漏洞扫描测试方案

网络漏洞扫描系统

测试方案

目录

1产品初步评估 (3)

1.1 送测产品登记 (3)

1.2 产品功能 (3)

1.3 产品部署 (3)

1.4 系统配置........................................................................................... 错误!未定义书签。

1.5 基本情况调查 (4)

2系统功能测试 (7)

2.1 部署和管理 (7)

2.2 系统升级能力 (7)

2.3 扫描任务高级属性 (7)

2.4 扫描任务参数配置测试 (8)

2.5 扫描策略定制 (8)

2.6 信息收集能力测试 (9)

2.7 及时显示能力测试 (10)

2.8 扫描文档和报表 (10)

2.8.1扫描文档、报表的生成灵活程度测试 (10)

2.8.2报表信息完善程度和正确测试 (11)

2.9 系统的安全策略 (12)

2.10 文档 (12)

3漏洞扫描测试 (12)

3.1 系统脆弱性测试 (12)

3.2 数据库脆弱性扫描测试 (13)

3.3 系统智能化程度测试 (13)

4资产管理与弱点评估 (14)

4.1 部门管理 (14)

4.2 资产管理 (14)

4.3 资产弱点评估 (15)

5性能测试 (15)

5.1 扫描速度测试 (15)

5.2 扫描系统资源开销 (15)

6其他 (16)

7总结 (16)

1产品初步评估

产品初步评估是指对产品供应商的资质、产品本身的特性、内部配置、适用范围、技术支持能力、核心技术、产品本地化、产品认证等方面进行的书面的初步评估。

1.1 送测产品登记

表格一：送测产品登记表

产品名称

型号

厂商名称

产品形态

产品组成

1.2 测试环境要求

扫描系统应支持多种灵活的部署方式，可以被安装在便携机或PC工作站上，也可以也可以预装到机架式硬件工控机中，用户将其连接到被扫描的网络环境中即可进行对全网进行的脆弱性检测。

测试拓扑图如下：

1.3 基本情况调查

表格二：基本情况调查表

2系统功能测试

2.1 部署和管理

[测试目标]

测试系统安装过程是否简易，是否需要安装第三方软件，安装后是否对原系统造成不良影响，其基本构成是否与厂家提供的说明信息一致。

[测试结果]

2.2 系统升级能力

[测试目标]

测试系统升级的方式是否方便、多样，系统是否支持在线升级，升级过程是否安全（是否进行加密），升级内容是否详细

2.3 扫描任务高级属性

[测试目标]

系统支持扫描任务的高级属性

2.4 扫描任务参数配置测试

[测试目标]

是否可以配置不同的扫描任务参数

2.5 扫描策略定制

[测试目标]

测试扫描系统是否提供定制扫描策略的功能，扫描策略的定制是否方便，分类是否足够详细。

2.6 信息收集能力测试

[测试目标]

测试扫描系统是否能够正确获取目标主机的各类信息等

2.7 及时显示能力测试

[测试目标]

测试扫描系统是否能够及时列出扫描出的结果信息等

2.8 扫描文档和报表

2.8.1扫描文档、报表的生成灵活程度测试

[测试目标]

在扫描结束后，用户是否能够灵活地组织其希望生成的报告。

2.8.2报表信息完善程度和正确测试

[测试目标]

评估不同的扫描系统提供的信息的完善程度和正确程度

2.9 系统的安全策略

[测试目标]

测试扫描系统对于系统操作的日志和审计功能

2.10 文档

[测试目标]

测试该系统是否提供详尽的文档

3漏洞扫描测试

3.1 系统脆弱性测试

[测试目标]

测试扫描系统是否发现不同操作系统的系统弱口令以及不恰当的共享或危险配置等。

3.2 扫描验证测试

[测试目标]

测试扫描系统是否发现能对扫描出来的漏洞进行验证。

3.3 数据库脆弱性扫描测试

[测试目标]

测试被扫描的数据库是否包含默认口令、弱口令以及其他漏洞。

3.4 系统智能化程度测试

[测试目标]

测试扫描系统是否能够综合利用扫描获得的信息，是否能够根据一定的规则减少扫描

的工作量等智能化性能。

4资产管理与弱点评估

4.1 部门管理

[测试目标]

测试扫描系统是否能够增加、修改和删除部门的功能。

4.2 资产管理

[测试目标]

测试扫描系统是否能够增加、修改和删除资产的功能。

4.3 资产弱点评估

[测试目标]

测试扫描系统是否能够增加、修改和删除资产的功能。

5性能测试

5.1 扫描速度测试

[测试目标]

以量化的方式比较不同扫描系统的扫描速度。

5.2 扫描系统资源开销

[测试目的]

测试扫描系统运行所需要的资源开销。包括发起扫描主机的CPU、内存和网络带宽占用情况。