数据防泄密测试报告（下）

接上文《数据防泄密测试报告（下）》

4.3.文档操作管控
4.3.1.本地文档的操作记录

测试项	文档操作管控	测试子项	[url=]本地文档的操作记录[/url]
适用场景	了解文档使用和流转情况，发现非法操作，保留审计证据。
测试步骤	1. 登录控制台； 2. 左侧计算机树中选择计算机A、组或整个网络； 3. 在计算机A上进行新建、访问、修改、复制、删除文档等操作，控制台选择日志-文档操作，查看日志记录结果； 4. 选择策略-日志记录，点击红色+号标识新建一条策略，在右边的属性栏选择模式为不记录，勾选文档操作项，点击绿色勾号图标保存策略； 5. 在审计范围内的计算机进行新建、访问、修改、复制、删除文档等操作，选择日志-文档操作，查看日志记录结果是否正确。
预期结果	1. 执行前三步，文档操作日志中有相应文档新建、访问、修改、删除等记录； 2. 执行后两步，文档操作日志中没有相应文档新建、访问、修改、删除等记录。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注

4.3.2.设置文档备份

测试项	文档操作管控	测试子项	[url=]设置文档备份[/url]
适用场景	防止重要文件被离职、调岗员工篡改、删除，保证文件安全。
测试步骤	1. 登录控制台，选择计算机A； 2. 选择高级-文档控制，点击红色+号标识新建一条策略，勾选删除前备份，默认盘符类型，点击绿色勾号图标，保存策略； 3. 选择高级-文档控制，点击红色+号标识新建一条策略，勾选修改前备份，默认盘符类型，点击绿色勾号图标，保存策略； 4. 选择高级-文档控制，点击红色+号标识新建一条策略，勾选复制移动到备份，复制移动出备份，默认盘符类型，点击绿色勾号图标，保存策略； 5. 日志记录中，标有回别针图标的日志为附有备份文档的日志，双击日志记录查看日志信息，点击副本选项查看是否有备份文档，将副本保存到本地查看是否成功。
预期结果	1. 文档操作日志中有相应文档删除与备份记录； 2. 文档操作日志中有相应文档修改、复制移动与备份记录； 3. 文档操作日志可查看文档备份副本，保存副本到本地。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注	共享文档日志与文档操作日志区别： 1. 计算机B访问A的共享文件夹操作文档时，控制台上查询计算机A的共享文档日志，可查到计算机B的操作记录； 2. 计算机A访问计算机B的共享文件夹操作文档时，控制台上查询计算机A的文档操作日志可查到计算机A操作计算机B共享文档的操作记录。

4.3.3.服务器共享文档拷贝记录

测试项	文档操作管控	测试子项	[url=]服务器共享文档拷贝记录[/url]
适用场景	记录访问文档服务器共享文档的操作，备份拷贝文档。
测试步骤	1. 登录控制台； 2. 选择计算机A； 3. 选择高级-文档操作，点击红色+号标识新建一条策略，勾选复制/移动到备份或复制移动出备份，盘符类型选择网络盘，即将文件服务器共享文档拷贝出来或者上传文档时备份，点击绿色勾状图标，保存策略； 4. 计算机A访问共享服务器文档，拷贝共享文档到本地，上传本地文档到共享服务器，控制台选择日志-文档操作，查看日志记录结果是否正确； 5. 标有回别针图标的日志为附有备份文档的日志，双击日志记录查看日志信息是否正确，点击副本选项查看备份文档是否正确，或者保存备份文档到本地。
预期结果	1. 查看到计算机A访问共享文件夹操作日志信息； 2. 查看到计算机A拷贝共享文档备份副本或保存到本地。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注	1. 复制/移动到备份与复制移动出备份结合盘符使用，如： 2. 勾选复制/移动到备份，即为文档复制/移动到网络盘时备份； 3. 勾选复制/移动出备份则为文档从网络盘复制/移动出来的时候备份。

4.3.4.设置本地文档操作权限

测试项	文档操作管控	测试子项	[url=]设置本地文档操作权限[/url]
适用场景	限定本地文档访问、修改、删除的权限。
测试步骤	1. 登录控制台； 2. 选择计算机A； 3. 选择高级-文档控制，点击红色+号标识新建一条策略；在右边的属性栏选择模式为禁止，操作类型勾选修改和删除；文件名称可以选择路径，比如C:\Users\Sangfor\DesktoP\共享文件\*，则共享文件这个文件夹下的所有文件，或者是直接限定文件名称，点击绿色勾状图标，保存该策略； 4. 在被测试计算机上操作访问设定路径下的文档，执行打开、修改、删除等操作，测试操作是否可以成功。
预期结果	计算机A的共享文件文件夹内的所有文档，只能读取，无法执行修改、删除等在测试中禁止的操作。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注	忌：若禁止访问C盘文件或某些程序安装文件，可能会导致系统文件无法访问，进而导致系统崩溃。

4.4.敏感内容识别
4.4.1.建立敏感信息分类库

测试项	敏感内容识别	测试子项	建立敏感信息分类库
适用场景	用户可自定义敏感内容信息的匹配规则
测试步骤	1. 登录控制台； 1. 在菜单栏分类管理—>敏感信息分类库中，进入敏感信息分类库界面； 2. 选择“特征规则”，右键“新建”。 3. （规则1）特征规则名称：合同001；类型：关键字；至少命中：4次；包含内容：甲方;乙方;。 4. （规则2）特征规则名称：合同002；类型：正则表达式；至少命中：1次；包含内容：\d{17}[\d|x]|\d{15}。 5. 选择“信息分类”，右键“新建”，信息分类名称：合同；备注信息：匹配合同关键字；（关联第3步骤的两条特征规则）规则组：合同001，规则权重：50；合同002，权重规则：50。
预期结果	通过上述操作能够建立相应的敏感信息分类库
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注	（规则1）多个内容用英文;隔开，彼此间是“或”的关系；（规则2）是身份证的正则表达式，其它的正则表示式规则可以网上查询；规则权重默认需要到达100才会匹配生效。

4.4.2.扫描包含敏感内容的文档

测试项	敏感内容识别	测试子项	扫描包含敏感内容的文档
适用场景	根据设定的敏感信息分类库规则，扫描出符合条件的文档（支持office、txt、pdf等文本类文件）。
测试步骤	1. 在电脑桌面文件夹准备3个待测试的文档： 1. TXT文档内容包括：2个关键字（甲方、乙方） 2. Excel文档内容包括甲方、乙方、4404*****67X、4404*****06207670 3. Word文档内容包括：≥4个甲方、乙方关键字、≥2个身份证号码登录控制台，选择菜单栏敏感信息—>敏感信息全盘扫描任务。 4. 新建一条策略：“常规”，选择相应的客户端计算机对象，选择敏感内容：合同，包含文件：C:\Users\Sangfor\Desktop\2\*，“高级”，任务选项：仅扫描，其它默认。“确定”保持策略设置。 5. 登录控制台，选择菜单栏敏感信息—>本地敏感信息扫描工具。 6. 在这里查找：C:\Users\**istrator\Desktop\1，文件型：*，敏感内容：合同，设置完后，点击“扫描”。
预期结果	1. 步骤2、3，“任务日志”会显示结果为，共扫描3，发现敏感文件1。 2. 步骤4、5，会显示出符合条件的Word文档信息。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注

4.4.3.敏感文档外传控制

测试项	敏感内容识别	测试子项	敏感文档外传控制
适用场景	禁止带有敏感信息的文档对外传递，并作审计、备份、报警和警告处理。
测试步骤	1. 登录控制台，选择“敏感信息外传控制策略”。 1. 新建策略1，命名策略“禁止敏感文档复制到移动盘、网络盘”，动作：禁止，勾选审计、报警和警告（内容可自定义），敏感内容：合同，勾选复制到移动盘，复制到网络盘（路径：[url=]\\192.168.1.1\temp\wangcheng[/url]\*）。保存策略设置。 2. 新建并复制一个未包含敏感信息的文档到U盘或者网络盘，观察效果。 3. 复制桌面文件夹的Word文档到U盘或者网络盘，观察效果。 4. 新建策略2，命名策略“禁止通过IM传送敏感文档”，动作：禁止，勾选审计、报警和警告（内容可自定义），敏感内容：合同，IM传送文件：勾选，聊天工具：全部。保存策略设置。 5. 通过QQ/微信客户端发送桌面文件夹TXT和excel文档，观察效果。 6. 通过QQ/微信客户端发送桌面文件夹的Word文档，观察效果。 7. 在控制台—敏感信息日志里查看是否有相关日志记录。
预期结果	1. 步骤3，能够成功； 2. 步骤4，操作失败，并且有报警、警告相关信息。 3. 步骤6，能够成功； 4. 步骤7，操作失败，并且有报警、警告相关信息。 5. 步骤8，相关操作日志具有记录。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注

4.4.4.敏感信息落地控制

测试项	敏感内容识别	测试子项	敏感信息落地控制
适用场景	对带有敏感信息的文档落地做审计，报警和警告
测试步骤	1. 登录控制台，选择“敏感信息落地控制策略”。 2. 新建策略，命名策略“敏感信息落地控制策略”，动作：禁止，勾选审计和报警（内容可自定义），敏感内容：合同，包含范围可选择默认。保存策略设置。 3. 接收并保存一个含有敏感信息的文件，观察效果。
预期结果	步骤3，可接收敏感信息，并由报警信息。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注

4.5.审计策略
4.5.1.互联网审计（含邮件审计）

测试项	审计策略	测试子项	互联网审计
测试目的	可以审计终端用户访问互联网的日志行为。
测试步骤	1. AC完成部署配置； 2. 内网PC在AC设备上线； 3. 如果是旁路部署模式，交换机镜像配置正确接入到AC镜像口，AC监控IP范围正确； 4. 配置好互联网审计策略； 5. 终端正常上网； 6. 登录数据中心查看相关日志。
预期结果	数据中心记录所有用户访问互联网的日志。 邮件审计：
测试结论	口 通过       口 部分通过     口 未通过         口 未测试
备注

4.5.2.IM审计

测试项	审计策略	测试子项	QQ聊天内容审计
测试目的	可以审计终端用户通过IM收发消息的详细内容。
测试步骤	1. AC完成部署配置； 2. 内网PC已安装准入客户端，并在AC设备上线； 3. 新建行为审计-终端审计策略，启用终端IM应用审计,并将策略关联给客户测试PC（要离线审计QQ聊天记录时只需勾选离线终端审计选项）。 4. 测试PC使用IE浏览器打开任意网站，弹出安装准入控件提示，并完成在线安装。 5. 测试PC登录QQ发送和接收聊天信息测试。
预期结果	1. 通过日志中心中即时通讯日志查询能查询到测试PC的QQ聊天内容 1. 通过内置日志中心“搜索中心”可以根据关键字及QQ号查询到聊天内容
测试结论	口 通过       口 部分通过     口 未通过         口 未测试
备注

4.5.3.业务审计

测试项	审计策略	测试子项	业务审计
测试目的	对访问的WEB业务系统、FTP业务系统、SMB业务系统内容进行审计。
测试步骤	1. AC完成部署配置。 2. 业务访问的数据经过AC。 1. AC业务审计策略配置完成。 2. 重新登录web、ftp或smb。 3. 上传文件到web、ftp和smb。 4. 从web、ftp和smb下载文件。
预期结果	审计到ftp和smb的登录，上传，下载，注销等操作。
测试结论	口 通过       口 部分通过     口 未通过         口 未测试
备注

4.6.审计与追溯
4.6.1.外发泄密分析

测试项	外发泄密分析	测试子项	资料外泄追溯分析
测试目的	对终端用户的外发泄密行为进行追溯。
测试步骤	1. 内网用户通过QQ/微信外发一份劳动合同范本文件。 1. 内网测试用户通过QQ/微信发送文字泄密消息“keyword”。 2. 在日志中心-泄密追溯能查询到对应的文件或关键字。
预期结果	1. 在【泄密追溯】通过关键字“keyword”追溯，可追溯出所有含有“keyword”的外发文件。 3. 在【泄密追溯】通过上传机密文件追溯，可以追溯出内容有相似的文件。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注

4.6.1.1.资料外泄追溯分析
4.6.1.2.通过U盘外发泄密

测试项	外发泄密分析	测试子项	通过U盘外发泄密
测试目的	审计终端用户通过U盘外发泄密的行为。
测试步骤	1. AC添加终端审计策略，勾选移动存储介质； 1. AC添加接入管理-终端检查-终端插件检查规则，可选择禁止使用的外设类型和对U盘及移动硬盘的接入做权限控制； 2. 设置完成之后，约5分钟可在日志中心的U盘及移动硬盘日志中查看相应日志。
预期结果	1. U盘插入拔出日志。 3. 禁用U盘时，员工插入无效，并有日志记录。 4. 拷贝文件到U盘记录。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注

4.6.2.业务访问分析
4.6.2.1.访问业务系统的敏感信息

测试项	业务访问分析	测试子项	访问业务系统的敏感信息
测试目的	审计终端用户访问业务系统敏感信息的行为。
测试步骤	1. AC业务审计策略配置完成 1. ITM规则设置-业务设置-业务管理配置账号提取 2. 用户使用账号登录业务系统，并从业务系统下载文件 3. 查看业务访问日志和业务访问分析、用户访问分析、账号分析
预期结果	1. 业务访问日志：呈现谁通过什么账号访问了业务系统，下载了什么文件。 4. 业务分析：能根据下载文件查找到对应用户和使用账号。 5. 用户访问分析：从用户维度呈现此用户使用账号，下载文件。 6. 账号分析：从账号维度层现此账号被什么人使用，做过什么操作。 7. ITM业务分析中,从数据对象维度可以呈现关注的数据对象被命中情况。
测试结论	口 通过      口 部分通过       口 未通过        口 未测试
备注

4.7.802.1x认证

用例标题	开启802.1x通过认证
测试工具	PC
预制条件	[size=12.0000pt]1. PC接交换机的端口开启802.1x认证； 2. 交换机和AC对接正常，联动交换机中看到交换机对接情况； 3. AC配置本地用户test，密码123456.
测试步骤	[size=12.0000pt]1. PC接入交换机的802.1x认证端口； 2. PC安装准入客户端或者使用自带的802.1x客户端提交正确的用户名密码； 3. PC去ping测试服务器1；
预期结果	test用户通过认证，可以ping通服务器1
测试结果
备注	注意，测试连接成功后联动交换机才会有显示，否则无显示

4.8.应用控制

用例标题	开启应用控制
测试工具	PC
预制条件	1.AC流量经过串联AC 2.AC在AC上线
测试步骤	[size=12.0000pt]1. 配置应用控制策略,默认所有电脑不能上网，某些电脑可以上网，且权限限制 [size=12.0000pt]2. AC使用账号上线
预期结果	test用户通过认证，不可以pingwww.baidu.com
测试结果
备注	两台AC同时对接AD域，将账号导入到设备，设备上配置认证数据转发

感谢楼主分享，楼主的帖子内容非常详细，对大家使用该功能有较大的帮助，期待楼主有更加精彩的分享~

期待更多的分享。

感谢分享

文章优秀

感谢分享

感谢分享

学校学习

感谢分享

感谢分享