產(chǎn)品端點(diǎn)安全測(cè)試報(bào)告

前言：本站為你精心整理了產(chǎn)品端點(diǎn)安全測(cè)試報(bào)告范文，希望能為你的創(chuàng)作提供參考價(jià)值，我們的客服老師可以幫助你提供個(gè)性化的參考范文，歡迎咨詢(xún)。

端點(diǎn)安全是目前網(wǎng)絡(luò)界非常火爆的話題，思科，微軟分別推出了NAC、NAP，國(guó)內(nèi)本土廠商華為3com也推出了EAD計(jì)劃，每家網(wǎng)絡(luò)廠商也都有類(lèi)似的解決方案。各個(gè)解決方案雖然叫法不同，但是實(shí)現(xiàn)的目的、大體的網(wǎng)絡(luò)架構(gòu)都是非常類(lèi)似的。此次本報(bào)編輯選編的美國(guó)網(wǎng)絡(luò)世界一篇測(cè)試報(bào)告就是關(guān)于端點(diǎn)安全產(chǎn)品測(cè)試的，每家測(cè)試產(chǎn)品都可以完成上述端點(diǎn)安全功能。在編輯這篇文章的過(guò)程中，編輯也查閱了大量的相關(guān)資料，發(fā)現(xiàn)生產(chǎn)此類(lèi)產(chǎn)品的小公司在美國(guó)非常多。在除了思科這樣的網(wǎng)絡(luò)大鱷之外，小廠商的產(chǎn)品往往也有他的獨(dú)到之處。

對(duì)于公司網(wǎng)絡(luò)的安全一致性審計(jì)要求來(lái)說(shuō)，在端點(diǎn)上設(shè)置和強(qiáng)制執(zhí)行安全策略，非常至關(guān)重要。在我們的端點(diǎn)安全產(chǎn)品測(cè)試中，這些產(chǎn)品可提供策略強(qiáng)制執(zhí)行功能，每一款產(chǎn)品都可以識(shí)別出系統(tǒng)是否符合策略一致性要求并且可以采取行動(dòng)來(lái)補(bǔ)救不符合策略的系統(tǒng)。

我們制定了一系列產(chǎn)品所應(yīng)該提供的策略強(qiáng)制清單，這其中包括產(chǎn)品可以識(shí)別出未打補(bǔ)丁的操作系統(tǒng)、是否符合安全策略一致性、對(duì)不符合策略要求系統(tǒng)進(jìn)行限制訪問(wèn)、分析并得出客戶(hù)端的報(bào)告和對(duì)不符合安全策略要求的系統(tǒng)采取補(bǔ)救行動(dòng)使之和整體安全策略相一致。

我們非常理解沒(méi)有一家產(chǎn)品可以全部滿(mǎn)足我們的安全策略要求，我們會(huì)盡可能地讓廠商展示他們所有的功能特性。

如果沒(méi)有在網(wǎng)絡(luò)中增加安全產(chǎn)品則會(huì)引起很大的安全災(zāi)難，我們也檢查了端點(diǎn)安全產(chǎn)品自身的安全架構(gòu)特性。

我們對(duì)此領(lǐng)域內(nèi)的13家廠商發(fā)出了測(cè)試邀請(qǐng)函，最終CheckPoint、Cisco、Citadel、InfoExpress、Senforce、TrandMicro和Vernier/PatchLinkNetworks同意參加測(cè)試。ElementalSecurity，EndForce，McAfee，Sygate，SecureWave和StillSecure則拒絕參加了此次測(cè)試。Vernier/PatchLink因?yàn)樵谒袦y(cè)試項(xiàng)目中有著不錯(cuò)的表現(xiàn)，所以最終最終贏得了這次測(cè)試。例如此產(chǎn)品可阻止網(wǎng)絡(luò)訪問(wèn)并且自動(dòng)修補(bǔ)不符合安全策略的系統(tǒng)，它的安全檢測(cè)功能最富有彈性。

Senforce獲得了第二名，但是與第一名的測(cè)試分?jǐn)?shù)非常相近。Senforce有著最為強(qiáng)大的主機(jī)坐鎮(zhèn)網(wǎng)絡(luò)中央，它們僅僅使用客戶(hù)端軟件，不用其他在線設(shè)備就可以實(shí)現(xiàn)端點(diǎn)安全功能。TrendMicro公司總體上表現(xiàn)也非常好，僅僅是在滿(mǎn)足我們的策略管理要求方面栽了一馬。

Citadel是一款強(qiáng)大的產(chǎn)品，但是在策略一致性功能方面需要投入更大的精力，這家公司說(shuō)他們會(huì)在4.0版本中集成這項(xiàng)功能。從技術(shù)觀點(diǎn)上來(lái)看，Cisco也表現(xiàn)得非常不錯(cuò)，但是需要在報(bào)告和總體可用性方面需要改善。CheckPoint是一款可靠的產(chǎn)品，但需要在報(bào)告和更詳細(xì)的自定義策略檢查功能上下足功夫。

和我們通常的安全測(cè)試一樣，我們?nèi)匀粫?huì)關(guān)注于當(dāng)端點(diǎn)遭受攻擊時(shí)，產(chǎn)品所應(yīng)該采取的行為，我們感到InfoExpress的產(chǎn)品仍然在這一領(lǐng)域中有著深厚的技術(shù)背景，但產(chǎn)品的可用性和文檔說(shuō)明仍然需要改善。

因?yàn)槲覀儗⒆⒁饬Χ纪断蛄嗣靠町a(chǎn)品的測(cè)試要求上，所有我們不能測(cè)試每款產(chǎn)品的功能亮點(diǎn)。

VernierNetworks和PatchLink所提交的產(chǎn)品包含了VernierEdgeWall7000i——一款強(qiáng)制策略一致性的在線設(shè)備，PatchLink升級(jí)服務(wù)器和相應(yīng)的端點(diǎn)軟件可以方便地對(duì)客戶(hù)端進(jìn)行安全策略一致性檢查。

產(chǎn)品的安裝非常順利，特備是在兩家產(chǎn)品合作進(jìn)行測(cè)試的情況下。測(cè)試過(guò)程中我們僅僅碰到了EdgeWall7000i的一個(gè)問(wèn)題——在默認(rèn)狀態(tài)下，NAT功能是打開(kāi)的，然而我們并不需要這個(gè)功能，因?yàn)槲覀儍H僅把這個(gè)產(chǎn)品當(dāng)作了一個(gè)橋接設(shè)備。在非常輕易地關(guān)掉NAT功能后，以下工作就非常順利地進(jìn)行下去了。

雖然客戶(hù)端依靠EdgeWall7000i本身就可以進(jìn)行易受攻擊性檢查掃描，但我們的測(cè)試卻非常依于PatchLink升級(jí)服務(wù)器。PatchLink升級(jí)檢查包括檢測(cè)反病毒軟件包的數(shù)量和所有Windows安全升級(jí)。對(duì)于間諜軟件檢測(cè)，EdgeWall7000i可以識(shí)別出一些惡意流量，并且通過(guò)一種方法可以識(shí)別出我們?cè)跍y(cè)試中所用的間諜軟件。此外，PatchLink提供了一個(gè)間諜軟件模塊來(lái)識(shí)別間諜軟件所運(yùn)行的端點(diǎn)系統(tǒng)，但是我們并沒(méi)有這個(gè)功能。

用Vernier/PatchLink可以禁止USB拇指驅(qū)動(dòng)器（編者注：在這里指小型的U盤(pán)產(chǎn)品）訪問(wèn)。當(dāng)我們利用EdgeWall7000i產(chǎn)品進(jìn)行應(yīng)用控制測(cè)試時(shí)，成功地阻止和控制了我們所指定的應(yīng)用流量。

PatchLink開(kāi)發(fā)工具允許你制定自定義策略和補(bǔ)丁包，提供了在我們所測(cè)試的產(chǎn)品中最富有彈性的自定義檢查功能。

這些產(chǎn)品也可以在VPN連接上強(qiáng)制策略一致性，此功能的考慮是基于你假如有一個(gè)移動(dòng)地工作站的話，就必須要保證移動(dòng)接入的安全性。但此功能也有致命的缺陷：假如某個(gè)端點(diǎn)在線，而Vernier/PatchLink此時(shí)又發(fā)生故障，那么端點(diǎn)就不能連接到總部網(wǎng)絡(luò)了。

Vernier要求你設(shè)置多個(gè)安全配置級(jí)別——你必須設(shè)置多個(gè)不同的安全文件、身份文件、連接文件和訪問(wèn)策略，從而你可以追蹤這些配置文件。在管理GUI界面中，一個(gè)不同的設(shè)置過(guò)程布局可以讓你更多的憑直覺(jué)來(lái)進(jìn)行設(shè)置工作。

當(dāng)一個(gè)系統(tǒng)將要訪問(wèn)網(wǎng)絡(luò)時(shí)，這個(gè)系統(tǒng)就會(huì)立刻被進(jìn)行掃描和置于一個(gè)統(tǒng)一的網(wǎng)絡(luò)訪問(wèn)策略下。對(duì)于我們的測(cè)試來(lái)說(shuō)，我們?cè)O(shè)置了三個(gè)訪問(wèn)策略——符合安全一致性策略的系統(tǒng)可以進(jìn)行全部訪問(wèn)、對(duì)于不符合策略的系統(tǒng)限制訪問(wèn)并且把這個(gè)系統(tǒng)鏈接到Internet上進(jìn)行打補(bǔ)丁工作、限制沒(méi)有安裝PatchLink軟件的組系統(tǒng)訪問(wèn)，對(duì)于沒(méi)有安裝PatchLink軟件的一組系統(tǒng)來(lái)說(shuō)，利用EdgeWall7000i的URL重定向功能可提供這些系統(tǒng)一個(gè)鏈接來(lái)下載安裝軟件。

當(dāng)EdgeWall7000i包含了網(wǎng)絡(luò)強(qiáng)制組件時(shí)，PatchLink升級(jí)服務(wù)器可利用強(qiáng)制的基本默認(rèn)配置提供及時(shí)的補(bǔ)救行為。當(dāng)我們讓一個(gè)沒(méi)有安裝PatchLink軟件的系統(tǒng)連接到網(wǎng)絡(luò)時(shí)，我們打開(kāi)瀏覽器，瀏覽器被重定向到一個(gè)鏈接上，下載和安裝PatchLink軟件。

一旦軟件被安裝和運(yùn)行時(shí)，通過(guò)PatchLink升級(jí)服務(wù)器中默認(rèn)配置，沒(méi)有打上補(bǔ)丁的系統(tǒng)和安全設(shè)置就會(huì)被自動(dòng)部署在系統(tǒng)內(nèi)。一旦系統(tǒng)滿(mǎn)足了一致性要求，就會(huì)被允許訪問(wèn)全部測(cè)試環(huán)境——正如事先所期望的。

當(dāng)不符合一致性要求的系統(tǒng)將要上線時(shí)，Venier/PatchLink并不能提供警報(bào)機(jī)制，但是它提供了許多的報(bào)告選項(xiàng)。通過(guò)PatchLink升級(jí)服務(wù)器，你可以得到一個(gè)系統(tǒng)完整的打補(bǔ)丁歷史，EdgeWall7000i則提供了所有在線系統(tǒng)總體的一致性狀態(tài)報(bào)告。

Senforce

Senforce端點(diǎn)安全套件有5個(gè)主要的部件。在Windows服務(wù)器上運(yùn)行的分布式策略服務(wù)、和其通信的客戶(hù)端、策略部署、策略收回（retrievepolicy）和從分布式客戶(hù)端收集來(lái)的注冊(cè)數(shù)據(jù)。管理服務(wù)功能控制了用戶(hù)策略、策略存儲(chǔ)和生成報(bào)告。策略編輯器的用戶(hù)界面可以用來(lái)進(jìn)行策略的生成和管理。用密碼加密過(guò)的客戶(hù)位置確信服務(wù)可以確保一個(gè)系統(tǒng)是否確實(shí)在網(wǎng)絡(luò)上，此舉可以使系統(tǒng)免受用戶(hù)欺詐攻擊。最后，全面的Senforce安全客戶(hù)端包括一個(gè)以主機(jī)為基礎(chǔ)的防火墻程序，這個(gè)防火墻程序在受監(jiān)控的端點(diǎn)上運(yùn)行，它用來(lái)強(qiáng)制策略實(shí)施和控制系統(tǒng)的補(bǔ)救過(guò)程。

對(duì)于安全測(cè)試過(guò)程，我們感覺(jué)非常艱難。我們第一次嘗試進(jìn)行分布式安裝，但是所利用SSL的組件之間卻不能進(jìn)行適當(dāng)?shù)耐ㄐ拧Ｈ缓笪覀冞\(yùn)行了單個(gè)服務(wù)器安裝，但是數(shù)據(jù)庫(kù)卻不能正常使用并且錯(cuò)過(guò)了產(chǎn)品運(yùn)行所需要的關(guān)鍵數(shù)據(jù)安裝。Senforce的技術(shù)支持對(duì)于這個(gè)問(wèn)題并不能解釋?zhuān)珔s很快幫助我們完成了工作，在第三次嘗試以后，我們最終才得以繼續(xù)測(cè)試。一旦安裝完成，我們并沒(méi)有遇到其他的服務(wù)器操作問(wèn)題。文檔非常充足，但是雙列的文字布局，使得用戶(hù)閱讀起來(lái)非常麻煩。

策略的制定過(guò)程表明了系統(tǒng)如何檢查反病毒特征庫(kù)、打上錯(cuò)過(guò)的補(bǔ)丁和應(yīng)用控制（例如允許或者禁止某些類(lèi)型的應(yīng)用流量）。在我們的測(cè)試中，Senforce安全套件成功地通過(guò)了所有支持的策略檢查測(cè)試。

如果產(chǎn)品被直接置于終端點(diǎn)之后，在和VPN的連接過(guò)程上可以進(jìn)行策略檢查，但如果客戶(hù)端不能直接連接到網(wǎng)絡(luò)上時(shí)，策略的強(qiáng)制執(zhí)行也是可以工作的。通過(guò)產(chǎn)品強(qiáng)有力的腳本引擎你也可以創(chuàng)造自定義的策略檢查。

網(wǎng)絡(luò)管理員可以在策略編輯器里新建策略，策略編輯器有著非常不錯(cuò)的界面并且可以憑直覺(jué)操作。當(dāng)我們碰到問(wèn)題時(shí)，文檔可以迅速幫助我們解決。

在通過(guò)網(wǎng)絡(luò)共享方式安裝客戶(hù)端軟件時(shí)，我們碰到了問(wèn)題。在安裝過(guò)程中，網(wǎng)絡(luò)連接被中斷了，因?yàn)槌绦蛞蟀惭b網(wǎng)絡(luò)驅(qū)動(dòng)程序接口規(guī)范（NDIS）驅(qū)動(dòng)。其他的產(chǎn)品會(huì)有配置警報(bào)，告訴你不要在網(wǎng)絡(luò)上安裝軟件。Senforce也應(yīng)該包含類(lèi)似地警報(bào)。

我們更喜歡以主機(jī)為中心的解決方案，因?yàn)橄到y(tǒng)會(huì)識(shí)別出不符合策略的電腦，然后會(huì)由機(jī)上自己的防火墻來(lái)進(jìn)行控制（CheckPoint和Citadel功能與時(shí)下流行的方法類(lèi)似）。在我們的測(cè)試中，以主機(jī)為中心的工作方法工作得非常好。然而，假如主機(jī)受到攻擊或者Senforce的客戶(hù)端程序被關(guān)掉、刪除，這些情況會(huì)帶來(lái)很大的問(wèn)題。在我們的測(cè)試中，一些客戶(hù)端程序很容易被關(guān)掉。沒(méi)有客戶(hù)端程序，策略檢查就不再工作。對(duì)于網(wǎng)絡(luò)設(shè)備廠商來(lái)說(shuō)，攻擊者仍然會(huì)有一些方法繞過(guò)安全保護(hù)。

客戶(hù)自己編寫(xiě)的策略腳本可以讓產(chǎn)品具有更大的使用彈性。這些腳本甚至可以讓用戶(hù)下載和執(zhí)行必要的程序來(lái)彌補(bǔ)客戶(hù)端電腦的缺陷。一個(gè)不符合策略的系統(tǒng)，我們可以對(duì)其做出如下動(dòng)作：設(shè)置為阻塞其所有數(shù)據(jù)流、運(yùn)行某個(gè)客戶(hù)端隔離規(guī)則、僅僅讓其訪問(wèn)定義好的資源、訪問(wèn)Internet或者是只能訪問(wèn)內(nèi)部網(wǎng)絡(luò)。

安全套件不包括警報(bào)功能。報(bào)告是以Web方式進(jìn)行瀏覽的，但是你卻不能輸出這些報(bào)告或者另存為Web形式。默認(rèn)的報(bào)告包括圖形和匯報(bào)，但是我們更喜歡自由的客戶(hù)訂制能力。報(bào)告提供了很多的信息但是卻不包括全局系統(tǒng)的打補(bǔ)丁歷史和狀態(tài)。

TrendMicro

我們測(cè)試了TrendMicroNetwork的VirusWall2500和OfficeScan7企業(yè)版防病毒軟件。VirusWall2500是一款在線設(shè)備，它可根據(jù)在TrendMicro設(shè)備上預(yù)先定義好的策略來(lái)阻止或者允許網(wǎng)絡(luò)訪問(wèn)。當(dāng)一個(gè)系統(tǒng)嘗試訪問(wèn)網(wǎng)絡(luò)時(shí)，它會(huì)被掃描，看其是否易受攻擊（例如沒(méi)有打包或者是易受攻擊）。

當(dāng)端點(diǎn)沒(méi)有直接連接到網(wǎng)絡(luò)中時(shí)，你就不能新建自定義的策略或者進(jìn)行策略一致性保護(hù)了。TrendMicro的系統(tǒng)可以在VPN上工作并且能和主要的幾家VPN網(wǎng)關(guān)集成來(lái)進(jìn)行防病毒檢查。

這款產(chǎn)品易于設(shè)置并且可以憑直覺(jué)使用，在我們進(jìn)行的所有測(cè)試中，這款產(chǎn)品給了我們愉快的使用經(jīng)歷。

假如一個(gè)不符合策略的系統(tǒng)上線，終端用戶(hù)可以看見(jiàn)一個(gè)錯(cuò)誤提示，打開(kāi)瀏覽器被重定向到一個(gè)網(wǎng)絡(luò)管理員預(yù)先定義好的URL上。我們非常喜歡這樣一個(gè)功能——終端用戶(hù)會(huì)看見(jiàn)一個(gè)彈出式消息框被告知：“打開(kāi)瀏覽器獲得更多信息”。

因?yàn)閂irusWall2500和它的策略強(qiáng)制能力與OfficeScan集成得很緊，所以一旦沒(méi)有安裝防病毒軟件很容易的就被指向安裝鏈接。另外，探測(cè)到的病毒會(huì)被自動(dòng)刪除。另外一些易受攻擊的系統(tǒng)，例如沒(méi)有及時(shí)打補(bǔ)丁也會(huì)利用其他方式來(lái)完成。

TrendMicro的報(bào)告和警報(bào)能力是我們所測(cè)試產(chǎn)品中表現(xiàn)最好的。我們可以簡(jiǎn)單的設(shè)置系統(tǒng)發(fā)送管理員E-mail或者SNMP警報(bào)，當(dāng)不符合安全策略的系統(tǒng)上線時(shí)。我們可以一次生成或者預(yù)定系統(tǒng)打補(bǔ)丁的報(bào)告，也可以將這些報(bào)告以PDF格式或者其他一些文件格式進(jìn)行輸出。我們也可以生成一份關(guān)于離線或在線電腦錯(cuò)過(guò)升級(jí)軟件的報(bào)告。

Cisco

Cisco這次提交了兩款產(chǎn)品，一款是CiscoCleanAccess（CCA）服務(wù)器，這是一款在線設(shè)備，它與安裝在客戶(hù)端電腦上的CisoTrustAgent軟件配合使用可實(shí)現(xiàn)端點(diǎn)安全策略一致性功能。

另外一款產(chǎn)品是CiscoSecureAgent（CSA），CSA包含了管理服務(wù)器軟件和客戶(hù)一側(cè)的代碼，以主機(jī)為中心的技術(shù)可以監(jiān)視系統(tǒng)的惡意活動(dòng)。

安裝CCA非常復(fù)雜。我們讓在線設(shè)備以橋接模式運(yùn)行——僅僅是通過(guò)流量而不做任何NAT。相關(guān)產(chǎn)品設(shè)置的文檔內(nèi)容令人感覺(jué)非常含糊不清，設(shè)置要求管理服務(wù)器處于不同的子網(wǎng)。我們叫來(lái)了技術(shù)支持幫助解決這些架構(gòu)方面的問(wèn)題。

對(duì)于我們的策略強(qiáng)制檢查，CCA可以正確識(shí)別防病毒特征碼，其中包括可以識(shí)別主要3種病毒的默認(rèn)屬性

、沒(méi)有打補(bǔ)丁的操作系統(tǒng)。通過(guò)我們定義好的策略可以控制網(wǎng)絡(luò)流量。當(dāng)一個(gè)端點(diǎn)設(shè)備上線時(shí)，從CCA應(yīng)用服務(wù)啟動(dòng)的Nessus可以掃描操作系統(tǒng)的安全設(shè)置。

自定義的檢查設(shè)置，允許你監(jiān)測(cè)注冊(cè)碼、文件和進(jìn)程，自定義檢查可以通過(guò)CCA管理控制太設(shè)置。總體來(lái)看，自定義檢查非常易于設(shè)置。

策略檢查測(cè)試的其中一項(xiàng)是：確定端點(diǎn)是否運(yùn)行了定義好的個(gè)人防火墻程序。在大部分產(chǎn)品中，這項(xiàng)功能實(shí)現(xiàn)的原理通常是確定某項(xiàng)應(yīng)用是否在系統(tǒng)上運(yùn)行。對(duì)于CSA程序來(lái)說(shuō)，Cisco支持策略檢查和不確定某些參數(shù)值策略的編寫(xiě)。在CCA中也可利用自定義檢查把其他的個(gè)人防火墻加到策略強(qiáng)制中。然而，Cisco的策略檢查還是需要改善的，它需要更加詳細(xì)的腳本引擎。

Cisco的端點(diǎn)安全系統(tǒng)也可以識(shí)別出間諜軟件、控制USB驅(qū)動(dòng)接入、強(qiáng)迫執(zhí)行更多的應(yīng)用、注冊(cè)碼和進(jìn)程安全，當(dāng)端點(diǎn)進(jìn)入或者離開(kāi)網(wǎng)絡(luò)時(shí)，Cisco都可以提供保護(hù)。

CCA也可以非常便利的當(dāng)作VPN終端點(diǎn)來(lái)使用。未來(lái)的版本將會(huì)和CiscoVPN集中器整合得更加緊密。

一致性是由定義好的策略強(qiáng)制實(shí)行的，定義的策略在CCA中駐留。利用CCA管理界面，基于網(wǎng)絡(luò)狀態(tài)你可以設(shè)置很多數(shù)量的補(bǔ)救行為或者強(qiáng)制策略。例如你可以基于認(rèn)證的用戶(hù)、未通過(guò)認(rèn)證的用戶(hù)、在掃描結(jié)果中易受攻擊的用戶(hù)和沒(méi)有通過(guò)一致性檢查的用戶(hù)進(jìn)行設(shè)置。

假如一個(gè)用戶(hù)將要訪問(wèn)網(wǎng)絡(luò)而沒(méi)有通過(guò)CCA的認(rèn)證，你就可以限制他僅僅只能訪問(wèn)一個(gè)特別的區(qū)域。通過(guò)認(rèn)證的用戶(hù)則可以經(jīng)受更多的檢查，通過(guò)檢查后，則會(huì)授予用戶(hù)更廣泛的網(wǎng)絡(luò)訪問(wèn)資源權(quán)限。CTA軟件位于每臺(tái)端點(diǎn)系統(tǒng)上，并且提供對(duì)于主機(jī)訪問(wèn)的權(quán)限。假如CCA識(shí)別出了問(wèn)題，不符合策略的系統(tǒng)會(huì)有一個(gè)安裝文件上傳至CCA，然后會(huì)收到消息或者一個(gè)URL。

終端用戶(hù)必須手工安裝初始化軟件，安裝的軟件可以保證端點(diǎn)用戶(hù)的安全策略保持一致。當(dāng)端點(diǎn)電腦在等待被驗(yàn)證安全策略一致性的時(shí)刻，除了一些指定的Windows升級(jí)連接外，服務(wù)器會(huì)阻塞所有的網(wǎng)絡(luò)流量。

在CCA和CSA中，報(bào)告功能還應(yīng)該有所改善。就CCA來(lái)說(shuō)，你可以觀看服務(wù)器上關(guān)鍵事件的系統(tǒng)日志，但是卻不能對(duì)整個(gè)系統(tǒng)生成報(bào)告。你可以觀看每個(gè)端點(diǎn)系統(tǒng)的掃描結(jié)果和一致性檢查結(jié)果。掃描失敗的事件會(huì)被發(fā)送到CCA事件日志中，但是你卻不能對(duì)所有在線電腦、歷史的當(dāng)前狀態(tài)生成報(bào)告來(lái)顯示。

Citadel

Citadel提交了軟件產(chǎn)品來(lái)參加我們的測(cè)試，Citadel會(huì)把Hercules軟件安裝在端點(diǎn)電腦上，利用ConnectGuard模塊探測(cè)端點(diǎn)是否是易受攻擊的，ConnectGuard模塊包含有客戶(hù)和服務(wù)器端組件來(lái)強(qiáng)迫端點(diǎn)進(jìn)行補(bǔ)救行為。Hercules程序在每一個(gè)端點(diǎn)系統(tǒng)上運(yùn)行，基于自己收集來(lái)的掃描結(jié)果來(lái)分析端點(diǎn)是否易受攻擊。策略檢查包括識(shí)別端點(diǎn)是否安裝了防病毒軟件、間諜軟件、錯(cuò)過(guò)打補(bǔ)丁和檢查操作系統(tǒng)的安全設(shè)置。

Hercules安裝非常順利，沒(méi)有碰到任何問(wèn)題。文檔撰寫(xiě)也不錯(cuò)，管理界面易于使用并可憑直覺(jué)使用。

我們所測(cè)試產(chǎn)品的版本，Citadel可以探測(cè)千余種知名網(wǎng)絡(luò)病毒的攻擊，當(dāng)然你也可以自定義病毒攻擊檢查和在管理界面中自定義補(bǔ)救所采取的行為。

對(duì)于不符合策略一致性的系統(tǒng)，ConnectGuard模塊提供了強(qiáng)制機(jī)制，利用運(yùn)行在端點(diǎn)的Citadel客戶(hù)端可以阻塞不符合策略一致性系統(tǒng)的向外流量，直到符合策略一致性要求為止。在我們所測(cè)試的版本中，補(bǔ)救系統(tǒng)行為在策略一致性檢查時(shí)就會(huì)發(fā)生。在Hercules4.0版本中，管理員可以有選擇的接收到系統(tǒng)策略一致性報(bào)告和補(bǔ)救系統(tǒng)的任務(wù)計(jì)劃。

對(duì)于報(bào)告來(lái)說(shuō)，Hercules利用了以Web界面為基礎(chǔ)的報(bào)告引擎，所以你可以輸出為很多的文件格式。產(chǎn)品包含了相當(dāng)強(qiáng)大的報(bào)告模塊，包括了全部的補(bǔ)救行為歷史和不符合策略一致性要求系統(tǒng)的狀態(tài)。額外地報(bào)告功能已經(jīng)被包含進(jìn)了4.0版本中。Hercules不提供警報(bào)機(jī)制。

CheckPoint

CheckPoint的Integrity6.0以軟件完成了功能實(shí)現(xiàn)，它提供了個(gè)人防火墻、策略檢查和強(qiáng)制實(shí)施的機(jī)制。

安裝還是非常順利的。對(duì)于客戶(hù)端我們新建了一個(gè)默認(rèn)安裝包并且生成了自己的安全策略和強(qiáng)制檢查。在默認(rèn)設(shè)置下，Integrity就包括了主要的防病毒軟件檢查。

你也可以在管理界面中新建策略強(qiáng)制檢查，檢查包括注冊(cè)碼、破壞文件或者是不允許的進(jìn)程。沒(méi)打補(bǔ)丁和操作系統(tǒng)升級(jí)在默認(rèn)狀態(tài)下是不受檢查的，但是你可以定義檢查這些選項(xiàng)。

通過(guò)標(biāo)準(zhǔn)的防火墻規(guī)則和應(yīng)用控制機(jī)制你可以控制應(yīng)用訪問(wèn)。利用CheckPoint的SmartDefense程序的Adivisor服務(wù)可以警告間諜軟件的使用。不支持USB驅(qū)動(dòng)器接入檢查。

所有支持的策略測(cè)試都非常成功。

當(dāng)沒(méi)有連接到總部網(wǎng)絡(luò)時(shí)，完整性檢查提供了系統(tǒng)保護(hù)。

不符合策略一致性的系統(tǒng)可以被發(fā)現(xiàn)、警告或者是限制連接。管理員可以提供到關(guān)鍵文件的鏈接或者是上傳文件到系統(tǒng)上以便用戶(hù)下載進(jìn)行補(bǔ)救行為。在這些功能特點(diǎn)的測(cè)試中，我們可以被重定向到策略中事先定義好的站點(diǎn)中。例如，當(dāng)系統(tǒng)探測(cè)到Windows沒(méi)有打升級(jí)補(bǔ)丁時(shí)，我們被重定向到Windows升級(jí)站點(diǎn)中。

完整性報(bào)告功能還需要改善。基礎(chǔ)報(bào)告通過(guò)Wen界面進(jìn)行觀看，但是報(bào)告卻不能被輸出。你可以得到不符合安全策略一致性系統(tǒng)的報(bào)告，但卻沒(méi)有系統(tǒng)總體的報(bào)告。完整性檢查沒(méi)有提供警報(bào)功能。

InfoExpress

InfoExpressCyberGatekeeper服務(wù)器坐鎮(zhèn)網(wǎng)絡(luò)中央，它提供策略到端點(diǎn)系統(tǒng)上的CyberGatekeeper程序上并且可以通過(guò)Web界面生成報(bào)告。通過(guò)產(chǎn)品所支持的某一類(lèi)型模塊，服務(wù)器可以處理策略強(qiáng)制，產(chǎn)品支持局域網(wǎng)（可以使交換機(jī)的某個(gè)端口處于一個(gè)補(bǔ)救VLAN中）網(wǎng)橋（根據(jù)定義好的策略阻止/允許流量）、RADIUS協(xié)議。

為了新建和修改策略，管理員要使用策略管理器，策略管理器運(yùn)行在一臺(tái)電腦上并和服務(wù)器分離。管理員策略到中央服務(wù)器上并分發(fā)到客戶(hù)端上。對(duì)于我們的測(cè)試，我們利用局域網(wǎng)上的某臺(tái)服務(wù)器和網(wǎng)橋一致性模式。我們根據(jù)匹配這個(gè)產(chǎn)品的升級(jí)文檔進(jìn)行設(shè)置，設(shè)置工作非常簡(jiǎn)單易行，但是在文檔中仍然有一些重大問(wèn)題。

CyberGatekeeper的主要關(guān)注點(diǎn)是審計(jì)和策略一致性檢查，不像我們測(cè)試的其他產(chǎn)品，它的軟件沒(méi)有一個(gè)內(nèi)置的防火墻，雖然沒(méi)有防火墻，但是它的設(shè)計(jì)卻富有彈性并可以適應(yīng)測(cè)試，所以你可以在環(huán)境中運(yùn)行任何你想要的防病毒軟件或者以主機(jī)為基礎(chǔ)的安全保護(hù)。

強(qiáng)制策略也可以在VPN連接中進(jìn)行設(shè)置工作。當(dāng)沒(méi)有連接到網(wǎng)絡(luò)時(shí)，策略強(qiáng)制是不能工作的。策略管理者提供了很多地彈性，但是設(shè)置卻比較復(fù)雜，尤其是許多設(shè)置屏幕需要上載新的策略到服務(wù)器上。

一旦不符合策略一致性的系統(tǒng)被識(shí)別出來(lái)，在終端用戶(hù)上就會(huì)顯示出一條消息，終端用戶(hù)可以被重新定向到一個(gè)URL上，或者系統(tǒng)可以被置于不同的VLAN中，而所被劃到的VLAN依賴(lài)于你運(yùn)行的強(qiáng)制策略模塊。用戶(hù)被重定向的URL地址可以下載沒(méi)安裝的軟件，但是安裝過(guò)程卻是手工的。

報(bào)告功能也需要改善。一些基礎(chǔ)的報(bào)告是以Web形式輸出的，但是也可以輸出為CSV文件格式進(jìn)行離線觀看。補(bǔ)救歷史報(bào)告并不實(shí)用。你可以得到系統(tǒng)狀態(tài)報(bào)告，在狀態(tài)報(bào)告中可看到一個(gè)系統(tǒng)為什么處于策略拒絕狀態(tài)，但是閱讀起來(lái)有些困難。

結(jié)論

我們測(cè)試的端點(diǎn)策略強(qiáng)制產(chǎn)品，大部分都包含了基本的功能。但是要成為一家企業(yè)網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)的核心組件，這些產(chǎn)品仍然需要很長(zhǎng)的路要走。我們高興的看到，這些產(chǎn)品可以解決擴(kuò)展的策略一致性需求，功能可以滿(mǎn)足當(dāng)前的安全和網(wǎng)絡(luò)基礎(chǔ)需求。

應(yīng)該指出的共同一點(diǎn)是，產(chǎn)品缺乏警報(bào)能力和經(jīng)常存在的需要改善報(bào)告技術(shù)要求。這些組件在策略一致性產(chǎn)品中非常關(guān)鍵，順便提一句，審計(jì)追蹤能力也非常關(guān)鍵。

此外，一些產(chǎn)品也應(yīng)該包括依據(jù)文件或者進(jìn)程名來(lái)進(jìn)行策略一致性檢查的能力。我們看到有些產(chǎn)品應(yīng)該包含一些種類(lèi)的校驗(yàn)和檢測(cè)。我們也看到當(dāng)終端用戶(hù)不符合策略一致性時(shí)，系統(tǒng)使終端用戶(hù)意識(shí)到是哪些方面出現(xiàn)了問(wèn)題的能力所有改善。大部分產(chǎn)品都在Web瀏覽器中提供了重定向功能，但是假如用戶(hù)是通過(guò)其他不同應(yīng)用訪問(wèn)網(wǎng)絡(luò)時(shí)，Web重定向功能就有點(diǎn)不合時(shí)宜了。

除了基本功能之外......

我們所測(cè)試的每款產(chǎn)品除了基線測(cè)試之外，有些產(chǎn)品其他的一些亮點(diǎn)功能也值得我們考慮。

例如，思科的CCA（CiscoCleanAccess）應(yīng)用可和Nessus軟件配合使用來(lái)掃描系統(tǒng)的漏洞，你可以根據(jù)自身的網(wǎng)絡(luò)環(huán)境自定義新建檢查策略，而不用依賴(lài)于標(biāo)準(zhǔn)的簽名特征。

CCA也提供了優(yōu)先級(jí)策略檢查能力，假如在你的網(wǎng)絡(luò)環(huán)境中，一條策略比另外一條策略更重要的話，你可以將較重要的策略附加在次重要策略之上。此外，CCA也支持移動(dòng)用戶(hù)在CCA服務(wù)器之間進(jìn)行漫游而不用再次認(rèn)證。

InfoExpress也支持許多的策略強(qiáng)制模塊——大部分我們不能測(cè)試——例如RADIUSEAP（802.1X）和Airespace無(wú)線局域網(wǎng)，這些策略強(qiáng)制模塊可以在你的網(wǎng)絡(luò)中提供額外的方法來(lái)進(jìn)行認(rèn)證和授權(quán)。

對(duì)于策略強(qiáng)制，TrendMicro的NetworkVirusWall2500可以監(jiān)視你的網(wǎng)絡(luò)流量。此外，它也可以監(jiān)控網(wǎng)絡(luò)病毒感染。這家產(chǎn)品的網(wǎng)絡(luò)病毒爆發(fā)監(jiān)視器可以識(shí)別出一個(gè)攻擊要開(kāi)始的征兆，例如它根據(jù)已知的病毒攻擊連接端口或者是某個(gè)網(wǎng)絡(luò)進(jìn)程的突然提升。當(dāng)產(chǎn)品觀察到一個(gè)網(wǎng)絡(luò)病毒將要爆發(fā)時(shí)，監(jiān)視器會(huì)觸發(fā)一個(gè)警報(bào)。

CheckPoint提供了第二種類(lèi)型的軟件，稱(chēng)作IntegrityFlexagent，這個(gè)軟件提供給終端用戶(hù)功能全面的管理界面，可以創(chuàng)建自己的策略，這個(gè)產(chǎn)品理念對(duì)于家庭電腦連接到公司網(wǎng)絡(luò)非常合適。此軟件目前版本是Integrity6.0，它包括了CheckPoint惡意代碼保護(hù)，一個(gè)內(nèi)置的主機(jī)入侵保護(hù)引擎，主機(jī)入侵保護(hù)引擎可以識(shí)別出已知的惡意程序和進(jìn)程，這些不錯(cuò)的性能特點(diǎn)可以使管理員不需要檢測(cè)所有程序并且可以創(chuàng)建自己的策略。

在我們測(cè)試完成以后，Citadel公司了Hercules4.0版本。這個(gè)版本提供了很多數(shù)量的強(qiáng)制策略用以改善一致性審計(jì)、策略強(qiáng)制任務(wù)和引進(jìn)Hercules應(yīng)用。一個(gè)新引用的策略一致性檢查模式允許管理員接收端點(diǎn)的狀態(tài)報(bào)告而不用強(qiáng)迫終端用戶(hù)立刻采取補(bǔ)救行為。補(bǔ)救行為可以計(jì)劃在一定的時(shí)間段后執(zhí)行。一個(gè)儀表板加進(jìn)了管理界面中從而可以圖形方式快速觀察所有被監(jiān)視設(shè)備的策略一致性狀態(tài)。額外的報(bào)告功能也被添加到管理界面中以加強(qiáng)報(bào)告引擎。

Veriner公司的EdgeWall對(duì)于注冊(cè)登錄、訪客登錄、掃描過(guò)程和停止掃描Web頁(yè)面過(guò)程有許多的自定義選項(xiàng)。當(dāng)一些終端用戶(hù)不符合安全策略時(shí)，管理員可以自定義終端用戶(hù)所看到Web頁(yè)面上不符合策略的原因的描述。EdgeWall也可以在用戶(hù)退出登錄時(shí)彈出菜單。PatchLink可以列出所有運(yùn)行PatchLink軟件系統(tǒng)的詳細(xì)清單，清單包括硬件、軟件和服務(wù)信息。

Senforced提供了不少獨(dú)一無(wú)二的功能特點(diǎn)。一個(gè)是允許管理員通過(guò)Senforce策略控制無(wú)線連接選項(xiàng)，例如是可以允許/關(guān)閉無(wú)線連接、管理WEP的密鑰、指令網(wǎng)卡是否可以和AP進(jìn)行通信和一個(gè)系統(tǒng)應(yīng)該怎樣響應(yīng)信號(hào)強(qiáng)度級(jí)別。

端點(diǎn)安全產(chǎn)品自身網(wǎng)絡(luò)漏洞

按推理來(lái)看，在你的網(wǎng)絡(luò)中加入端點(diǎn)安全系統(tǒng)，網(wǎng)絡(luò)就不應(yīng)該再遭受到攻擊了。在測(cè)試的最后，我們?cè)噲D利用黑客軟件、服務(wù)器組件和利用所生成的網(wǎng)絡(luò)流量把網(wǎng)絡(luò)安全撕開(kāi)一個(gè)大口子，從而利用此手段評(píng)估每家產(chǎn)品的總體安全性。

在此測(cè)試項(xiàng)目的重磅轟炸下，沒(méi)有一家產(chǎn)品完全幸免于難，得分較高的產(chǎn)品是Vernier/PatchLink和Senforce。通過(guò)刪除客戶(hù)端軟件或者其他一些手段，我們都不能繞過(guò)策略強(qiáng)制機(jī)制。

為了強(qiáng)制客戶(hù)端執(zhí)行安全策略，客戶(hù)端軟件包含了本地系統(tǒng)的詳細(xì)信息，例如信息包括注冊(cè)碼、文件名稱(chēng)/內(nèi)容/哈希校驗(yàn)值等。網(wǎng)絡(luò)攻擊者深知這個(gè)漏洞。

我們測(cè)試了終端用戶(hù)在客戶(hù)端被感染病毒或者試圖刪除客戶(hù)端軟件的情況下，所有產(chǎn)品的表現(xiàn)。這個(gè)測(cè)試項(xiàng)目非常復(fù)雜，因?yàn)槊考耶a(chǎn)品的實(shí)現(xiàn)方式非常不同，一些廠商提供了在線（in-line）策略強(qiáng)制設(shè)備（Cisco、TrendMicro和Vernier/PatchLink），一些是僅僅具有客戶(hù)端（CheckPoint、Citadel和Senforce），還有一些集成進(jìn)了網(wǎng)絡(luò)基礎(chǔ)設(shè)施中（InfoExpress）。

對(duì)于CheckPoint、Citadel和InfoExpress產(chǎn)品，我們利用開(kāi)發(fā)的代碼可以修改客戶(hù)端軟件所存放的目錄的名稱(chēng)。一個(gè)系統(tǒng)重新啟動(dòng)之后并沒(méi)有顯示客戶(hù)端軟件被刪除了。Senforce解決了這個(gè)問(wèn)題，他們不斷地使數(shù)據(jù)和程序文件處于打開(kāi)狀態(tài)，探測(cè)任何企圖刪除客戶(hù)端或其中組件的行為。

在另一個(gè)測(cè)試項(xiàng)目中，我們觀察了這些產(chǎn)品所生成的網(wǎng)絡(luò)流量是否會(huì)引起一個(gè)安全風(fēng)險(xiǎn)，我們發(fā)現(xiàn)至少有兩種類(lèi)型流量可以引起安全風(fēng)險(xiǎn)。一個(gè)是在客戶(hù)端和服務(wù)器之間的網(wǎng)絡(luò)流量。另外一個(gè)是管理服務(wù)器接口所生成和接收的網(wǎng)絡(luò)流量，管理服務(wù)器接口是一個(gè)非常有價(jià)值的目標(biāo)，因?yàn)樗梢钥刂撇呗詮?qiáng)制機(jī)制。

一些廠商（InfoExpress、Senforce和Vernies/PatchLink）利用未加密的HTTP流量來(lái)進(jìn)行管理員和管理服務(wù)器或者其他的一些組件之間的通信。這種行為非常不安全。InfoExpress也用Telnet或者SNMPv2訪問(wèn)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施，然而這會(huì)暴露密碼和其他一些信息。

所有產(chǎn)品之中，就是TrendMicro對(duì)客戶(hù)端和服務(wù)器之間的通信流量進(jìn)行了加密。假如不進(jìn)行加密，這些信息對(duì)于一個(gè)網(wǎng)絡(luò)攻擊者將會(huì)是可見(jiàn)的并且可能泄露信息，例如你所強(qiáng)制的策略、網(wǎng)絡(luò)的配置信息、或者是可能的用戶(hù)名和密碼。

我們必須從安全觀點(diǎn)來(lái)看服務(wù)器，因?yàn)檫@個(gè)小小的“盒子”（運(yùn)行著各種應(yīng)用或者客戶(hù)所支持的平臺(tái)）已經(jīng)成為關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一部分并且很可能成為攻擊目標(biāo)。這些服務(wù)器廠商受到探測(cè)成為潛在的受攻擊目標(biāo)。一些廠商（CheckPoint、Cisco、InfoExpress、TrendMicro和Vernier/PatchLink）使用TransportLayerSecurity（TLS）/SSL對(duì)管理界面或者客戶(hù)端到服務(wù)器的流量進(jìn)行加密。SSLv2本不應(yīng)該在產(chǎn)品中使用，因?yàn)镾SLv2非常易于受到攻擊。僅僅只有SSLv3和TLS才被認(rèn)為是足夠安全的。我們一般使用的Windows平臺(tái)通常可以關(guān)掉SSLv2支持，但是對(duì)于端點(diǎn)安全應(yīng)用來(lái)說(shuō)，你卻不能這樣做。

大部分廠商用自己簽名的證書(shū)，這是非常危險(xiǎn)的。假如通過(guò)手工確認(rèn)的16字節(jié)MD5哈希密鑰使用得非常不小心的話，一個(gè)黑客就可以利用此漏洞。一些產(chǎn)品應(yīng)該允許在服務(wù)器中置換自定義的簽名。

我們所測(cè)試的最后一項(xiàng)是產(chǎn)品可否利用現(xiàn)有最新的軟件對(duì)管理服務(wù)器進(jìn)行操作，這些現(xiàn)成的軟件包括Apache、OpenSS和PHP。我們的這項(xiàng)測(cè)試是非常有道理的，廠商對(duì)客戶(hù)端的軟件進(jìn)行升級(jí)監(jiān)視，他們也應(yīng)該對(duì)本身所使用到的工具有一個(gè)升級(jí)機(jī)制。我們非常失望的看到，一些產(chǎn)品用著非常老版本的軟件。例如Cisco的CCA使用的OpenSSH版本非常老，Vernier也在使用老版本的PHP。所有運(yùn)行在基礎(chǔ)設(shè)施上的軟件應(yīng)該有一個(gè)適合的升級(jí)機(jī)制，因?yàn)樘爬系能浖灿锌赡艹蔀橐资芄舻穆┒础?/p>

測(cè)試方法

因?yàn)槎它c(diǎn)安全廠商在具體實(shí)現(xiàn)的方法上有很大的不同，所以針對(duì)每家產(chǎn)品的測(cè)試方法也必須不同，這樣的測(cè)試結(jié)果才更有意義。

我們一開(kāi)始估計(jì)了當(dāng)電腦接入網(wǎng)絡(luò)時(shí)，可能會(huì)遇到的強(qiáng)制策略執(zhí)行方面的麻煩。然后我們定義了電腦在訪問(wèn)網(wǎng)絡(luò)被允許前，產(chǎn)品所應(yīng)采取的行動(dòng)。

我們計(jì)劃了對(duì)于每家產(chǎn)品要求的最小任務(wù)清單。在最基本的層面上，每家產(chǎn)品必須能夠識(shí)別出不符合策略的系統(tǒng)并且能夠采取補(bǔ)救行動(dòng)。我們也要求必須有中央化的管理和報(bào)告能力。

為了制定出更為詳細(xì)的測(cè)試要求，我們和安全管理者們談話并且基于自己的安全經(jīng)驗(yàn)對(duì)產(chǎn)品所應(yīng)該具有的安全策略強(qiáng)制做出了一份測(cè)試需求清單。從測(cè)試開(kāi)始，我們就知道產(chǎn)品應(yīng)該滿(mǎn)足我們所有的要求，但是我們卻對(duì)所有公司提交的產(chǎn)品都持著非常開(kāi)放的態(tài)度。

我們把測(cè)試需求分成了5個(gè)方面：策略管理、設(shè)置/部署、補(bǔ)救行動(dòng)、產(chǎn)品彈性和報(bào)告/警報(bào)功能。

我們的策略管理評(píng)估將焦點(diǎn)集中于產(chǎn)品完成定義策略的能力。我們感到看了文檔以后，設(shè)置工作應(yīng)該是相當(dāng)簡(jiǎn)單的。軟件部署的過(guò)程也應(yīng)該是一個(gè)簡(jiǎn)單的過(guò)程，產(chǎn)品的使用也應(yīng)該非常簡(jiǎn)易。

補(bǔ)救測(cè)試將焦點(diǎn)集中于產(chǎn)品應(yīng)該如何處理不符合策略的系統(tǒng)。是不是隔離了所有網(wǎng)絡(luò)訪問(wèn)？我們可以指示終端用戶(hù)去下載相關(guān)沒(méi)有安裝的軟件或忘打得補(bǔ)丁嗎？補(bǔ)救行為是自動(dòng)發(fā)生的嗎？

彈性測(cè)試我們看到了系統(tǒng)如何回應(yīng)網(wǎng)絡(luò)攻擊。所制定的策略會(huì)被易于繞過(guò)嗎？會(huì)非常容易地獲得全部網(wǎng)絡(luò)訪問(wèn)權(quán)限嗎？我們可以非常簡(jiǎn)單地卸載客戶(hù)端軟件從而不執(zhí)行策略強(qiáng)制嗎？

最后，我們?cè)u(píng)估了管理員會(huì)不會(huì)得到不符合策略系統(tǒng)的報(bào)告和警報(bào)，同時(shí)，我們測(cè)試了產(chǎn)品記錄和追蹤符合策略系統(tǒng)的狀態(tài)和補(bǔ)救過(guò)程的歷史的能力。此外，我們還看了產(chǎn)品能否生成管理報(bào)告從而易于理解當(dāng)前的安全狀態(tài)。

我們安裝了所有Windows2003的服務(wù)器部件，打上全部的補(bǔ)丁。假如Windows2003Server不支持的某些軟件（例如Cisco的CSA管理服務(wù)器和TrendMicro的OfficeScan管理服務(wù)器），我們就利用打上全部補(bǔ)丁Windows2000Server進(jìn)行測(cè)試。這些服務(wù)器全部安裝在VMware虛擬軟件上，這個(gè)虛擬服務(wù)器的配置是1G字節(jié)的RAM，Pentium3Shuttle服務(wù)器上。

客戶(hù)端程序被安裝在了Windows2000SP4Professional和WindowsXPSP2Professional電腦上。這些客戶(hù)端所安裝的電腦上并沒(méi)有打上全部的補(bǔ)丁，除非客戶(hù)端軟件要求安裝。這些客戶(hù)端也都安裝了VMware虛擬服務(wù)器，它的配置是500M的RAM，運(yùn)行在Pentium3，3GHzShuttle服務(wù)器上。

對(duì)于策略一致性測(cè)試，我們要求所有客戶(hù)端都配置Sophos防病毒軟件和eEye的Blink個(gè)人防火墻。

網(wǎng)絡(luò)的核心運(yùn)行著Cisco3500交換機(jī)，配置了兩個(gè)VLAN。第一個(gè)VLAN測(cè)試產(chǎn)品所處的VLAN，第二個(gè)VLAN是不受信任網(wǎng)絡(luò)，是我們所要求的補(bǔ)救行為所在的VLAN。

在產(chǎn)品設(shè)置和客戶(hù)端部署的過(guò)程中，我們遇到了一些困難，例如，我們學(xué)習(xí)產(chǎn)品過(guò)程中的文檔質(zhì)量，支持分布式客戶(hù)端軟件的方法。我們也通過(guò)所有的測(cè)試階段看了產(chǎn)品的易用性。

測(cè)試策略管理時(shí)，我們?cè)诿靠町a(chǎn)品上都設(shè)置了策略，以驗(yàn)證產(chǎn)品是否識(shí)別出了Blink防火墻和Sophos防病毒軟件是否運(yùn)行在客戶(hù)端上，同時(shí)還驗(yàn)證了產(chǎn)品能否識(shí)別出防病毒軟件的病毒庫(kù)是否過(guò)期。我們還安裝了DloaderTrojan/間諜程序，看看產(chǎn)品能不能識(shí)別出并且做出停止/隔離行為。我們配置了一條策略來(lái)識(shí)別MS05-014（IE的安全補(bǔ)丁）是否安裝在系統(tǒng)上，看看產(chǎn)品支持的補(bǔ)救行為，例如發(fā)送一個(gè)鏈接，下載補(bǔ)丁文件是手工安裝或者自動(dòng)安裝補(bǔ)丁。

對(duì)于應(yīng)用控制，我們不允許BT訪問(wèn)，這通過(guò)應(yīng)用訪問(wèn)或者網(wǎng)絡(luò)端口來(lái)限制，限制BT訪問(wèn)所采取的行為依賴(lài)于產(chǎn)品所支持的類(lèi)型。我們嘗試了阻塞通過(guò)USB拇指驅(qū)動(dòng)器訪問(wèn)網(wǎng)絡(luò)的流量。有的產(chǎn)品可以關(guān)掉端口或者阻止文件寫(xiě)。我們?nèi)缓鬁y(cè)試了對(duì)于操作系統(tǒng)安全檢查的默認(rèn)支持，密碼策略、注冊(cè)碼和控制空會(huì)話的能力。

我們還測(cè)試了在遠(yuǎn)程VPN連接上下發(fā)強(qiáng)制策略的能力，這個(gè)測(cè)試項(xiàng)目利用了CiscoVPNConcentrator作為網(wǎng)關(guān)。

最后，測(cè)試了用戶(hù)新建自定義策略檢查的能力，創(chuàng)建一些默認(rèn)設(shè)置中沒(méi)有的策略。

在補(bǔ)救區(qū)，測(cè)試了對(duì)于不符合策略系統(tǒng)的全部阻塞網(wǎng)絡(luò)訪問(wèn)或者訪問(wèn)策略的能力，同時(shí)，我們還測(cè)試了限制訪問(wèn)內(nèi)部服務(wù)器的能力。此外，我們還測(cè)試了瀏覽器重定向。

對(duì)于報(bào)告和警報(bào)能力，我們第一個(gè)測(cè)試了生成警報(bào)的能力，假如一個(gè)不符合策略的系統(tǒng)上線時(shí)，例如通過(guò)E-mail或者SNMP通知的能力。隨后我們看了報(bào)告能力，從基礎(chǔ)的系統(tǒng)日志開(kāi)始看起。我們?nèi)缓罂戳松珊洼敵鰣?bào)告的能力，同時(shí)還察看了兩個(gè)方面輸出報(bào)告的能力：補(bǔ)救歷史（系統(tǒng)或者組）和展示不符合策略一致性系統(tǒng)的細(xì)節(jié)報(bào)告。

為了測(cè)試彈性，我們用了交換機(jī)的鏡像端口、hub和Linux下的ethereal軟件來(lái)檢查和監(jiān)視網(wǎng)絡(luò)流量。我們使用了OpenSSL來(lái)手工檢查一些我們發(fā)現(xiàn)的任何SSL連接。我們還用NMAP和NESSUS來(lái)掃描服務(wù)器從而發(fā)現(xiàn)易受攻擊的潛在部分。我們用基本的Windows文件維護(hù)工具來(lái)刪除客戶(hù)端軟件。