零信任系統(tǒng)技術(shù)規(guī)范 征求意見稿

ICS

CCS

團(tuán)體標(biāo)準(zhǔn)

T/CESAXXXX—202X

零信任系統(tǒng)技術(shù)規(guī)范

ZeroTrustSystemTechnicalSpecifications

征求意見稿

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

已授權(quán)的專利證明材料為專利證書復(fù)印件或扉頁，已公開但尚未授權(quán)的專利申

請證明材料為專利公開通知書復(fù)印件或扉頁，未公開的專利申請的證明材料為專利

申請?zhí)柡蜕暾埲掌凇?/p>

202X-XX-XX發(fā)布202X-XX-XX實(shí)施

中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會發(fā)布

T/CESAXXXX-202X

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

本文件由深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司提出。

本文件由中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會歸口。

本文件起草單位：深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司、完美世界控股集團(tuán)有限公司、北京天融信網(wǎng)絡(luò)

安全技術(shù)有限公司、公安部第三研究所、綠盟科技集團(tuán)股份有限公司、北京薔薇靈動科技有限公司、中

國移動通信集團(tuán)設(shè)計(jì)院有限公司、任子行網(wǎng)絡(luò)技術(shù)股份有限公司、上海觀安信息技術(shù)股份有限公司、中

孚信息股份有限公司、深圳市網(wǎng)安計(jì)算機(jī)安全檢測技術(shù)有限公司、國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中

心、北京芯盾時(shí)代科技有限公司、深圳市聯(lián)軟科技股份有限公司、騰訊云計(jì)算(北京)有限責(zé)任公司。

本文件主要起草人：蔡東赟、何藝、李少鵬、龍凡、劉治平、陳妍、劉弘利、杜雪濤、張晨、趙蓓、

孟昭宇、程建明、黃超、劉海濤、謝儀頔。

IV

T/CESAXXXX-202X

零信任系統(tǒng)技術(shù)規(guī)范

1范圍

本文件規(guī)定了零信任系統(tǒng)的技術(shù)要求和測試方法，包括零信任系統(tǒng)的原則、框架，給出了用戶訪問

資源、服務(wù)之間調(diào)用的具體技術(shù)要求，并給出了相應(yīng)的測試方法。

本文件適用于零信任系統(tǒng)的設(shè)計(jì)、技術(shù)開發(fā)和測試。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T25069－2010信息安全技術(shù)術(shù)語

GB/T29242—2012信息安全技術(shù)鑒別與授權(quán)安全斷言標(biāo)記語言

ISO/IEC24745:2011Informationtechnology—Securitytechniques—Biometric

informationprotection

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

訪問主體accesssubject

能訪問客體的主動實(shí)體。

注：參考國標(biāo)GB/T29242—2012，定義3.7。訪問主體例如用戶、終端設(shè)備、物聯(lián)網(wǎng)設(shè)備等。

3.2

訪問客體accessobject

可被訪問的目標(biāo)資源。

注：訪問客體例如服務(wù)器、數(shù)據(jù)庫、打印服務(wù)、網(wǎng)絡(luò)等。

3.3

零信任技術(shù)zerotrusttechnology

一種旨在降低訪問過程安全風(fēng)險(xiǎn)的持續(xù)動態(tài)安全訪問控制技術(shù)。

注：零信任技術(shù)不基于訪問主體的網(wǎng)絡(luò)位置，而是在每一次訪問客體被允許訪問之前，基于安全和信任狀態(tài)對訪問

主體進(jìn)行安全授權(quán)；并持續(xù)性的監(jiān)測整個訪問過程的安全，評估信任狀態(tài)；動態(tài)調(diào)整訪問權(quán)限，實(shí)施細(xì)粒度的安全訪問

控制。

3.4

零信任系統(tǒng)zerotrustsystem

基于零信任技術(shù)的相關(guān)產(chǎn)品和服務(wù)，或者是產(chǎn)品和服務(wù)的組合。

1

T/CESAXXXX-202X

3.5

安全信道securechannel

提供交換消息保密性和真實(shí)性的通信信道。

注：參考國際標(biāo)準(zhǔn)ISO/IEC24745:2011，定義2.30。

4縮略語

下列縮略語適用于本文件。

SSH安全外殼協(xié)議（secureshell）

RDP遠(yuǎn)程桌面協(xié)議（remotedesktopprotocol）

Radius遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)（remoteauthenticationdialinuserservice）

LDAP輕量目錄訪問協(xié)議（lightweightdirectoryaccessprotocol）

AD活動目錄（activedirectory）

TCP傳輸控制協(xié)議（transmissioncontrolprotocol）

UDP用戶數(shù)據(jù)報(bào)協(xié)議（userdatagramprotocol）

uri統(tǒng)一資源標(biāo)識符（uniformresourceidentifier）

OIDC開放ID連接（openIDconnect）

SAML安全斷言標(biāo)記語言（securityassertionmarkuplanguage）

API應(yīng)用程序接口（applicationprogramminginterface）

sdk軟件開發(fā)工具包（softwaredevelopmentkit）

5零信任技術(shù)概述

零信任是一種網(wǎng)絡(luò)安全防護(hù)理念，并非指某種單一的安全技術(shù)或產(chǎn)品，其目標(biāo)是為了降低

資源訪問過程中的安全風(fēng)險(xiǎn)，防止在未經(jīng)授權(quán)情況下的資源訪問，其關(guān)鍵是打破信任和網(wǎng)絡(luò)位

置的默認(rèn)綁定關(guān)系。

在零信任理念下，網(wǎng)絡(luò)位置不再決定訪問權(quán)限，在訪問被允許之前，所有訪問主體都需要

經(jīng)過身份認(rèn)證和授權(quán)。身份認(rèn)證不再僅僅針對用戶，還將對終端設(shè)備、應(yīng)用軟件等多種身份進(jìn)

行多維度、關(guān)聯(lián)性的識別和認(rèn)證，并且在訪問過程中可以根據(jù)需要多次發(fā)起身份認(rèn)證。授權(quán)決

策不再僅僅基于網(wǎng)絡(luò)位置、用戶角色或?qū)傩缘葌鹘y(tǒng)靜態(tài)訪問控制模型，而是通過持續(xù)的安全監(jiān)

測和信任評估，進(jìn)行動態(tài)、細(xì)粒度的授權(quán)。安全監(jiān)測和信任評估結(jié)論是基于盡可能多的數(shù)據(jù)源

計(jì)算出來的。

零信任理念的基本假設(shè)基本原則如下：

1)零信任理念的基本假設(shè)

a)內(nèi)部威脅不可避免；

b)從空間上，資源訪問的過程中涉及到的所有對象（用戶、終端設(shè)備、應(yīng)用、網(wǎng)絡(luò)、

資源等）默認(rèn)都不信任，其安全不再由網(wǎng)絡(luò)位置決定；

2

T/CESAXXXX-202X

c)從時(shí)間上，每個對象的安全性是動態(tài)變化的（非全時(shí)段不變的）。

2)零信任的基本原則

a)任何訪問主體（人/設(shè)備/應(yīng)用等），在訪問被允許之前，都必須要經(jīng)過身份認(rèn)證和

授權(quán)，避免過度的信任；

b)訪問主體對資源的訪問權(quán)限是動態(tài)的（非靜止不變的）；

c)分配訪問權(quán)限時(shí)應(yīng)遵循最小權(quán)限原則；

d)盡可能減少資源非必要的網(wǎng)絡(luò)暴露，以減少攻擊面；

e)盡可能確保所有的訪問主體、資源、通信鏈路處于最安全狀態(tài)；

f)盡可能多的和及時(shí)的獲取可能影響授權(quán)的所有信息，并根據(jù)這些信息進(jìn)行持續(xù)的

信任評估和安全響應(yīng)。

零信任在所有需要對資源訪問進(jìn)行安全防護(hù)的場景都可以使用，但是否采用，應(yīng)根據(jù)企業(yè)

可接受的安全風(fēng)險(xiǎn)水平和投入綜合考慮決定。

6用戶對資源訪問場景技術(shù)要求

6.1邏輯架構(gòu)

用戶訪問服務(wù)的場景主要有三部分構(gòu)成，如圖1所示，agent部分作為認(rèn)證模塊并提供對應(yīng)的安全

授權(quán)或者防護(hù)能力，控制中心主要是作為授權(quán)管理、安全管理的角色，網(wǎng)關(guān)則為執(zhí)行點(diǎn)，網(wǎng)關(guān)可以有不

同流量支持的網(wǎng)關(guān)業(yè)界有。全流量的網(wǎng)關(guān)、web網(wǎng)關(guān)、SSH\RDP之類協(xié)議的網(wǎng)關(guān)。

3

T/CESAXXXX-202X

圖1邏輯架構(gòu)圖（用戶對資源訪問場景）

6.1.1控制中心

控制中心作為控制端的角色，提供認(rèn)證、訪問授權(quán)、安全管理、安全審計(jì)和第三方聯(lián)動管理等能力。

6.1.2終端代理組件

終端代理組件提供終端認(rèn)證、訪問授權(quán)、流量加密、安全檢測、安全防護(hù)等能力。

6.1.3網(wǎng)關(guān)

網(wǎng)關(guān)提供流量代理、流量鑒權(quán)、訪問控制、流量加密、登錄鑒權(quán)（無終端代理情況）等能力。

4

T/CESAXXXX-202X

6.2功能要求

6.2.1認(rèn)證功能

本地賬戶管理

本地賬戶管理功能要求如下：

a）能夠提供本地賬戶的創(chuàng)建、批量導(dǎo)入、批量導(dǎo)出（加密導(dǎo)出/明文導(dǎo)出）、修改、刪除；

b）提供分組管理（按組織架構(gòu)）能力；

c）提供角色管理（按業(yè)務(wù)職能）能力；

d）針對分組管理和角色管理的授權(quán)能力。

第三方賬戶管理對接

第三方賬戶管理對接功能要求如下：

a）支持第三方認(rèn)證體系（Radius、LDAP、AD域等）對接；

b）能夠同步第三方對應(yīng)的賬戶、組織架構(gòu)信息等；

c）終端認(rèn)證可以對應(yīng)轉(zhuǎn)認(rèn)證到第三方認(rèn)證系統(tǒng)。

多因素認(rèn)證

多因素認(rèn)證功能應(yīng)支持?jǐn)?shù)字證書、動態(tài)令牌、短信、掃碼、token、人臉識別等。

單點(diǎn)登錄授權(quán)

單點(diǎn)登錄授權(quán)功能應(yīng)支持SAML2.0、Oauth2協(xié)議。

6.2.2安全檢測功能

安全檢測功能應(yīng)支持如下終端安全信息收集：

a）殺毒防護(hù)組件檢查；

b）弱密碼檢查；

c）高危漏洞檢查；

d）違規(guī)進(jìn)程\應(yīng)用軟件檢查；

e）違規(guī)服務(wù)檢查；

f）操作系統(tǒng)版本檢查。

6.2.3訪問授權(quán)功能管理

服務(wù)資源管理

服務(wù)資源管理功能要求如下：

a）應(yīng)支持目標(biāo)資源錄入修改，歸類；

b）應(yīng)支持錄入格式域名或者ip端口錄入；

5

T/CESAXXXX-202X

c）應(yīng)支持七層網(wǎng)絡(luò)應(yīng)用協(xié)議配置；

d）可支持tcp、udp四層協(xié)議目的資源配置；

訪問授權(quán)管理

訪問授權(quán)管理功能應(yīng)支持配置指定身份\身份組，訪問指定的目的資源。

安全屬性授權(quán)訪問

安全屬性授權(quán)訪問功能要求應(yīng)支持根據(jù)配置安全基線狀態(tài)情況、以及其他存在安全風(fēng)險(xiǎn)的特征屬性

變化，對關(guān)聯(lián)訪問連接進(jìn)行阻斷。

終端應(yīng)用可信管理

終端應(yīng)用可信管理功能要求如下：

a）可提供可信進(jìn)程的基礎(chǔ)庫給到訪問做訪問控制。

b）可收集終端發(fā)起網(wǎng)絡(luò)訪問的進(jìn)程的特征，提供進(jìn)程、簽名、操作系統(tǒng)、廠商、第三方病毒查詢

結(jié)果報(bào)表，并提供給管理員操作轉(zhuǎn)入可信應(yīng)用。

c）可自動收集應(yīng)用信息，并通過第三方病毒特征查詢自動檢查放行。自動檢查判定可信應(yīng)用的功

能基礎(chǔ)上面，需要支持黑名單機(jī)制完善管理場景。

可信硬件授權(quán)訪問

可信硬件授權(quán)訪問功能要求如下：

a）應(yīng)支持適配公司的資產(chǎn)庫，只有公司允許的硬件字長才可以進(jìn)行內(nèi)部資源的訪問。

b）應(yīng)這次只有滿足某種安全的可信硬件設(shè)備標(biāo)準(zhǔn)檢查結(jié)果的設(shè)備，才可以進(jìn)行公司內(nèi)部的訪問。

可信操作系統(tǒng)管理訪問授權(quán)

可信操作系統(tǒng)管理訪問授權(quán)功能應(yīng)符合安全標(biāo)準(zhǔn)，對方公司信任的操作系統(tǒng)才可以訪問，可以針對

性做配置。

終端應(yīng)用沙箱授權(quán)訪問

終端應(yīng)用沙箱授權(quán)訪問功能應(yīng)支持基于終端應(yīng)用沙箱或應(yīng)用容器，授權(quán)可信的沙箱或容器應(yīng)用訪問

后端資源。

6.2.4網(wǎng)關(guān)管理

網(wǎng)關(guān)管理信息管理

網(wǎng)關(guān)管理信息管理功能應(yīng)支持管理網(wǎng)關(guān)地址，增刪改查，提供給終端訪問。

業(yè)務(wù)訪問網(wǎng)關(guān)路由編排

業(yè)務(wù)訪問網(wǎng)關(guān)路由編排功能可支持不同的業(yè)務(wù)流量，配置使用不同的網(wǎng)關(guān)加密傳輸通道。

6

T/CESAXXXX-202X

6.2.5通信傳輸安全

控制通道傳輸加密

控制通信傳輸加密功能應(yīng)支持客戶端agent與控制中心通信必須采用雙向加密，相互驗(yàn)證，防止偽

造的服務(wù)器或者終端。如雙向加密傳輸?shù)取?/p>

數(shù)據(jù)通道傳輸加密

數(shù)據(jù)通道傳輸加密功能應(yīng)支持客戶端代理可以把任意流量加密，再轉(zhuǎn)發(fā)到網(wǎng)關(guān)再鑒權(quán)解密到目的系

統(tǒng)，防止終端到網(wǎng)關(guān)的網(wǎng)絡(luò)存在中間人劫持，如https等。

6.2.6安全審計(jì)日志

對安全審計(jì)日志功能要求如下：

a）對于訪問行為日志，應(yīng)支持如下訪問連接行為信息的采集：用戶身份、設(shè)備身份、終端應(yīng)用進(jìn)

程、IP、目的IP、源端口、目的端口、協(xié)議、域名、uri、時(shí)間、狀態(tài)。

b）對于終端認(rèn)證日志，應(yīng)支持如下信息收集：認(rèn)證時(shí)間、認(rèn)證身份、來源設(shè)備信息、網(wǎng)絡(luò)信息、

認(rèn)證結(jié)果。

c）對于審計(jì)日志，應(yīng)支持收集后臺管理系統(tǒng)管理員操作行為。

6.2.7接口對接要求

接口對接要求功能如下：

a）應(yīng)支持通過常見認(rèn)證協(xié)議，如LDAP，OAuth2.0、RADIUS、OIDC、SAML等對接第三方認(rèn)證系統(tǒng)；

b）應(yīng)支持提供給第三方安全系統(tǒng)調(diào)用的接口，出現(xiàn)安全風(fēng)險(xiǎn)的時(shí)候，支持阻斷身份、應(yīng)用、終端

設(shè)備標(biāo)示對應(yīng)的所有訪問連接。

c）應(yīng)支持安全狀態(tài)信息收集接口，接收第三方安全狀態(tài)信息，用來角色判斷用戶訪問策略，提供

安全狀態(tài)信息接收接口。接口要求描述關(guān)鍵訪問過程的對象，如身份、設(shè)備、網(wǎng)絡(luò)連接、資源

的等對象的安全狀態(tài)，必須為確切狀態(tài)方便多系統(tǒng)間協(xié)作。

d）應(yīng)支持訪問行為日志對外輸出，可以提供給第三方安全分析系統(tǒng)針對本系統(tǒng)獲取到的日志，如

認(rèn)證、訪問日志等。

6.2.8設(shè)備安全增強(qiáng)功能

終端設(shè)備安全防護(hù)

終端設(shè)備安全防護(hù)功能要求如下：

a）可支持設(shè)備操作系統(tǒng)基礎(chǔ)病毒防護(hù)；

b）可支持終端系統(tǒng)漏洞修復(fù)；

c）可支持終端系統(tǒng)硬件設(shè)備管控。

入侵檢測

入侵檢測功能要求如下：

7

T/CESAXXXX-202X

a）可支持動態(tài)檢測終端設(shè)備的入侵行為，并輸出告警，并能夠聯(lián)動阻斷訪問；

b）可支持對外可以提供行為日志溯源搜索檢測能力。

6.2.9運(yùn)維監(jiān)控

運(yùn)維監(jiān)控功能要求如下：

a）組件集中化監(jiān)控看板，能夠知道組件特別是網(wǎng)關(guān)的運(yùn)行狀態(tài)，cpu、內(nèi)存、磁盤利用率、服務(wù)

可用性等。

b）告警信息看板，能夠展示產(chǎn)生運(yùn)維過程監(jiān)控搞進(jìn)。

6.3系統(tǒng)自身安全要求

系統(tǒng)自身安全功能要求如下：

a）應(yīng)支持避免身份憑據(jù)，授權(quán)訪問憑據(jù)被盜用，避免通過客戶端存儲、簡單逆向、接口交互上面

盜取身份或者訪問憑據(jù)。

b）應(yīng)支持管理員、審計(jì)員、策略員控制臺訪問操作權(quán)限分離；

c）應(yīng)支持管理員行為審計(jì)，對任意管理員控制臺涉及到刪除修改的業(yè)務(wù)的動作，都要能夠記錄和

追溯；

d）應(yīng)支持系統(tǒng)所在服務(wù)器自身加固功能，包括：管理員操作日志審計(jì)、控制臺管理端web平臺防

護(hù)、所在服務(wù)器基礎(chǔ)防御加固，系統(tǒng)防火墻、SSHD\RDP等服務(wù)加固、具備ddos防護(hù)能力。

e）應(yīng)支持終端安全文件目錄自保護(hù)、自身進(jìn)程異常中斷保護(hù)。

f）可支持系統(tǒng)安全加固：系統(tǒng)密碼復(fù)雜度加固、屏幕保護(hù)設(shè)置、共享、高危服務(wù)關(guān)閉、終端高危

端口屏蔽、終端系統(tǒng)審計(jì)日志開啟。

6.4性能要求

6.4.1網(wǎng)關(guān)單臺并發(fā)

網(wǎng)關(guān)配置：cpu：8core內(nèi)存：16g磁盤網(wǎng)卡流量：500g

測試指標(biāo)，每秒靜態(tài)頁面鑒權(quán)訪問，并發(fā)數(shù)量：2000～8000qps

6.5部署要求

6.5.1終端部署

終端部署功能要求如下：

a）可支持有端支持的部署，設(shè)備操作系統(tǒng)類型：windows、macosx、linux、android、ios；

b）可支持無部署模式，支持各類標(biāo)準(zhǔn)瀏覽器訪。

6.5.2控制中心部署

控制中心部署功能要求如下：

a）應(yīng)支持單機(jī)、集群、多級部署模式。集群模式具備擴(kuò)展性，實(shí)現(xiàn)服務(wù)的彈性伸縮，集群內(nèi)避免

異構(gòu)部署模式；多級模式下，控制中心獨(dú)立部署、互相隔離，僅通過服務(wù)總線實(shí)現(xiàn)跨控制中心

8

T/CESAXXXX-202X

服務(wù)調(diào)用。

b）應(yīng)支持高并發(fā)機(jī)制，確保單節(jié)點(diǎn)并發(fā)處理能力滿足并發(fā)處理要求，對高頻訪問數(shù)據(jù)采用高速分

布式緩存，確保服務(wù)達(dá)到響應(yīng)時(shí)間要求。

c）應(yīng)支持?jǐn)?shù)據(jù)庫的分布式部署，建設(shè)分布式數(shù)據(jù)庫集群，隸屬于控制中心的數(shù)據(jù)庫僅支持本控制

中心垂直訪問。

d）應(yīng)支持可運(yùn)維性，統(tǒng)計(jì)和展示服務(wù)調(diào)用量、異常量、最高并發(fā)量等運(yùn)行情況，支持系統(tǒng)的安裝、

配置、部署、升級操作。

e）應(yīng)支持授權(quán)、保護(hù)等策略管理，包括制定、修改、刪除、審核與發(fā)布等。

6.5.3網(wǎng)關(guān)部署

控制中心部署功能要求如下：

a）應(yīng)支持集群部署，集群架構(gòu)具備擴(kuò)展性，實(shí)現(xiàn)服務(wù)的彈性伸縮，集群內(nèi)避免異構(gòu)部署模式。

b）應(yīng)支持加速和動態(tài)分發(fā)，采用負(fù)載均衡技術(shù)，實(shí)現(xiàn)接入的均衡分布。

6.6容災(zāi)要求

6.6.1容災(zāi)架構(gòu)

圖2容災(zāi)示意圖

WAN：外網(wǎng)，公網(wǎng),DCN：數(shù)據(jù)通信網(wǎng)絡(luò)。

6.6.2控制中心容災(zāi)

控制中心容災(zāi)示意圖如圖2所示，功能要求如下：

a）應(yīng)支持基礎(chǔ)設(shè)施高可靠，支持備份、容錯、冗余機(jī)制。

b）應(yīng)支持?jǐn)?shù)據(jù)冷熱分離部署。

c）應(yīng)支持?jǐn)?shù)據(jù)存儲高可靠，數(shù)據(jù)存儲能夠進(jìn)行增量、全量的備份和恢復(fù)操作，支持分布式存儲和

存儲容量冗余設(shè)計(jì)。

9

T/CESAXXXX-202X

d）應(yīng)支持內(nèi)存數(shù)據(jù)庫數(shù)據(jù)持久化，便于故障恢復(fù)。

e）應(yīng)支持系統(tǒng)軟件高可靠，增強(qiáng)系統(tǒng)穩(wěn)定性。

f）應(yīng)支持7×24小時(shí)無故障運(yùn)行能力，包括系統(tǒng)可靠性和數(shù)據(jù)可靠性。

g）應(yīng)支持故障管理，包括告警、上報(bào)等。

6.6.3網(wǎng)關(guān)容災(zāi)

網(wǎng)關(guān)容災(zāi)功能要求如下：

a）應(yīng)保證網(wǎng)關(guān)服務(wù)可用性。

b）應(yīng)支持7×24小時(shí)無故障運(yùn)行能力，包括網(wǎng)關(guān)可靠性和數(shù)據(jù)可靠性。

c）應(yīng)支持故障管理，包括告警、上報(bào)等。

7服務(wù)之間訪問場景技術(shù)要求

7.1邏輯架構(gòu)

圖3邏輯架構(gòu)圖（服務(wù)之間訪問場景）

服務(wù)之間零信任主體邏輯架構(gòu)應(yīng)包含兩大部分，如圖3所示，一個是作為控制平臺的零信任安全

控制中心，另一個是作為數(shù)據(jù)平面的策略執(zhí)行點(diǎn)。策略執(zhí)行點(diǎn)主要有兩種形態(tài)，一是部署在工作負(fù)載上

的客戶端，另一種是運(yùn)行在網(wǎng)絡(luò)上的網(wǎng)關(guān)形態(tài)。

7.1.1服務(wù)端代理

服務(wù)端代理對工作負(fù)載進(jìn)行認(rèn)證，接受并執(zhí)行控制中心下發(fā)的策略，對工作負(fù)載進(jìn)行訪問授權(quán)，記

錄工作負(fù)載訪問日志并加密上傳至控制中心，根據(jù)需要擴(kuò)充安全檢測、安全防護(hù)能力。

10

T/CESAXXXX-202X

7.1.2網(wǎng)關(guān)組件

網(wǎng)關(guān)組件通過底層平臺對接等方式對工作負(fù)載進(jìn)行認(rèn)證，在網(wǎng)絡(luò)層接受并執(zhí)行控制中心下發(fā)的策

略，對工作負(fù)載進(jìn)行訪問授權(quán)，記錄工作負(fù)載訪問日志并加密上傳至控制中心，根據(jù)需要擴(kuò)充安全檢測、

安全防護(hù)能力。

7.1.3控制中心

控制中心作為控制端的角色，提供認(rèn)證、訪問授權(quán)、策略統(tǒng)一管理、策略動態(tài)調(diào)整、安全管理能力

和第三方聯(lián)動管理等。

7.2功能要求

7.2.1認(rèn)證功能

認(rèn)證功能要求如下：

a）應(yīng)支持自身具備或可從外部獲取工作負(fù)載基本信息的功能，基本信息包括操作系統(tǒng)版本、網(wǎng)卡

信息、服務(wù)信息、監(jiān)聽端口信息等；

b）應(yīng)能夠?yàn)槊恳慌_工作負(fù)載確定唯一標(biāo)識的身份信息；

c）應(yīng)支持當(dāng)主機(jī)信息發(fā)生變化時(shí)，可上傳至管理端；

d）應(yīng)支持認(rèn)證組件在控制中心組件中負(fù)責(zé)主體的身份認(rèn)證。認(rèn)證組件可以自己完成，或提供與第

三方認(rèn)證對接的接口。實(shí)現(xiàn)對工作負(fù)載的認(rèn)證。

7.2.2服務(wù)之間訪問控制功能

客戶端/網(wǎng)關(guān)組件要具備訪問控制能力，具體要求如下：

a）應(yīng)支持客戶端組件使用最小安全原則，即除非明確允許，否則就禁止；

b）應(yīng)能實(shí)現(xiàn)基于源IP地址、目的IP地址和端口的訪問控制；

c）應(yīng)支持實(shí)現(xiàn)出站和入站的雙向訪問控制；

d）應(yīng)支持接收并執(zhí)行控制中心組件下發(fā)的動態(tài)訪問控制策略；

e）應(yīng)支持記錄違反策略規(guī)則的阻斷日志，并上傳至控制中心組件。

f）可支持組件對ipv6網(wǎng)絡(luò)流量進(jìn)行訪問控制；

g）可支持組件進(jìn)行容器之間的訪問控制；

h）可支持通過建立服務(wù)之間的加密隧道來實(shí)現(xiàn)訪問控制。

7.2.3服務(wù)之間流量識別

服務(wù)之間流量識別功能要求如下：

a）應(yīng)能識別出站及入站的網(wǎng)絡(luò)流量，包括流量的來源IP，目的IP，端口及服務(wù)信息等；

b）應(yīng)支持管理中心將學(xué)習(xí)到的流量信息統(tǒng)一進(jìn)行呈現(xiàn)及搜索；

c）應(yīng)支持以報(bào)表形式輸出流量統(tǒng)計(jì)分析結(jié)果；

d）應(yīng)支持記錄異常訪問日志，并支持輸出到第三方平臺；

11

T/CESAXXXX-202X

e）應(yīng)支持通過組件上傳的流量，展示實(shí)時(shí)工作負(fù)載間流量關(guān)系拓?fù)?，并?biāo)識流量與安全策略的匹

配情況，包括匹配策略的流量和不匹配策略的流量；

f）應(yīng)支持對組件上傳的阻斷日志進(jìn)行統(tǒng)一的查看，并支持基于時(shí)間、來源、目的、端口等維度的

分析；

g）可支持識別IPv6的出站及入站的流量；

h）可支持能夠識別容器之間的流。

7.2.4策略管理功能

策略管理功能要求如下：

a）應(yīng)支持通過集中安全管理界面對分布式部署的安全服務(wù)組件的統(tǒng)一策略下發(fā)；

b）應(yīng)支持配置任意兩個工作負(fù)載之間的安全策略；

c）應(yīng)支持接收策略控制點(diǎn)組件上傳的工作負(fù)載策略狀態(tài)變化信息；

d）可支持支持基于識別到的流量自動或半自動的方式生成安全策略；

e）可支持支持基于業(yè)務(wù)角色、主機(jī)屬性等進(jìn)行安全策略配置；

f）可支持應(yīng)具備防護(hù)及非防護(hù)狀態(tài)，盡可能減少策略配置對業(yè)務(wù)的影響。

7.2.5動態(tài)授權(quán)功能

動態(tài)授權(quán)功能要求如下：

a）可支持在工作負(fù)載發(fā)生變化時(shí)，如虛擬機(jī)下線、IP地址變化或虛擬機(jī)遷移時(shí)，動態(tài)調(diào)整訪問

控制策略；

b）可支持在工作負(fù)載認(rèn)證信息發(fā)送變化時(shí)，動態(tài)調(diào)整訪問控制策略。

7.2.6接口對接功能

接口對接功能要求如下：

a）提供給第三方安全系統(tǒng)調(diào)用的接口，出現(xiàn)安全風(fēng)險(xiǎn)的時(shí)候，支持阻斷身份、應(yīng)用、終端設(shè)備標(biāo)

示對應(yīng)的所有訪問連接。

b）提供給第三方安全分析系統(tǒng)針對本系統(tǒng)獲取到的日志，如認(rèn)證、訪問日志等。

7.2.7安全防護(hù)管理

安全防護(hù)管理功能要求如下:

a）可支持工作負(fù)載操作系統(tǒng)基礎(chǔ)病毒防護(hù)

b）可支持工作負(fù)載漏洞修復(fù)

c）可支持能夠動態(tài)檢測工作負(fù)載的入侵行為，并輸出告警。

12

T/CESAXXXX-202X

7.3系統(tǒng)自身安全要求

7.3.1標(biāo)識與鑒別

標(biāo)識與鑒別功能要求如下：

a）應(yīng)維護(hù)每個用戶的安全屬性，屬性可包括：用戶標(biāo)識、授權(quán)信息或用戶組信息、其他安全屬性

等；

b）應(yīng)保證任何用戶都具有全局唯一的標(biāo)識；

c）應(yīng)要求每個用戶在執(zhí)行與系統(tǒng)安全相關(guān)的任何其他操作之前，都已被成功鑒別；

d）應(yīng)支持客戶端/網(wǎng)關(guān)組件能夠?qū)ψ陨淼倪\(yùn)行狀態(tài)進(jìn)行感知，并上傳至管理端。

7.3.2鑒權(quán)失敗處理

鑒權(quán)失敗處理功能要求如下：

a）應(yīng)能檢測用戶的不成功的鑒別嘗試；

b）在達(dá)到或超過最大鑒別失敗嘗試次數(shù)閾值后，應(yīng)采取措施阻止進(jìn)一步的鑒別嘗試，直至滿足已

定義的條件才允許進(jìn)行重新鑒別；

c）應(yīng)僅由授權(quán)管理員設(shè)置未成功鑒別嘗試次數(shù)閾值。

7.3.3通信傳輸保護(hù)

通信傳輸功能要求如下：

a）客戶端/網(wǎng)關(guān)組件與管理端的通信應(yīng)進(jìn)行加密傳輸；

b）如支持用戶通過web頁面管理系統(tǒng)，應(yīng)保證管理過程的數(shù)據(jù)采用加密方式傳輸；

c）如支持用戶使用API接口對系統(tǒng)進(jìn)行控制，應(yīng)保證API需通過權(quán)限驗(yàn)證后才可使用。

7.3.4安全審計(jì)

安全審計(jì)功能要求如下：

a）如果支持以下事件，應(yīng)能為其產(chǎn)生審計(jì)記錄：

1)審計(jì)功能的啟動和關(guān)閉；

2)導(dǎo)出、另存和刪除審計(jì)日志；

3)設(shè)置鑒別嘗試次數(shù)；

4)鑒別機(jī)制的使用；

5)用戶的創(chuàng)建、修改、刪除與授權(quán)；

6)其他系統(tǒng)參數(shù)配置和管理安全功能行為的操作。

b）應(yīng)在每個審計(jì)記錄中至少記錄下列信息：

1)事件發(fā)生的日期和時(shí)間；

2)事件類型；

13

T/CESAXXXX-202X

3)事件主體身份標(biāo)識；

4)事件描述及結(jié)果。

7.3.5系統(tǒng)加固

系統(tǒng)加固功能要求如下：

a）管理中心所在系統(tǒng)應(yīng)開啟系統(tǒng)防火墻并限定端口開放；

b）管理中心所在系統(tǒng)應(yīng)完成漏洞修復(fù)，管理中心自身應(yīng)無高危漏洞。

7.4性能要求

性能要求如下：

a）客戶端/網(wǎng)關(guān)組件應(yīng)具備降級機(jī)制，對于CPU、內(nèi)存、硬盤中的一個或多個的的占用設(shè)置限度；

7.5部署

部署功能要求如下：

a）管理中心應(yīng)支持集群化部署，具備高可用性；

b）客戶端/網(wǎng)關(guān)組件應(yīng)能支持自動化部署。

8用戶對資源訪問場景測試

8.1測試環(huán)境

測試環(huán)境典型示意圖如圖4所示，其中：

客戶端操作系統(tǒng)：windows、macosx、linux（指定一個版本）、android、ios；

服務(wù)器操作系統(tǒng)：linux(任意發(fā)行服務(wù)器版本)\windowsserver；

目標(biāo)業(yè)務(wù)系統(tǒng)：網(wǎng)頁系統(tǒng)、SSHD\RDP服務(wù)器；

網(wǎng)絡(luò)：千兆網(wǎng)絡(luò)。

14

T/CESAXXXX-202X

圖4測試環(huán)境典型示意圖

8.2功能測試

8.2.1認(rèn)證功能測試

自建賬戶管理測試

.1測試方法

自建賬戶管理測試方法如下：

a）控制中心管理端，新建賬號、初始化密碼,其次就是能夠刪除賬戶、重置密碼；

b）新建賬戶，有終端代理的場景，安裝對應(yīng)的客戶端,啟動終端登錄新建的賬號；

c）新建賬戶，沒有終端代理程序的場景，在客戶端瀏覽器直接訪問保護(hù)的目標(biāo)域名，在跳轉(zhuǎn)登錄

頁面使用新建賬號。

.2預(yù)期結(jié)果

自建賬戶管理測試預(yù)期結(jié)果如下：

15

T/CESAXXXX-202X

a）控制中心可以進(jìn)行賬號，新建、初始化密碼、刪除賬戶、重置密碼；

b）終端可以使用控制中心創(chuàng)建的賬號密碼，進(jìn)行登錄。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

第三方賬戶管理對接測試

.1測試方法

第三方賬戶管理對接測試方法如下：

a）在控制中心配置第三方認(rèn)證系統(tǒng)對接參數(shù)，后臺可以導(dǎo)入對應(yīng)的賬戶體系；

b）終端認(rèn)證賬戶密碼等校驗(yàn)信息，可以轉(zhuǎn)到第三方認(rèn)證系統(tǒng)完成認(rèn)證；

c）終端認(rèn)證發(fā)起請求后，能夠在第三方認(rèn)證系統(tǒng)看到認(rèn)證記錄。

.2預(yù)期結(jié)果

第三方賬戶管理對接測試預(yù)期結(jié)果如下：

a）在控制中心可以成功配置第三方認(rèn)證系統(tǒng)對接；

b）控制中心可以同步第三方認(rèn)證系統(tǒng)的用戶信息列表；

c）終端發(fā)起認(rèn)證后能夠在第三方認(rèn)證系統(tǒng)認(rèn)證并成功（口令認(rèn)證通過/口令錯誤認(rèn)證拒絕）。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

多因素認(rèn)證測試

.1測試方法

多因素認(rèn)證測試方法如下：

a）終端設(shè)備上面使用手機(jī)掃碼認(rèn)證；

b）終端設(shè)備上面輸入token賬號和動態(tài)口令認(rèn)證；

c）后端可以對應(yīng)錄入或者對接對應(yīng)的人臉和身份對應(yīng)識別的庫，終端設(shè)備上面必須有攝像頭，開

啟掃臉認(rèn)證，或者采用手機(jī)掃碼并掃臉認(rèn)證。

.2預(yù)期結(jié)果

符合校驗(yàn)信息的可以認(rèn)證成功、非法用戶認(rèn)證失敗。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

16

T/CESAXXXX-202X

單點(diǎn)登錄授權(quán)測試

.1測試方法

單點(diǎn)登錄授權(quán)測試方法如下：

a）針對BS應(yīng)用的：提供統(tǒng)一的認(rèn)證授權(quán)系統(tǒng)的來源的頁面，給到后臺bs架構(gòu)的系統(tǒng)認(rèn)證集成，

同時(shí)提供統(tǒng)一的登錄態(tài)鑒權(quán)接口給第三方業(yè)務(wù)系統(tǒng)查詢身份憑據(jù)狀態(tài)。提供對應(yīng)的demo系統(tǒng)并測試；

b）cs應(yīng)用：終端認(rèn)證sdk給到第三方終端應(yīng)用集成，控制中心提供統(tǒng)一的后臺憑據(jù)校驗(yàn)查詢的接

口。提供繼承好的demo系統(tǒng)并測試通過。

.2預(yù)期結(jié)果

能在系統(tǒng)登錄認(rèn)證之后，提供給終端設(shè)備統(tǒng)一的鑒權(quán)快速登錄能力。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.2.2安全檢測測試

測試方法

安全監(jiān)測測試方法如下：

a）在控制中心配置是否有安全殺毒防護(hù)組件檢查是否有安裝運(yùn)行，終端收到策略后執(zhí)行檢查，回

傳到控制中心結(jié)果；

b）在控制中心配置密碼檢查策略，將測試終端所在的PC密碼改為符合弱密碼規(guī)則的密碼，測試

終端能否檢測弱密碼，并將結(jié)果回傳至控制中心；

c）在控制中心配置高危漏洞檢查任務(wù)，測試終端能否在存在高危漏洞的系統(tǒng)功能中完成漏洞檢

查，并將結(jié)果回傳至控制中心；

d）在控制中心可配置違規(guī)進(jìn)程/軟件檢查策略，測試終端能否發(fā)現(xiàn)違規(guī)，并將結(jié)果回傳至控制中

心；

e）在控制中心可配置違規(guī)服務(wù)檢查策略，測試終端能否發(fā)現(xiàn)違規(guī)服務(wù)，并將結(jié)果回傳至控制中心；

f）測試終端能否正確檢查操作系統(tǒng)版本，并將測試結(jié)果回傳至控制中心，測試控制中心能否可以

配置更新操作系統(tǒng)版本列表入口。

預(yù)期結(jié)果

安全監(jiān)測測試預(yù)期結(jié)果如下：

a）測試可以在控制中心看到檢查結(jié)果；

b）測試終端能夠?qū)θ趺艽a進(jìn)行檢查，能夠在控制中心配置檢查策略，在控制中心可以看到檢查結(jié)

果；

c）測試終端能夠?qū)Ω呶Ｂ┒催M(jìn)行檢查，能夠在控制中心配置檢查策略，在控制中心可以看到檢查

結(jié)果；

17

T/CESAXXXX-202X

d）測試終端能夠?qū)`規(guī)進(jìn)程/軟件進(jìn)行檢查，能夠在控制中心配置檢查策略，在控制中心可以看

到檢查結(jié)果；

e）測試終端能夠?qū)`規(guī)服務(wù)進(jìn)行檢查，能夠在控制中心配置檢查策略，在控制中心可以看到檢查

結(jié)果。

結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.2.3訪問授權(quán)測試

服務(wù)資源管理測試

.1測試方法

服務(wù)資源管理測試方法如下：

a）測試錄入目標(biāo)資源并對資源進(jìn)行修改、歸類；

b）按照域名列表進(jìn)行錄入資源；

c）按照IP+端口列表進(jìn)行錄入資源；

d）測試在控制中心配置網(wǎng)絡(luò)七層協(xié)議并觀察是否生效；

e）測試在控制中心配置TCP、UDP四層協(xié)議網(wǎng)絡(luò)控制列表。

.2預(yù)期結(jié)果

控制臺能夠編輯錄入資源信息，并在訪問控制策略側(cè)可以對應(yīng)。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

訪問授權(quán)管理測試

.1測試方法

訪問授權(quán)管理測試方法如下：

a）在控制中心配置基于用戶身份和身份組策略，針對身份、訪問資源的規(guī)則配置；

b）能夠配置可信應(yīng)用列表，不在可信的范圍內(nèi)的應(yīng)用、硬件資產(chǎn)、操作系統(tǒng)等不可以發(fā)起資源訪

問。

.2預(yù)期結(jié)果

訪問授權(quán)管理預(yù)期結(jié)果如下：

a）合法的身份并具備配置的策略的資源訪問權(quán)限的，從終端可以發(fā)起訪問并成功；不合法的身份

無法訪問任何配置資源；

b）在合法身份訪問權(quán)限的設(shè)備上面，如果同時(shí)存在不可信的應(yīng)用、不可信的硬件資產(chǎn)、不可信操

作系統(tǒng)不可以發(fā)起資源訪問，只有具備所有配置要求項(xiàng)安全可信才可以訪問資源；

18

T/CESAXXXX-202X

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

終端應(yīng)用可信管理測試

.1測試方法

終端應(yīng)用可信管理測試方法如下：

a）在控制中心查看可信進(jìn)程基礎(chǔ)庫列表，點(diǎn)擊添加、修改可信進(jìn)程表；

b）支持管理員確認(rèn)應(yīng)用可信的編輯操作，通過終端收集到的應(yīng)用特征，管理員在管理員操作指定

應(yīng)用特征進(jìn)入可信應(yīng)用列表；

c）在控制臺開啟自動收集應(yīng)用，并通過第三方自動檢查判定是否可信放行，開啟后自動收集終端

應(yīng)用簽名、hash、廠商等信息，送檢到第三方病毒庫檢查；

d）支持在自動放行第三方檢測可信的基礎(chǔ)上面，支持添加黑名單機(jī)制，能夠添加應(yīng)用名、簽名、

hash、版本、發(fā)布廠商等信息對應(yīng)到的應(yīng)用，進(jìn)行阻斷訪問。

.2預(yù)期結(jié)果

終端應(yīng)用可信管理測試預(yù)期結(jié)果如下：

a）在控制中心可查看可信進(jìn)程基礎(chǔ)庫，管理員能夠成功添加、修改可信進(jìn)程庫；

b）在終端發(fā)起網(wǎng)絡(luò)訪問，可成功在控制中心查看到進(jìn)程詳情（包括但不限于進(jìn)程、簽名名、操作

系統(tǒng)、廠商、第三方病毒查詢結(jié)果報(bào)表等），且管理員可成功將進(jìn)程信息編輯添加至可信進(jìn)程庫；

c）策略可以選擇對應(yīng)的可信用庫，才允許資源訪問，非這個庫里面的特征不能夠訪問。也可以采

用自動判定是否可行放行訪問。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

可信硬件管理測試

.1測試方法

可信硬件管理測試方法如下：

a）控制臺可以配置可信的硬件信息如設(shè)備mac、boissn信息等信息，可以通過已有采集身份認(rèn)

證的形成基礎(chǔ)庫；

b）可以采集送檢到第三方確認(rèn)是否是公司資產(chǎn)，提供對應(yīng)標(biāo)準(zhǔn)檢查透傳接口。

.2預(yù)期結(jié)果

能夠建立企業(yè)資產(chǎn)庫，可以用來做終端是否訪問資源的一個控制項(xiàng)。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

19

T/CESAXXXX-202X

可信操作系統(tǒng)管理訪問授權(quán)測試

.1測試方法

控制臺可以收集終端操作系統(tǒng)信息，并可以配置指定操作系統(tǒng)授權(quán)訪問。

.2預(yù)期結(jié)果

非指定可信操作系統(tǒng)無法進(jìn)行資源訪問。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

基于安全屬性變化的動態(tài)安全阻斷測試

.1測試方法

基于安全屬性變化的動態(tài)安全阻斷測試方法如下：

a）控制臺可以聯(lián)動使用基線的安全檢查結(jié)果、配置對應(yīng)條件如果如果基線不滿足就阻斷資源訪

問；

b）控制臺可以配置根據(jù)不同網(wǎng)絡(luò)位置，切換不同的等級的訪問資源。

.2預(yù)期結(jié)果

終端不同場景安全狀態(tài)，可以對應(yīng)資源訪問不同，或者安全基線變化，訪問阻斷。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.2.4網(wǎng)關(guān)管理測試

網(wǎng)關(guān)管理信息管理測試

.1測試方法

網(wǎng)關(guān)管理信息管理測試方法如下：

a）測試新增網(wǎng)關(guān)地址，適配終端訪問；

b）測試刪除網(wǎng)關(guān)地址，測試終端是否無法訪問；

c）測試修改網(wǎng)關(guān)地址，適配終端訪問；

d）測試查詢當(dāng)前網(wǎng)關(guān)地址，且能看到查詢結(jié)果。

.2預(yù)期結(jié)果

網(wǎng)關(guān)地址支持增刪改查等管理操作。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

20

T/CESAXXXX-202X

業(yè)務(wù)訪問網(wǎng)關(guān)路由編排測試

.1測試方法

控制臺支持不同網(wǎng)關(guān)配置不同業(yè)務(wù)資源訪問。

.2預(yù)期結(jié)果

終端可以根據(jù)不同資源的路由到不同的網(wǎng)關(guān)鏈路。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.2.5通信傳輸安全測試

測試方法

通信傳輸安全測試方法如下：

a)終端在正常業(yè)務(wù)訪問的時(shí)候，使用網(wǎng)絡(luò)抓包工具，在終端進(jìn)行抓包，無法破解出明文；

b)使用流量錄制工具，錄制一份正常授權(quán)資源的的訪問，在另外非法設(shè)備上面回放訪問網(wǎng)關(guān)。

預(yù)期結(jié)果

通信傳輸安全測試預(yù)期結(jié)果如下：

a)無法識別破解出明文；

b)無法在另外機(jī)器回放訪問服務(wù)器成功。

結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.2.6安全審計(jì)日志測試

測試方法

安全審計(jì)日志測試方法如下：

a)終端合法身份登錄，訪問對應(yīng)資源；

b)后臺登錄管理員，下發(fā)、修改訪問策略。

預(yù)期結(jié)果

安全審計(jì)日志測試方法如下：

a)控制臺可以看到對應(yīng)登錄日志、訪問行為日志，應(yīng)該支持：用戶身份、設(shè)備身份、終端應(yīng)用進(jìn)程、

IP、目的IP、源端口、目的端口、協(xié)議、域名、uri、時(shí)間、狀態(tài)。

b)后臺審計(jì)員可以查看到不同管理員的操作行為日志。

結(jié)果判斷

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

21

T/CESAXXXX-202X

8.2.7接口對接測試

第三方認(rèn)證系統(tǒng)對接測試

.1測試方法

控制臺可以配置對應(yīng)的，同時(shí)需要找一個標(biāo)準(zhǔn)協(xié)議的認(rèn)證系統(tǒng)進(jìn)行測試，可以指定一種兩種協(xié)議進(jìn)

行配置。

.2預(yù)期結(jié)果

配置后終端可以使用第三方認(rèn)證接口進(jìn)行認(rèn)證,并認(rèn)證成功。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

訪問過程中阻斷聯(lián)動接口測試

.1測試方法

產(chǎn)品方提供調(diào)用樣例腳本，修改對應(yīng)身份、應(yīng)用程序特征、終端設(shè)備特征，讓后對控制臺進(jìn)行調(diào)用

訪問。

.2預(yù)期結(jié)果

控制臺可以記錄對應(yīng)訪問的動作信息，同時(shí)可以查詢對應(yīng)的身份、應(yīng)用程序、設(shè)備相關(guān)的訪問連接，

進(jìn)行訪問阻斷。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

安全狀態(tài)信息收集測試

.1測試方法

提供樣例腳本，可以修改參數(shù)，對控制中心精心調(diào)用。

.2預(yù)期結(jié)果

控制臺可以看到對應(yīng)的對象、安全狀態(tài)信息傳遞進(jìn)來的日志。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

訪問行為日志對外輸出測試

.1測試方法

控制臺可以配置目標(biāo)推送服務(wù)地址，進(jìn)行傳輸適配。提供簡單樣例目標(biāo)系統(tǒng)。

22

T/CESAXXXX-202X

.2預(yù)期結(jié)果

外部樣例系統(tǒng)可以打印對應(yīng)的接收日志。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.2.8設(shè)備安全增強(qiáng)測試

終端設(shè)備安全防護(hù)管理測試

.1測試方法

終端設(shè)備安全防護(hù)管理測試方法如下：

a)在終端所在設(shè)備上安裝基礎(chǔ)病毒樣本，測試設(shè)備針對操作系統(tǒng)病毒防護(hù)；

b)在未修復(fù)漏洞的系統(tǒng)上安裝終端，測試針對漏洞的修復(fù)能力；

c)插入未注冊的U盤、鼠標(biāo)等外設(shè)，測試設(shè)備對未知外設(shè)的管控能力。

.2預(yù)期結(jié)果

終端設(shè)備安全防護(hù)管理測試預(yù)期結(jié)果如下：

a)可成功查殺系統(tǒng)病毒；

b)可成功修復(fù)基礎(chǔ)漏洞；

c)可成功檢測、發(fā)現(xiàn)、禁用未知設(shè)備。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

數(shù)據(jù)保護(hù)測試

.1測試方法

數(shù)據(jù)保護(hù)測試方法如下：

a)測試打開終端，能否出現(xiàn)屏幕水??；

b)測試打印素材后，素材能否出現(xiàn)水印。

.2預(yù)期結(jié)果

數(shù)據(jù)保護(hù)測試預(yù)期結(jié)果如下：

a)成功出現(xiàn)屏幕水印；

b)素材打印后成功出現(xiàn)水印。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

23

T/CESAXXXX-202X

入侵檢測測試

.1測試方法

入侵檢測測試方法如下：

a)測試終端設(shè)備發(fā)起入侵（包括掃描網(wǎng)絡(luò)、賬號爆破、遠(yuǎn)程注入等），測試控制中心能夠檢測，并

能發(fā)起告警。

b)測試測試終端設(shè)備發(fā)起入侵（包括但不限于Sql注入、暴力破解等），能夠?qū)崿F(xiàn)阻斷訪問

c)測試對外日志接口，按照相關(guān)信息可成功檢索日志相關(guān)信息。

.2預(yù)期結(jié)果

入侵檢測測試預(yù)期結(jié)果如下：

a)終端能夠發(fā)起入侵后能夠被控制中心檢測，并產(chǎn)生告警；

b)測試終端發(fā)起入侵后能夠成功被攔截阻斷；

c)測試對外日志接口可提供日志檢索能力。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

終端安全應(yīng)用沙箱測試

.1測試方法

控制中心下發(fā)策略開啟終端應(yīng)用沙箱功能。

.2預(yù)期結(jié)果

終端安全應(yīng)用沙箱測試預(yù)期結(jié)果如下：

a)終端可以收集到應(yīng)用的惡意行為并能夠阻斷可以程序的內(nèi)部資源訪問；

b)控制中心可以查看到對應(yīng)應(yīng)用的惡意行為日志。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.2.9運(yùn)維監(jiān)控測試

測試方法

打開控制中心運(yùn)維看板。

預(yù)期結(jié)果

運(yùn)維監(jiān)控測試預(yù)期結(jié)果如下：

a)可以看到所有組件的所在宿主的cpu、內(nèi)存、磁盤利用率、服務(wù)可用性的各類指標(biāo)；

b)可以查詢對應(yīng)到網(wǎng)關(guān)到每個配置的額訪問資源的網(wǎng)絡(luò)可用性。

24

T/CESAXXXX-202X

結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.3系統(tǒng)自身安全測試

8.3.1身份憑據(jù)盜用避免測試

測試方法

身份憑據(jù)盜用避免測試方法如下：

a.人工分析檢查：

b.終端程序是否有加殼；

c.日志是否可以會看到憑據(jù)；

d.是否有地方存儲憑據(jù)，復(fù)制到另外一臺設(shè)備要不可用；

e.流量錄制，要無法被回放。

預(yù)期結(jié)果

身份憑據(jù)盜用避免測試預(yù)期結(jié)果如下：

a.流量回放訪問失??；

b.無法行本地明文存儲文件獲取大對應(yīng)訪問的憑據(jù)；

c.終端應(yīng)用程序無法直接靜態(tài)逆向。

結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合

8.3.2管理員角色權(quán)限分離測試

管理員、審計(jì)員、策略員控制臺訪問操作權(quán)限分離

8.3.3管理員行為審計(jì)能力測試

任意管理員控制臺涉及到刪除修改的業(yè)務(wù)的動作，都要能夠記錄和追溯。

8.3.4系統(tǒng)所在服務(wù)器自身加固測試

測試方法

系統(tǒng)所在服務(wù)器自身加固測試方法如下：

a.測試終端對系統(tǒng)弱密碼檢測、對密碼策略修改，對弱密碼進(jìn)行修改；

b.測試終端可以檢測系統(tǒng)活躍，自動開啟屏幕保護(hù)；

c.測試終端可以發(fā)現(xiàn)共享等高位服務(wù)并屏蔽端口；

d.測試終端可以開啟審計(jì)日志，并成功收集日志。

25

T/CESAXXXX-202X

預(yù)期結(jié)果

系統(tǒng)所在服務(wù)器自身加固測試預(yù)期結(jié)果如下：

a.終端可以對系統(tǒng)弱密碼進(jìn)行檢測發(fā)現(xiàn)，對密碼策略可成功修改，對弱密碼可以成功修改；

b.終端可以在系統(tǒng)不活躍時(shí)，成功開啟屏幕保護(hù)；

c.終端可以成功關(guān)閉高危端口；

d.終端可以成功開啟審計(jì)日志，并收集上報(bào)。

結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

8.4性能測試

8.4.1網(wǎng)關(guān)單臺并發(fā)測試

測試方法

圖5測試示意圖

網(wǎng)關(guān)單臺并發(fā)測試示意圖如圖5所示，測試方法要求如下：

a.提供客戶端測試腳本或者測試工具，并且可以修改參數(shù)填入控制中心提供的有效授權(quán)；

b.網(wǎng)頁系統(tǒng)必須提供一個優(yōu)化系統(tǒng)，直接用ab或者web壓測工具，直接用行業(yè)工具壓測必須超

過8000qps才行；

c.修改客戶端提供對應(yīng)的測試腳本或者工具參數(shù)，可以修改或者獲取到控制中心一個有效授權(quán)的

票據(jù)，可以直接發(fā)起網(wǎng)關(guān)請求，并到達(dá)網(wǎng)頁系統(tǒng)。

預(yù)期結(jié)果

網(wǎng)關(guān)單臺并發(fā)測試預(yù)期結(jié)果如下：

a.可以請求成功頁面系統(tǒng)、控制中心有對應(yīng)的請求日志；

b.壓測可以達(dá)到每秒2000qps。

結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

26

T/CESAXXXX-202X

8.5部署測試

8.5.1終端部署測試

測試方法

在不同的操作系統(tǒng)和版本上進(jìn)行客戶端代理的安裝。

預(yù)期結(jié)果

在不同的操作系統(tǒng)和版本上都能安裝成功，并且運(yùn)行連接成功控制中心。

8.5.2控制中心部署測試

測試方法

控制中心部署測試方法如下：

a.進(jìn)行單機(jī)、集群、多級模式下的部署。集群模式下，增加服務(wù)器，測試服務(wù)總體的qps。多級

模式下，跨地域訪問控制中心服務(wù)；

b.進(jìn)行壓力測試，對比預(yù)期的并發(fā)請求數(shù)量，響應(yīng)時(shí)間；

c.跨地域訪問控制中心的數(shù)據(jù)庫；

d.在展示平臺查看控制中心的服務(wù)調(diào)用量、異常量、最高并發(fā)量等運(yùn)行情況，進(jìn)行服務(wù)器軟件的

安裝、配置、部署、升級操作；

預(yù)期結(jié)果

控制中心部署測試預(yù)期結(jié)果如下：

a.單機(jī)、集群、多級模式部署均能正常運(yùn)行。集群模式下，增加服務(wù)器，服務(wù)的總體qps達(dá)到預(yù)

期。多級模式下，可以實(shí)現(xiàn)跨地域訪問控制中心服務(wù)；

b.能達(dá)到預(yù)期并發(fā)能力，響應(yīng)時(shí)間；

c.無法跨地域訪問控制中心的數(shù)據(jù)庫；

d.可以正常查看控制中心的服務(wù)調(diào)用量、異常量、最高并發(fā)量等運(yùn)行情況，進(jìn)行服務(wù)器軟件的安

裝、配置、部署、升級操作。

結(jié)果判定

實(shí)際測試結(jié)果和預(yù)期結(jié)果一致，說明符合測試要求。

8.5.3網(wǎng)關(guān)部署測試

測試方法

網(wǎng)關(guān)部署測試方法如下：

a.增加服務(wù)器，測試服務(wù)總體的qps；

b.采用負(fù)載均衡技術(shù)，測試各個服務(wù)的響應(yīng)時(shí)間。

27

T/CESAXXXX-202X

預(yù)期結(jié)果

網(wǎng)關(guān)部署測試預(yù)期結(jié)果如下

a.增加服務(wù)器后，服務(wù)總體qps按預(yù)期提高；

b.實(shí)現(xiàn)接入的均衡分布。

結(jié)果判定

實(shí)際測試結(jié)果和預(yù)期結(jié)果一致，說明符合測試要求。

8.6容災(zāi)測試

8.6.1控制中心容災(zāi)測試

測試方法

控制中心容災(zāi)測試方法如下：

a.查看服務(wù)的備份、容錯、冗余能力；

b.進(jìn)行控制中心數(shù)據(jù)庫的數(shù)據(jù)冷熱分離部署；

c.進(jìn)行數(shù)據(jù)庫的增量、全量備份后測試恢復(fù)情況；

d.利用內(nèi)存數(shù)據(jù)庫的持久化，查看數(shù)據(jù)恢復(fù)情況；

e.測試7×24小時(shí)運(yùn)行狀態(tài)，期間系統(tǒng)狀態(tài)和數(shù)據(jù)是否正常；

f.測試控制中心的故障管理、控制能力。

預(yù)期結(jié)果

控制中心容災(zāi)預(yù)期結(jié)果如下：

a.服務(wù)的備份、容錯、冗余能力正常；

b.數(shù)據(jù)冷熱分離部署成功；

c.數(shù)據(jù)恢復(fù)完整、速度符合預(yù)期；

d.內(nèi)存數(shù)據(jù)庫能完全恢復(fù)數(shù)據(jù)；

e.測試期間控制中心服務(wù)功能正常、數(shù)據(jù)可靠；

f.故障情況下，控制中心可以進(jìn)行告警、錯誤上報(bào)。

結(jié)果判定

實(shí)際測試結(jié)果和預(yù)期結(jié)果一致，說明符合測試要求。

8.6.2網(wǎng)關(guān)容災(zāi)測試

測試方法

網(wǎng)關(guān)容災(zāi)測試方法如下：

a.測試網(wǎng)關(guān)的功能；

28

T/CESAXXXX-202X

b.測試7×24小時(shí)運(yùn)行的狀態(tài)，期間系統(tǒng)狀態(tài)和數(shù)據(jù)是否正常；

c.測試網(wǎng)關(guān)的故障管理、控制能力。

預(yù)期結(jié)果

網(wǎng)關(guān)容災(zāi)測試預(yù)期結(jié)果如下：

a.網(wǎng)關(guān)功能正常；

b.測試期間網(wǎng)關(guān)功能正常、數(shù)據(jù)可靠；

c.故障情況，網(wǎng)關(guān)可以進(jìn)行告警、錯誤上報(bào)。

結(jié)果判定

實(shí)際測試結(jié)果和預(yù)期結(jié)果一致，說明符合測試要求。

9服務(wù)之間調(diào)用場景測試

9.1測試環(huán)境

功能及自身安全測評典型環(huán)境見下圖

圖6測試環(huán)境典型示意圖

服務(wù)之間調(diào)用場景測試環(huán)境典型示意圖如圖6所示，物理服務(wù)器及虛擬機(jī)操作系統(tǒng)需涵蓋主流

windows及Linux系統(tǒng)，例如windowsserver2012、centos7、Ubuntu14等；網(wǎng)絡(luò)類型須包括IPv4及

IPv6。

29

T/CESAXXXX-202X

9.2功能測試

9.2.1工作負(fù)載信息識別測試

工作負(fù)載基本信息（包括操作系統(tǒng)版本、網(wǎng)卡信息、服務(wù)信息、監(jiān)聽端口信息等）獲取測試

.1測試方法

工作負(fù)載基本信息獲取測試方法如下：

a.審查系統(tǒng)說明文檔，分析產(chǎn)品基本信息獲取能力；

b.在管理中心中查看一臺已管理的工作負(fù)載，查看是否識別或讀取到工作負(fù)載的操作系統(tǒng)版本、

網(wǎng)卡信息、服務(wù)信息、監(jiān)聽端口信息等；

c.查看此信息與是否與工作負(fù)責(zé)實(shí)際情況一致。

.2預(yù)期結(jié)果

工作負(fù)載基本信息獲取測試預(yù)期結(jié)果如下：

a.能夠顯示工作負(fù)載的操作系統(tǒng)版本、網(wǎng)卡信息、服務(wù)信息、監(jiān)聽端口信息等；

b.自動識別或讀取到的信息與工作負(fù)載實(shí)際的信息一致。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

工作負(fù)載唯一標(biāo)識身份信息確定測試

.1測試方法

工作負(fù)載唯一標(biāo)識身份信息確定測試方法如下：

a.審查系統(tǒng)說明文檔，分析系統(tǒng)標(biāo)識身份信息能力；

b.檢查是否能夠?yàn)槊恳慌_工作負(fù)載配置或生成身份信息；

c.身份信息是否唯一。

.2預(yù)期結(jié)果

工作負(fù)載唯一標(biāo)識身份信息確定測試預(yù)期結(jié)果如下：

a.系統(tǒng)能夠?yàn)槊恳慌_工作負(fù)載配置或生成身份信息；

b.身份信息唯一。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

主機(jī)信息狀態(tài)變化上傳至管理端測試

.1測試方法

主機(jī)信息狀態(tài)變化上傳至管理端測試方法如下：

30

T/CESAXXXX-202X

a.將某臺管理范圍內(nèi)的工作負(fù)載的基本信息進(jìn)行修改，例如IP信息、關(guān)機(jī)等；

b.查看管理中心是否識別出該變化。

.2預(yù)期結(jié)果

管理中心能夠識別主機(jī)信息變化。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

第三方認(rèn)證體系對接支持測試

.1測試方法

第三方認(rèn)證體系對接支持測試方法如下：

a.審查系統(tǒng)說明文檔，分析系統(tǒng)與第三方認(rèn)證體系對接功能；

b.查看系統(tǒng)是否具備與第三方認(rèn)證體系對接的接口；

c.通過接口導(dǎo)入認(rèn)證信息，系統(tǒng)是否可接收并顯示信息。

.2預(yù)期結(jié)果

第三方認(rèn)證體系對接支持測試預(yù)期結(jié)果如下：

a.系統(tǒng)具備與第三方認(rèn)證體系對接的接口

b.認(rèn)證信息可成功導(dǎo)入系統(tǒng)，系統(tǒng)可接收且顯示

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

9.2.2服務(wù)之間訪問控制測試

客戶端/網(wǎng)關(guān)組件使用最小安全原則測試

.1測試方法

客戶端/網(wǎng)關(guān)組件使用最小安全原則測試方法如下：

a.審查系統(tǒng)說明文檔，分析系統(tǒng)的訪問控制能力；

b.配置服務(wù)之間的允許訪問控制規(guī)則，查看符合規(guī)則的訪問是否被放行；

c.構(gòu)建不符合規(guī)則的訪問，查看是否被阻止。

.2預(yù)期結(jié)果

客戶端/網(wǎng)關(guān)組件使用最小安全原則測試預(yù)期結(jié)果如下：

a.系統(tǒng)可以配置允許的訪問控制規(guī)則；

b.符合規(guī)則的訪問被放行，不符合規(guī)則的被禁止。

31

T/CESAXXXX-202X

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

基于源IP地址、目的IP地址和端口的訪問控制測試

.1測試方法

基于源IP地址、目的IP地址和端口的訪問控制測試方法如下：

a.審查系統(tǒng)說明文檔，分析系統(tǒng)的訪問控制能力

b.配置一條允許某IP訪問另一IP地址特定端口的訪問控制規(guī)則

c.驗(yàn)證是否符合規(guī)則的訪問被放行

.2預(yù)期結(jié)果

基于源IP地址、目的IP地址和端口的訪問控制測試預(yù)期結(jié)果如下：

a.系統(tǒng)可以配置基于源IP、目的IP及端口的訪問控制規(guī)則；

b.符合規(guī)則的訪問被放行。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

出站和入站雙向訪問控制測試

.1測試方法

出站和入站雙向訪問控制測試方法如下：

a.審查系統(tǒng)說明文檔，分析系統(tǒng)的出站及入站控制功能；

b.配置相關(guān)出站及入站規(guī)則；

c.分別嘗試執(zhí)行符合規(guī)則出站、入站的訪問，檢查是否成功；

d.分別嘗試執(zhí)行違反規(guī)則的出站、入站訪問，檢查是否成功。

.2預(yù)期結(jié)果

出站和入站雙向訪問控制測試預(yù)期結(jié)果如下：

a.系統(tǒng)能夠配置出站及入站規(guī)則；

b.符合規(guī)則的訪問被放行；

c.違反規(guī)則的訪問被阻止。

.3結(jié)果判定

實(shí)際測試結(jié)果與相關(guān)預(yù)期結(jié)果一致則判定為符合，其他情況判定為不符合。

32

T/CESAXXXX-202X

接收并執(zhí)行控制中心組件下發(fā)動態(tài)訪問控制策略測試

.1測試方法

接收并執(zhí)行控制中心組件下發(fā)動態(tài)訪問控制策略測試方法如下：

a.審查系統(tǒng)說明文檔，分析系統(tǒng)的策略同步機(jī)制；

b.在管理中心修改某工作負(fù)載的安全策略，在客戶端/網(wǎng)關(guān)組件上查看查看是否接收到修改的安

全策略并執(zhí)行；

.2預(yù)期結(jié)果

客戶端/網(wǎng)關(guān)組件可以準(zhǔn)確接收并執(zhí)行管理中心下發(fā)的策略；

.3結(jié)果判定

實(shí)際