×

数据防泄密测试报告(下)
  

张尔祥12189 86991人觉得有帮助

{{ttag.title}}

4.3.文档操作管控

4.3.1.本地文档的操作记录
测试项
文档操作管控
测试子项
[url=]本地文档的操作记录[/url]
适用场景
了解文档使用和流转情况,发现非法操作,保留审计证据。
测试步骤
1. 登录控制台;
2. 左侧计算机树中选择计算机A、组或整个网络;
3. 在计算机A上进行新建、访问、修改、复制、删除文档等操作,控制台选择日志-文档操作,查看日志记录结果;
4. 选择策略-日志记录,点击红色+号标识新建一条策略,在右边的属性栏选择模式为不记录,勾选文档操作项,点击绿色勾号图标保存策略;
5. 在审计范围内的计算机进行新建、访问、修改、复制、删除文档等操作,选择日志-文档操作,查看日志记录结果是否正确。
预期结果
1. 执行前三步,文档操作日志中有相应文档新建、访问、修改、删除等记录;
2. 执行后两步,文档操作日志中没有相应文档新建、访问、修改、删除等记录。
测试结论
通过      口 部分通过       未通过        未测试
备注
4.3.2.设置文档备份
测试项
文档操作管控
测试子项
[url=]设置文档备份[/url]
适用场景
防止重要文件被离职、调岗员工篡改、删除保证文件安全。
测试步骤
1. 登录控制台,选择计算机A
2. 选择高级-文档控制,点击红色+号标识新建一条策略,勾选删除前备份,默认盘符类型,点击绿色勾号图标,保存策略;
3. 选择高级-文档控制,点击红色+号标识新建一条策略,勾选修改前备份,默认盘符类型,点击绿色勾号图标,保存策略;
4. 选择高级-文档控制,点击红色+号标识新建一条策略,勾选复制移动到备份,复制移动出备份,默认盘符类型,点击绿色勾号图标,保存策略;
5. 日志记录中,标有回别针图标的日志为附有备份文档的日志,双击日志记录查看日志信息,点击副本选项查看是否有备份文档,将副本保存到本地查看是否成功。
预期结果
1. 文档操作日志中有相应文档删除与备份记录;
2. 文档操作日志中有相应文档修改、复制移动与备份记录;
3. 文档操作日志可查看文档备份副本,保存副本到本地。
测试结论
通过      口 部分通过       未通过        未测试
备注
共享文档日志与文档操作日志区别:
1. 计算机B访问A的共享文件夹操作文档时,控制台上查询计算机A的共享文档日志,可查到计算机B的操作记录;
2. 计算机A访问计算机B的共享文件夹操作文档时,控制台上查询计算机A的文档操作日志可查到计算机A操作计算机B共享文档的操作记录。
4.3.3.服务器共享文档拷贝记录
测试项
文档操作管控
测试子项
[url=]服务器共享文档拷贝记录[/url]
适用场景
记录访问文档服务器共享文档的操作,备份拷贝文档。
测试步骤
1. 登录控制台;
2. 选择计算机A
3. 选择高级-文档操作,点击红色+号标识新建一条策略,勾选复制/移动到备份或复制移动出备份,盘符类型选择网络盘,即将文件服务器共享文档拷贝出来或者上传文档时备份,点击绿色勾状图标,保存策略;
4. 计算机A访问共享服务器文档,拷贝共享文档到本地,上传本地文档到共享服务器,控制台选择日志-文档操作,查看日志记录结果是否正确;
5. 标有回别针图标的日志为附有备份文档的日志,双击日志记录查看日志信息是否正确,点击副本选项查看备份文档是否正确,或者保存备份文档到本地。
预期结果
1. 查看到计算机A访问共享文件夹操作日志信息;
2. 查看到计算机A拷贝共享文档备份副本或保存到本地。
测试结论
通过      口 部分通过       未通过        未测试
备注
1. 复制/移动到备份与复制移动出备份结合盘符使用,如:
2. 勾选复制/移动到备份,即为文档复制/移动到网络盘时备份;
3. 勾选复制/移动出备份则为文档从网络盘复制/移动出来的时候备份。
4.3.4.设置本地文档操作权限
测试项
文档操作管控
测试子项
[url=]设置本地文档操作权限[/url]
适用场景
限定本地文档访问修改、删除权限。
测试步骤
1. 登录控制台;
2. 选择计算机A
3. 选择高级-文档控制,点击红色+号标识新建一条策略;在右边的属性栏选择模式为禁止,操作类型勾选修改和删除;文件名称可以选择路径,比如C:\Users\Sangfor\DesktoP\共享文件\*,则共享文件这个文件夹下的所有文件,或者是直接限定文件名称,点击绿色勾状图标,保存该策略;
4. 在被测试计算机上操作访问设定路径下的文档,执行打开、修改、删除等操作,测试操作是否可以成功。
预期结果
计算机A的共享文件文件夹内的所有文档,只能读取,无法执行修改、删除等在测试中禁止的操作。
测试结论
通过      口 部分通过       未通过        未测试
备注
忌:若禁止访问C盘文件或某些程序安装文件,可能会导致系统文件无法访问,进而导致系统崩溃。
4.4.敏感内容识别
4.4.1.建立敏感信息分类库
测试项
敏感内容识别
测试子项
建立敏感信息分类库
适用场景
用户可自定义敏感内容信息的匹配规则
测试步骤
1. 登录控制台;
1. 在菜单栏分类管理—>敏感信息分类库中,进入敏感信息分类库界面
2. 选择“特征规则”,右键“新建”。
3. 规则1)特征规则名称:合同001;类型:关键字;至少命中:4次;包含内容:甲方;乙方;
4. (规则2)特征规则名称:合同002;类型:正则表达式;至少命中:1次;包含内容:\d{17}[\d|x]|\d{15}
5. 选择“信息分类”,右键“新建”,信息分类名称:合同;备注信息:匹配合同关键字;(关联第3步骤的两条特征规则)规则组:合同001,规则权重:50;合同002,权重规则:50
预期结果
通过上述操作能够建立相应的敏感信息分类库
测试结论
通过      口 部分通过       未通过        未测试
备注
(规则1)多个内容用英文;隔开,彼此间是“或”的关系;(规则2)是身份证的正则表达式,其它的正则表示式规则可以网上查询;规则权重默认需要到达100才会匹配生效。
4.4.2.扫描包含敏感内容的文档
测试项
敏感内容识别
测试子项
扫描包含敏感内容的文档
适用场景
根据设定的敏感信息分类库规则,扫描出符合条件的文档(支持officetxtpdf等文本类文件)。
测试步骤
1. 在电脑桌面文件夹准备3个待测试的文档:
1. TXT文档内容包括:2个关键字(甲方、乙方)
2. Excel文档内容包括甲方、乙方、4404*****67X、4404*****06207670
3. Word文档内容包括:≥4个甲方、乙方关键字、≥2个身份证号码登录控制台,选择菜单栏敏感信息—>敏感信息全盘扫描任务。
4. 新建一条策略:“常规”,选择相应的客户端计算机对象,选择敏感内容:合同,包含文件:C:\Users\Sangfor\Desktop\2\*,“高级”,任务选项:仅扫描,其它默认。“确定”保持策略设置。
5. 登录控制台,选择菜单栏敏感信息—>本地敏感信息扫描工具。
6. 在这里查找:C:\Users\**istrator\Desktop\1文件型:*,敏感内容:合同,设置完后,点击“扫描”。
预期结果
1. 步骤23,“任务日志”会显示结果为,共扫描3,发现敏感文件1
2. 步骤45,会显示出符合条件的Word文档信息。
测试结论
通过      口 部分通过       未通过        未测试
备注
4.4.3.敏感文档外传控制
测试项
敏感内容识别
测试子项
敏感文档外传控制
适用场景
禁止带有敏感信息的文档对外传递,并作审计、备份、报警和警告处理。
测试步骤
1. 登录控制台,选择“敏感信息外传控制策略”。
1. 新建策略1命名策略“禁止敏感文档复制到移动盘、网络盘”,动作:禁止,勾选审计、报警和警告(内容可自定义),敏感内容:合同,勾选复制到移动盘,复制到网络盘(路径:[url=]\\192.168.1.1\temp\wangcheng[/url]\*)。保存策略设置。
2. 新建并复制一个未包含敏感信息的文档到U盘或者网络盘,观察效果。
3. 复制桌面文件夹的Word文档到U盘或者网络盘,观察效果。
4. 新建策略2,命名策略“禁止通过IM传送敏感文档”,动作:禁止,勾选审计、报警和警告(内容可自定义),敏感内容:合同,IM传送文件:勾选,聊天工具:全部。保存策略设置。
5. 通过QQ/微信客户端发送桌面文件夹TXTexcel文档,观察效果。
6. 通过QQ/微信客户端发送桌面文件夹的Word文档,观察效果。
7. 在控制台敏感信息日志里查看是否有相关日志记录
预期结果
1. 步骤3,能够成功;
2. 步骤4,操作失败,并且有报警、警告相关信息。
3. 步骤6,能够成功;
4. 步骤7,操作失败,并且有报警、警告相关信息。
5. 步骤8,相关操作日志具有记录。
测试结论
通过      口 部分通过       未通过        未测试
备注
4.4.4.敏感信息落地控制
测试项
敏感内容识别
测试子项
敏感信息落地控制
适用场景
对带有敏感信息的文档落地做审计,报警和警告
测试步骤
1. 登录控制台,选择“敏感信息落地控制策略”。
2. 新建策略,命名策略“敏感信息落地控制策略”,动作:禁止,勾选审计和报警(内容可自定义),敏感内容:合同,包含范围可选择默认。保存策略设置。
3. 接收并保存一个含有敏感信息的文件,观察效果。
预期结果
步骤3,可接收敏感信息,并由报警信息。
测试结论
通过      口 部分通过       未通过        未测试
备注
4.5.审计策略
4.5.1.互联网审计(含邮件审计)
测试项
审计策略
测试子项
互联网审计
测试目的
可以审计终端用户访问互联网的日志行为。
测试步骤
1. AC完成部署配置;
2. 内网PC在AC设备上线;
3. 如果是旁路部署模式,交换机镜像配置正确接入到AC镜像口,AC监控IP范围正确;
4. 配置好互联网审计策略;
5. 终端正常上网;
6. 登录数据中心查看相关日志。
预期结果
数据中心记录所有用户访问互联网的日志。
邮件审计:
测试结论
通过       口 部分通过     未通过         口 未测试
备注
4.5.2.IM审计
测试项
审计策略
测试子项
QQ聊天内容审计
测试目的
可以审计终端用户通过IM收发消息的详细内容。
测试步骤
1. AC完成部署配置;
2. 内网PC已安装准入客户端,并在AC设备上线;
3. 新建行为审计-终端审计策略,启用终端IM应用审计,并将策略关联给客户测试PC(要离线审计QQ聊天记录时只需勾选离线终端审计选项)。
4. 测试PC使用IE浏览器打开任意网站,弹出安装准入控件提示,并完成在线安装。
5. 测试PC登录QQ发送和接收聊天信息测试。
预期结果
1. 通过日志中心中即时通讯日志查询能查询到测试PCQQ聊天内容
1. 通过内置日志中心“搜索中心”可以根据关键字及QQ号查询到聊天内容
测试结论
通过       口 部分通过     未通过         口 未测试
备注
4.5.3.业务审计
测试项
审计策略
测试子项
业务审计
测试目的
对访问的WEB业务系统、FTP业务系统、SMB业务系统内容进行审计。
测试步骤
1. AC完成部署配置。
2. 业务访问的数据经过AC。
1. AC业务审计策略配置完成。
2. 重新登录web、ftpsmb
3. 上传文件到web、ftpsmb。
4. 从web、ftpsmb下载文件。
预期结果
审计到ftpsmb的登录,上传,下载,注销等操作。
测试结论
通过       口 部分通过     未通过         口 未测试
备注
4.6.审计与追溯
4.6.1.外发泄密分析
测试项
外发泄密分析
测试子项
资料外泄追溯分析
测试目的
对终端用户的外发泄密行为进行追溯。
测试步骤
1. 内网用户通过QQ/微信外发一份劳动合同范本文件。
1. 内网测试用户通过QQ/微信发送文字泄密消息“keyword”。
2. 在日志中心-泄密追溯能查询到对应的文件或关键字。
预期结果
1. 在【泄密追溯】通过关键字“keyword”追溯,可追溯出所有含有“keyword”的外发文件。
3. 在【泄密追溯】通过上传机密文件追溯,可以追溯出内容有相似的文件。
测试结论
通过      口 部分通过       未通过        未测试
备注
4.6.1.1.资料外泄追溯分析
4.6.1.2.通过U盘外发泄密
测试项
外发泄密分析
测试子项
通过U盘外发泄密
测试目的
审计终端用户通过U盘外发泄密的行为。
测试步骤
1. AC添加终端审计策略,勾选移动存储介质;
1. AC添加接入管理-终端检查-终端插件检查规则,可选择禁止使用的外设类型和对U盘及移动硬盘的接入做权限控制;
2. 设置完成之后,约5分钟可在日志中心的U盘及移动硬盘日志中查看相应日志。
预期结果
1. U盘插入拔出日志。
3. 禁用U盘时,员工插入无效,并有日志记录。
4. 拷贝文件到U盘记录。
测试结论
通过      口 部分通过       未通过        未测试
备注
4.6.2.业务访问分析
4.6.2.1.访问业务系统的敏感信息
测试项
业务访问分析
测试子项
访问业务系统的敏感信息
测试目的
审计终端用户访问业务系统敏感信息的行为。
测试步骤
1. AC业务审计策略配置完成
1. ITM规则设置-业务设置-业务管理配置账号提取
2. 用户使用账号登录业务系统,并从业务系统下载文件
3. 查看业务访问日志和业务访问分析、用户访问分析、账号分析
预期结果
1. 业务访问日志:呈现谁通过什么账号访问了业务系统,下载了什么文件。
4. 业务分析:能根据下载文件查找到对应用户和使用账号。
5. 用户访问分析:从用户维度呈现此用户使用账号,下载文件。
6. 账号分析:从账号维度层现此账号被什么人使用,做过什么操作。
7. ITM业务分析中,从数据对象维度可以呈现关注的数据对象被命中情况
测试结论
通过      口 部分通过       未通过        未测试
备注
4.7.802.1x认证
用例标题
开启802.1x通过认证
测试工具
PC
预制条件
[size=12.0000pt]1. PC接交换机的端口开启802.1x认证;
2. 交换机和AC对接正常,联动交换机中看到交换机对接情况;
3. AC配置本地用户test,密码123456.
测试步骤
[size=12.0000pt]1. PC接入交换机的802.1x认证端口;
2. PC安装准入客户端或者使用自带的802.1x客户端提交正确的用户名密码;
3. PC去ping测试服务器1;
预期结果
test用户通过认证,可以ping通服务器1
测试结果
备注
注意,测试连接成功后联动交换机才会有显示,否则无显示
4.8.应用控制
用例标题
开启应用控制
测试工具
PC
预制条件
1.AC流量经过串联AC
2.AC在AC上线
测试步骤
[size=12.0000pt]1. 配置应用控制策略,默认所有电脑不能上网,某些电脑可以上网,且权限限制
[size=12.0000pt]2. AC使用账号上线
预期结果
test用户通过认证,不可以pingwww.baidu.com
测试结果
备注
两台AC同时对接AD域,将账号导入到设备,设备上配置认证数据转发

打赏鼓励作者,期待更多好文!

打赏
24人已打赏

Sangfor2419 发表于 2020-11-26 20:03
  
感谢楼主分享,楼主的帖子内容非常详细,对大家使用该功能有较大的帮助,期待楼主有更加精彩的分享~
小明偷学 发表于 2024-8-30 15:52
  
每天坚持打卡学习签到!!
小明偷学 发表于 2024-7-2 10:26
  
非常好的实践教程,谢谢分享
guhui 发表于 2024-5-29 09:33
  
打卡学习,感谢大佬分享!
dhf 发表于 2022-11-29 13:50
  
感谢楼主的精彩分享,有助工作!!!
蟲爺 发表于 2022-7-1 23:47
  
感谢分享
飞翔的苹果 发表于 2022-2-22 08:35
  
感谢分享,有助于工作,学习学习
向上吧,少年 发表于 2022-2-13 15:35
  
每日一学,坚持打卡。
zjwshenxian 发表于 2022-2-13 09:28
  
感谢楼主的精彩分享,有助工作!!!
新手078326 发表于 2022-1-14 09:17
  
楼主,我真的是佩服你不要不要的了
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
【 社区to talk】
技术笔记
干货满满
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
POC测试案例
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人