目 录1 概述 11.1 各项功能测试目标 11.2 测试范围 11.3 测试对象 12 测试方案拓扑 23 测试计划 53.1 测试时间 53.2 测试地点 53.3 测试人员 54 测试内容 64.1 功能测试 64.1.1 系统基本配置 64.1.2 运维管理配置与测试 74.1.3 保护资源自动登陆配置与测试 94.1.4 运维操作审计测试 104.1.5 审计功能测试 124.1.6 统计报表功能测试 134.1.7 口令保管箱 145 测试结论 161 概述1.1 各项功能测试目标本次产品测试目标如下:n 测试HACn 测试各项功能是否正常运行;协议是否正确 n 验证运维安全审计系统HAC产品是否能正常运行1.2 测试范围本次产品测试范围如下:n 测试范围在网络系统环境中n HAC功能n 相关协议1.3 测试对象测试对象:HAC 1000P一台,系统基本信息如下:产品型号HAC 1000P外形1U机架式存储容量500G网卡2个千兆以太网口+1个百兆以太网口支持协议Telnet、SSH、FTP、SFTP、RDP、Xwindows、Windows Terminal系统版本审计平台版本电源单电源2 测试方案拓扑由于HAC实施审计条件是所有对被保护资源的运维流量均需要流经HAC,所以保证HAC工作正常应具备以下要求:n 当HAC为单臂部署模式时,为了让运维人员访问被保护资源的流量流经HAC,需要在交换机或安全设备上配置安全策略如访问控制列表,确保运维人员不能直接访问被保护资源,只有HAC能访问被保护资源。
n HAC能访问保护资源如果HAC到保护资源之间设置了安全策略,需根据所用协议端口开放相关端口开放端口根据运维协议和保护资源服务端口而定,具体情况如下:l 采用Telnet协议运维:需开放HAC到保护资源的23端口(23端口为保护资源Telnet服务端口,如果修改请根据实际进行修改,下同)l 采用SSH、SFTP协议运维:需开放HAC到保护资源的22端口l 采用FTP协议运维:需开放HAC到保护资源的21端口、20端口和1024以上端口(若FTP采用主动模式,则只需开放21、20端口;若采用被动模式,则需开放21、1024以上端口)l 采用RDP协议运维:需开放HAC到保护资源的3389端口l 采用XWIN协议运维:需开放HAC到保护资源的UDP177端口和6000以上端口l 采用VNC协议运维:需开放HAC到保护资源的5900以上端口(根据VNC服务器的定义,一般为5900以上端口)l 采用AS400专用客户端运维AS400主机:需开放HAC到保护资源的449、23端口和8470—8479相关端口(8470—8479是动态协商的,不同主机可能用其中部分端口)l 采用HTTP协议运维:需开放HAC到保护资源的相应端口。
l 采用HTTPS协议运维:需开放HAC到保护资源的相应端口n 运维人员能访问HAC如果运维人员和HAC之间设置安全策略,需根据所用协议端口开放相关端口具体情况如下:l 开放443端口,目的是运维人员可自行修改密码、查看可访问资源以及进行RDP、XWIN、VNC协议运维l 采用Telnet协议运维:需开放运维终端到HAC的23端口l 采用SSH、SFTP协议运维:需开放运维终端到HAC的22端口l 采用FTP协议运维:需开放运维终端到HAC的21端口和4096以上端口(4096以上端口是由HAC的工作机制决定的)l 采用RDP协议运维:需开放运维终端到HAC的3389和443端口l 采用XWIN协议运维:需开放运维终端到HAC的7000端口和443端口l 采用VNC协议运维:需开放运维终端到HAC的5900端口和443端口l 采用AS400专用客户端运维AS400主机:需开放运维终端到HAC的449、23端口和8470—8479相关端口(8470—8479是动态协商的,不同主机可能用其中部分端口)l 采用HTTP、HTTPS协议运维:需开放HAC到保护资源的7000和443端口n 采用VDH进行运维,需开放如下端口:l 运维终端到HAC:443、3389、8005端口;l HAC到VDH服务器:3389、3390端口;l VDH服务器到保护资源:开放相应端口(该端口是由VDH服务器上发布的应用决定的,如发布http服务,则需开放80端口)n 系统管理员、运维管理员终端能访问HAC,开放端口为443。
n 审计员终端能访问HAC,开放端口为8001、8004n 审计员终端访问日志备份服务器,进行日志的离线回放,若日志是使用FTP协议备份的,需开放21、1024以上端口;若是使用SFTP协议备份的,需开放22端口n HAC密函打印客户端访问HAC,开放端口为:8003n HAC到日志备份服务器,若使用FTP协议备份需开放端口:21、1024以上(采用被动模式);若使用SFTP协议备份,需开放22端口n HAC到发送邮件服务器,需开放相关端口n 使用RDP、XWIN、VNC协议运维时,客户端操作系统支持Windows 2000/XP/2003/Vista,浏览器支持IE6、IE7、IE8、Maxthon等n 审计平台客户端支持Windows XP/2003/Vista/7操作系统3 测试计划3.1 测试时间3.2 测试地点3.3 测试人员姓名角色职责刘绍轶江南科友实施人员项目测试4 测试内容4.1 功能测试4.1.1 系统基本配置4.1.1.1 审计平台安装与监控功能 1、 审计平台安装测试项目操作方法预期结果实际结果HAC审计平台安装将软件安装到Windows(xp,2000,vista)各个版本安装顺利2、 连接HAC测试项目操作方法预期结果实际结果审计平台连接HAC启动审计平台,设置连接HAC的IP地址及端口,输入审计员口令和密码能正常连接到指定HAC3、 系统监控测试项目操作方法预期结果实际结果查看HAC信息登录审计平台,打开设备信息窗口能正确显示设备信息查看活动用户打开活动用户窗口能正确显示活动用户,并能对任意列进行排序查看活动会话打开活动会话窗口,选择其中一条会话进行实时监控能显示目前存在运维会话查看资源状态打开资源状态窗口能正确显示每个资源的连接并发数量,并能对任意列进行排序4.1.1.2 系统管理配置测试项目操作方法预期结果实际结果系统信息通过浏览器进入HAC,可以看到系统静态信息; 静态信息、显示正确系统配置1、 开启SNMP服务2、 开启NTP服务3、 开关磁盘映射4、 开启关闭日志外发1、 可以被网络管理设备管理。
2、 可以防止arp欺骗3、 可以进行时间同步,确保审计的准确性4、 能成功导入5、 可以启到windows 磁盘映射开关的作用6、 日志服务器可以接收到HAC外发出的系统日志网络配置配置外网、内网、配置默认网关、静态路由配置正确系统维护执行重启、关机、配置备份与恢复执行正确版本管理执行升级能升级系统激活执行系统激活激活成功 1、 管理员管理测试项目操作方法预期结果实际结果角色管理根据管理需求,建立新角色建立成功建立管理员建立管理员,并分配其拥有的角色建立成功,登录后其角色正确管理员访问控制配置管理员的访问控制(只能从设定的Ip进行访问)访问控制有效,其他地址无法访问4.1.2 运维管理配置与测试4.1.2.1 资源管理测试项目操作方法预期结果实际结果创建保护主机及服务创建一个Linux、Unix保护主机、设置IP地址,并创建telnet、ftp、SSH、Xwindows、VNC服务在资源列表中能看到此资源创建Windows保护主机,设置主机IP地址,创建RDP服务在资源列表中能看到此资源创建资源组可以根据管理需要将一组资源分配到一个资源组在资源组列表中能看到此资源组4.1.2.2 运维用户管理测试项目操作方法预期结果实际结果创建运维用户创建运维用户,设置口令及认证方式等在用户列表中能看到此用户口令强度设置在系统管理设置口令强度(高、中、低),在创建运维用户或修改口令验证只有强度符合的操作才能完成口令认证失败死锁在系统管理中设置死锁次数口令错超过此次数,运维用户无法登陆,只有运维管理员能重新激活该用户口令有效期设置该运维用户的口令有效期当口令有效期超过后,运维用户无法登陆用户激活设置某运维用户是否激活激活用户方能使用创建用户组选择已建用户分配到此组或建用户组,新建用户时选择该用户组在用户组列表中看到此用户组及包含的用户授权向运维用户授予Linux、Unix、Windows保护主机访问权限在授权表中能看到此记录4.1.2.3 授权与访问控制1、 授权管理测试项目操作方法预期结果实际结果创建授权规则在授权规则管理中添加相应规则在授权规则列表可看到此规则授权向运维用户授予保护资源的访问权限在授权表中能看到此记录2、 访问控制测试项目操作方法预期结果实际结果访问时间控制通过设置授权规则中设置访问时间,并在授权时选中此规则只能在规定的时间中进行访问。
会话时长控制通过设置授权规则中设置会话时长(如2分钟),并在授权时选中此规则所有经过此规则授权的用户或者协议均两分钟后退出访问IP控制通过设置授权规则中设置允许访问的IP地址,并在授权时选中此规则只有允许的地址能够访问4.1.3 保护资源自动登陆配置与测试1、 类Unix保护资源自动登陆配置与测试测试项目操作方法预期结果实际结果设备账户管理选择设备然后添加用户并激活,注意选择是否密码托管和是否勾选管理账户在账户资源列表中有此记录设备账户获取选择添加有管理账户的设备,获取该设备上的其他账户在账户资源列表中有其他账户信息设备账户托管可对账户密码进行重置系统提示密码重置成功密码变更通知填写要发送邮件的地址和主题,勾选密码修改通知,需要配置DNS在账户密码变更时,可以向指定账户发送电子邮件设备账户分配选择对应运维账户设置,将已经存在的设备账户添加到已选账户中保存就是将某一资源账户分配给运维账户在账户资源分配表中可以看到资源账户和运维账户的对应关系自动登录验证验证Telnet、SSH、SFTP的自动登录功能均能正常登录2、 Windows等保护资源自动登陆配置与测试测试项目操作方法预期结果实际结果设备账户管理选择设备分别采用正确、错误的密码添加用户并激活,注意选择是否密码托管。
错误的密码无法添加用户正确的密码添加用户成功在账户资源列表中。