SEP端点安全防护产品测试报告V1.docVIP

- PAGE 1 - 端点安全防护产品测试要求及细则 说明：测试要求包括对已知安全威胁防护能力、对未知安全威胁防护能力、产品安装部署、产品管理运维四个方面内容。 测试类别一：已知安全威胁防护能力 测试用例 1. 已知恶意软件检测率 测试目的 对于已知的安全威胁，包括病毒、蠕虫、木马、后门、间谍软件等的查杀能力是终端安全防护的基本要素。 测试方法及指标 由于本次测试无法提供足够数量的样本进行评测，此条目主要根据权威的第三方评测报告进行衡量。 测试结果 （必须）测试产品需提供英国“Virus Bulletin”的VB100认证次数，如实填写下表： 　 此处填写产品名称 通过次数 失败次数 2007年 近5年 全部 （可选）测试产品需提供AV-Comparatives最近一次的测试结果（2007年8月），如实填写下表： 产品名称 Win32病毒、宏病毒、蠕虫检测率 木马、间谍软件、后门等检测率 多形态病毒检测率 总检测率 备注 测试用例 已知Rootkit识别与清除能力（待补充） 测试目的 测试方法及指标 测试结果 备注 测试类别二：未知安全威胁防护能力 测试用例 未知U盘病毒防护 测试目的 很多病毒利用U盘进行传播，其原理是利用操作系统在打开U盘或者移动硬盘时，会根据根目录下的autorun.inf文件，自动执行病毒程序。终端防护产品应对未知的U盘病毒具有免疫能力。 测试方法及指标 设定主动防护策略，并在终端代理上执行。 在U盘上构造autorun.inf文件，设定双击或者右键打开均执行测试程序test.bat。 在终端上双击U盘：如果正常打开，则测试成功。如果出现找不到文件类型的提示或者执行测试程序，则测试失败。 在终端上右键选择打开U盘：如果正常打开，则测试成功。如果出现找不到文件类型的提示或者执行测试程序，则测试失败。 在CMD窗口使用“echo test virus c:\autorun.inf”模拟U盘病毒感染硬盘。如果出现autorun.inf文件，则测试失败。如果C盘CMD程序将被关闭，c盘不会出现autorun.inf文件，则测试成功。 测试防护策略不会影响光驱的自动播放功能以及光盘刻录功能，尝试双击光驱：如果可以自动运行则测试成功；否则失败。 测试结果 备注 测试用例 ARP欺骗攻击防护 测试目的 一些病毒和木马软件利用Arp欺骗攻击的方式，将正常的流量牵引到感染病毒到终端。根据ARP欺骗的原理，一旦欺骗包离开终端，其他的终端及网关都无法判断其真假，因此终端防护软件必须能够识别这些欺骗包，在没有最新的病毒定义的前提下对ARP病毒进行阻断和有效防护。 测试方法及指标 设定主动防护策略，并在终端代理上执行。 在同一局域网启动两台计算机作为被攻击终端。 在安装了代理的终端商，使用arpsproof工具模拟arp病毒攻击方式，对局域网中的两台终端进行欺骗攻击。 在被攻击终端上使用arp –a 查看arp表，如果IP－MAC地址对应关系没有被欺骗，则测试成功；否则测试失败。 管理服务器应可以查看是否有相关报警信息：如果有关于arp欺骗的准确报警信息，测试成功；否则测试失败。 测试结果 备注 测试用例 IE浏览器保护 测试目的 越来越多的流氓软件、间谍软件对IE浏览器进行劫持，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。终端安全防护产品应提供对浏览器的保护。 测试方法及指标 设置策略，锁定IE主页，禁止任何程序篡改：在终端上通过手工设定IE首页或者通过注册表修改IE首页。如果IE主页没有被修改，则测试成功；否则失败。 禁止IE加载特定插件（测试以3721插件为例）：在终端上安装3721软件后，开启IE浏览器，检查是否加载了3721插件。如果3721没有被启用，则测试成功，否则测试失败。 测试结果 备注 测试用例 阻断病毒网络共享传播 测试目的 网络共享是局域网内病毒扩散的一个主要途径，由于业务需要不能关闭共享端口，但是需要终端防护软件可以限制对默认共享路径的写权限，避免病毒扩散。 测试方法及指标 设定主动防护策略，并在安装代理的终端上生效。 在局域网启动一台终端作为被攻击终端，并设置其管理员口令为空 在安装了代理的终端上访问被攻击终端C$目录，以空口令登录，尝试新建一个文件：如果操作被禁止则测试成功；否则测试失败。 验证通常的文件共享和打印共享不受影响：在安装了代理的终端上访问被攻击终端C$目录，任意拷贝一个文件到本地。如果可以拷贝，则测试成功；否则测试失败。 测试结果 备注 测试用例 禁止恶意软件自动安装 测试目的 目前主要的病毒、木马、rootkit、流氓软件等恶意软件，其特有的行为特征包括：在％windir%目录下