[概述]
安全保密性测试,对于很多测试人员而言比较神秘。本文通过PC的安全性测试,阐述了安全保密性问题无时无刻不在我们的身边。
[正文]
现代社会越来越多的信息通过电子文档的形式保存在计算机中。很多企业员工都是在一个高度信息化的环境中工作,每人一台计算机已经是工作的必须配置。而这些计算机中保存了很多重要的信息,有些信息对公司而言甚至是生死攸关的。在保证员工能够正常工作的前提下,如何保证计算机中各种信息的安全保密,不仅是每个员工的问题,更是每个企业需要重点关注的问题。
图1 员工计算机使用环境
图1展现的是一个员工的计算机使用环境。员工计算机上包括了很多常见的重要信息,这些都是公司的内部机密,一旦泄露出去,会给公司带来无法估量的损失。从图中可以看到,这么一个保存了很多重要信息的计算机由于工作的需要,会在各种不同的网络环境下使用,例如:公司网络、家庭网络或一些公共场所。而各个不同的网络上都存在很多潜在风险,会影响信息的安全保密性。
2)PC安全性测试设计
针对上述的安全保密性需求,某公司准备对所有员工计算机进行一次安全保密性测试,从而有针对性的对其中发现的问题进行改进。目前该公司的办公计算机的操作系统全部使用Windows XP。此次安全保密性测试主要考虑以下方面:
° 硬盘加密:很多计算机都支持硬盘机密功能,在BIOS里面可以设置硬盘的访问密码。硬盘加密能够有效的防止非法用户进入计算机;
° 屏幕保护:Windows XP提供了屏幕保护的功能,而且可以要求输入密码才能退出屏幕保护,在员工离开自己电脑时间较长的情况下,应该自动的激活有密码保护的屏幕保护;
° 防病毒软件:防病毒软件能够实时保护计算机免受病毒的侵害;
° 防火墙:能够有效的防止数据的外泄,同时也能保证外部非法用户无法访问计算机;
° Windows的文件共享:文件共享是常见的安全保密性隐患,共享的文件必须通过密码保护,同时共享结束后要及时取消;
° Windows用户账号密码:Windows的账号密码的设置要足够复杂,同时要定期更换;
° Windows Service Pack等级:Windows XP必须安装当前最新的Service Pack,这样才能更好避免非法用户利用操作系统的漏洞攻击系统;
° 安全性补丁:微软为Windows XP发布了很多安全性补丁,在发布安全性补丁后的一段时间内,员工必须安装这些补丁。
3)生成PC安全性测试用例概要
针对上面的这些安全保密性测试关注点,最终生成了如表1所示的安全保密性测试用例列表。
表1 安全保密性测试用例列表
|
编号 |
测试用例概要 |
测试用例类别 |
|
1 |
测试计算机硬盘是否加密 |
硬盘加密 |
|
2 |
测试屏幕保护是否开启 |
屏幕保护 |
|
3 |
测试屏幕保护是否小于30分钟 |
|
|
4 |
测试防病毒软件版本是否符合要求 |
防病毒软件 |
|
5 |
测试防病毒软件是否在运行 |
|
|
6 |
测试防病毒软件是否启动了每天实时更新 |
|
|
7 |
测试防火墙软件版本是否符合要求 |
防火墙 |
|
8 |
测试防火墙软件是否正在运行 |
|
|
9 |
测试防火墙软件的服务是否运行 |
|
|
10 |
测试所有共享文件是否需要设置的密码才能访问 |
Windows的文件共享 |
|
11 |
Windows当前的密码策略要求密码长度不小于8位 |
Windows用户账号密码 |
|
12 |
Windows当前的密码策略要求密码最长使用时间不超过90天 |
|
|
13 |
Windows当前的密码策略要求同一个密码被再次使用之前必须间隔8个不同的密码 |
|
|
14 |
测试操作系统使用了最新的Service Pack |
Windows Service Pack等级 |
|
15 |
测试所有安全性补丁已经安装 |
安全性补丁 |
4)PC安全性测试结果分析
根据表1中的测试用例列表完成详细的测试用例设计后,为了保证该安全保密性测试可以长期自动的运行,该公司开发一个软件安装到所有员工的计算机上,可以定期对员工计算机进行测试并将测试结果发回到数据中心。对于没有通过测试的员工计算机将及时的采取纠正措施。
图2 安全性测试结果
该公司共有计算机200多台,图2所示是第一次全面测试的结果。测试结果表明总体情况并不理想,完全通过所有测试的计算机只有156台,还有相当部分的计算机不能达到安全保密性的要求。对于没有完全通过测试的计算机,需要进一步根据每台计算机的详细测试结果,有针对性的进行纠正。该公司对于这种安全保密性测试将会定期进行,以保证公司信息的安全。