造船行业TRIBON系统解决方案
测 试 报 告 总 结
--山丽防水墙数据加密系统
调研时间:
略
资料提供:
略
测试时间:
略
测试人员
略
测试环境
在技术部真实环境中测试,在Tribon测试中,在虚拟机环境中测试。
服务器:
2003,sql,Tribon服务器端,OA服务器端,山丽防水墙服务器端
客户端:
OS(xp)、OA客户端、Tribon客户端、杀毒软件,防水墙客户端
测试总结
通过部署策略调整达到数据防护目的:
测试总体效果良好,可以很好的对Tribon系统中客户端的数据和服务器端的数据起到很好的保护目的,并可以根据部署阶段的不同调整部署的策略,达到灵活管控的目标。可以很好对SEM系统客户端的数据起到保护作用,可以很好的对OA系统的数据起到保护作用。产品系统功能目前最完备并适合造船行业的系统。详细细节如下。
造船行业山丽防水墙数据加密系统测试报告总结报表
测试时间 | 测试地点 | 测试人员 | 测试环境 | 测试功能 | 测试结果 |
2010/09/06 | 技术部 | 略 | 真实环境中。 服务器: 2003,sql,防水墙服务器端 客户端:3台 OS(xp)、杀软、防水墙客户端、OA、SEM等 | 1、 登陆方式测试:标准登陆,域登录 2、 加解密测试; 3、 可信环境测试; 4、 可信程序测试; 5、 密钥强度测试; 6、 兼容性测试; 7、 其他功能覆盖测试; | 1、 登陆方式支持和域结合的单点登录方式,也支持手动标准化登陆方式; 2、 加密功能正常。同时,不同时间的相同内容的秘文在环境外完全不一样说明密钥是动态变化的。系统在安全性的设计方面具有很好的可取性,非固定密钥;文件格式无关性在同类产品中明显优于其它; 3、 系统可以管理安装了防水墙的客户端和没有安装防水墙客户端的连接;(可信环境功能) 4、 系统可以自由设定,实现数据传输到OA等服务器文件是密文还是明文,并且不用增加任何的硬件设备;(可信程序功能) 5、 系统在真实环境中,可以流畅使用,不会和杀毒软件等产生冲突,兼容性好; |
2010/09/10 | 技术部 | 略 | 真实环境中。 服务器: 2003,sql,防水墙服务器端 客户端:3台 OS(xp)、杀软、防水墙客户端、OA、SEM等 | 1、 审批流测试; 2、 解密申请测试; 3、 离线登陆测试; 4、 防水墙系统完全和OA系统融合; 5、 防水墙系统和SEM系统融合; 6、 其他覆盖测试; | 1、 文件解密有解密流程,或者可以通过目录解密,解密后文件在非加密环境中可以正常使用; 2、 审批流测试正常,可以设置多层审批; 3、 对管理人员的审批可以建立自动审批或者委托审批的方式; 4、 防水墙客户端经过设置,可自由的决定发送到OA服务器上的文件属性:秘文还是明文;测试通过了防水墙和OA系统的整合方案;<客户端加密,OA服务器上附件数据初期明文,后期密文>; 5、 离线时候客户端可用离线钥匙实现登陆; |
2010/09/17 | 技术部 | 略 | 虚拟机中。 服务器: 2003,sql,防水墙服务器端 客户端:3台 OS(xp)、Tribon、防水墙客户端 | 1、 防水墙系统完全和Tribon系统融合; 2、 Tribon服务器端数据防护测试; | 1、 方案:Tribon客户端全盘加密,服务器端空加密,同时防止其它方法从服务器上窃取数据; 2、 从服务器上得到的数据在Tribon客户端数据得到保护; 3、 Tribon服务器采用空加密方式,任何方式也无法将数据盗取,即使使用域管理员账号采用$命令一样得到的是秘文; 4、 Tribon客户端没有安装或者启动防水墙客户端的无法使用Tribon的功能和得到数据,这个时候Tcp/ip通讯正常;进入防水墙客户端Tribon的所有功能均正常,可以自由访问数据和进行设计工作。 |
注:所测试时间一般均有sanlen测试人员现场陪同进行;所列测试时间之外由造船行业公司人员自行测试进行;
防水墙系统和SEM、OA、Tribon系统的融合总图
造船行业防水墙测试总结
测试目标:
测试环境 | 测试功能 | 结果预期 |
服务器: 2003,sql,防水墙服务器端 客户端: OS(xp等)、OA、SEM、Tribon、防水墙客户端 | 1、 防水墙系统完全和Tribon系统融合; 2、 防水墙系统完全和SEM系统融合; 3、 防水墙系统完全和OA系统融合; 4、 防水墙系统多层审批流程 5、 可信环境测试;; 6、 可信程序测试 7、 加密模式覆盖测试; 8、 密钥强度测试; 9、 压力测试; 10、功能测试; | 1、 系统能很好的实现对Tribon客户端数据的加密防泄露; 2、 符合Tribon有三种实施方案,进行方案的测试,测试效果<必须测试方案:Tribon客户端全盘加密,服务器端空加密,同时防止其它方法从服务器上窃取数据>; 3、 测试通过了防水墙和OA系统的整合方案;<客户端全盘加密,OA服务器上附件数据初期明文,后期密文>; 4、 SEM系统客户端在防水墙系统下面运行正常 5、 防水墙和SEM系统的有良好整合方案;<客户端全盘加密,SEM服务器上附件数据为明文,SEM服务器上不能上传密文式附件,密文上传时候会被拦截>; 6、 在兼容性测试方面、大数据量、多客户端并发方面均有良好表现 7、 系统在安全性的设计方面具有很好的可取性,非固定密钥、文件格式无关性在同类产品中明显优秀 8、 其它测试防水墙系统的可信环境功能,可信程序功能 |
测试方案和测试结果:
Tribon的融合
有三种方案可以考虑,可以通过测试选择:
方案一:Tribon服务器上文件不加密;Tribon客户端数据加密
方案特点:
仅仅防护客户端数据的泄密,无法防范数据从服务器端的泄密,或者不安装加密软件将数据从服务器端下载下来带走。
方案二:Tribon服务器上文件加密;Tribon客户端数据加密
方案优点:
数据完全实现了保密的要求,在客户端还是在服务器端不管通过任何形式不登陆防水墙客户端均无法访问数据。只有安装了防水墙的机器,并经过合法的授权,并进行了登陆后才能访问加密的数据,是否具有读取数据的权限,还依赖公司配置的策略。
Tribon服务器端策略配置方案和防泄密测试;
系统 | 防水墙安装 位置 | 原来库文件 加密策略 | 设置操作端新文件加密策略 | 操作位置 | 防泄密执行效果(√可用,且加密) |
Tribon系统 | Tribon服务器端 | 库文件加密 | 全部加密策略 | 服务器本地 | √ |
客户端远程 | √ |
方案三:Tribon服务器上文件不加密,但执行空加密策略;Tribon客户端数据加密,在配置项目时候,对配置文件做加密处理即可。
方案优点:
所谓空加密策略,指的是:文件(数据)保存在本地硬盘的时候,不进行加密,但数据通过U盘等外设方式,或者通过网络共享方式获得的数据都是密文,即使使用$的方式,访问本地的数据也是密文。
一般情况下,服务器空加密策略和可信环境功能联合使用,可信环境的功能可以让任何没有装防水墙的机器无法访问采用空加密策略的服务器。如下图:
方案优点:
在空加密策略和可信环境模块的配合下,数据也完全实现了保密的要求,在客户端还是在服务器端不管通过任何形式不登陆防水墙客户端均无法访问数据。只有安装了防水墙的机器,并经过合法的授权,并进行了登陆后才能访问加密的数据,是否具有读取数据的权限,还依赖公司配置的策略。
同时:在Tribon服务器上不进行加解密运算,大大缓解了服务器可能存在的压力。
Tribon服务器端策略配置方案和防泄密测试;
系统 | 防水墙安装 位置 | 原来库文件 加密策略 | 设置操作端新文件加密策略 | 操作位置 | 防泄密执行效果(√可用,且加密) |
Tribon | Tribon服务器端 | 库文件不加密 | 全部加密策略 | 服务器本地 | √ |
客户端远程 | √ |
[不建议采用其他增加网络系统单点故障的方式]
测试结果:
在虚拟机中构建了测试系统,完美实现了测试目标,达到了测试目的。
OA(ERP)的融合
OA(ERP)融合有一个方案,两个阶段:
第一阶段:局部部署阶段
因为OA系统在造船行业的布局最为广泛,是一个全局性的系统,在初期的时候,没有装防水墙的客户和装了防水墙的用户都会通过OA系统进行交互,这就需要在初期在OA系统流通的数据以明文形式存在,不能给大家的交流带来认为的阻隔。
这个时候,在OA服务器上的附件以明文形式存在,存在一定的数据泄密的可能性。但风险较小。因为通过OA进行大量数据摆渡式泄密的可能性较小,毕竟OA系统也有自己的审计。这个阶段OA服务器不用安装防水墙客户端。
第二阶段:全局部署阶段
在防水墙在公司全局部署之后,全部上传到OA服务器上的附件均是密文,(还可以设置不能复制粘贴数据到OA上,仅仅可以键盘敲写输入),所有得到密文的用户是否可以阅读密文以公司设置的权限决定,最粗的策略是大家可以自有的阅览,但必须登陆防水墙客户端。
测试结果:
完美实现了测试目标。测试过程流畅
SEM的融合
造船行业的集成制造系统(SEM)意义重大。
用户的需求是,通过SEM客户端导出的任何数据格式均必须加密处理(这些数据是制造需要的重要数据),采用山丽防水墙的加密策略,可以实现在SEM客户端导出的任何数据格式(包括未知的、加壳的)均是密文,同时这些密文在环境里面又可以被调用使用,或者重新导入到SEM系统中(导入时自动明文导入),同时在SEM客户端对SEM服务端的操作(通过中间层)不受影响。
和SEM的融合没有进行测试。客户了解了在造船行业测试的结果。
功能测试
1、 密钥强度测试:
测试密钥的随机变化性,依据此项来验证加密是否采用了可靠的非对称加密(非对称加密在目前的信息安全方面被认为是不可破解的,仅仅使用对称加密将是不安全的)
2、 域登录测试
3、 可信环境测试
4、 可信程序测试
测试结果:
功能进行了覆盖性测试,和域结合、密钥强度等等测试均满足需求。
兼容性测试:测试和公司其他软件的兼容性问题;
测试结果:一直在真实环境中进行测试,和系统整体兼容性均佳。
自定义审批流测试:
当密文需要转变成明文的时候,一般均需要达到审批,测试防水墙对审批流的自定义处理。
1、支持横向多级别审批设置,根据业务保密程度和运营管理需要自由设置,设置级别数量时候软件技术不进行限制限制;
2、同时支持竖向多类型审批设置,根据一个人可能承担的多种脚色,承担的多种项目,设置多个不同审批级别的审批流,最大限度的自由满足管理需要;
3、谁申请,谁解密,绝不会增大集中一人解密的泄密风险;
4、对高层可以设置简化审批流,此审批流可以设置自动审批,而不影响高层效率的降低。
自定义审批流测试:
测试结果:
测试结果完全满足需求。测试过程流畅。
加密模式测试
山丽防水墙的加密方式可以让用户自由的进行组合:
测试结果:
测试了目录加密、网络加密等加载策略的策略。均可实现。
其他方面了解了系统全面的功能。
山丽信息安全有限公司
<完>