Doc-01.亿赛通内网数据泄露防护产品测试方案(CDG-FileNetSec-SafeUDisk).doc

《Doc-01.亿赛通内网数据泄露防护产品测试方案(CDG-FileNetSec-SafeUDisk).doc》由会员分享，可在线阅读，更多相关《Doc-01.亿赛通内网数据泄露防护产品测试方案(CDG-FileNetSec-SafeUDisk).doc（37页珍藏版）》请在咨信网上搜索。

1、亿赛通内网数据泄露防护 产品测试方案二九年九月版本历史版本日期备注1.02009年5月22日第1版亿赛通内网数据泄露防护产品测试方案2.02009年9月22日第2版亿赛通内网数据泄露防护产品测试方案Copyright 2009 ESAFENET Corporation BeiJing P. R. ChinaESAFENET CONFIDENTIAL: This document contains proprietary information of ESAFENET Corporation and is not to be disclosed or used except in accorda

2、nce with applicable agreements.Due to update and improvement of ESAFENET products and technologies， information of the document is subjected to change without notice.目 录1适用范围22参考资料23系统简介23.1DLP-CDG系统简介23.2DLP-FileNetSec系统简介34环境准备44.1系统环境44.2环境拓扑45测试计划56测试用例66.1EST-01：用户认证与帐号管理(AD集成认证、用户绑定)66.2EST-02

3、：文档透明加密保护(文档透明保护、策略定义和下发)86.3EST-03：内容安全控制(复制粘贴、另存为、拖拽、拷屏等控制)106.4EST-04：流程化支撑(解密审批流程、离线审批流程、卸载审批流程)146.5EST-05：例外需求处理(邮件外发自动解密审批流程、文档外发控制)176.6EST-06：设备安全管理(设备安全准入控制、安全U盘功能)196.7EST-07：DLP终端安全防护(用户异常状态审计、终端自我防护)216.8EST-08：系统日志审计(系统日志在线审计、报表导出)236.9EST-09：系统兼容(操作系统、应用软件、防病毒体系等兼容)246.10EST-10：应用系统集成

4、整合(安全网关透明加密，安全准入整合)256.11EST-11：文档主动授权控制(授权文档制作，批量授权)276.12EST-12：文档权限细粒化控制(复制粘贴，只读，打印，修改，再授权)296.13EST-13：权限文件流程支持(权限蛮更申请，还原)321 适用范围内网数据泄露防护项目。该测试方案主要用于指导用户针对亿赛通DLP系统测试(本方案含DLP-CDG、DLP-FileNetSec、DLP-SafeUDisk)。根据事先交流给定的需求、性能等要求，从测试组成员和用户的角度对系统进行测试，主要包含如下功能：n DLP-SMARTSEC(透明加解密模块)功能认证与帐号管理、策略管理、文档

5、加密保护、内容安全、流程支撑、例外处理、系统兼容、日志审计、系统集成、自我防护等；n DLP-DRM(权限管理模块)功能集中管理、权限控制、日志审计等；n DLP-ODM(外发管理系统)功能权限控制、系统兼容、日志审计；n DLP-FileNetSec(安全网关过滤设备)功能透明过滤加密、透明过滤解密、系统无缝集成等；n DLP-SafeUDisk(安全U盘)功能身份认证、U盘加密等；2 参考资料亿赛通DLP-CDG产品技术白皮书亿赛通DLP-CDG产品使用手册亿赛通DLP-FileNetSec产品技术白皮书亿赛通DLP-FileNetSec产品使用手册3 系统简介3.1 DLP-CDG系统简

6、介亿赛通数据泄露防护(DLP)体系（以下简称“DLP”），是面向企业客户应用的内网数据安全（文档安全）软件产品。DLP-CDG以数据透明加密为核心，结合身份认证、角色管理、数据保密、权限控制、流程应用、和监控审计技术，创建数据安全为中心的多层次安全模式，保护信息整个生命周期安全，构筑主动防御、阻止、追溯信息泄密的全方位内网安全解决方案。防止来自内部人员以电子文档为载体的企业内部重要信息泄密或外部窃取，降低机密信息、知识产权泄漏风险，减少高额管理成本。该系统保护的企业重要信息包括与产品研发和设计相关的图纸、方案、技术文档，与营销有关的营销策略、市场策划案、客户资料，与财税有关的财务报表等企业重要

7、的知识产权信息、商业秘密等信息。通过技术手段保证企业相关安全制度的有效执行和流程固化，实现 “事先主动防护，事中动态控制，事后全维追踪”的功能，从而杜绝信息泄密。3.2 DLP-FileNetSec系统简介亿赛通文档安全网关FileNetSec是亿赛通文档透明加密系统SmartSec的网络功能模块，用于保障SmartSec系统与其它网络系统的无缝集成并为其他网络系统提供文档安全保障。 NetSec由硬件和软件两大部分组成，其中硬件采用高性能的网络服务器，软件为亿赛通研发的文档安全网关过滤软件。亿赛通文档安全网关过滤软件由“网络加速”、“访问控制”、“访问日志”和“动态加解密”四大模块组成。35

8、4 环境准备4.1 系统环境机器名称用途操作系统环境配置数量DLP-SVR用来部署DLP-SMARTSEC服务器端,对内网终端进行安全管理WINDOWS2000(SP4)/WINDOWS2003(SP2)CPU:P4以上内存:512M以上，推荐1G硬盘:10G以上数据库:SQL2000(SP3)/ SQL2005/MYSQL1DLP-CLT用来部署DLP-SMARTSEC客户端，其中两台模拟内网受控终端，另外一台模拟外网非法终端WINDOWS2000/XP/2003/VISTACPU:800MHZ以上内存:512M以上硬盘:无特殊要求应用:IE6.0/7.0OFFICE2003/2007Ado

9、beAcrobat5.08.0防病毒/防火墙不限34.2 环境拓扑5 测试计划测试预期历时3天，具体安排如下表：日期类型事项时间（天）人员2009-9-N上午环境准备介绍测试方案环境准备0.5天客户方技术顾问、亿赛通技术顾问2009-9-N下午方案测试DLP-CDG功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-9-(N+1)上午DLP-FileNetSec功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-9-(N+1)下午其他拓展功能测试0.5天客户方技术顾问、亿赛通技术顾问2009-7-(N+2)测试总结测试总结/答疑整理测试报告1天客户方技术顾问、亿赛通技术顾问6 测试用例

10、6.1 EST-01：用户认证与帐号管理(AD集成认证、用户绑定)测试编号EST-01-01项 目本地认证与帐号管理(同步AD组织结构、同步AD用户)预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端，配置管理员configadmin需成功配置与AD集成相关的参数测试过程1. 展开“组织人员”功能导航；2. 点击“用户管理”功能按钮，出现右边区域“用户及组织结构”初始化界面；3. 点击“同步用户”，DLP系统将自动同步预先配置的AD架构及帐号信息； 4. 已成功同步的域用户可通过WEB或Client方式登录DLP系统；备注：DLP系统将与AD服务器进行

11、联动认证，帐号及口令均由AD服务器主导认证 。预期结果1. 可成功同步AD中预配置组织结构及用户信息，并以树形结构方式显示；2. 用户利用AD帐号及口令可通过WEB或Client方式成功登录DLP系统；3. 用户修改AD登录口令后，需提交新AD口令才可登录DLP系统。测试结果与结论备注测试人员测试日期测试编号EST-01-02项 目用户与终端绑定(终端绑定、取消绑定)预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端测试过程1. 在“用户管理”功能中找到需绑定用户，双击用户ID，将属性“绑定客户端”选定为“是”或“否”，如已成功同步的AD用户：user

12、1，属性“绑定客户端”选定为“是”；2. user1成功登录某一DLP终端后，注销登录，登录另一终端，提示“用户与某一终端绑定，无法登录当前终端”提示；3. 如需取消绑定，系统管理员用户systemadmin登录DLP服务器端，将user1属性“绑定客户端”选定为 “否”;4. user1登录DLP终端，可成功登录。备注：用户与DLP终端绑定的功能，即可规避帐号盗用、滥用，也可配合规范内网资产使用；对于需重复使用若干DLP终端的特殊用户，可设置属性例外。预期结果1. 可以对已同步的用户设置“绑定客户端”属性；2. 对于属性“绑定客户端”设置为“是”的用户，无法登录其他DLP终端机器；3. 对于

13、属性“绑定客户端”设置为“否”的用户，可以登录其他DLP终端机器。测试结果与结论备注测试人员测试日期6.2 EST-02：文档透明加密保护(文档透明保护、策略定义和下发)测试编号EST-02-01项 目文档透明加密保护(文档透明加密、透明解密)预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端，设定透明加密保护策略并下发给指定用户或用户组测试过程1. user1用户被下发有针对Office文档透明加密策略；2. user1用户登录DLP终端，右键新建测试文档“测试文档.doc”，双击打开并进行任意编辑后保存文档；3. user1用户双击打开“测试文档.

14、doc”，操作使用无任何影响；4. 将“测试文档.doc”通过网络共享、邮件发送或移动存储设备拷贝到其他非DLP终端或无用户登录的DLP终端，双击打开显示乱码无法正常使用；5. 将无法正常使用的“测试文档.doc”重命名为“测试文档-1.doc”后移交至user1用户登录的DLP终端，双击可正常打开使用；6. Office文档在DLP终端上完全透明化使用，用户无任何感知。预期结果1. user1用户使用Office文档无任何感知和影响；2. Office文档离开DLP环境外将无法使用；3. 具备有同样Office透明保护策略的DLP用户间，共享使用Office文档完全透明。测试结果与结论备注测

15、试人员测试日期测试编号EST-02-02项 目文档透明保护策略(策略定义、策略下发)预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端测试过程1. DLP系统完全开放策略定义功能，用户可以完全自主设置透明保护策略，无需厂商定制或二次开发；2. 点击“策略管理”导航中的“策略库编辑”功能，用户可以根据系统规则自主编辑和创建策略库；3. 点击“策略管理”导航中的“管理策略”功能，用户可以自主创建策略，并根据需要设置策略内容，如“加解密控制”、“打印控制”、“一般控制”、“应用安全控制”、“全盘初始化”、“邮件白名单”、“拷贝控制”、“安全U盘”等控制项；4

16、. 如创建策略“atmb_policy”，“加解密控制”中添加“办公类策略组”中“MS Office策略”，“是否添加加密文件上锁图标”默认为“是”；“打印控制”中，“水印内容”设置为“atmb_print_test”，勾选应用水印等；5. 在“用户管理”中，将策略“atmb_policy”下发给指定用户或指定组织结构，如下发给user1用户；6. user1用户登录DLP终端后，将实现对Office文档的透明加密保护，用户无论是连接打印机还是虚拟打印，打印出的水印内容将包含并不限于“atmb_print_test”等信息。预期结果1. 用户可成功自主编辑策略库；2. 用户可成功自主创建策略；

17、3. 用户可成功将策略下发；4. 策略将成功应用并产生对应效果。测试结果与结论备注测试人员测试日期6.3 EST-03：内容安全控制(复制粘贴、另存为、拖拽、拷屏等控制)测试编号EST-03-01项 目加密文档内容复制粘贴保护(加密文档间、所有文档间)预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端并成功下发对指定文档进行透明保护策略测试过程1. user1用户成功登录DLP终端，并新建“测试文档1.doc”、“测试文档2.doc”、“测试文档3.xls”、“测试文本.txt”等；2. 系统默认程序打开“测试文档1.doc”、“测试文档2.doc”、

18、“测试文档3.xls”、“测试文本.txt”，在“测试文档1.doc”中复制部分数据，在本文档内粘贴成功；3. 将内容粘贴至“测试文档2.doc”、“测试文档3.xls”，粘贴成功；4. 将内容粘贴至“测试文本.txt”，粘贴失败；5. 在“测试文本.txt”中复制部分数据，可以粘贴至任意文档中；备注：加密文档的内容只能在加密文档间成功复制粘贴，非加密文档则不进行任何控制。预期结果1. “测试文档1.doc”、“测试文档2.doc”、“测试文档3.xls”间可正常复制粘贴；2. 无法将“测试文档1.doc”、“测试文档2.doc”、“测试文档3.xls”的数据内容粘贴到“测试文本.txt”中；

19、3. 可以将“测试文本.txt”中的数据内容粘贴到任意文档中。测试结果与结论备注测试人员测试日期测试编号EST-03-02项 目加密文档内容另存为保护预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端并成功下发对指定文档进行透明保护策略测试过程1. user1用户成功登录DLP终端，并新建“测试文档1.doc”；2. 打开“测试文档1.doc”，编辑并保存，可确认文档已被透明加密保护；3. 打开“测试文档1.doc”，另存为“测试文档2.doc”，关闭当前文档，确认“测试文档2.doc”已被透明加密保护；4. 打开“测试文档1.doc”，另存为“测试文

20、档3.txt”，关闭当前文档，确认“测试文档3.txt”已被透明加密保护；5. 打开“测试文档1.doc”，利用双引号方式进行任意格式另存为，如另存为“测试文档4.abc”或“测试文档4.a”，关闭当前文档，确认“测试文档4.abc”或“测试文档4.a”已被透明加密保护；备注：对加密文档另存为动作将进行“*.*另存为加密保护”，防止数据泄密。预期结果1. 另存为“测试文档2.doc”，将成功进行透明加密保护；2. 另存为“测试文档3.txt”，将成功进行透明加密保护；3. 另存为“测试文档4.abc”或“测试文档4.a”，将成功进行透明加密保护。测试结果与结论备注测试人员测试日期测试编号EST

21、-03-03项 目加密文档内容拖拽保护(加密文档间、所有文档间)预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端并成功下发对指定文档进行透明保护策略测试过程1. user1用户成功登录DLP终端，并新建“测试文档1.doc”、“测试文档2.doc”、 “测试文本.txt”等；2. 系统默认程序打开“测试文档1.doc”、“测试文档2.doc”，利用“写字板程序”打开“测试文本.txt”，在“测试文档1.doc”中选定数据，在本文档内拖拽成功；3. 将选定内容拖拽至“测试文档2.doc”，拖拽成功；4. 将选定内容拖拽至“测试文本.txt”，拖拽失败；

22、5. 在“测试文本.txt”中选定部分数据，可以拖拽至任意文档中；备注：加密文档的内容只能在加密文档间成功拖拽，非加密文档则不进行任何控制。预期结果1. “测试文档1.doc”、“测试文档2.doc”间数据可正常拖拽；2. 无法将“测试文档1.doc”、“测试文档2.doc”的数据拖拽到“测试文本.txt”中；3. 可以将“测试文本.txt”中的数据内容拖拽到任意文档中。测试结果与结论备注测试人员测试日期测试编号EST-03-04项 目加密文档内容拷屏保护(开启加密文档控制、开启普通文档不控制)预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端并成功下

23、发对指定文档进行透明保护策略测试过程1. user1用户成功登录DLP终端，并新建“测试文档1.doc”、“测试文本.txt”等；2. user1用户打开“测试文档1.doc”，按下键盘上“PrtSc”截屏键，无法将“测试文档1.doc”内容截屏；3. user1用户打开“测试文档1.doc”，利用QQ程序的“捕捉屏幕”，无法将“测试文档1.doc”内容截屏；4. user1关闭“测试文档1.doc”，打开“测试文本.txt”，按下键盘上“PrtSc”截屏键，可以将“测试文本.txt”内容截屏；5. user1打开“测试文本.txt”，利用QQ程序的“捕捉屏幕”，可以将“测试文本.txt”内容

24、截屏；备注：当有加密文档开启时(无论文档是最大化、最小化、小窗口显示等)，禁止通过键盘硬拷屏和软件拷屏等泄密；不开启加密文档时，用户拷屏不控制。预期结果1. 当打开加密文档“测试文档1.doc”时，用户无法进行拷屏泄密；2. 当打开非加密文档时，用户可以正常进行拷屏。测试结果与结论备注测试人员测试日期6.4 EST-04：流程化支撑(解密审批流程、离线审批流程、卸载审批流程)测试编号EST-04-01项 目自动解密审批流程预置条件系统管理员systemadmin或具备有审批员设置角色用户WEB方式登录DLP服务器端并成功设置解密审批员角色测试过程1. user1成功登录DLP终端后，通过右键点

25、击托盘区DLP程序图标，通过“业务申请”-“解密申请”添加需要进行自动解密的文件或文件夹，同时填写解密理由备注；2. user1也可以通过选定一个或多个待解密文件，右键选择“亿赛通安全文档”-“密文解密申请”来提交解密申请单；3. 具备有自动解密审批角色的用户，在终端冒泡提醒下，登录DLP服务器端，进行解密审批；4. 解密审批员可在线查看任意待解密文档内容、可以拒绝审批或通过审批；5. 当解密审批员审批通过后，申请人将收到终端冒泡提醒，系统将自动解密提交的申请文档；备注：解密审批员将采用分级审批控制，指定审批员只能审批本部门或本部门及子部门用户所提交的解密申请。预期结果1. 用户user1可成

26、功通过右键点击托盘图标或右键直接选定文件的方式提交解密申请；2. 解密审批员在终端冒泡提醒功能下，登录DLP服务器进行解密审批；3. 解密审批员可以通过、拒绝、延时处理当前审批，可以在线查看待审批文档内容；4. 审批通过后，申请人可收到终端冒泡提示，系统成功自动解密提交的申请文档；测试结果与结论备注测试人员测试日期测试编号EST-04-02项 目离线审批流程预置条件系统管理员systemadmin或具备有审批员设置角色用户WEB方式登录DLP服务器端并成功设置离线审批员角色测试过程1. user1成功登录DLP终端后，通过右键点击托盘区DLP程序图标，通过“业务申请”-“离线申请”填写离线时长

27、，同时填写离线理由备注；2. user1也可以登录DLP服务器端，在“离线申请”中填写离线申请单；3. 具备有离线审批角色的用户，在终端冒泡提醒下，登录DLP服务器端，进行离线审批；4. 离线审批员可以拒绝审批、通过审批；5. 当离线审批员审批通过后，申请人将收到终端冒泡提醒，系统将自动设置离线策略；备注：离线审批员将采用分级审批控制，指定审批员只能审批本部门或本部门及子部门用户所提交的离线申请。预期结果1. 用户user1可成功通过右键点击托盘图标或WEB方式提交离线申请；2. 离线审批员在终端冒泡提醒功能下，登录DLP服务器进行离线审批；3. 离线审批员可以通过、拒绝当前审批；4. 审批通

28、过后，申请人可收到终端冒泡提示，系统成功设置离线策略。测试结果与结论备注测试人员测试日期测试编号EST-04-03项 目卸载审批流程预置条件系统管理员systemadmin或具备有审批员设置角色用户WEB方式登录DLP服务器端并成功设置卸载审批员角色测试过程1. user1成功登录DLP终端后，通过右键点击托盘区DLP程序图标，通过“业务申请”-“卸载申请”填写卸载理由备注；2. user1也可以登录DLP服务器端，在“卸载申请”中填写卸载申请单；3. 具备有卸载审批角色的用户，在终端冒泡提醒下，登录DLP服务器端，进行卸载审批；4. 卸载审批员可以拒绝审批、通过审批；5. 当卸载审批员审批通

29、过后，申请人将收到终端冒泡提醒，申请人将允许卸载DLP客户端；备注：卸载审批员将采用分级审批控制，指定审批员只能审批本部门或本部门及子部门用户所提交的卸载申请。预期结果1. 用户user1可成功通过右键点击托盘图标或WEB方式提交卸载申请；2. 卸载审批员在终端冒泡提醒功能下，登录DLP服务器进行卸载审批；3. 卸载审批员可以通过、拒绝当前审批；4. 审批通过后，申请人可收到终端冒泡提示，系统成功设置终端保护策略，申请人将允许卸载DLP客户端。测试结果与结论备注测试人员测试日期6.5 EST-05：例外需求处理(邮件外发自动解密审批流程、文档外发控制)测试编号EST-05-01项 目邮件外发自

30、动解密审批流程预置条件系统管理员systemadmin或具备有审批员设置角色用户WEB方式登录DLP服务器端并成功设置邮件外发审批员角色及解密员角色，并正确配置后台邮件服务器参数测试过程1. user1成功登录DLP服务器端后，填写“邮件外发解密申请单”；2. 填写正确的收件人、邮件正文、解密方式、添加加密附件等信息；3. 具备有邮件外发审批角色的用户，在终端冒泡提醒下，登录DLP服务器端，进行邮件外发审批；4. 邮件外发审批员可以同意审批、拒绝审批，也可以下载查看外发附件信息；5. 当邮件外发审批员审批通过后，DLP系统将集成企业邮件服务器自动发送邮件；备注：邮件外发审批员将采用分级审批控制

31、，指定审批员只能审批本部门或本部门及子部门用户所提交的邮件外发解密申请。(邮件外发解密申请分自动解密流程或手动解密流程，手动解密流程中，审批员完成审批后流程将自动提交至解密员，附件解密将由解密员完成)预期结果1. user1可以成功提交邮件外发申请单并添加外发解密附件；2. 邮件外发审批员可以同意审批、拒绝审批，也可以下载查看外发附件信息；3. 当邮件外发审批员同意审批后，DLP系统将集成企业邮件服务器自动发送明文附件邮件。测试结果与结论备注测试人员测试日期测试编号EST-05-02项 目文档外发安全控制预置条件系统管理员systemadmin或具备有用户高级角色用户WEB方式登录DLP服务器

32、端并成功配置指定用户允许使用外发模块功能测试过程1. user1成功登录DLP终端后，通过右键点击托盘区DLP程序图标，通过“工具”-“外发工具”添加需要进行外发加密控制的文件或文件夹；2. user1也可以通过选定一个、多个待外发文件或文件夹，右键选择“亿赛通安全文档”-“制作外发文档”来制作外发加密文档；3. 可以对外发文档设置访问密级“直接预览”、“密码验证”、“机器标识”等访问密级；4. 可以对外发文档设置访问权限，如“只读”、“打印”，可设置“只读次数”、“只读时长”、“打印水印”等信息；5. 用户在使用外发文档时，无需安装任何浏览器直接使用，文档超出使用权限后将自动销毁；6. 外发

33、文档使用时，禁止复制内容、禁止另存为、禁止拖拽、禁止编辑修改。预期结果1. user1可以成功制作外发文档；2. 外发文档使用时，用户无法超出预先分配的权限；3. 外发文档的内容将进行安全保护，可防止内容再版、篡改。测试结果与结论备注测试人员测试日期6.6 EST-06：设备安全管理(设备安全准入控制、安全U盘功能)测试编号EST-06-01项 目设备安全准入控制预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端并成功设置安全U盘策略并下发测试过程1. 在策略“atmb_policy”的“安全U盘”策略项中，勾选“只允许安全U盘接入”功能；2. 在“设

34、备管理”中，成功导入任意安全U盘序列号；3. 将“atmb_policy”策略下发给user1，user1成功登录任意DLP终端；4. 在DLP终端上插入安全U盘，可成功登录使用；5. 正常拔出安全U盘设备，在DLP终端上接入其他非安全USB存储设备，系统将提示禁止接入或禁止使用等提示；6. 取消勾选策略“atmb_policy”的“安全U盘”策略项中“只允许安全U盘接入”功能，DLP终端可接入和使用任意USB存储设备。预期结果1. 在“安全U盘”策略项中勾选“只允许安全U盘接入”功能配置下，安全U盘在user1登录的DLP终端上可正常使用；2. 在“安全U盘”策略项中勾选“只允许安全U盘接入

35、”功能配置下，其他非安全USB存储设备将禁止接入和使用；3. 在“安全U盘”策略项中取消勾选“只允许安全U盘接入”功能配置下，任意USB存储设备均可在DLP终端上正常使用。测试结果与结论备注测试人员测试日期测试编号EST-06-02项 目安全U盘功能预置条件系统管理员systemadmin或具备有策略管理角色用户WEB方式登录DLP服务器端并成功设置安全U盘策略并下发测试过程1. 安全U盘在外网任意终端上使用时，需输入正确的口令才可进入使用；2. 安全U盘在内网用户成功登录的DLP终端上使用时，无需输入口令即可直接进入使用；3. 安全U盘在内网无用户登录的DLP终端上使用时，需输入正确的口令才

36、可进入使用；4. 可在策略“atmb_policy”的“安全U盘”策略项中设置安全U盘的密码强度和密码生效周期，当安全U盘口令超出默认密码周期控制规则时，将强制用户修改安全U盘口令。预期结果1. 安全U盘在外网任意终端上使用时，输入正确的口令可登录使用；2. 安全U盘在内网用户user1成功登录的DLP终端上使用时，无需输入口令可直接进入使用；3. 安全U盘在内网无用户登录的DLP终端上使用时，输入正确的口令可登录使用；4. 安全U盘密码过期后，系统将提示用户修改口令，口令强度与“atmb_policy”策略中设置一致。测试结果与结论备注测试人员测试日期6.7 EST-07：DLP终端安全防护

37、(用户异常状态审计、终端自我防护)测试编号EST-07-01项 目用户状态审计与导出预置条件系统管理员systemadmin或具备有用户管理角色用户WEB方式登录DLP服务器端测试过程1. 进入“组织人员”导航的“用户管理”功能项显示区预，可对所有用户的前一次扫描状态进行审计；2. 执行“状态扫描”功能，可以对“当前页面”用户或“全部用户”进行状态扫描，DLP系统对用户状态提供“未注册”、“脱机”、“在线”三种状态显示；3. 执行“状态扫描”功能时，可以导出用户当前最新连接状态为EXCEL报表；备注：当用户状态未为“未注册”时，表示该用户没有安装DLP终端或没有成功登录DLP终端；当用户状态未

38、为“在线”时，表示该用户正在联机使用DLP终端；当用户状态未为“脱机”时，表示该用户没有联机使用DLP终端。预期结果1. DLP系统支持扫描“当前页面”用户状态，扫描结束后系统显示当前页面中用户最新连接状态；2. DLP系统支持扫描“全部用户”状态，扫描结束后系统显示所有用户最新连接状态；3. 可以将当前最新用户状态导出为EXCEL报表。测试结果与结论备注测试人员测试日期测试编号EST-07-02项 目终端自我防护预置条件已成功安装DLP终端测试过程1. 在“添加删除程序”中，卸载DLP终端，提示需输入卸载口令；2. 在“任务管理器”中结束DLP终端主程序“CDGRegedit.exe”，无法

39、结束；3. 在注册表“RUN”项中，删除或修改“CDGRegedit”开机启动项值，无法删除或修改；4. 重命名DLP终端安装目录下主执行文件“CDGRegedit.exe”，无法进行重命名；5. 删除DLP终端安装目录下主执行文件“CDGRegedit.exe”，无法删除；备注：用户无法通过普通手段破坏DLP终端的配置和运行环境，即使用户通过极端手段破坏DLP终端环境，DLP终端还提供安全的数据保密防护：只加密不解密。预期结果1. 在“添加删除程序”中，无法正常卸载DLP终端，提示输入卸载口令；2. 在“任务管理器”中结束DLP终端主程序“CDGRegedit.exe”，无法结束；3. 在注

40、册表“RUN”项中，删除或修改“CDGRegedit”开机启动项值，无法删除或修改；4. 重命名DLP终端安装目录下主执行文件“CDGRegedit.exe”，无法进行重命名；5. 删除DLP终端安装目录下主执行文件“CDGRegedit.exe”，无法删除。测试结果与结论备注测试人员测试日期6.8 EST-08：系统日志审计(系统日志在线审计、报表导出)测试编号EST-08-01项 目系统日志在线审计及报表导出预置条件系统管理员systemadmin或具备有日志管理角色用户WEB方式登录DLP服务器端测试过程1. 在“日志管理”导航中，可以对“服务器日志”、“终端日志”、“安全U盘日志”进行

41、在线审计；2. 可以根据不同的审计项和日志进行审计；3. 可以对不同的日志审计结果进行报表导出，可导出为EXCEL报表；备注：“终端日志”、“安全U盘日志”等，上传周期为10分钟。预期结果1. 可以对“服务器日志”、“终端日志”、“安全U盘日志”进行在线审计；2. 可以根据“执行动作”、“时间周期”等进行过滤审计；3. 可以将不同条件的日志审计结果导出为EXCEL报表。测试结果与结论备注测试人员测试日期6.9 EST-09：系统兼容(操作系统、应用软件、防病毒体系等兼容)测试编号EST-09-01项 目系统兼容预置条件安装DLP服务器端与DLP终端测试过程1. DLP终端可兼容WINDOWS主

42、流操作系统，如WIN 2000、WIN XP、WIN 2003、WIN VISTA等32bit操作系统；2. DLP终端可兼容各种应用软件，如通用办公软件(MS Office、WPS)、PDF软件(AdobeAcrobat 、FoxitReader)、邮件系统软件(MS Outlook、FoxMail、MS Outlook Express、MS Exchange)及其他各种应用软件；3. DLP终端可兼容国内外各种主流防病毒系统、杀毒软件(如赛门铁克、卡巴斯基、趋势、瑞星、Mcafee、江民、Nod32、金山毒霸等)。预期结果1. DLP终端可兼容WINDOWS32bit主流操作系统；2. D

43、LP终端可兼容各种应用软件；3. DLP终端可兼容国内外各种主流防病毒系统、杀毒软件。测试结果与结论备注测试人员测试日期6.10 EST-10：应用系统集成整合(安全网关透明加密，安全准入整合)测试编号EST-10-01项 目应用系统集成整合(搭建临时PDM系统或集成正式PDM系统进行透明加密整合验证)预置条件成功搭建临时PDM系统或集成正式PDM系统，并在安全网关设备上成功配置相关策略和网络参数测试过程1. user1登录DLP终端，通过PDM下载技术文档或图纸(MS Office文档、CAD图纸)，确认文件下载加密并可透明使用；2. user1登录DLP终端，在线预览/编辑PDM中技术文档

44、或图纸，可透明使用(前提为PDM系统支持在线预览/编辑)；3. 将加密文件上传提交PDM系统，确认PDM系统中为明文存放；4. 在无用户登录的DLP终端或普通终端上，通过PDM下载技术文档或图纸(MS Office文档、CAD图纸)，确认文件下载加密并无法解密使用；5. 在无用户登录的DLP终端或普通终端上，在线预览/编辑PDM中技术文档或图纸，提示加密无法使用；6. 在无用户登录的DLP终端或普通终端上，将加密文件上传提交PDM系统，确认PDM系统中为明文存放，确认OA系统中为明文存放；备注：安全网关与应用系统整合(PDM系统为例)，实现效果为：加密文档上传应用系统，网关将实现透明解密提交后台应用服务器存储；任意用户在任意终端从应用系统中下载资源数据，网关将实现透明加密处理后提交用户。预期结果1. user1从PDM系统中下载附件，附件将被透明加密保护，在DLP终端上使用完全透明；2. 在无用户登录的DLP终端或普通终端上从PDM系统中下载附件，附件将被透明加密保护，文档将无法使用；3. 任意用户在任意终端上传加密文件，网关将实现透明解密，PDM系统后台将明文存储。测试结果与结论备注测试人员测试日期测试编号EST-10-02项 目应用系统集成整合(搭建临时PDM系统或集成正式PDM系统进行安