医疗行业AC+ITM测试方案 file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps27.jpg
深信服科技股份有限公司
目录
目录 2 第1章 前言 3 1.1 测试设备 3 1.2 设备部署 3 第2章 现场测试——场景测试 4 2.1 临床科室需求测试 4 2.2 信息科室需求测试 4 2.3 外来运维人员需求测试 5 第3章 ITM平台优势功能 6 3.1 机密文档智能识别功能 6 3.1.1 风险事件预警 6 3.1.2 机密文档自动匹配 8 3.2 泄密行为分析追溯功能 8 3.2.1 泄密文档追溯 9 3.2.2 泄密图片追溯/OCR智能识别 10 3.3 业务梳理 / 异常访问预警分析功能 12 3.3.1 业务梳理功能 12 3.3.2 业务异常访问预警场景 12 3.4 用户账号/服务端异常访问分析功能 13 3.4.1 账号异常访问场景 13 3.4.2 服务器非法外联访问场景 14 3.5 现网态势感知联动场景 15 第4章 测试结论 17
第1章
前言1.1 测试设备1.2 设备部署上网行为管理和全网行为管理作为数据采集设备,上网行为管理设备大多数用户已经部署好,全网行为管理设备一般和ITM设备同时测试。对部署模式不关注,但必须启用上网审计策略、能和ITM正常通讯;ITM推荐分布式集群部署,需要测试图片识别OCR,需要另外部署一台OCR服务器。
file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps28.jpg 第2章
现场测试——场景测试2.1 临床科室需求测试用例标题 | | | | | | | 1. 针对USB使用问题,将终端USB使用情况进行审计,包括插拔、拷贝等动作审计 截图 2. 针对核心OA业务系统,当终端进行异常行为访问时可进行异常行为审计告警 截图 3. 针对用户使用OA系统期间的文档文件操作行为,可进行内容审计、缓存下载溯源分析 截图 | | | 2.2 信息科室需求测试用例标题 | | | | | | | [size=12.0000pt]1.针对信息科常见双网卡访问模式[size=12.0000pt],要能针对不同用户进行网络使用权限管控[size=12.0000pt],包括双网卡告警[size=12.0000pt]/强制单网卡[size=12.0000pt]/指定WI-FI连接等[size=12.0000pt],防止非法外联问题发生[size=12.0000pt],并能在ITM做到有效提醒[size=12.0000pt]。 截图 2.[size=12.0000pt]将Teamview访问定义为风险事件[size=12.0000pt],并当终端使用相关软件可在ITM平台进行告警提醒[size=12.0000pt]; 截图 [size=12.0000pt]3.针对USB使用问题[size=12.0000pt],将终端USB使用情况进行审计[size=12.0000pt],包括插拔、拷贝等动作审计[size=12.0000pt]/控制[size=12.0000pt]; 截图 [size=12.0000pt]3.针对核心业务系统[size=12.0000pt],当终端进行异常行为访问时可进行异常行为审计告警 截图 4. 针对外网用户使用邮件外发文档文件问题,可进行内容审计、缓存下载溯源分析 截图 | | | 2.3 外来运维人员需求测试用例标题 | | | | | | | [size=12.0000pt]1.针对大量外来运维人员[size=12.0000pt],对接入内网之前[size=12.0000pt],强制要求终端基线检查[size=12.0000pt],包括终端系统版本[size=12.0000pt]、终端杀毒[size=12.0000pt]、补丁安装情况[size=12.0000pt]、外联插件[size=12.0000pt]、外设管控等[size=12.0000pt]。 截图 [size=12.0000pt]2.针对常见双网卡访问模式[size=12.0000pt],要能针对不同用户进行网络使用权限管控[size=12.0000pt],包括双网卡告警[size=12.0000pt]/强制单网卡[size=12.0000pt]/指定WI-FI连接等[size=12.0000pt],防止非法外联问题发生[size=12.0000pt],并能在ITM做到有效提醒[size=12.0000pt]。 截图 3.[size=12.0000pt]将Teamview访问定义为风险事件[size=12.0000pt],并当终端使用相关软件可在ITM平台进行告警提醒[size=12.0000pt]; 截图 [size=12.0000pt]3.针对USB使用问题[size=12.0000pt],将终端USB使用情况进行审计[size=12.0000pt],包括插拔、拷贝等动作审计[size=12.0000pt]/控制[size=12.0000pt]; 截图 [size=12.0000pt]3.针对核心业务系统[size=12.0000pt],当终端进行异常行为访问时可进行异常行为审计告警 截图 5. 针对外网用户使用邮件外发文档文件问题,可进行内容审计、缓存下载溯源分析 截图 | | |
第3章 ITM平台优势功能3.1 机密文档智能识别功能传统DLP解决方案:通过大量规则或关键字配置泄密事件。 (1)部署困难,定义DLP策略的人往往是客户公司的IT人员,他们不了解需要保护的业务文档中“机密”的格式或定义,因此需要花费大量时间与各部门沟通去定义关键字以及规则。 譬如在调研客户使用DLP的经验时,发现有些大公司需要半年以上的时间来配置“DLP”策略。 (2)检测效果差,用户配置策略很难保证其检测效果,容易发生“漏报”和“误报”。通过沟通总结出的策略,IT人员很难去验证其有效性,往往需要长时间运营来手动调整策略。 深信服的内部威胁方案:用户机密文档样本+机器学习。 (1)部署简单,用户只要通过页面导入客户关注的机密文件,或者通过部署样本采集工具即可学习机密文档。 (2)检测效果好,平台通过学习客户的机密文档,生成机密文档样本库,用户内网中所有员工的外发文件均会通过机密文本检测引擎进行识别。针对存在与机密文档相似的外发文档,结果展示页面带有“疑似泄密文件”标记,可以在文件威胁分析看到可疑文件的匹配相似度,以及相关的预警功能。 3.1.1 风险事件预警用例标题 | | | | | 1.ITM系统已经有数据 2.ITM新建规则引用财务信息类型和个人隐私类型,规则开启【页面告警】和【邮箱告警】 | | [size=12.0000pt]6. 内网用户通过QQ/微信外发一份公司财务机密数据“财务信息.xls”,一份员工个人信息“身份证原文件excel.xls” [size=10.5000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps29.png[size=10.5000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps30.png [size=12.0000pt]7. 邮箱会收到相关告警信息,同时页面有冒泡告警信息,分析中心-用户详情页面展示用户详细的泄密信息: [size=10.5000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps31.jpg[size=12.0000pt] [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps32.jpg[size=10.5000pt] [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps33.jpg[size=10.5000pt] [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps34.jpg[size=12.0000pt] | | | 3.1.2 机密文档自动匹配用例标题 | | | | | 1.ITM系统已经有数据 2.ITM文件威胁分析样本库中已上传公司的机密文件样本,例如财务信息.xls,投标文件.doc等 | | 1.内网用户通过QQ/微信外发一份公司机密文件contract.doc [size=10.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps35.png 2.在【文件威胁分析】能看见合同资料被匹配中: [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps36.jpg | | |
3.2 泄密行为分析追溯功能内部威胁产品外发行为分析引擎,有以下特点: n 多维度、场景化、搜索引擎式分析与追溯技术。 n 支持常见的加密办公文档和加密压缩文件识别,封堵内网员工通过加密敏感信息外发的行为。 n 针对压缩包,分析引擎能递归深度高达100层的深度递归分析与挖掘。 n 针对复合eml文件,能深度递归分析嵌套的文件。 n 引擎内置通用的高性能PCRE正则识别引擎及高速字符串匹配引擎。 n 针对图片文件,能通过OCR服务高精度识别出图片的文字内容。 引擎通过提供文档关键字、上传文档、上传图片相似度等追溯方式,方便客户找到外发的可疑文件。 3.2.1 泄密文档追溯用例标题 | | | | | | | [size=12.0000pt]1. 内网用户通过QQ/微信外发一份劳动合同范本文件: [size=10.5000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps37.png 2. 在【泄密追溯】通过关键字“keyword”追溯,可追溯出所有含有“keyword”的外发文件: file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps38.jpg [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps39.jpg[size=12.0000pt] 3.在【泄密追溯】通过上传机密文件追溯,可以追溯出内容有相似的文件 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps40.jpg[size=10.5000pt] [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps41.jpg[size=12.0000pt] 5.在【泄密追溯】通过上传机密图片追溯,可以追溯出内容有相似的文件 | | |
3.2.2 泄密图片追溯/OCR智能识别 深信服OCR是采用Docker容器技术+深度学习技术提供图像检测识别的web服务,确保该服务能私有化快速部署在任意一台服务器上,而不用关注AI所需要的复杂环境配置,并结合机器环境和业务场景提供多元化的参数配置,支持常见的各种格式图片,能高精度的识别出图片文字内容。目前主要通过嵌入ITM产品从而实现办公场景下全方位的防泄密审计职能。
用例标题 | | | | | | | 在【泄密追溯】通过上传机密图片追溯,可以追溯出内容有相似的文件 file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps42.jpg [size=10.5000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps43.jpg[size=10.5000pt] [size=10.5000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps44.jpg
| | |
3.3 业务梳理 / 异常访问预警分析功能3.3.1 业务梳理功能业务系统一般是业务部门申请的,IT部一般只分配资源,具体有多少系统业务部门很难梳理,但IT部又需要对业务系统进行管理,所以需要对IT系统能够进行全面的梳理。 业务系统状态监控场景。 保障业务系统使用稳定是IT部门的主要职责之一,因此需要对业务系统的状态进行监控,发现异常情况的时候能及时预警,及时处理,保证业务的正常运转。
用例标题 | | | | | 1.参考2.2章节完成配置,不了解具体业务情况,在「业务定义」时,填写业务网段范围 2.日志同步到ITM,日志已经生成 3.ITM-「日志中心」-「日志检索中心」-「业务访问日志」已经有数据 | | [size=12.0000pt]1.业务分析将审计到到业务全部展示 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps45.jpg | | | 3.3.2 业务异常访问预警场景员工正常访问业务系统时,可能会存在一些恶意或无意的行为对业务系统造成危害,要能够从正常的访问中识别出来进行预警。比如大量下载关键数据,异常时段的下载关键数据等。同时,对业务本身的恶意行为要进行识别,比如突然大流量的访问行为等。
用例标题 | | | | | 1.业务审计策略配置好,参考2.2节 2.ITM系统已经有数据 | | [size=12.0000pt]1.异常大流量访问,异常大数量下载行为等 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps46.jpg[size=12.0000pt] | | | 3.4 用户账号/服务端异常访问分析功能3.4.1 账号异常访问场景a. 账号共享。各应用系统都有一套独立的账号体系,用户为了方便登陆,经常出现多人共用账号的情况。多人同时使用一个系统账号在带来管理方便性的同时,导致用户身份唯一性无法确定。如果其中任何一个人离职或者将账号告诉其他无关人员,会使这个账号的安全无法保证。 b. 登录时间异常。对一个账号在异常时间的登录行为进行预警,这个账号可能被别人使用了,或者是有人在有意获取关键信息 c. 账号爆破。对一个账号在一段时间多次尝试进行登录进行预警,可能这个账号在被人爆破 d. 静默账号的突然活跃。一个长期沉寂的账号突然产生登录行为 e. 特权账号的监控。对公司领导的特权账号进行监控,能够发现被其他人使用,或异常登录情况,比如登录的时间异常,登录的位置异常,访问的行为异常,比如大量的下载或频繁的查询等。 f. 新终端登录。账号在新的终端上登录 g. 账号权限过大。正常情况下一个人使用几个权限,但实际上给这个人的权限过大,给了一些不应该给到的权限 用例标题 | | | | | 1.业务审计策略配置好,参考2.2节 2.ITM系统已经有数据 | | 1.【账号共享】登录ITM控制台后,点击「业务访问分析」-「账号分析」,同一个账号被多人使用,异常。 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps47.jpg[size=12.0000pt] [size=12.0000pt]2.【登录时间异常】登录ITM控制台后,点击「业务访问分析」-「账号分析」,假设客户周末休息时间,不允许访问公司业务系统,出现了账号访问,异常。 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps48.jpg[size=12.0000pt] [size=12.0000pt] | | | 3.4.2 服务器非法外联访问场景服务器外联异常大流量。 用例标题 | | | | | 1.业务审计策略配置好,参考2.2节 2.ITM系统已经有数据 | | 1.登录ITM控制台后,点击「业务访问分析」-「服务器分析」,外发流量异常。 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps49.jpg[size=12.0000pt] 2.登录ITM控制台后,点击「业务访问分析」-「服务器分析」,服务器被访问次数异常时,可能出现问题。 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps50.jpg[size=12.0000pt] | | | 3.5 现网态势感知联动场景用例标题 | | | | | [size=12.0000pt]1[size=12.0000pt].SIP与AC完成对接,同时,用户访问流量经过AC; [size=12.0000pt]2[size=12.0000pt].存在未联动响应的失陷主机。 [size=12.0000pt]3[size=12.0000pt].连接的终端需在AC上在线 | | [size=12.0000pt]1.在[处置中心/风险终端]页面,找到一台未联动检测到有连接到恶意域名的风险主机,在[联动响应]一栏,点击<联动处置>[size=12.0000pt]。 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps51.jpg[size=12.0000pt] 2.冻结账号:针对已处置服务器/终端的告警页面,可在联动处置详情页面查看完整的取证结果,如下图所示:[size=12.0000pt]。 [size=12.0000pt]file:///C:\Users\think\AppData\Local\Temp\ksohtml18736\wps52.jpg[size=12.0000pt] | | |
第4章
测试结论 |