

3.2.RNSS网络安全扫描器

Beyond Trust公司的RNSS网络安全扫描器是一款优秀的网络安全扫描工具，能够为企业提供专业级的安全解决方案。Retina 网络安全扫描器集成了安全和威胁管理工具，能够有效地识别和修补那些导致暴露或恶意攻击的网络安全漏洞。

RNSS能够发现连接到本地网上的所有设备，包括工作站、路由器、交换机、打印机以及一些移动设备等，该功能便于管理员清查网络资产，并能及时发现未授权的接入。

RNSS不但能正确报告网络设备的IP地址、操作系统、应用程序、服务、数据库等基本信息，而且能准确提供漏洞分布情况，提供风险管理和优先级指南，提出修复建议。

3.3.Retina CS安全漏洞管理工具

Beyond Trust公司的Retina CS是将漏洞和法规遵从性进行统一管理的优

秀解决方案，它集成了安全漏洞的发现、定级、修复和报告等功能。与其它漏洞管理工具相比具备如下优势：

移动设备漏洞管理：首款对BlackBerry、Android、iPhone/iPad以及其它ActiveSync支持的移动设备及其应用进行漏洞管理的工具；

私有云和公有云环境漏洞管理：RCS是第一款也是唯一一款云安全漏洞管理解决方案，它可以为使用VMware vCenter、 Amazon Web Services (AWS)云服务的

用户提供漏洞管理，轻松扫描和管理用户私有云环境中的各种漏洞；

支付卡行业扫描：提供基于业界最严格法规之一的支付卡行业标准PCI DSS的扫描，可以按计划自动扫描，提供PCI法规遵从性情况报告，并提出修复建议以达到PCI的要求。

3.4.Blink统一客户端安全

Beyond Trust公司的Blink是一款集多种防护技术为一体的桌面级安全防

护产品。该产品集成了漏洞评估、入侵防御(IPS)、防火墙、以及防病毒，防间谍软件、防Zero-day攻击等功能；以单一的引擎替代多重引擎占用极少系统资

源，保护客户端，防止已知的漏洞攻击，完善的系统、注册表、缓冲器溢出保护；使Blink成为唯一一款能够做到单一的、轻量级的但却是集成地多层次防护的终端安全产品。

3.5.Iris 网络流量分析器

Iris是一个网络管理工具,致力于协助IT人员监控其组织的网络状况及异常流量。Iris的协议分析功能和取证功能，不但能提供网络中web流量、邮件、即时信息的真实行为视图，还能够查明网络中存在的各类恶意的网络流量。

4.Web安全扫描器

4.1.RWSS Web安全扫描器

Beyond Trust公司的RWSS是一款卓越的Web安全扫描器，它能够快速准确地扫描结构复杂的大型网站及Web应用程序，并识别各种应用程序漏洞以及网站所暴露出的风险。RWSS能够根据风险程度，对其发现的漏洞进行分级，并生成各种图形报表，为用户提供直观的风险及安全状态报告。

4.2.HP WebInspect Web安全扫描器

WebInspect是最准确和全面的自动化的Web应用程序和Web服务漏洞评估解决方案。使用WebInspect，安全专业人员和规范审计人员可以在自己的环境中快速而轻松地分析众多的Web应用和Web服务。WebInspect是唯一的一款由世界领先的Web安全专家每日维护和更新的产品。这些解决方案专门。

WebInspect为评估潜在的安全漏洞而设计，并提供所有修复这些漏洞所需要的资讯。当您开始进行漏洞评估时，WebInspect的“评估代理” （assessment agent）能够对Web应用的所有区域进行分析。当这些代理（agent）完成评估后，所有的发现结果都自动汇总给一个核心的安全引擎，进行结果分析。之后，WebInspect启动审计引擎，评估所收集的信息，并运用攻击算法查找漏洞，并确

定其严重程度。通过上述的途径，WebInspect能够持续地使用适当的评估资源，以适应您的具体应用环境

类别：音视频测试工具

4.3.Video Clarity 视频质量分析系统

ClearView视频主观质量测试仪器---模拟人眼主观视觉系统HVS，用户通过指定条件可以将两路视频流在同一显示器下并行显示，也可以在不同的显示器上同时显示，在比较两路视频流主观质量的同时，通过JND、DMOS等评估算法评估两者的主观视频质量，根据门限值给出PASS/FAIL测试。同时采用主/客观参考标准，支持对于编/解码器等的QA 测试。仪器可以支持视频播放和视频采集功能的结合，便于用户搭建系统的视频质量测试环境，简单而实用。

产品为Shuttle和Extreme两大类多种型号。

公司的另外一款产品为RTM，实时视频质量监控设备，用户将原始视频流和处理后视频流同时分别接入到设备的采集接口，设备相对于原始视频流将实时监测处理后视频流的视频质量和音频质量的下降情况，并自动保存质量下降的片段，方便用户后续分析和数据存档。

4.4.VideoHans 3D视频监测

3D视频质量监测软件，能够告警视频质量差、让人看着不舒服的3D视频。采用专利技术和工具有效监控3D视频客观质量，通过有效分析3D视频的深度图等参数，重建3D视频主观模型，可满足在多种环境下有效、快速的追踪监测3D 视频质量。

产品目前为3D Monitor软件形式，提供SDK。

4.5.Sarnoff 视频质量测试

Sarnoff的产品分两部分。一为硬件，视频信号发生设备TSG-1；一为软件，

视频质量标准测试序列。

TSG-1? 是一款未压缩视频的播放设备，支持输出一路或多路特别许可的视频测试序列，用于精确测试用户数字视频工作流程。其性价比在市场上是绝对具有竞争力。可支持3D视频发生。

视频质量测试序列包括2种，一种为针对2D和3D视频，用于测试强调视频处理的不同方面，迅速揭露电视编码的缺陷，其中的运动测试序列可用于可视化评估，实现客观比较SD和HD编码器的质量和性能。一种为无须参考视频源，用于进行解码器的系统性精确测试。是业界事实上的标准。通过语法、语义方面测试解码器的性能以及对各种应用的兼容性，包括仿真设计到软硬件实现。众多的电子制造商、集成商、服务提供商利用此专利视觉验证技术进行测试工作，验证产品的解码复杂数字电视和HDTV信号的效果和性能。

4.6.VideoQ 视频质量测试

VideoQ的产品分两部分。一为测试序列，一为测试序列发生器。

测试序列包括人工动态测试模式和实时自定义片段，采用VideoQ独特的方法提供多种分别率下的具有恒定运动轨迹的视频测试序列，对于视频处理中运动图像的时空域分析至关重要，如去隔行等效果。

测试序列发生器结合其独特高端的静态和动态测试模式序列，用于即时的视觉、听觉质量评估，以及自动延迟、AV同步、3D LR同步测量，以及视频帧连续性测试等功能，用于视频质量和设备效果监测。

4.7.IneoQuest IPTV 综合测试仪

内置了硬件的Sniffer功能，7*24小时对IP网络上的媒体流进行监测，包括对传输质量的分析和诊断，对IP视频错误进行记录，回播和触发器捕捉，对MPEG-2 TS流的详细分析和PID的解码，显示视频内容缩略图和PID信息(支持MPEG-2, MPEG-4, H.264, WM9/VC1, DCII)，以及自定义视频和音频流的告警模板，实现媒体流的模拟，应用在现场排障和实验室测试，它能充分地满足IPTV 视频业务监测和分析的需求。

4.8.Hamlet 视频信号发生/分析系统

紧凑式低功耗光栅化仪器，适用于测量和监测所有生产和工程环境中音频和视频信号。模块化设计，便于用户升级服务。

根据所选模块，可实现3G/HD/SD/Composite视频信号和嵌入式音频/AES/EBU格式音频测试、分析、测量和误差检测，以及标准信号发生功能和眼图功能。具有波形、矢量、多元线性音频峰值柱状图和相位显示，以及图像显示等功能，可实现运营和一线工程维护等需求。

可应用于EFP、OB车载、产品生产前后期、编辑和图形处理、远程影院以及着色等任意需要进行串行数字信号或多格式测量的场合。

4.9.Triveni 码流分析仪

产品系列定位于DTV网络应用，实现企业级有效的流质量监测、分析和问题跟踪。可以远程监测、测量、录制、分析DTV流，确保流数据的完整性、稳定性以及标准协议的兼容性，提供端到端的DTV信号中MPEG-2/MPEG-4传输流监测和分析，应用于广播、电视、卫星、IPTV或移动网络等领域。主要特征包括QPSK、64/256 QAM、ASI 、GigE，以及文件输入、远程监测能力和IP路由分析。

4.10.Sage话音质量测试仪

Sage提供强大的VoIP 服务质量测试工具，这种快速且稳定的安装工具将帮助操作人员进行实地安装配置和故障排除。

安装人员只需呼叫Sage响应器,就可快速进行端到端自动分组话音测试和网络性能测试，Sage可以设置和接收来自2线模拟接口(POTS)或IP电话/数字电话的4线模拟手柄接口的测试呼叫。确保网络服务质量QoS得到保障，解决验证回声、延迟、MOS（清晰度）以及话音包丢失等其他更多问题；Sage也可作为一个电话线路测试设备，为100型线路和102型线路提供自动测试。

类别：网络测试工具

4.11.iTrinegy 网络仿真器

INE（iTrinegy Network Emulators）网络仿真器可以帮助你在工作平台上重建多种网络参数，模拟出各种不同的网络状况，测试并判断所开发的产品或者服务在实际网络环境中是否具有从容应对的能力。INE网络仿真器支持仿真各种网络比如广域网、无线局域网、GPRS、3G、卫星、RoIP或MPLS网络。并可根据实际需求，设定延迟、抖动、丢包、带宽限制等应用场景来协助你了解应用程序的执行情况。

在开发调试阶段使用INE产品，可保证你的应用程序在开发阶段就是在目标网络环境中运行，避免实际部署时因不适应网络环境的变化而不能实现预期设计目标。

INE网络仿真器提供了多款不同的型号以满足不同的需求，设备所配置的高性能处理器能够从容应对各种细节上的功能需要以及高效率的性能测试需求。紧凑的硬件架构设计使得其能够轻松安装在设备机架上或者放置在桌面上使用。

4.12.Ixia性能测试系统

Ixia是性能测试的领导者，通过测试可以确保融合型IP网络和应用服务具有高性能、高可靠性和安全性，提供从无线边缘网络到互联网核心应用的2-7层的全面测试解决方案。

1.设备制造商使用Ixia执行大规模协议模拟，并生成极大的流量负载来检验

基于IP的设备的性能

2.服务提供商使用Ixia模拟数百万用户来检验 IP 基础架构和服务的性能

3.企业和政府使用Ixia模拟数千用户来测试IP基础架构和应用程序的性能极

限，以考察设备和系统在真实网络中的表现

4.Ixia 测试系统与同类系统的不同之处

●单一平台－单个设备即可处理2-7层的所有测试，且具有向上和向下

兼容

●出众的功能性－通过对大量的测试参数进行精密控制来显现

●整体自动化－在整个测试环境中自动执行所有功能

4.13.Radcom协议分析仪

Radcom的Performer协议分析仪可以对超过650种的电信和数据网络通信协议进行解码，提供多种实用的分析功能，包括对协议的分布、协议域、地址、地址对、帧长度和帧状态的分析。

Performer可以灵活的设置门限值，对网络的异常状况和现象产生告警，使用户实时地针对重要数据进行分析，同时可以将所有的事件进行储存以便经一步研究。可以针对病毒特征可进行特定端口及特定字符串的过滤和跟踪分析，灵活方便的过滤和定义病毒及网络中的异常流量。所有的统计和分析结果均可以方便的导出CSV及TXT文件，便于Office程序进行后期统计分析和生成图表。

4.14.Qosmotec无线信道仿真及协议分析

Qosmotec的QPER是一个基于最新和最强大的数字处理技术的无线信道模拟器。QPER可以仿真、路径损耗、延迟、相移、多普勒频移、多普勒频散、加性高斯白噪声多径衰落仿真模型。

4.1

5.IEEE 802.15.4/ Zigbee无线协议分析仪

针对 IEEE 802.15.4和ZigBee网络， Perytons发布了业界第一款多点，多通道无线网络分析仪。这种分析仪结构紧凑、专业、容易使用，是唯一一款允许用户定制私有协议功能的分析仪。其独特的功能和灵活的架构，使该分析系统成为无线专业人员的必备工具。

分析仪的独特功能

●直观显示，方便使用

●容易理解系统的行为、性能

●符合IEEE 802.15.4-2006和IEEE 802.15.4-2003 PHY和MAC层，ZigBee,ZigBee pro（NWL，APS，ZDP层）

●市场上唯一支持多协议（ZigBee/802.15.4/6LoWPAN）、多天线，可以覆盖整个2.4GHz频带的分析仪

●运用天线分集技术的增强型数据捕捉性能，可以在恶劣的无线电环境下完成高质量的多通道捕捉

●可以和个人应用软件、协议整合，提供SDK开发包

●多种信息显示方式，显示传输信息与时间构成的二维视图，显示传输信息内容可达到每一个数据位，显示直观的网络拓扑结构图

●很容易在一个团队的各个成员间实现信息共享。（现场技术员，售后支持，操作员，质量评估，研发）

●通过网络监控工具可实现对主业务网络进行监测，对问题事件或异常工作情况自动报警通知

更多信息请致电010-********或访问网页https://www.360docs.net/doc/cb161264.html,