摘要: 信息是21世纪最重要的战略资源,信息安全则是最重要的安全因素,各类安全事件给世界各国的政治、经济、文化等各个领域的信息安全带来了前所未有的挑战。在这样的大背景下,为了构建真正坚实可靠的信息安全保障体系,必须对所采用的信息产品进行全面严格的测试,对产品的研发过程...
信息是21世纪最重要的战略资源,信息安全则是最重要的安全因素,各类安全事件给世界各国的政治、经济、文化等各个领域的信息安全带来了前所未有的挑战。在这样的大背景下,为了构建真正坚实可靠的信息安全保障体系,必须对所采用的信息产品进行全面严格的测试,对产品的研发过程和所采用的核心技术进行严格把关。
各类信息安全测评机构和实验室作为专业从事网络与信息安全测试、评估的机构,以科学的方法、规范的程序、公正的态度、独立的判断,依据相关标准,开展信息安全产品的测试,提供安全测评服务。
随着我国信息产业的快速发展,各类信息安全测评机构和实验室所负责的信息安全测评工作更加繁重、复杂。在实验室内部,基于传统技术或纯手工方式构建的样品测试环境、方法与流程存在的不足逐渐显现,无法适应目前实验室测试业务快速发展的需要。具体表现如下:
测试效率有待提高
业务流程处理过程中存在停滞情况,相关人员需要用“腿”、用“电话”等手段进行沟通和推进,效率不高;测试人员手工搭建测试环境、配置测试设备、汇总测试结果等重复性的工作量较大。
测试工作质量存在提升空间
样品测试业务中人工参与程度高,人为失误不可避免,如丢失表格和文件、错误存档、遗漏重要信息或必要审查等,不同程度的影响测试工作质量。
工作流程标准化、规范化程度不够
人为监控流程的随意性和不确定性,无法实现测试工作流程的标准化和规范化,不利于实验室测试业务的长足发展。
测试业务水平持续提升潜力不足
测评业务中不断积累下的测试方案、测试用例、测试拓扑、测试脚本、数据样本等,比较零散,没有形成一套完整的、高效的知识体系,不利于测评业务水平的持续提升。
基于上述情况,天融信智能测试系统(TAF)应运而生。它是天融信公司拥有完全自主知识产权的新一代安全产品,其设计目标旨在提升信息产品测评工作的能力和效率,促使信息产品测评业务走上规范化、自动化的道路,构建由点到面、到线的多角度、全方位的信息安全测评平台。
天融信智能测试系统(TAF)实现产品测评五要素-样品、测试环境、测试方法、测试资源、操作人员的全面管理。
图1天融信智能测试系统管理产品测评五要素
天融信智能测试系统(TAF)的系统架构图如下所示:
图2天融信智能测试系统架构图
天融信智能测试系统(TAF)实现四大方面的主要功能。
业务流程管理
提供信息产品测评项目的全生命周期管理和信息产品测评全流程的管理支撑和评估辅助;可视化自定义业务流程,可视化自定义业务表单,可视化自定义业务流程与角色、用户和权限域的对应关系;全程可视化监测业务流程的运行过程和运行状态;依据用户的自定义模板,一键动态生成业务统计报告;自动分类存储庞杂的业务信息,实时显示业务运行趋势,在线定制业务分析报表。
自动化测试执行
依据规划的测试模式,多种方式执行测试过程;根据最优算法,动态调度测试任务和测试资源;提供可视化、可配置的拓扑图,动态生成测试环境;一键自动探测、部署和升级测试工具;全程可视化监控测试执行过程;自动采集分布式的测试数据,并提交中心服务器统一存储和分类管理;自动过滤无效信息,多角度综合分析测试数据,智能判定测试执行结果。
测试资源驱动
驱动Spirent、Ixia的主流测试仪表;驱动商用的、开源的及天融信公司自研的网络应用测试工具、网络攻击测试工具、漏洞扫描工具;驱动主流的交换机、路由器和物理交换机;驱动开源的虚拟交换机和虚拟机。
测评知识库
预置近二十大类信息产品的测试用例库;预置近十类操作系统和应用系统的测试用例库;预置网络安全性测试用例集;基于图形化方式,拖拽创建、配置测试用例;建立测评标准、测试方法、技术指标、测试用例、测试脚本、测试拓扑、测试组件、测试工具、测试样本、测试文档以及模板的完整知识体系。
与其他同类产品相比,天融信安全测试平台(TAF)具备四大特点。
开放式自动测试系统
系统能够根据测试任务的需求,快速、准确的响应测试需求变化,动态调整系统的功能和测试能力,高效的构建自动测试系统;系统具备足够的灵活性,能够满足快速变化的不同的测试需求,同时具有开放的结构,以提高系统对新技术的纳入能力;系统集成业界先进的测试仪表、自研和商业的测试工具,依据测试需求自动加载测试配置信息,自动调度测试资源、自动检查测试资源有效性、自动驱动测试资源、自动监控测试资源、自动运行测试过程、自动收集测试数据、自动判定测试结果、测试过程可视化等一系列的关键阶段,达到无人值守情况下,自动、高效的测试过程。
测试资源驱动
系统在资源层与核心服务层之间提出了资源驱动层的思想,通过抽象测试资源,隐藏特定硬件平台、软件架构,为核心服务层提供统一的操作接口,使其具有平台无关性,从而为各种测试资源提供适应性支持,实现资源的有效管理。
多测试任务的并发动态调度
在测试任务运行过程中,利用最优测试资源集合生成算法,在给定的系统软硬件资源库和测试需求条件约束下,构建满足条件的系统最优规划方案;一方面为测试任务分配了“最适合测试需要”的资源,另一方面保证了各测试任务之间软硬件资源不冲突、测试环境相对独立、测试数据动态隔离、测试结果完整准确。
虚实结合的网络信息安全仿真测试环境
根据系统信息化应用的实际需求,系统提供不同组合方式的真实背景流量、业务应用仿真流量、非法流量、攻击仿真流量,搭建分布式的、半实物、虚实结合的网络信息安全仿真试验环境,对信息安全技术进行验证与仿真;在此基础上,开展多种业务场景仿真、网络渗透场景,通过获取信息安全测试数据对信息系统的安全性进行系统级、一体化、自动化的综合测试与分析,从而全面的评价各种安全理论模型、安全防护产品、系统级的安全体制等。
2009年以来,天融信先后为多家信息安全测评机构和实验室成功研制出多套适应其业务特点的测试平台,有效地改善了客户检测工作的质量,提高了客户检测能力和效率,促进客户检测业务水平的稳步提升。
稿源:“天融信科技”微信公众平台
