版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、目 录1概述11.1各项功能测试目标11.2测试范围11.3测试对象12测试方案拓扑23测试计划53.1测试时间53.2测试地点53.3测试人员54测试内容64.1功能测试64.1.1系统基本配置64.1.2运维管理配置与测试74.1.3保护资源自动登陆配置与测试94.1.4运维操作审计测试104.1.5审计功能测试124.1.6统计报表功能测试134.1.7口令保管箱145测试结论16I1 概述1.1 各项功能测试目标本次产品测试目标如下:n 测试HAC。n 测试各项功能是否正常运行;协议是否正确。 n 验证运维安全审计系统HAC产品是否能正常运行。1.2 测试范围本次产品测试范围如下:n
2、测试范围在网络系统环境中n HAC功能n 相关协议1.3 测试对象测试对象:HAC 1000P一台,系统基本信息如下:产品型号HAC 1000P外形1U机架式存储容量500G网卡2个千兆以太网口+1个百兆以太网口支持协议Telnet、SSH、FTP、SFTP、RDP、Xwindows、Windows Terminal系统版本审计平台版本电源单电源2 测试方案拓扑由于HAC实施审计条件是所有对被保护资源的运维流量均需要流经HAC,所以保证HAC工作正常应具备以下要求:n 当HAC为单臂部署模式时,为了让运维人员访问被保护资源的流量流经HAC,需要在交换机或安全设备上配置安全策略如访问控制列表,确
3、保运维人员不能直接访问被保护资源,只有HAC能访问被保护资源。n HAC能访问保护资源。如果HAC到保护资源之间设置了安全策略,需根据所用协议端口开放相关端口。开放端口根据运维协议和保护资源服务端口而定,具体情况如下:l 采用Telnet协议运维:需开放HAC到保护资源的23端口(23端口为保护资源Telnet服务端口,如果修改请根据实际进行修改,下同)。l 采用SSH、SFTP协议运维:需开放HAC到保护资源的22端口。l 采用FTP协议运维:需开放HAC到保护资源的21端口、20端口和1024以上端口(若FTP采用主动模式,则只需开放21、20端口;若采用被动模式,则需开放21、1024以
4、上端口)。l 采用RDP协议运维:需开放HAC到保护资源的3389端口。l 采用XWIN协议运维:需开放HAC到保护资源的UDP177端口和6000以上端口。l 采用VNC协议运维:需开放HAC到保护资源的5900以上端口(根据VNC服务器的定义,一般为5900以上端口)。l 采用AS400专用客户端运维AS400主机:需开放HAC到保护资源的449、23端口和84708479相关端口(84708479是动态协商的,不同主机可能用其中部分端口)。l 采用HTTP协议运维:需开放HAC到保护资源的相应端口。l 采用HTTPS协议运维:需开放HAC到保护资源的相应端口。n 运维人员能访问HAC。如
5、果运维人员和HAC之间设置安全策略,需根据所用协议端口开放相关端口。具体情况如下:l 开放443端口,目的是运维人员可自行修改密码、查看可访问资源以及进行RDP、XWIN、VNC协议运维。l 采用Telnet协议运维:需开放运维终端到HAC的23端口。l 采用SSH、SFTP协议运维:需开放运维终端到HAC的22端口。l 采用FTP协议运维:需开放运维终端到HAC的21端口和4096以上端口(4096以上端口是由HAC的工作机制决定的)。l 采用RDP协议运维:需开放运维终端到HAC的3389和443端口。l 采用XWIN协议运维:需开放运维终端到HAC的7000端口和443端口。l 采用VN
6、C协议运维:需开放运维终端到HAC的5900端口和443端口。l 采用AS400专用客户端运维AS400主机:需开放运维终端到HAC的449、23端口和84708479相关端口(84708479是动态协商的,不同主机可能用其中部分端口)。l 采用HTTP、HTTPS协议运维:需开放HAC到保护资源的7000和443端口。n 采用VDH进行运维,需开放如下端口:l 运维终端到HAC:443、3389、8005端口;l HAC到VDH服务器:3389、3390端口;l VDH服务器到保护资源:开放相应端口(该端口是由VDH服务器上发布的应用决定的,如发布http服务,则需开放80端口)n 系统管理
7、员、运维管理员终端能访问HAC,开放端口为443。n 审计员终端能访问HAC,开放端口为8001、8004。n 审计员终端访问日志备份服务器,进行日志的离线回放,若日志是使用FTP协议备份的,需开放21、1024以上端口;若是使用SFTP协议备份的,需开放22端口。n HAC密函打印客户端访问HAC,开放端口为:8003。n HAC到日志备份服务器,若使用FTP协议备份需开放端口:21、1024以上(采用被动模式);若使用SFTP协议备份,需开放22端口。n HAC到发送邮件服务器,需开放相关端口。n 使用RDP、XWIN、VNC协议运维时,客户端操作系统支持Windows 2000/XP/2
8、003/Vista,浏览器支持IE6、IE7、IE8、Maxthon等。n 审计平台客户端支持Windows XP/2003/Vista/7操作系统。3 测试计划3.1 测试时间3.2 测试地点3.3 测试人员姓名角色职责刘绍轶江南科友实施人员项目测试4 测试内容4.1 功能测试4.1.1 系统基本配置 审计平台安装与监控功能 1、 审计平台安装测试项目操作方法预期结果实际结果HAC审计平台安装将软件安装到Windows(xp,2000,vista)各个版本安装顺利2、 连接HAC测试项目操作方法预期结果实际结果审计平台连接HAC启动审计平台,设置连接HAC的IP地址及端口,输入
9、审计员口令和密码能正常连接到指定HAC3、 系统监控测试项目操作方法预期结果实际结果查看HAC信息登录审计平台,打开设备信息窗口能正确显示设备信息查看活动用户打开活动用户窗口能正确显示活动用户,并能对任意列进行排序查看活动会话打开活动会话窗口,选择其中一条会话进行实时监控能显示目前存在运维会话查看资源状态打开资源状态窗口能正确显示每个资源的连接并发数量,并能对任意列进行排序 系统管理配置测试项目操作方法预期结果实际结果系统信息通过浏览器进入HAC,可以看到系统静态信息; 静态信息、显示正确系统配置1、 开启SNMP服务2、 开启NTP服务3、 开关磁盘映射4、 开启关闭日志外发1
10、、 可以被网络管理设备管理。2、 可以防止arp欺骗3、 可以进行时间同步,确保审计的准确性。4、 能成功导入。5、 可以启到windows 磁盘映射开关的作用。6、 日志服务器可以接收到HAC外发出的系统日志网络配置配置外网、内网、配置默认网关、静态路由配置正确系统维护执行重启、关机、配置备份与恢复执行正确版本管理执行升级能升级系统激活执行系统激活激活成功 1、 管理员管理测试项目操作方法预期结果实际结果角色管理根据管理需求,建立新角色建立成功建立管理员建立管理员,并分配其拥有的角色建立成功,登录后其角色正确管理员访问控制配置管理员的访问控制(只能从设定的Ip进行访问)访问控制有效,其他地址
11、无法访问4.1.2 运维管理配置与测试 资源管理测试项目操作方法预期结果实际结果创建保护主机及服务创建一个Linux、Unix保护主机、设置IP地址,并创建telnet、ftp、SSH、Xwindows、VNC服务在资源列表中能看到此资源。创建Windows保护主机,设置主机IP地址,创建RDP服务在资源列表中能看到此资源创建资源组可以根据管理需要将一组资源分配到一个资源组在资源组列表中能看到此资源组 运维用户管理测试项目操作方法预期结果实际结果创建运维用户创建运维用户,设置口令及认证方式等在用户列表中能看到此用户口令强度设置在系统管理设置口令强度(高、中、低),在
12、创建运维用户或修改口令验证只有强度符合的操作才能完成口令认证失败死锁在系统管理中设置死锁次数口令错超过此次数,运维用户无法登陆,只有运维管理员能重新激活该用户口令有效期设置该运维用户的口令有效期当口令有效期超过后,运维用户无法登陆用户激活设置某运维用户是否激活激活用户方能使用创建用户组选择已建用户分配到此组或建用户组,新建用户时选择该用户组在用户组列表中看到此用户组及包含的用户授权向运维用户授予Linux、Unix、Windows保护主机访问权限在授权表中能看到此记录 授权与访问控制1、 授权管理测试项目操作方法预期结果实际结果创建授权规则在授权规则管理中添加相应规则在授权规则列
13、表可看到此规则授权向运维用户授予保护资源的访问权限在授权表中能看到此记录2、 访问控制测试项目操作方法预期结果实际结果访问时间控制通过设置授权规则中设置访问时间,并在授权时选中此规则只能在规定的时间中进行访问。会话时长控制通过设置授权规则中设置会话时长(如2分钟),并在授权时选中此规则所有经过此规则授权的用户或者协议均两分钟后退出。访问IP控制通过设置授权规则中设置允许访问的IP地址,并在授权时选中此规则只有允许的地址能够访问4.1.3 保护资源自动登陆配置与测试1、 类Unix保护资源自动登陆配置与测试测试项目操作方法预期结果实际结果设备账户管理选择设备然后添加用户并激活,注意选择是否密码托
14、管和是否勾选管理账户在账户资源列表中有此记录设备账户获取选择添加有管理账户的设备,获取该设备上的其他账户在账户资源列表中有其他账户信息设备账户托管可对账户密码进行重置系统提示密码重置成功密码变更通知填写要发送邮件的地址和主题,勾选密码修改通知,需要配置DNS在账户密码变更时,可以向指定账户发送电子邮件设备账户分配选择对应运维账户设置,将已经存在的设备账户添加到已选账户中保存。就是将某一资源账户分配给运维账户在账户资源分配表中可以看到资源账户和运维账户的对应关系自动登录验证验证Telnet、SSH、SFTP的自动登录功能均能正常登录2、 Windows等保护资源自动登陆配置与测试测试项目操作方法
15、预期结果实际结果设备账户管理选择设备分别采用正确、错误的密码添加用户并激活,注意选择是否密码托管。错误的密码无法添加用户。正确的密码添加用户成功。在账户资源列表中有此记录。设备账户分配选择对应运维账户设置,将已经存在的设备账户添加到已选账户中保存。就是将某一资源账户分配给运维账户在账户资源分配表中可以看到资源账户和运维账户的对应关系设备账户托管选择对用户的密码进行托管。通过标准rdp客户端验证,原有密码是否可用。托管后,原有密码已经更改,不能登陆远程设备。自动登录验证验证托管前和托管后,windows 域和本地帐户的自动登录功能。用户托管前和托管后均能正常登录。4.1.4 运维操作审计测试4.
16、1.4.1 Telnet协议运维操作测试1、 运维操作测试项目操作方法预期结果实际结果运维操作按照使用手册中的描述进行Telnet协议自动登录运维均能正常运维使用Telnet协议进行非自动登录方式运维使用Telnet协议登录后台不同类型主机2、 事中实时监控测试项目操作方法预期结果实际结果实时监控运维用户Telnet运维后台主机可以图形方式实时看到Telnet操作及响应审计员登录HAC在活动会话窗口中,选择该Telnet会话,进行实时回放3、 事后审计测试项目操作方法预期结果实际结果会话查看在今日会话窗口中,选择Telnet会话,查看详细信息会话概要记录准确,会话过程记录完整选择任意操作命令,
17、查看命令回显命令回显显示正确在查找中,查询任意操作命令能正确定位到该操作命令在下行检索中,查询任意字符串能正确定位到包括该字符串的命令回显会话回放在今日会话窗口中,选择Telnet会话,进行会话回放可以完整回放该Telnet会话回放快进、慢放、拖拉能按要求回放在日志详细信息中,定位到任意命令,进行定位回放可以从定位的命令开始进行回放回放 SSH协议运维操作测试1、运维操作测试项目操作方法预期结果实际结果运维操作按照使用手册中的描述进行SSH协议自动登录运维均能正常运维使用SSH协议进行非自动登录方式运维使用SSH协议登录后台不同类型主机2、事中实时监控测试项目操作方法预期结果实际
18、结果实时监控运维用户SSH运维后台主机可以图形方式实时看到SSHt操作及响应审计员登录HAC在活动会话窗口中,选择该SSH会话,进行实时回放3、事后审计测试项目操作方法预期结果实际结果会话查看在今日会话窗口中,选择SSH会话,查看详细信息会话概要记录准确,会话过程记录完整选择任意操作命令,查看命令回显命令回显显示正确在查找中,查询任意操作命令能正确定位到该操作命令在下行检索中,查询任意字符串能正确定位到包括该字符串的命令回显会话回放在今日会话窗口中,选择SSH会话,进行会话回放可以完整回放该SSH会话回放快进、慢放、拖拉能按要求回放 RDP协议运维操作测试1、 运维操作测试项目操
19、作方法预期结果实际结果运维操作按照使用手册中的描述进行RDP协议自动登录运维均能正常运维能进行console的运维。使用RDP协议进行非自动登录方式运维采用上两种方式选择console 进行运维使用不同类型的windows客户端采用RDP协议登录后台不同类型Windows主机2、 事中实时监控测试项目操作方法预期结果实际结果实时监控运维用户通过RDP运维后台主机能正确显示审计员登录HAC在活动会话窗口中,能看到此会话3、 事后审计测试项目操作方法预期结果实际结果会话查看在今日会话窗口中,能看到此会话的概要记录记录正常会话回放在今日会话窗口中,选择RDP会话,进行会话回放可以完整回放该RDP会话
20、支持按时间定位回放按要求进行回放支持快进、慢放、拖拉回放按要求进行回放4.1.5 审计功能测试1、 会话审计测试项目操作方法预期结果实际结果查看今日会话登录审计平台,打开今日会话窗口根据用户名、资源名、协议进行快速查询正确显示今日会话,并能对任意列进行排序会话查询设置各种查询条件,进行会话查询(查询条件包括:用户名、客户IP、资源名、协议、时间段、上下行关键字)正确显示查询结果,并能对任意列进行排序会话统计设置统计类型(包括:时间、用户、资源、用户组、资源组)和单位时间(包括:日、月、年),对一段实际内的会话数量进行统计正确显示统计结果正确显示表格图、直方图、线性图和饼状图会话日志导出开启审计
21、平台日志导出功能,将日志导出,并回放可以将所有协议的日志导出,并能作为证据本地回放。2、 系统自审计测试项目操作方法预期结果实际结果查看今日管理登录HAC,打开今日管理窗口根据模块、管理员进行快速查询正确显示今日管理,并能对任意列进行排序管理查询设置各种查询条件,进行会话查询(查询条件包括:模块名、管理员、时间段)正确显示查询结果,并能对任意列进行排序业务权限打开业务权限窗口根据用户名、资源名进行快速查询正确显示授权信息,并能对任意列进行排序其他审计打开各种审计窗口正确显示各种审计信息,并能对任意列进行排序4.1.6 统计报表功能测试测试项目操作方法预期结果实际结果日常报表打开日常报表窗口,双击任意报表(包括:今日会话、今日管理、用户信息、资源信息、授权信息、规则信息、管理员角色信息)正确显示各类报表选择任意报表,选择报表导出格式,将报表导出能导出任意报表,可导出word或pdf格式创建统计报表选择统计时间段,选择统计类别(包括:用户、资源、用户组、资源组),生成统计报表正确生成各类统计报表选择任意报表,选择报表导出格式,将报表导出能导出任意报表,可导出word或pdf格式创建会话报表设置会话报表的各项条件(包括:显示字段、报表排序规则、查询条件),生成会话报表正确生成会话报表
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论