運維安全審計系統(tǒng)HAC產(chǎn)品測試方案

1、運維安全審計系統(tǒng)（ HAC ）功能測試目錄1 概述 11.1 各項功能測試目標 11.2 測試范圍 11.3 測試對象 12 測試方案拓撲 22.1 測試環(huán)境 43 測試計劃 53.1 測試時間 53.2 測試地點 53.3 測試人員 54 測試內(nèi)容 64.1功能測試 64.1.1系統(tǒng)基本配置 64.1.2 運維管理配置與測試 74.1.3 保護資源自動登陸配置與測試 94.1.4 運維操作審計測試 104.1.5 審計功能測試 124.1.6 統(tǒng)計報表功能測試 135 測試結(jié)論 151概述1.1各項功能測試目標本次產(chǎn)品測試目標如下：測試HAC。測試各項功能是否正常運行；協(xié)議是否正確。驗證運維

2、安全審計系統(tǒng) HAC產(chǎn)品是否能正常運行1.2測試范圍本次產(chǎn)品測試范圍如下：測試范圍在網(wǎng)絡系統(tǒng)環(huán)境中HAC功能相關協(xié)議1.3測試對象測試對象：HAC 1000P 臺，系統(tǒng)基本信息如下:產(chǎn)品型號HAC 1000P外形1U機架式存儲容量500G網(wǎng)卡2個千兆以太網(wǎng)口 +1個百兆以太網(wǎng)口支持協(xié)議Tel net、SSH、FTP、SFTP、RDP、Xwin dows、Win dows Termi nal系統(tǒng)版本審計平臺版本電源單電源2測試方案拓撲由于HAC實施審計條件是所有對被保護資源的運維流量均需要流經(jīng)HAC，所以保證HAC工作正常應具備以下要求：當HAC為單臂部署模式時，為了讓運維人員訪問被保護資源的流

3、量流經(jīng)HAC，需要在交換機或安全設備上配置安全策略如訪問控制列表，確保運維人員不能直接訪問被保護資源，只有HAC能訪問被保護資源。HAC能訪問保護資源。如果 HAC到保護資源之間設置了安全策略，需根據(jù)所用協(xié)議端口開放相 關端口。開放端口根據(jù)運維協(xié)議和保護資源服務端口而定，具體情況如下：采用Telnet協(xié)議運維：需開放HAC到保護資源的23端口（23端口為保護資源 Telnet服務端 口，如果修改請根據(jù)實際進行修改，下同） 。采用SSH、SFTP協(xié)議運維：需開放 HAC到保護資源的22端口。采用FTP協(xié)議運維：需開放 HAC到保護資源的21端口、20端口和1024以上端口 （若FTP 采用主動模

4、式，則只需開放 21、20端口；若采用被動模式，則需開放 21、1024以上端口）。 采用RDP協(xié)議運維：需開放 HAC到保護資源的3389端口。采用XWIN協(xié)議運維：需開放 HAC到保護資源的UDP177端口和6000以上端口。采用 VNC 協(xié)議運維：需開放 HAC 到保護資源的 5900 以上端口 （根據(jù) VNC 服務器的定義， 一般為 5900 以上端口）。采用 AS400 專用客戶端運維 AS400 主機：需開放 HAC 到保護資源的 449、 23 端口和84708479 相關端口 （84708479 是動態(tài)協(xié)商的，不同主機可能用其中部分端口）。采用 HTTP 協(xié)議運維：需開放 HA

5、C 到保護資源的相應端口。采用 HTTPS 協(xié)議運維：需開放 HAC 到保護資源的相應端口。運維人員能訪問 HAC 。如果運維人員和 HAC 之間設置安全策略，需根據(jù)所用協(xié)議端口開放相關 端口。具體情況如下：開放 443 端口，目的是運維人員可自行修改密碼、查看可訪問資源以及進行RDP、XWIN 、VNC 協(xié)議運維。采用 Telnet 協(xié)議運維：需開放運維終端到 HAC 的 23 端口。采用 FTP 協(xié)議運維：需開放運維終端到 由 HAC 的工作機制決定的） 。采用 RDP 協(xié)議運維：需開放運維終端到 采用 XWIN 協(xié)議運維：需開放運維終端到 采用 VNC 協(xié)議運維：需開放運維終端到采用 S

6、SH、SFTP 協(xié)議運維：需開放運維終端到 HAC 的 22 端口。HAC 的 21端口和 4096以上端口（ 4096 以上端口是HAC 的 3389 和 443 端口。HAC 的 7000端口和 443 端口。HAC 的 5900 端口和 443 端口 。采用 AS400 專用客戶端運維 AS400 主機：需開放運維終端到 HAC 的 449、 23 端口和84708479 相關端口 （84708479 是動態(tài)協(xié)商的，不同主機可能用其中部分端口） 。 采用 HTTP 、 HTTPS 協(xié)議運維：需開放 HAC 到保護資源的 7000 和 443 端口。采用 VDH 進行運維，需開放如下端口：

7、運維終端到 HAC：443、3389、8005 端口；HAC 到 VDH 服務器： 3389、3390 端口 ；VDH 服務器到保護資源：開放 相應端口 （該端口是由 VDH 服務器上發(fā)布的應用決定的，如 發(fā)布 http 服務，則需開放 80 端口）系統(tǒng)管理員、運維管理員終端能訪問 HAC ，開放端口為 443。 審計員終端能訪問 HAC ，開放端口為 8001、 8004。審計員終端訪問日志備份服務器，進行日志的離線回放， 若日志是使用 FTP 協(xié)議備份的，需開放 21、 1024以上端口；若是使用 SFTP 協(xié)議備份的，需開放 22端口。HAC 密函打印客戶端訪問 HAC ，開放端口為：

8、8003。HAC 到日志備份服務器，若使用 FTP 協(xié)議備份需開放端口： 21、1024以上（ 采用被動模式 ）；若使用 SFTP 協(xié)議備份，需開放 22 端口。HAC 到發(fā)送郵件服務器，需開放 相關端口 。使用 RDP、XWIN 、 VNC 協(xié)議運維時，客戶端操作系統(tǒng)支持 Windows 2000/XP/2003/Vista ，瀏覽 器支持 IE6、IE7、 IE8、Maxthon 等。審計平臺客戶端支持 Windows XP/2003/Vista/7 操作系統(tǒng)。2.1 測試環(huán)境HAC1000：P 一個 IP 地址VDH 一個IP地址運維終端：PC機1-2臺目標服務器：建議 LINUX,WI

9、NDOWS 1-2臺網(wǎng)絡中需要運維終端與 HAC1000P路由可達，無網(wǎng)絡端口限制。HAC1000與目標服務器路由可達，無網(wǎng)絡端口限制。VDH與目標服務器路由可達，無網(wǎng)絡端口限制。HAC1000與VDH同網(wǎng)段，無網(wǎng)絡端口限制。3測試計劃3.1測試時間3.2測試地點3.3測試人員劉紹軼江南科友實施人員項目測試4測試內(nèi)容4.1功能測試4.1.1系統(tǒng)基本配置審計平臺安裝與監(jiān)控功能1、審計平臺安裝測試項目操作方法預期結(jié)果實際結(jié)果HAC 審計平臺安裝將軟件安裝到 Windows( xp,2000, vista )各個版本安裝順利2、連接HAC測試項目操作方法預期結(jié)果實際結(jié)果審計平臺連接HA

10、C啟動審計平臺，設置連接HAC 的IP地址及端口，輸入審計員 口令和密碼能正常連接到指定 HAC3、系統(tǒng)監(jiān)控測試項目操作方法預期結(jié)果實際結(jié)果查看HAC信息登錄審計平臺，打開設備信息 窗口能正確顯示設備信息查看活動用戶打開活動用戶窗口能正確顯示活動用戶，并能對任意列進行排序查看活動會話打開活動會話窗口，選擇其中 一條會話進行實時監(jiān)控能顯示目前存在運維會話查看資源狀態(tài)打開資源狀態(tài)窗口能正確顯示每個資源的連接并發(fā) 數(shù)量，并能對任意列進行排序系統(tǒng)管理配置測試項目操作方法預期結(jié)果實際結(jié)果系統(tǒng)信息通過瀏覽器進入HAC，可以看到系 統(tǒng)靜態(tài)信息；靜態(tài)信息、顯示正確系統(tǒng)配置1、開啟SNMP服務2、

11、開啟NTP服務3、開關磁盤映射4、開啟關閉日志外發(fā)1、可以被網(wǎng)絡管理 設備管理。2、可以防止arp欺騙3、可以進行時間同 步，確保審計的準確 性。4、能成功導入。5、可以啟到 windows 磁盤映射開關的作用。6、日志服務器可以 接收到HAC外發(fā)出的 系統(tǒng)日志網(wǎng)絡配置配置外網(wǎng)、內(nèi)網(wǎng)、配置默認網(wǎng)關、 靜態(tài)路由配置正確系統(tǒng)維護執(zhí)行重啟、關機、配置備份與恢復執(zhí)行正確版本管理執(zhí)行升級能升級系統(tǒng)激活執(zhí)行系統(tǒng)激活激活成功1、管理員管理測試項目操作方法預期結(jié)果實際結(jié)果角色管理根據(jù)管理需求，建立新角色建立成功建立管理員建立管理員，并分配其擁有的角色建立成功，登錄后其角 色正確管理員訪問控制配置管理員的訪問控

12、制（只能從設 定的Ip進行訪問）訪冋控制有效，其他地 址無法訪問4.1.2運維管理配置與測試4.121資源管理測試項目操作方法預期結(jié)果實際結(jié)果創(chuàng)建保護主機及服 務創(chuàng)建一個Linux、Unix保護主機、設 置IP地址，并創(chuàng)建telnet、ftp、SSH、 Xwindows、VNC 服務在資源列表中能看到 此資源。創(chuàng)建 Windows保護主機，設置主機IP地址，創(chuàng)建RDP服務在資源列表中能看到此資源創(chuàng)建資源組可以根據(jù)管理需要將一組資源分配到一個資源組在資源組列表中能看到此資源組4.122運維用戶管理測試項目操作方法預期結(jié)果實際結(jié)果創(chuàng)建運維用戶創(chuàng)建運維用戶，設置口令及認證方式 等在用戶列表中能看到此

13、用戶口令強度設置在系統(tǒng)管理設置口令強度（高、中、 低），在創(chuàng)建運維用戶或修改口令驗 證只有強度符合的操作 才能完成口令認證失敗死鎖在系統(tǒng)管理中設置死鎖次數(shù)口令錯超過此次數(shù)，運 維用戶無法登陸，只有 運維管理員能重新激 活該用戶口令有效期設置該運維用戶的口令有效期當口令有效期超過后， 運維用戶無法登陸用戶激活設置某運維用戶是否激活激活用戶方能使用創(chuàng)建用戶組選擇已建用戶分配到此組或建用戶 組，新建用戶時選擇該用戶組在用戶組列表中看到 此用戶組及包含的用 戶授權(quán)向運維用戶授予 Linux、Unix、Windows保護主機訪問權(quán)限在授權(quán)表中能看到此 記錄4.123授權(quán)與訪問控制1、授權(quán)管理測試項目操作

14、方法預期結(jié)果實際結(jié)果創(chuàng)建授權(quán)規(guī)則在授權(quán)規(guī)則管理中添加相應規(guī)則在授權(quán)規(guī)則列表可看到此規(guī)則授權(quán)向運維用戶授予保護資源的訪問權(quán) 限在授權(quán)表中能看到此 記錄2、訪問控制測試項目操作方法預期結(jié)果實際結(jié)果訪問時間控制通過設置授權(quán)規(guī)則中設置訪問時間， 并在授權(quán)時選中此規(guī)則只能在規(guī)定的時間中 進行訪問。會話時長控制通過設置授權(quán)規(guī)則中設置會話時長 （如2分鐘），并在授權(quán)時選中此規(guī) 則所有經(jīng)過此規(guī)則授權(quán) 的用戶或者協(xié)議均兩 分鐘后退出。訪問IP控制通過設置授權(quán)規(guī)則中設置允許訪問 的IP地址，并在授權(quán)時選中此規(guī)則只有允許的地址能夠 訪問4.1.3保護資源自動登陸配置與測試1、類Unix保護資源自動登陸配置與測試測試

15、項目操作方法預期結(jié)果實際結(jié)果設備賬戶管理選擇設備然后添加用戶并激活，注意選擇是否密碼托管和是否勾選管理 賬戶在賬戶資源列表中有此記錄設備賬戶獲取選擇添加有管理賬戶的設備， 獲取該 設備上的其他賬戶在賬戶資源列表中有其他賬戶信息設備賬戶托管可對賬戶密碼進行重置系統(tǒng)提示密碼重置成 功密碼變更通知填寫要發(fā)送郵件的地址和主題，勾選 密碼修改通知，需要配置 DNS在賬戶密碼變更時，可以向指定賬戶發(fā)送電子郵件設備賬戶分配選擇對應運維賬戶設置， 將已經(jīng)存在 的設備賬戶添加到已選賬戶中保存。 就是將某一資源賬戶分配給運維賬 戶在賬戶資源分配表中可以看到資源賬戶和運維賬戶的對應關系自動登錄驗證驗證Tel net

16、、SSH、SFTP的自動登錄功能均能正常登錄2、Windows等保護資源自動登陸配置與測試測試項目操作方法預期結(jié)果實際結(jié)果設備賬戶管理選擇設備分別采用正確、 錯誤的密碼 添加用戶并激活，注意選擇是否密碼 托管。錯誤的密碼無法添加 用戶。正確的密碼添加 用戶成功。在賬戶資源 列表中有此記錄。設備賬戶分配選擇對應運維賬戶設置， 將已經(jīng)存在 的設備賬戶添加到已選賬戶中保存。 就是將某一資源賬戶分配給運維賬 戶在賬戶資源分配表中可以看到資源賬戶和運維賬戶的對應關系設備賬戶托管選擇對用戶的密碼進行托管。 通過標 準rdp客戶端驗證，原有密碼是否可 用。托管后，原有密碼已經(jīng) 更改，不能登陸遠程設 備。自動

17、登錄驗證驗證托管前和托管后，windows域和本地帳戶的自動登錄功能。用戶托管前和托管后 均能正常登錄。4.1.4運維操作審計測試 Telnet協(xié)議運維操作測試1、運維操作測試項目操作方法預期結(jié)果實際結(jié)果運維操作按照使用手冊中的描述進行Teln et協(xié)議自動登錄運維均能正常運維使用Telnet協(xié)議進行非自動登錄方式運維使用Telnet協(xié)議登錄后臺不冋類型主機2、事中實時監(jiān)控測試項目操作方法預期結(jié)果實際結(jié)果實時監(jiān)控運維用戶Telnet運維后臺主機可以圖形方式實時看到Tel net操作及響應審計員登錄HAC在活動會話窗口中，選擇該Teln et會話，進行實時回放3、事后審計測試項目操

18、作方法預期結(jié)果實際結(jié)果會話查看在今日會話窗口中，選擇Telnet會話，查看詳細信息會話概要記錄準確， 會話過程記錄完整選擇任意操作命令，查看命令回顯命令回顯顯示正確在查找中，查詢?nèi)我獠僮髅钅苷_定位到該操作命令在下行檢索中，查詢?nèi)我庾址苷_定位到包括該字符串的命令回顯會話回放在今日會話窗口中，選擇Telnet會話，進行會話回放可以完整回放該Telnet會話回放快進、慢放、拖拉能按要求回放在日志詳細信息中， 定位到任意命令，進 行定位回放可以從定位的命令開 始進行回放回放 SSH協(xié)議運維操作測試1、運維操作測試項目操作方法預期結(jié)果實際結(jié)果運維操作按照使用手冊中的描述進行SSH

19、協(xié)議自動登錄運維均能正常運維使用SSH協(xié)議進行非自動登錄方式運維使用SSH協(xié)議登錄后臺不冋類型主機2、事中實時監(jiān)控測試項目操作方法預期結(jié)果實際結(jié)果實時監(jiān)控運維用戶SSH運維后臺主機可以圖形方式實時看 到SSHt操作及響應審計員登錄HAC在活動會話窗口中，選擇該SSH會話，進行實時回放3、事后審計測試項目操作方法預期結(jié)果實際結(jié)果會話查看在今日會話窗口中，選擇SSH會話，查看詳細信息會話概要記錄準確， 會話過程記錄完整選擇任意操作命令，查看命令回顯命令回顯顯示正確在查找中，查詢?nèi)我獠僮髅钅苷_定位到該操作 命令在下行檢索中，查詢?nèi)我庾址苷_定位到包括該 字符串的命令回顯會話回放在今日會話窗口

20、中，選擇SSH會話，進行會話回放可以完整回放該 SSH 會話回放快進、慢放、拖拉能按要求回放 RDP協(xié)議運維操作測試1、 運維操作測試項目操作方法預期結(jié)果實際結(jié)果運維操作按照使用手冊中的描述進行RDP協(xié)議自動登錄運維均能正常運維能進行 con sole 的運維。使用RDP協(xié)議進行非自動登錄方式運維米用上兩種方式選擇con sole進行運維使用不冋類型的windows客戶端米用RDP協(xié)議登錄后臺不冋類型Windows主機2、事中實時監(jiān)控測試項目操作方法預期結(jié)果實際結(jié)果實時監(jiān)控運維用戶通過 RDP運維后臺主機能正確顯示審計員登錄HAC在活動會話窗口中，能看到此會話3、事后審計測試項目

21、操作方法預期結(jié)果實際結(jié)果會話查看在今日會話窗口中，能看到此會話的概要 記錄記錄正常會話回放在今日會話窗口中，選擇RDP會話，進行會話回放可以完整回放該 RDP 會話支持按時間定位回放按要求進行回放支持快進、慢放、拖拉回放按要求進行回放4.1.5審計功能測試1、會話審計測試項目操作方法預期結(jié)果實際結(jié)果查看今日會話登錄審計平臺，打開今日會話窗口 根據(jù)用戶名、資源名、協(xié)議進行快速查 詢正確顯示今日會話，并 能對任意列進行排序會話查詢設置各種查詢條件，進行會話查詢（查 詢條件包括：用戶名、客戶IP、資源名、 協(xié)議、時間段、上下行關鍵字）正確顯示查詢結(jié)果，并能對任意列進行排序會話統(tǒng)計設置統(tǒng)計類型（包括：時間、用戶、資 源、用戶組、資源組）和單位時間（包 括：日、月、年），對一段實際內(nèi)的會 話數(shù)量進行統(tǒng)計正確顯示統(tǒng)計結(jié)果 正確顯示表格圖、直方 圖、線性圖和餅狀圖會話日志導出開啟審計平臺日志導出功能，將日志導出，并回放可以將