专利名称:安全测试平台的制作方法
技术领域:
本发明涉及安全测试领域,更具体地说,涉及一种自动化安全扫描的安全测试平台。
背景技术:
随着社会的发展,网络安全越来越引起人们的关注,目前提供安全检测服务,需要 采用多种工具,只能单独使用工具进行扫描,如果需要整合各种工具结果,比较困难;并且 在安全工具扫描的过程中需要人员全程参与、实时监控,出现异常的时候进行人工的调整。
发明内容
本发明要解决的技术问题在于,针对现有技术的上述安全检测工具不能整合和需 要人员全程参与的缺陷,提供一种可整合多种安全检测工具,实现自动化安全扫描的安全 测试平台。本发明解决其技术问题所采用的技术方案是构造一种安全测试平台,包括安全 测试管理系统和至少两种测试工具,其中所述安全测试管理系统包括用于管理和配置所述 测试工具的管理模块;用于负责所述测试工具之间、所述测试工具和所述安全测试管理系 统之间通信的通信模块;用于对所述测试工具的工作状态进行监控的扫描监控模块、对所 述测试工具的异常工作状态进行报警处理的报警模块以及对所述测试工具的测试结果进 行统计的统计模块。在本发明所述的安全测试平台中,所述统计模块还包括用于将不同测试工具的测 试结果进行归一化的弱点分析单元。在本发明所述的安全测试平台中,所述报警模块包括设置报警阈值和报警动作的 报警设置单元、根据所述报警阈值和报警动作对报警的所述测试工具进行处理的报警处理 单元以及根据所述报警处理单元的处理结果生成报警日志的日志生成单元。在本发明所述的安全测试平台中,所述报警处理单元包括只作出报警记录的报警 记录子单元、对所述测试工具进行调配的报警调配子单元和停止所述测试工具的测试工作 的报警中断子单元。在本发明所述的安全测试平台中,所述管理模块包括至少两级的管理单元和用于 配置所述管理单元中的测试工具的配置单元。在本发明所述的安全测试平台中,所述管理模块包括用于项目的创建、修改、配 置、删除的项目管理单元、用于项目下任务的创建、修改、配置、删除的任务管理单元以及用 于配置所述任务管理单元中的测试工具的配置单元。在本发明所述的安全测试平台中,所述管理模块还包括导入和导出所述项目管理 单元、所述任务管理单元以及所述配置单元的配置的配置共享单元。 在本发明所述的安全测试平台中,所述安全测试管理系统还包括对所述测试工具 和所述统计模块的使用权限进行管理的权限管理模块。
在本发明所述的安全测试平台中,所述安全测试管理系统还包括利用脚本测试所 述安全测试平台的测试能力的脚本测试模块。实施本发明的安全测试平台,具有以下有益效果可整合多种安全检测工具,实现 自动化安全扫描,避免了安全检测工具不能整合和需要人员全程参与的缺陷。弱点分析单元将测试工具测试出来的问题转化为平台统一的弱点类型,便于问题 的统计分析。对报警条件进行设置可以更好的控制了解测试工具的异常工作状况。采用多 种报警处理方法最大限度保证安全测试平台的正常运行。管理模块的设置更好的进行不同 项目和任务中的测试工具的配置。配置共享单元更好的将配置文件共享或更好的导入他人 设置好的配置文件。权限管理模块对不同的用户进行了权限的划分。脚本测试模块可通过 脚本测试安全测试平台的最大测试能力。
下面将结合附图及实施例对本发明作进一步说明,附图中图1是本发明的安全测试平台的第一优选实施例的结构示意图;图2是本发明的安全测试平台的第二优选实施例的结构示意图;图3是本发明的安全测试平台的第三优选实施例的结构示意图;图4是本发明的安全测试平台的第四优选实施例的结构示意图;图5是本发明的安全测试平台的第五优选实施例的结构示意图;图6是本发明的安全测试平台的第六优选实施例的结构示意图;图7是本发明的安全测试平台的第七优选实施例的结构示意图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并 不用于限定本发明。在图1所示的本发明的安全测试平台的第一优选实施例的结构示意图中,所述安 全测试平台包括安全测试管理系统1和至少两种测试工具,其中安全测试管理系统1包括 管理模块11、通信模块12、扫描监控模块13、报警模块14以及统计模块15。管理模块11 用于管理和配置测试工具;通信模块12用于负责测试工具之间、测试工具和安全测试管理 系统1之间通信;扫描监控模块13用于对测试工具的工作状态进行监控;报警模块14用于 对测试工具的异常工作状态进行报警处理;统计模块15用于对测试工具的测试结果进行 统计。本安全测试平台使用时,由管理模块11根据设定的测试方案管理和配置测试工 具。通过通信模块12控制测试工具进行测试,同时负责测试工具之间通信;测试工具提供 监听端口和API (Application Programming Interface 应用程序编程接口),通信模块12 调用API与监听端口进行通讯并从测试工具得到反馈。进行的通信包括任务启动时调用 工具、扫描过程中与工具交互扫描进程。当测试任务发生异常和结束时,测试工具会主动 通过通信模块12通知安全测试管理系统1。扫描监控模块13对测试工具的测试工作状态 进行监控;进行监控的内容包括需要扫描的地址、需要扫描的测试总数、已经完成的测试数、扫描时间(将挂起等待时间排出)以及已经发现的问题信息(按照类型进行归类,可以 实时与扫描工具进行同步),如果发现测试工具工作状态异常则发送给报警模块14报警信 息。报警模块14接收扫描监控模块13的报警信息,根据测试工具的异常工作状态进行报 警处理,并生成报警日志供测试人员分析。最后统计模块15对测试结果进行统计分类,供 测试人员清楚的了解测试的情况,方便作出下一步的处理。本安全测试平台整合了多种安 全检测工具,实现自动化安全扫描,避免了安全检测工具不能整合和需要人员全程参与的 缺陷。在图2所示的本发明的安全测试平台的第二优选实施例的结构示意图中,统计模 块15还包括弱点分析单元151,弱点分析单元151用于将不同测试工具的测试结果进行归 一化。由于工具级别不同,所以最后检测出来的弱点类型和级别都会有差别。例如测试工 具A和B中都有弱点类型,可是测试工具A将某弱点作为高级弱点,而测试工具B将该弱点 作为中级弱点;测试工具A可能一共只有20种弱点分类,测试工具B可能有200种,以跨站 来说,测试工具B可能分为DOM跨站、XSS跨站以及LDAP跨站等,而测试工具A就是跨站, 这样测试工具B中可能有80种弱点测试工具A中没有,所以通过弱点分析单元151对不同 测试工具的测试结果进行整合归一化(比如有些php由于版本过低会引起很多问题,会有 非常多分类,但是我们最终整合为Php配置过低)。在进行弱点归一化后,测试工具测试出 的问题可以自动转化为安全测试平台统一的弱点类型,便于测试问题的统计分析。在图3所示的本发明的安全测试平台的第三优选实施例的结构示意图中,报警模 块14包括报警设置单元141、报警处理单元142以及日志生成单元143。报警设置单元141 用于设置报警阈值和报警动作;报警处理单元142用于根据所述报警阈值和报警动作对报 警的测试工具进行处理;日志生成单元143用于根据所述报警处理单元142的处理结果生 成报警日志。其中报警处理单元142包括报警记录子单元、报警调配子单元以及报警中断 子单元。报警记录子单元只用于作出报警记录;报警调配子单元用于对测试工具进行调配; 报警中断子单元用于停止测试工具的测试工作。在安全测试平台执行测试任务之前,通过 报警设置单元141对报警阈值和达到该阈值后应该产生的报警动作进行设置,报警处理单 元142根据设置和报警阈值进行报警处理,其中报警处理单元142的报警处理可分为三种 一种为仅仅作出报警记录,不对测试工具作出任何动作,由报警记录子单元执行(如测试 工具A出现扫描文件过大(文件尺寸阀值可以配置)、扫描速度过慢(以每秒完成的测试 为单位,阀值可以配置)、扫描任务时间过长),测试人员可以根据该报警记录在测试后进 行一些处理优化下次的测试。另一种为对测试工具进行调配,由报警调配子单元执行,如在 执行过程中,配置由测试工具A来完成,在同样的测试工具B空闲的时候而测试工具A繁忙 的时候,安全测试平台会实现自动调度,在两台机器之间实现负载均衡;如果测试工具A出 现问题,比如和通信模块12之间通信不畅、和被测试系统之间通信不畅等,那么可以调用 测试工具B来解决问题。最后一种为停止测试工具的测试工作,由报警中断子单元执行,例 如许可异常、扫描对象不可访问(通信异常)、进程异常(根据情况分成多个)、内存异常、 工具需要重启等,这时必须中断测试工具的测试。报警处理单元142可以邮件、短信通知测 试人员报警的类型,特别是中断测试单元的报警。对报警条件进行设置可以更好的控制了 解测试工具的异常工作状况,采用多种报警处理方法最大限度保证安全测试平台的正常运 行。
5
在图4所示的本发明的安全测试平台的第四优选实施例的结构示意图中,管理模 块11包括至少两级的管理单元111和配置单元112。具体的说,管理模块11包括项目管理 单元、任务管理单元以及配置单元112。项目管理单元用于项目的创建、修改、配置、删除; 任务管理单元用于项目下任务的创建、修改、配置、删除;配置单元112用于配置所述任务 管理单元中的测试工具。本安全测试平台的管理模块11建立了至少两级的管理单元111, 可以实现项目、任务的多级管理,配置单元112配置任务管理单元中需要配置的测试工具、 测试工具的IP、测试的线程数等等,同时可以设置项目、任务或测试工具的运行时间,可以 立即运行、定时运行或者自定义运行的时段等等。管理模块11的设置更好的进行不同项目 和任务中的测试工具的配置。在图5所示的本发明的安全测试平台的第五优选实施例的结构示意图中,管理模 块11还包括配置共享单元113,配置共享单元113用于导入和导出项目管理单元、任务管理 单元以及配置单元112的配置。使用本安全测试平台时,配置共享单元113可以直接导入 或导出相关的配置,这样可以实现不同安全测试平台之间的资源共享,不需要每次对管理 模块11进行设置,方便了测试人员的操作。在图6所示的本发明的安全测试平台的第六优选实施例的结构示意图中,安全测 试管理系统1还包括权限管理模块16,权限管理模块16用于对测试工具和统计模块15的 使用权限进行管理。权限管理模块16可以进行用户和权限管理,将用户根据权限划分为不 同角色,项目经理级别的用户可以看到全部数据,任务相关人员可以看到相关任务数据。在图7所示的本发明的安全测试平台的第七优选实施例的结构示意图中,所述安 全测试管理系统1还包括脚本测试模块17,脚本测试模块17用于利用脚本测试所述安全测 试平台的测试能力。每当使用一种新的测试工具的扫描组合,安全测试平台是否能够很好 的进行扫描测试是一个问题,因此采用脚本测试模块17利用脚本测试安全测试平台运行 新扫描组合的能力,也可以借此测试安全测试平台的最大测试能力。以上所述仅为本发明的实施例,并非因此限制本发明的专利范围,凡是利用本发 明说明书及附图内容所作的等效结构变换,或直接或间接运用在其他相关的技术领域,均 同理包括在本发明的专利保护范围内。
权利要求
1.一种安全测试平台,包括安全测试管理系统(1)和至少两种测试工具,其特征在于, 所述安全测试管理系统(1)包括用于管理和配置所述测试工具的管理模块(11);用于负 责所述测试工具之间、所述测试工具和所述安全测试管理系统(1)之间通信的通信模块 (12);用于对所述测试工具的工作状态进行监控的扫描监控模块(13)、对所述测试工具的 异常工作状态进行报警处理的报警模块(14)以及对所述测试工具的测试结果进行统计的 统计模块(15)。
2.根据权利要求1所述的安全测试平台,其特征在于,所述统计模块(15)还包括用于 将不同测试工具的测试结果进行归一化的弱点分析单元(151)。
3.根据权利要求1所述的安全测试平台,其特征在于,所述报警模块(14)包括设置报 警阈值和报警动作的报警设置单元(141)、根据所述报警阈值和报警动作对报警的所述测 试工具进行处理的报警处理单元(142)以及根据所述报警处理单元(14 的处理结果生成 报警日志的日志生成单元(143)。
4.根据权利要求3所述的安全测试平台,其特征在于,所述报警处理单元(142)包括只 作出报警记录的报警记录子单元、对所述测试工具进行调配的报警调配子单元和停止所述 测试工具的测试工作的报警中断子单元。
5.根据权利要求1所述的安全测试平台,其特征在于,所述管理模块(11)包括至少两 级的管理单元(111)和用于配置所述管理单元(111)中的测试工具的配置单元(112)。
6.根据权利要求5所述的安全测试平台,其特征在于,所述管理模块(11)包括用于项 目的创建、修改、配置、删除的项目管理单元、用于项目下任务的创建、修改、配置、删除的任 务管理单元以及用于配置所述任务管理单元中的测试工具的配置单元(112)。
7.根据权利要求5所述的安全测试平台,其特征在于,所述管理模块(11)还包括导入 和导出所述项目管理单元、所述任务管理单元以及所述配置单元(112)的配置的配置共享 单元(113)。
8.根据权利要求1所述的安全测试平台,其特征在于,所述安全测试管理系统(1)还包 括对所述测试工具和所述统计模块的使用权限进行管理的权限管理模块(16)。
9.根据权利要求1所述的安全测试平台,其特征在于,所述安全测试管理系统(1)还包 括利用脚本测试所述安全测试平台的测试能力的脚本测试模块(17)。
全文摘要
本发明涉及一种安全测试平台,包括安全测试管理系统和至少两种测试工具,其中所述安全测试管理系统包括用于管理所述测试工具的管理模块;用于负责所述测试工具之间、所述测试工具和所述安全测试管理系统之间通信的通信模块;用于对所述测试工具的工作状态进行监控的扫描监控模块、对所述测试工具的异常工作状态进行报警的报警模块以及对所述测试工具的测试结果进行统计的统计模块。本发明的安全测试平台可整合多种安全检测工具,实现自动化安全扫描,避免了安全检测工具不能整合和需要人员全程参与的缺陷。
文档编号H04L12/26GK102142984SQ20101055935
公开日2011年8月3日 申请日期2010年11月25日 优先权日2010年11月25日
发明者张德春, 张毅, 李莉, 王恒毅, 舒敏根, 赵贤敬, 郑明忠, 郭利江, 钟昌杰 申请人:中国移动(深圳)有限公司