首页 > 文章中心 > 测试报告

测试报告范文精选

测试报告

测试报告范文第1篇

图样

名称

介绍

级别

功效

价格

十全大补丸

补剂古方之一,十全大补,有补血疗伤之功效。

3

恢复气血=品质*4+200,上限=品质*4+1001500~3000

固本培元丹

用于恢复元气的灵丹妙药,服用后可以恢复一定气血。

3

恢复气血=品质*12+1502000~4000

凝气丸

兰虎家传之丹药,服用后有助于凝神聚气,能补充法力。

3

恢复魔法=品质*5+1001500~3000

七珍丸

用七种仙草凝炼而成,能补充法力和解除酒类异常状态。

3

解除酒类异常状态,恢复魔法=品质*3+501500~3000

醉仙果

用琼浆玉液灌溉培育而成,服后让人醉生梦死。

3

恢复愤怒=品质*1,附加疯狂状态3~4回合2000~4000

舒筋活络丸行走江湖必备之良药,能补充气血和解除封类异常状态。3

解除封类异常状态,恢复气血=品质*32000~4000

九转续命丹

取天地阴阳之精华,糅合多种草药精制而成,能起死回生。

3

复活、恢复气血=品质*5+100,另上限=品质*5+100(不超过上限)2000~4000

药的品质如何确定:

根据笔者3个号的测试,药的品质是根据购买者等级确定的,根据购买者的等级在一定数值间随机的给予的。其中酒的品质和其它药不一样,笔者10级号买品质为30+,130级号购买为60+,据一155级人士说其购买酒的品质也为60+。

3个测试号分别为10级、59级、130级(因为笔者的疏忽59级号上买药品质图丢失,因为是借的号所以账号不记得了,但2个号的对比也能叫大家看出个所以然了)

药品的作用:

在官方给于的资料中已经把药品的作用陈述的很清楚了,笔者在这里也就不赘述了,简单来说:

十全大补丸作用相当于小还丹

固本培元丹作用相当于金香玉

凝气丸作用相当于蛇蝎美人

七珍丸作用相当于十香返生丸

醉仙果作用相当于醉生梦死

舒筋活络丸作用相当于五龙丹

九转续命丹作用相当于九转回魂丹

兰虎的位置:

兰虎的位置移到到擂台之上(433,108)而且偶尔还会吆喝几句哦。

药品的给于:

经过一系列测试擂台用药是不可以给于或者交易人的,除了十全大补丸(不知道是正常设置还是个BUG)

不能给于

不能交易

十全大补丸可以给于

药品的回收:

测试报告范文第2篇

主要是因为不同的对象,关注不同的事务。如果一股脑的把所有的内容都揉合在一份文档里,文档内容过长,试问哪个阅读者有耐心去读完?曾经把文档的结构做过调整,按阅读者进行了结构的调整,但是问题还是来了,一是,遇到挑剔的上层,他们会认为你发的东西还是过于冗余,太多他不关心的东西,那么你的工作就做的不好。二是,在测试报告中,难免会有一些不适合发给客户的内容。其他还有很多情况,让一份包罗万象的测试报告被万般挑剔。

总体来说,报告的对象大致分为3类:

项目管理阶层、项目组开发测试人员、客户或其他的预期读者

对于不同的读者,在不同的阶段,侧重点的大概内容如下(这里只说开发结束后的测试报告部分,也只提一个框架,具体的大家自己根据公司实际情况去填充。开发中的各类报告在此省略):

1项目管理阶层

产品的质量

对整个过程的总结、分析

展示一些测试团队的成果数据

对消耗的资源(时间、人力、物力)进行分析

2项目组成员

对各个阶段进行总结,关注可以提升的地方,以及值得推广的经验

对各个阶段每个成员的表现进行分析、统计,进行评定

3客户或其他的预期读者

产品的质量信息(包括对用例执行情况的统计、趋势的分析、性能报告手册等)

其他的客户要求提供的信息

测试报告范文第3篇

ASTM(美国材料与试验协会)成立于1898年,现已成为世界最大的自愿一致标准发展体系之一。

ASTM是一个非赢利机构,它为产品生产者,用户,最终消费者,以及被涉及到的政府和学术界代表在共同关心的领域提供交流讨论的机会,并为材料,产品,系统及服务编写标准。由132个标准编写委员会进行工作,ASTM出版试验方法,规范,惯例,指南,分类和术语等标准。ASTM标准制定工作围绕着金属,涂料,塑料,纺织品,石油,建筑,能源,环境,消费品,医疗服务及设备,计算机系统,电子和其它领域。ASTM总部没有技术研究或测试设施;这些工作由分布在世界各地的35,000名具有技术上合格的ASTM成员自愿完成。

每年,10,000多项ASTM标准发表在ASTM标准年鉴的72卷中。这些标准及相关信息在全世界范围销售。

2.什么是标准?

在ASTM协会里,标准这一术语是指在该协会内在自愿协商一致意见原则下研究和制定的并且符合ASTM协会工作程序和规定要求的的一种文件。

3.ASTM制定何种标准?

ASTM制定六种主要类型的充分协商一致标准,它们是:

★标准试验方法--为鉴定,测量和评估关于材料,产品,系统或提供服务一项或多项的质量,特性及参数等指标而采用的规定程序

★标准规范--对材料,产品,系统,或项目应该符合一系列要求的精确说明,同时还指出了确定是否满足每一要求应采用的程序

★标准惯例--一种确定的程序用来实现一种或多种特定操作或功能,但不能产生测试结果

★标准术语--一种文件包含有条件,定义,对条件的描述,符号、缩略语、首字缩写说明组成的文件

★标准指南--一系列选择或用法说明,并不介绍具体实施方法

★标准分类--基于其来源,组成,性能或用途,对材料,产品,系统,或特定服务的一种系统的排列和区分。

4.为什么ASTM标准是可靠的?

多种因素确保ASTM标准的质量和可靠性,这些因素包括:

★通过一个自愿的,充分协商的途径使不同背景,经验和学科的人们聚集到一起来

★在标准制定中各方面利益的均衡体现

★为确保标准的精确经过严格的大量重复测试

★严格的投票表决和审批程序保证信息的准确和是最新的

★鼓励开放式讨论的气氛

5.充分自愿协商一致标准的含义是什么?

充分自愿协商一致标准是由有兴趣参与标准编制或使用的各方面人士合作制定的标准。

标准可以以各种不同程度的自愿协商一致为基础而制定。例如:

★公司标准--在指定的组织的雇员中达成自愿协商一致(主要是在设计,研制,生产,和采购人员中间)

★工业标准--在指定工业的公司中达成自愿协商一致(特别是在商业协会中)

★专业标准--在特定专业范围内的单独成员中达成自愿协商一致(特别是在专业协会中)

★政府标准--通常是在政府机构或部门的雇员中达成自愿协商一致

★ASTM制定充分自愿协商一致标准,并相信由各方面投入制定的标准能够经得起严格的评审,可以作为商业,法律或政府管理行动的基础使用。是具有最高的可信度技术的可靠的标准。

6.委员会投票表决人员比例限定的含义是什么?

在委员会中参与投票的标准制定人员人数不能够超过参与投票的非标准制定人员总数(用户,最终消费者,及被涉及到的政府和学术界代表)。

7.ASTM标准的使用是否是强制性的?

ASTM标准的制定是自愿的,使用也是自愿的。除非政府将其以法律形式确定下来,或其在合同中被引用。

8.ASTM标准的用户有哪些?ASTM标准被成千上万的个人,公司,及机构使用。购买者和销售者共同使用标准来规范其合同;科学家和工程师在他们的试验室中应用ASTM标准;建筑师和设计人员在其设计中使用该标准;政府部门在制定法典,规章和法令过程中参照该标准;还有许多其它用户参照该标准作为指南。

9.谁负责编写ASTM标准?

ASTM标准由服务于技术委员会的自愿成员编写。通过一个正式的投票程序,在标准经ASTM协会公布之前,所有成员都参与讨论。

任何在委员会工作领域中有专长的人都有资格成为委员会成员。目前,ASTM协会有大约35,000名成员实际上在工业界,政府部门,及学术界的各个领域工作。

10.什么是ASTM协会的技术委员会?

它们是制定ASTM标准的特殊机构。共有132个主管技术委员会,并且每一个下面都有下属的数个分委员会。分委员会是ASTM标准制定系统的基本单位,其中包括了特定领域中最高技术水平的专家。分委员会可再细分为小组。小组成员不一定要求是ASTM协会成员;许多小组寻求非ASTM成员对特殊领域问题给予专业性指导。

11.ASTM标准是如何制定出来的?

当确定需求后,标准制定工作就开始了。任务小组成员准备出经过基层小组委员会书面投票讨论的标准草稿。在委员会通过后,该文件被提交到主管委员会投票表决。一经分委员会通过,该文件将提交到协会进行投票表决。对于在投票过程中所记录的反对票,其中包括投票者对反对理由的书面说明,在提交到下一步程序之前必须经过充分研究。标准的正式批准还须同时经过ASTM标准委员会的正式程序及应执行的过程。只有这样ASTM标准才能公布。

12.制定一个标准的周期有多长?

制定一个标准通常需要大约两年左右的时间,虽然有些委员会曾经用一年或更短的时间中制定出标准。进度完全取决于需求的急迫程度,工作的复杂程度,及委员会投入该项目的精力。

13.如何在ASTM提出制定一项新标准的项目?首先,需要向ASTM总部提出书面申请,其内容包括对所提出项目的详细说明,及可能对该项目感兴趣的个人,公司,团体。然后,ASTM工作人员会对该项目进行调查,评估其是否有适当的利益,调查在其它组织中是否有并行的项目在进行,确定该项目在ASTM组织中恰当地归属。

组织一个新项目的程序包括根据该项目的复杂性制定一个计划和召开一个筹备会议。这些会议保证所有相关行业都有机会确定是否需要开展此活动,包括项目所需,制定项目的主题,范围,结构,以及确定需要提供标准化服务的领域。

14.技术委员会召开会议的时间和地点?

每个ASTM委员会自己拟订会议日程;但是,大多数委员会每年召开两次会议。多数会议在美国和加拿大各地举行。

15.谁负责管理ASTM技术委员会的活动?

管理部门是ASTM董事会,它由经投票选举产生全体成员。董事会及其常设委员会制定规程以确保标准的制定是基于充分的协商自愿一致基础上,任何不同意见都将得到正式的讨论,所有ASTM标准都按照规定的文体和格式要求。ASTM技术委员会管理规定,及ASTM标准的文体和格式都是指导ASTM标准编制过程的文件。专职的工作人员专门负责确保技术委员会依照这些规定得到各种支持。

测试报告范文第4篇

对于公司网络的安全一致性审计要求来说,在端点上设置和强制执行安全策略,非常至关重要。在我们的端点安全产品测试中,这些产品可提供策略强制执行功能,每一款产品都可以识别出系统是否符合策略一致性要求并且可以采取行动来补救不符合策略的系统。

我们制定了一系列产品所应该提供的策略强制清单,这其中包括产品可以识别出未打补丁的操作系统、是否符合安全策略一致性、对不符合策略要求系统进行限制访问、分析并得出客户端的报告和对不符合安全策略要求的系统采取补救行动使之和整体安全策略相一致。

我们非常理解没有一家产品可以全部满足我们的安全策略要求,我们会尽可能地让厂商展示他们所有的功能特性。

如果没有在网络中增加安全产品则会引起很大的安全灾难,我们也检查了端点安全产品自身的安全架构特性。

我们对此领域内的13家厂商发出了测试邀请函,最终CheckPoint、Cisco、Citadel、InfoExpress、Senforce、TrandMicro和Vernier/PatchLinkNetworks同意参加测试。ElementalSecurity,EndForce,McAfee,Sygate,SecureWave和StillSecure则拒绝参加了此次测试。Vernier/PatchLink因为在所有测试项目中有着不错的表现,所以最终最终赢得了这次测试。例如此产品可阻止网络访问并且自动修补不符合安全策略的系统,它的安全检测功能最富有弹性。

Senforce获得了第二名,但是与第一名的测试分数非常相近。Senforce有着最为强大的主机坐镇网络中央,它们仅仅使用客户端软件,不用其他在线设备就可以实现端点安全功能。TrendMicro公司总体上表现也非常好,仅仅是在满足我们的策略管理要求方面栽了一马。

Citadel是一款强大的产品,但是在策略一致性功能方面需要投入更大的精力,这家公司说他们会在4.0版本中集成这项功能。从技术观点上来看,Cisco也表现得非常不错,但是需要在报告和总体可用性方面需要改善。CheckPoint是一款可靠的产品,但需要在报告和更详细的自定义策略检查功能上下足功夫。

和我们通常的安全测试一样,我们仍然会关注于当端点遭受攻击时,产品所应该采取的行为,我们感到InfoExpress的产品仍然在这一领域中有着深厚的技术背景,但产品的可用性和文档说明仍然需要改善。

因为我们将注意力都投向了每款产品的测试要求上,所有我们不能测试每款产品的功能亮点。

VernierNetworks和PatchLink所提交的产品包含了VernierEdgeWall7000i——一款强制策略一致性的在线设备,PatchLink升级服务器和相应的端点软件可以方便地对客户端进行安全策略一致性检查。

产品的安装非常顺利,特备是在两家产品合作进行测试的情况下。测试过程中我们仅仅碰到了EdgeWall7000i的一个问题——在默认状态下,NAT功能是打开的,然而我们并不需要这个功能,因为我们仅仅把这个产品当作了一个桥接设备。在非常轻易地关掉NAT功能后,以下工作就非常顺利地进行下去了。

虽然客户端依靠EdgeWall7000i本身就可以进行易受攻击性检查扫描,但我们的测试却非常依于PatchLink升级服务器。PatchLink升级检查包括检测反病毒软件包的数量和所有Windows安全升级。对于间谍软件检测,EdgeWall7000i可以识别出一些恶意流量,并且通过一种方法可以识别出我们在测试中所用的间谍软件。此外,PatchLink提供了一个间谍软件模块来识别间谍软件所运行的端点系统,但是我们并没有这个功能。

用Vernier/PatchLink可以禁止USB拇指驱动器(编者注:在这里指小型的U盘产品)访问。当我们利用EdgeWall7000i产品进行应用控制测试时,成功地阻止和控制了我们所指定的应用流量。

PatchLink开发工具允许你制定自定义策略和补丁包,提供了在我们所测试的产品中最富有弹性的自定义检查功能。

这些产品也可以在VPN连接上强制策略一致性,此功能的考虑是基于你假如有一个移动地工作站的话,就必须要保证移动接入的安全性。但此功能也有致命的缺陷:假如某个端点在线,而Vernier/PatchLink此时又发生故障,那么端点就不能连接到总部网络了。

Vernier要求你设置多个安全配置级别——你必须设置多个不同的安全文件、身份文件、连接文件和访问策略,从而你可以追踪这些配置文件。在管理GUI界面中,一个不同的设置过程布局可以让你更多的凭直觉来进行设置工作。

当一个系统将要访问网络时,这个系统就会立刻被进行扫描和置于一个统一的网络访问策略下。对于我们的测试来说,我们设置了三个访问策略——符合安全一致性策略的系统可以进行全部访问、对于不符合策略的系统限制访问并且把这个系统链接到Internet上进行打补丁工作、限制没有安装PatchLink软件的组系统访问,对于没有安装PatchLink软件的一组系统来说,利用EdgeWall7000i的URL重定向功能可提供这些系统一个链接来下载安装软件。

当EdgeWall7000i包含了网络强制组件时,PatchLink升级服务器可利用强制的基本默认配置提供及时的补救行为。当我们让一个没有安装PatchLink软件的系统连接到网络时,我们打开浏览器,浏览器被重定向到一个链接上,下载和安装PatchLink软件。

一旦软件被安装和运行时,通过PatchLink升级服务器中默认配置,没有打上补丁的系统和安全设置就会被自动部署在系统内。一旦系统满足了一致性要求,就会被允许访问全部测试环境——正如事先所期望的。

当不符合一致性要求的系统将要上线时,Venier/PatchLink并不能提供警报机制,但是它提供了许多的报告选项。通过PatchLink升级服务器,你可以得到一个系统完整的打补丁历史,EdgeWall7000i则提供了所有在线系统总体的一致性状态报告。

Senforce

Senforce端点安全套件有5个主要的部件。在Windows服务器上运行的分布式策略服务、和其通信的客户端、策略部署、策略收回(retrievepolicy)和从分布式客户端收集来的注册数据。管理服务功能控制了用户策略、策略存储和生成报告。策略编辑器的用户界面可以用来进行策略的生成和管理。用密码加密过的客户位置确信服务可以确保一个系统是否确实在网络上,此举可以使系统免受用户欺诈攻击。最后,全面的Senforce安全客户端包括一个以主机为基础的防火墙程序,这个防火墙程序在受监控的端点上运行,它用来强制策略实施和控制系统的补救过程。

对于安全测试过程,我们感觉非常艰难。我们第一次尝试进行分布式安装,但是所利用SSL的组件之间却不能进行适当的通信。然后我们运行了单个服务器安装,但是数据库却不能正常使用并且错过了产品运行所需要的关键数据安装。Senforce的技术支持对于这个问题并不能解释,但却很快帮助我们完成了工作,在第三次尝试以后,我们最终才得以继续测试。一旦安装完成,我们并没有遇到其他的服务器操作问题。文档非常充足,但是双列的文字布局,使得用户阅读起来非常麻烦。

策略的制定过程表明了系统如何检查反病毒特征库、打上错过的补丁和应用控制(例如允许或者禁止某些类型的应用流量)。在我们的测试中,Senforce安全套件成功地通过了所有支持的策略检查测试。

如果产品被直接置于终端点之后,在和VPN的连接过程上可以进行策略检查,但如果客户端不能直接连接到网络上时,策略的强制执行也是可以工作的。通过产品强有力的脚本引擎你也可以创造自定义的策略检查。

网络管理员可以在策略编辑器里新建策略,策略编辑器有着非常不错的界面并且可以凭直觉操作。当我们碰到问题时,文档可以迅速帮助我们解决。

在通过网络共享方式安装客户端软件时,我们碰到了问题。在安装过程中,网络连接被中断了,因为程序要求安装网络驱动程序接口规范(NDIS)驱动。其他的产品会有配置警报,告诉你不要在网络上安装软件。Senforce也应该包含类似地警报。

我们更喜欢以主机为中心的解决方案,因为系统会识别出不符合策略的电脑,然后会由机上自己的防火墙来进行控制(CheckPoint和Citadel功能与时下流行的方法类似)。在我们的测试中,以主机为中心的工作方法工作得非常好。然而,假如主机受到攻击或者Senforce的客户端程序被关掉、删除,这些情况会带来很大的问题。在我们的测试中,一些客户端程序很容易被关掉。没有客户端程序,策略检查就不再工作。对于网络设备厂商来说,攻击者仍然会有一些方法绕过安全保护。

客户自己编写的策略脚本可以让产品具有更大的使用弹性。这些脚本甚至可以让用户下载和执行必要的程序来弥补客户端电脑的缺陷。一个不符合策略的系统,我们可以对其做出如下动作:设置为阻塞其所有数据流、运行某个客户端隔离规则、仅仅让其访问定义好的资源、访问Internet或者是只能访问内部网络。

安全套件不包括警报功能。报告是以Web方式进行浏览的,但是你却不能输出这些报告或者另存为Web形式。默认的报告包括图形和汇报,但是我们更喜欢自由的客户订制能力。报告提供了很多的信息但是却不包括全局系统的打补丁历史和状态。

TrendMicro

我们测试了TrendMicroNetwork的VirusWall2500和OfficeScan7企业版防病毒软件。VirusWall2500是一款在线设备,它可根据在TrendMicro设备上预先定义好的策略来阻止或者允许网络访问。当一个系统尝试访问网络时,它会被扫描,看其是否易受攻击(例如没有打包或者是易受攻击)。

当端点没有直接连接到网络中时,你就不能新建自定义的策略或者进行策略一致性保护了。TrendMicro的系统可以在VPN上工作并且能和主要的几家VPN网关集成来进行防病毒检查。

这款产品易于设置并且可以凭直觉使用,在我们进行的所有测试中,这款产品给了我们愉快的使用经历。

假如一个不符合策略的系统上线,终端用户可以看见一个错误提示,打开浏览器被重定向到一个网络管理员预先定义好的URL上。我们非常喜欢这样一个功能——终端用户会看见一个弹出式消息框被告知:“打开浏览器获得更多信息”。

因为VirusWall2500和它的策略强制能力与OfficeScan集成得很紧,所以一旦没有安装防病毒软件很容易的就被指向安装链接。另外,探测到的病毒会被自动删除。另外一些易受攻击的系统,例如没有及时打补丁也会利用其他方式来完成。

TrendMicro的报告和警报能力是我们所测试产品中表现最好的。我们可以简单的设置系统发送管理员E-mail或者SNMP警报,当不符合安全策略的系统上线时。我们可以一次生成或者预定系统打补丁的报告,也可以将这些报告以PDF格式或者其他一些文件格式进行输出。我们也可以生成一份关于离线或在线电脑错过升级软件的报告。

Cisco

Cisco这次提交了两款产品,一款是CiscoCleanAccess(CCA)服务器,这是一款在线设备,它与安装在客户端电脑上的CisoTrustAgent软件配合使用可实现端点安全策略一致性功能。

另外一款产品是CiscoSecureAgent(CSA),CSA包含了管理服务器软件和客户一侧的代码,以主机为中心的技术可以监视系统的恶意活动。

安装CCA非常复杂。我们让在线设备以桥接模式运行——仅仅是通过流量而不做任何NAT。相关产品设置的文档内容令人感觉非常含糊不清,设置要求管理服务器处于不同的子网。我们叫来了技术支持帮助解决这些架构方面的问题。

对于我们的策略强制检查,CCA可以正确识别防病毒特征码,其中包括可以识别主要3种病毒的默认属性

、没有打补丁的操作系统。通过我们定义好的策略可以控制网络流量。当一个端点设备上线时,从CCA应用服务启动的Nessus可以扫描操作系统的安全设置。

自定义的检查设置,允许你监测注册码、文件和进程,自定义检查可以通过CCA管理控制太设置。总体来看,自定义检查非常易于设置。

策略检查测试的其中一项是:确定端点是否运行了定义好的个人防火墙程序。在大部分产品中,这项功能实现的原理通常是确定某项应用是否在系统上运行。对于CSA程序来说,Cisco支持策略检查和不确定某些参数值策略的编写。在CCA中也可利用自定义检查把其他的个人防火墙加到策略强制中。然而,Cisco的策略检查还是需要改善的,它需要更加详细的脚本引擎。

Cisco的端点安全系统也可以识别出间谍软件、控制USB驱动接入、强迫执行更多的应用、注册码和进程安全,当端点进入或者离开网络时,Cisco都可以提供保护。

CCA也可以非常便利的当作VPN终端点来使用。未来的版本将会和CiscoVPN集中器整合得更加紧密。

一致性是由定义好的策略强制实行的,定义的策略在CCA中驻留。利用CCA管理界面,基于网络状态你可以设置很多数量的补救行为或者强制策略。例如你可以基于认证的用户、未通过认证的用户、在扫描结果中易受攻击的用户和没有通过一致性检查的用户进行设置。

假如一个用户将要访问网络而没有通过CCA的认证,你就可以限制他仅仅只能访问一个特别的区域。通过认证的用户则可以经受更多的检查,通过检查后,则会授予用户更广泛的网络访问资源权限。CTA软件位于每台端点系统上,并且提供对于主机访问的权限。假如CCA识别出了问题,不符合策略的系统会有一个安装文件上传至CCA,然后会收到消息或者一个URL。

终端用户必须手工安装初始化软件,安装的软件可以保证端点用户的安全策略保持一致。当端点电脑在等待被验证安全策略一致性的时刻,除了一些指定的Windows升级连接外,服务器会阻塞所有的网络流量。

在CCA和CSA中,报告功能还应该有所改善。就CCA来说,你可以观看服务器上关键事件的系统日志,但是却不能对整个系统生成报告。你可以观看每个端点系统的扫描结果和一致性检查结果。扫描失败的事件会被发送到CCA事件日志中,但是你却不能对所有在线电脑、历史的当前状态生成报告来显示。

Citadel

Citadel提交了软件产品来参加我们的测试,Citadel会把Hercules软件安装在端点电脑上,利用ConnectGuard模块探测端点是否是易受攻击的,ConnectGuard模块包含有客户和服务器端组件来强迫端点进行补救行为。Hercules程序在每一个端点系统上运行,基于自己收集来的扫描结果来分析端点是否易受攻击。策略检查包括识别端点是否安装了防病毒软件、间谍软件、错过打补丁和检查操作系统的安全设置。

Hercules安装非常顺利,没有碰到任何问题。文档撰写也不错,管理界面易于使用并可凭直觉使用。

我们所测试产品的版本,Citadel可以探测千余种知名网络病毒的攻击,当然你也可以自定义病毒攻击检查和在管理界面中自定义补救所采取的行为。

对于不符合策略一致性的系统,ConnectGuard模块提供了强制机制,利用运行在端点的Citadel客户端可以阻塞不符合策略一致性系统的向外流量,直到符合策略一致性要求为止。在我们所测试的版本中,补救系统行为在策略一致性检查时就会发生。在Hercules4.0版本中,管理员可以有选择的接收到系统策略一致性报告和补救系统的任务计划。

对于报告来说,Hercules利用了以Web界面为基础的报告引擎,所以你可以输出为很多的文件格式。产品包含了相当强大的报告模块,包括了全部的补救行为历史和不符合策略一致性要求系统的状态。额外地报告功能已经被包含进了4.0版本中。Hercules不提供警报机制。

CheckPoint

CheckPoint的Integrity6.0以软件完成了功能实现,它提供了个人防火墙、策略检查和强制实施的机制。

安装还是非常顺利的。对于客户端我们新建了一个默认安装包并且生成了自己的安全策略和强制检查。在默认设置下,Integrity就包括了主要的防病毒软件检查。

你也可以在管理界面中新建策略强制检查,检查包括注册码、破坏文件或者是不允许的进程。没打补丁和操作系统升级在默认状态下是不受检查的,但是你可以定义检查这些选项。

通过标准的防火墙规则和应用控制机制你可以控制应用访问。利用CheckPoint的SmartDefense程序的Adivisor服务可以警告间谍软件的使用。不支持USB驱动器接入检查。

所有支持的策略测试都非常成功。

当没有连接到总部网络时,完整性检查提供了系统保护。

不符合策略一致性的系统可以被发现、警告或者是限制连接。管理员可以提供到关键文件的链接或者是上传文件到系统上以便用户下载进行补救行为。在这些功能特点的测试中,我们可以被重定向到策略中事先定义好的站点中。例如,当系统探测到Windows没有打升级补丁时,我们被重定向到Windows升级站点中。

完整性报告功能还需要改善。基础报告通过Wen界面进行观看,但是报告却不能被输出。你可以得到不符合安全策略一致性系统的报告,但却没有系统总体的报告。完整性检查没有提供警报功能。

InfoExpress

InfoExpressCyberGatekeeper服务器坐镇网络中央,它提供策略到端点系统上的CyberGatekeeper程序上并且可以通过Web界面生成报告。通过产品所支持的某一类型模块,服务器可以处理策略强制,产品支持局域网(可以使交换机的某个端口处于一个补救VLAN中)网桥(根据定义好的策略阻止/允许流量)、RADIUS协议。

为了新建和修改策略,管理员要使用策略管理器,策略管理器运行在一台电脑上并和服务器分离。管理员策略到中央服务器上并分发到客户端上。对于我们的测试,我们利用局域网上的某台服务器和网桥一致性模式。我们根据匹配这个产品的升级文档进行设置,设置工作非常简单易行,但是在文档中仍然有一些重大问题。

CyberGatekeeper的主要关注点是审计和策略一致性检查,不像我们测试的其他产品,它的软件没有一个内置的防火墙,虽然没有防火墙,但是它的设计却富有弹性并可以适应测试,所以你可以在环境中运行任何你想要的防病毒软件或者以主机为基础的安全保护。

强制策略也可以在VPN连接中进行设置工作。当没有连接到网络时,策略强制是不能工作的。策略管理者提供了很多地弹性,但是设置却比较复杂,尤其是许多设置屏幕需要上载新的策略到服务器上。

一旦不符合策略一致性的系统被识别出来,在终端用户上就会显示出一条消息,终端用户可以被重新定向到一个URL上,或者系统可以被置于不同的VLAN中,而所被划到的VLAN依赖于你运行的强制策略模块。用户被重定向的URL地址可以下载没安装的软件,但是安装过程却是手工的。

报告功能也需要改善。一些基础的报告是以Web形式输出的,但是也可以输出为CSV文件格式进行离线观看。补救历史报告并不实用。你可以得到系统状态报告,在状态报告中可看到一个系统为什么处于策略拒绝状态,但是阅读起来有些困难。

结论

我们测试的端点策略强制产品,大部分都包含了基本的功能。但是要成为一家企业网络安全基础架构的核心组件,这些产品仍然需要很长的路要走。我们高兴的看到,这些产品可以解决扩展的策略一致性需求,功能可以满足当前的安全和网络基础需求。

应该指出的共同一点是,产品缺乏警报能力和经常存在的需要改善报告技术要求。这些组件在策略一致性产品中非常关键,顺便提一句,审计追踪能力也非常关键。

此外,一些产品也应该包括依据文件或者进程名来进行策略一致性检查的能力。我们看到有些产品应该包含一些种类的校验和检测。我们也看到当终端用户不符合策略一致性时,系统使终端用户意识到是哪些方面出现了问题的能力所有改善。大部分产品都在Web浏览器中提供了重定向功能,但是假如用户是通过其他不同应用访问网络时,Web重定向功能就有点不合时宜了。

除了基本功能之外......

我们所测试的每款产品除了基线测试之外,有些产品其他的一些亮点功能也值得我们考虑。

例如,思科的CCA(CiscoCleanAccess)应用可和Nessus软件配合使用来扫描系统的漏洞,你可以根据自身的网络环境自定义新建检查策略,而不用依赖于标准的签名特征。

CCA也提供了优先级策略检查能力,假如在你的网络环境中,一条策略比另外一条策略更重要的话,你可以将较重要的策略附加在次重要策略之上。此外,CCA也支持移动用户在CCA服务器之间进行漫游而不用再次认证。

InfoExpress也支持许多的策略强制模块——大部分我们不能测试——例如RADIUSEAP(802.1X)和Airespace无线局域网,这些策略强制模块可以在你的网络中提供额外的方法来进行认证和授权。

对于策略强制,TrendMicro的NetworkVirusWall2500可以监视你的网络流量。此外,它也可以监控网络病毒感染。这家产品的网络病毒爆发监视器可以识别出一个攻击要开始的征兆,例如它根据已知的病毒攻击连接端口或者是某个网络进程的突然提升。当产品观察到一个网络病毒将要爆发时,监视器会触发一个警报。

CheckPoint提供了第二种类型的软件,称作IntegrityFlexagent,这个软件提供给终端用户功能全面的管理界面,可以创建自己的策略,这个产品理念对于家庭电脑连接到公司网络非常合适。此软件目前版本是Integrity6.0,它包括了CheckPoint恶意代码保护,一个内置的主机入侵保护引擎,主机入侵保护引擎可以识别出已知的恶意程序和进程,这些不错的性能特点可以使管理员不需要检测所有程序并且可以创建自己的策略。

在我们测试完成以后,Citadel公司了Hercules4.0版本。这个版本提供了很多数量的强制策略用以改善一致性审计、策略强制任务和引进Hercules应用。一个新引用的策略一致性检查模式允许管理员接收端点的状态报告而不用强迫终端用户立刻采取补救行为。补救行为可以计划在一定的时间段后执行。一个仪表板加进了管理界面中从而可以图形方式快速观察所有被监视设备的策略一致性状态。额外的报告功能也被添加到管理界面中以加强报告引擎。

Veriner公司的EdgeWall对于注册登录、访客登录、扫描过程和停止扫描Web页面过程有许多的自定义选项。当一些终端用户不符合安全策略时,管理员可以自定义终端用户所看到Web页面上不符合策略的原因的描述。EdgeWall也可以在用户退出登录时弹出菜单。PatchLink可以列出所有运行PatchLink软件系统的详细清单,清单包括硬件、软件和服务信息。

Senforced提供了不少独一无二的功能特点。一个是允许管理员通过Senforce策略控制无线连接选项,例如是可以允许/关闭无线连接、管理WEP的密钥、指令网卡是否可以和AP进行通信和一个系统应该怎样响应信号强度级别。

端点安全产品自身网络漏洞

按推理来看,在你的网络中加入端点安全系统,网络就不应该再遭受到攻击了。在测试的最后,我们试图利用黑客软件、服务器组件和利用所生成的网络流量把网络安全撕开一个大口子,从而利用此手段评估每家产品的总体安全性。

在此测试项目的重磅轰炸下,没有一家产品完全幸免于难,得分较高的产品是Vernier/PatchLink和Senforce。通过删除客户端软件或者其他一些手段,我们都不能绕过策略强制机制。

为了强制客户端执行安全策略,客户端软件包含了本地系统的详细信息,例如信息包括注册码、文件名称/内容/哈希校验值等。网络攻击者深知这个漏洞。

我们测试了终端用户在客户端被感染病毒或者试图删除客户端软件的情况下,所有产品的表现。这个测试项目非常复杂,因为每家产品的实现方式非常不同,一些厂商提供了在线(in-line)策略强制设备(Cisco、TrendMicro和Vernier/PatchLink),一些是仅仅具有客户端(CheckPoint、Citadel和Senforce),还有一些集成进了网络基础设施中(InfoExpress)。

对于CheckPoint、Citadel和InfoExpress产品,我们利用开发的代码可以修改客户端软件所存放的目录的名称。一个系统重新启动之后并没有显示客户端软件被删除了。Senforce解决了这个问题,他们不断地使数据和程序文件处于打开状态,探测任何企图删除客户端或其中组件的行为。

在另一个测试项目中,我们观察了这些产品所生成的网络流量是否会引起一个安全风险,我们发现至少有两种类型流量可以引起安全风险。一个是在客户端和服务器之间的网络流量。另外一个是管理服务器接口所生成和接收的网络流量,管理服务器接口是一个非常有价值的目标,因为它可以控制策略强制机制。

一些厂商(InfoExpress、Senforce和Vernies/PatchLink)利用未加密的HTTP流量来进行管理员和管理服务器或者其他的一些组件之间的通信。这种行为非常不安全。InfoExpress也用Telnet或者SNMPv2访问网络的基础设施,然而这会暴露密码和其他一些信息。

所有产品之中,就是TrendMicro对客户端和服务器之间的通信流量进行了加密。假如不进行加密,这些信息对于一个网络攻击者将会是可见的并且可能泄露信息,例如你所强制的策略、网络的配置信息、或者是可能的用户名和密码。

我们必须从安全观点来看服务器,因为这个小小的“盒子”(运行着各种应用或者客户所支持的平台)已经成为关键网络基础设施的一部分并且很可能成为攻击目标。这些服务器厂商受到探测成为潜在的受攻击目标。一些厂商(CheckPoint、Cisco、InfoExpress、TrendMicro和Vernier/PatchLink)使用TransportLayerSecurity(TLS)/SSL对管理界面或者客户端到服务器的流量进行加密。SSLv2本不应该在产品中使用,因为SSLv2非常易于受到攻击。仅仅只有SSLv3和TLS才被认为是足够安全的。我们一般使用的Windows平台通常可以关掉SSLv2支持,但是对于端点安全应用来说,你却不能这样做。

大部分厂商用自己签名的证书,这是非常危险的。假如通过手工确认的16字节MD5哈希密钥使用得非常不小心的话,一个黑客就可以利用此漏洞。一些产品应该允许在服务器中置换自定义的签名。

我们所测试的最后一项是产品可否利用现有最新的软件对管理服务器进行操作,这些现成的软件包括Apache、OpenSS和PHP。我们的这项测试是非常有道理的,厂商对客户端的软件进行升级监视,他们也应该对本身所使用到的工具有一个升级机制。我们非常失望的看到,一些产品用着非常老版本的软件。例如Cisco的CCA使用的OpenSSH版本非常老,Vernier也在使用老版本的PHP。所有运行在基础设施上的软件应该有一个适合的升级机制,因为太古老的软件也有可能成为易受攻击的漏洞。

测试方法

因为端点安全厂商在具体实现的方法上有很大的不同,所以针对每家产品的测试方法也必须不同,这样的测试结果才更有意义。

我们一开始估计了当电脑接入网络时,可能会遇到的强制策略执行方面的麻烦。然后我们定义了电脑在访问网络被允许前,产品所应采取的行动。

我们计划了对于每家产品要求的最小任务清单。在最基本的层面上,每家产品必须能够识别出不符合策略的系统并且能够采取补救行动。我们也要求必须有中央化的管理和报告能力。

为了制定出更为详细的测试要求,我们和安全管理者们谈话并且基于自己的安全经验对产品所应该具有的安全策略强制做出了一份测试需求清单。从测试开始,我们就知道产品应该满足我们所有的要求,但是我们却对所有公司提交的产品都持着非常开放的态度。

我们把测试需求分成了5个方面:策略管理、设置/部署、补救行动、产品弹性和报告/警报功能。

我们的策略管理评估将焦点集中于产品完成定义策略的能力。我们感到看了文档以后,设置工作应该是相当简单的。软件部署的过程也应该是一个简单的过程,产品的使用也应该非常简易。

补救测试将焦点集中于产品应该如何处理不符合策略的系统。是不是隔离了所有网络访问?我们可以指示终端用户去下载相关没有安装的软件或忘打得补丁吗?补救行为是自动发生的吗?

弹性测试我们看到了系统如何回应网络攻击。所制定的策略会被易于绕过吗?会非常容易地获得全部网络访问权限吗?我们可以非常简单地卸载客户端软件从而不执行策略强制吗?

最后,我们评估了管理员会不会得到不符合策略系统的报告和警报,同时,我们测试了产品记录和追踪符合策略系统的状态和补救过程的历史的能力。此外,我们还看了产品能否生成管理报告从而易于理解当前的安全状态。

我们安装了所有Windows2003的服务器部件,打上全部的补丁。假如Windows2003Server不支持的某些软件(例如Cisco的CSA管理服务器和TrendMicro的OfficeScan管理服务器),我们就利用打上全部补丁Windows2000Server进行测试。这些服务器全部安装在VMware虚拟软件上,这个虚拟服务器的配置是1G字节的RAM,Pentium3Shuttle服务器上。

客户端程序被安装在了Windows2000SP4Professional和WindowsXPSP2Professional电脑上。这些客户端所安装的电脑上并没有打上全部的补丁,除非客户端软件要求安装。这些客户端也都安装了VMware虚拟服务器,它的配置是500M的RAM,运行在Pentium3,3GHzShuttle服务器上。

对于策略一致性测试,我们要求所有客户端都配置Sophos防病毒软件和eEye的Blink个人防火墙。

网络的核心运行着Cisco3500交换机,配置了两个VLAN。第一个VLAN测试产品所处的VLAN,第二个VLAN是不受信任网络,是我们所要求的补救行为所在的VLAN。

在产品设置和客户端部署的过程中,我们遇到了一些困难,例如,我们学习产品过程中的文档质量,支持分布式客户端软件的方法。我们也通过所有的测试阶段看了产品的易用性。

测试策略管理时,我们在每款产品上都设置了策略,以验证产品是否识别出了Blink防火墙和Sophos防病毒软件是否运行在客户端上,同时还验证了产品能否识别出防病毒软件的病毒库是否过期。我们还安装了DloaderTrojan/间谍程序,看看产品能不能识别出并且做出停止/隔离行为。我们配置了一条策略来识别MS05-014(IE的安全补丁)是否安装在系统上,看看产品支持的补救行为,例如发送一个链接,下载补丁文件是手工安装或者自动安装补丁。

对于应用控制,我们不允许BT访问,这通过应用访问或者网络端口来限制,限制BT访问所采取的行为依赖于产品所支持的类型。我们尝试了阻塞通过USB拇指驱动器访问网络的流量。有的产品可以关掉端口或者阻止文件写。我们然后测试了对于操作系统安全检查的默认支持,密码策略、注册码和控制空会话的能力。

我们还测试了在远程VPN连接上下发强制策略的能力,这个测试项目利用了CiscoVPNConcentrator作为网关。

最后,测试了用户新建自定义策略检查的能力,创建一些默认设置中没有的策略。

在补救区,测试了对于不符合策略系统的全部阻塞网络访问或者访问策略的能力,同时,我们还测试了限制访问内部服务器的能力。此外,我们还测试了浏览器重定向。

测试报告范文第5篇

我们还记得前些日子把木马隐藏到图片的文章吧。也就是在PHP文件里用include("x.gif")这样的语句来调用隐藏在图片的木马语句。ASP中语句也类似。看似非常隐蔽但直接调用图片对稍微懂点PHP的人就不难发现可疑之处。由于URL里用GET方式很难传递参数,这就使得插入木马的性能得不到发挥。

Include函数在PHP中使用的比较频繁,所以引起的安全问题也实在太多,例如PHPWIND1.36的漏洞就是因为include后面的变量没做过滤引起的。由此我们就可以构造类似的语句来插入到PHP文件中。然后把木马隐藏到图片或HTML文件里,可以说隐蔽性就更高了。如在PHPWIND论坛里插入下面的语句:<‘’?@includeinclud/.$PHPWIND_ROOT;?>一般管理员是无法看出来的。

有了include函数来辅助帮忙我们就可以把PHP木马隐藏到诸如txt、html和图片文件等很多类型的文件里来了。因为txt、html和图片文件这三种类型的文件最无论在论坛还是文章系统里是最为常见的了,下面我们就依次来做测试。

首先建立一PHP文件test.php文件内容为:

$test=$_GET[''''test''''];

@include''''test/''''.$test;

?>

Txt文件一般都是说明文件,所以我们把一句话木马放到目录的说明文件里就OK了。随便建立一个TXT文件t.txt。我们把一句话木马粘贴到t.txt文件里。然后访问localhost/test/test.php?test=../t.txt如果你看到t.txt的内容就证明Ok了,然后把在lanker微型PHP后门客户端木马地址添入localhost/test/test.php?test=../t.txt密码里添入cmd就可以了,执行返回的结果都可以看到。

对于HTML的文件,一般都为模版文件。为了使插入到HTML的文件的木马能被调用执行而且不被显示出来,我们可以在HTML里加入一个隐藏属性的文本框,如:然后使用方法同上。执行的返回结果一般都可以查看源文件看到。如使用查看本程序目录功能。查看源文件内容为我可以得到目录为C:\Uniserver2_7s\www\test。

下面我们说说图片文件,要说最为毒的一招莫过于把木马隐藏到图片里。我们可以直接对一个图片进行编辑,把插入到图片末尾

经测试一般都不会对图片造成影响。然后同样方法客户端木马地址添入

我们查看PHP环境变量返回的是结果是原图片。