将完成部署的检测环境保存为模板,下次测试时直接引用该模板即可完成测试环境的快速部署,实现检测环境的即时复用。当需要执行批量测试时,只需将DUT批量接入检测平台,并将内网和外网域划入不同的VLAN即可。
4.2 旁路部署类产品检测
入侵检测系统(Intrusion Detection System,IDS)、网络审计等是网络旁路部署类产品。以IDS为例,这类产品的测试环境通常包括管理端和侦听端两部分。管理端与管理主机连接,对IDS进行安全策略配置和管理;侦听端通常以旁路方式连接至侦听目标网络链路一侧,对网络流量进行捕获和分析。
在超融合产品检测平台上开展测试时,首先获取管理地址(方法同4.1),然后将侦听端接入SN网内网络分流(Network Packets Broker,NPB)系统即可完成检测环境部署。攻击行为由网络攻击模拟仪表产生,并通过NPB系统进行多路复制后分发至一个或多个IDS,一方面可实现对旁路部署类产品的批量化测试;另一方面,由于所有IDS捕获的攻击流量完全一致,保证了检测环境和过程的一致性,如图8所示。
图8 旁路部署类产品在超融合产品检测平台上的测试过程
4.3 点对点部署类产品检测
点对点部署类产品一般为基于B/S或C/S架构的应用类产品,此类产品大多为软件形态,产品大多由安装在主机中执行产品防护功能的客户端和安装在服务器上、对客户端进行配置管理的服务端2部分。
在超融合产品检测平台上开展测试时,可根据产品适配的操作系统创建对应的客户端虚拟主机和服务端虚拟服务器,并直接在网络部署操作界面绘制虚拟网络连接线路即可完成检测环境部署。根据需要,还可以创建一对多、多对一和多对多的测试环境,尤其在多平台兼容性测试时,其优势更为明显,如图9所示。
图9 点对点部署类产品在超融合产品检测平台上的测试过程
完成测试后,关闭虚拟终端和虚拟服务器可自动回滚至初始状态,为下个产品的安装部署提供一个纯净的运行环境。
5 结语
产品检测平台是开展产品检测工作的基础设施,其对测试资源和环境的整合分发与管理调度能力直接决定了检测工作的执行效率和测试流程的标准化程度,同时也是产品检测过程信息化和自动化水平的直接体现。
本文以HCI为基础框架,提出了一种产品检测平台建设方案。该平台以HCI为底层驱动,结合存储虚拟化、网络虚拟化和计算虚拟化技术,实现了对测试资源的集中管理和按需分配,以及对测试环境的可视化编辑和自动化部署,能够为测试人员提供标准化测试流程和批量化测试能力支持,具有系统部署便捷、资源管理高效、建设成本低廉、系统延展灵活、系统稳定性和数据安全性高等特点。
此外,在实际应用中,受产业生态和自主硬件虚拟化运算性能等客观条件的制约,该平台尚存在一些不足,如对基于ARM、Mips等平台开发的应用系统的兼容性较差,对部分信创产品的测试支持不够全面等。
接下来,我们将紧跟产品和技术发展趋势,不断优化产品检测平台对各类产品检测工作的支持能力。一方面,通过自动化测试工具的研制和应用,进一步扩充测试资源池,提高检测平台的整体自动化测试水平;另一方面,通过融合私有云计算和云存储技术,进一步优化测试资源的调度逻辑,提升测试过程的执行效率。同时,还要重点改进对自主软硬件平台和信创产品的支持能力,为建设管理科学、支撑面广、自动化程度高的产品标准化测试体系提供基础支撑。
(原载于《保密科学技术》杂志2023年4月刊)