运维安全审计系统(HAC)产品测试方案

1、运维安全审计系统（ HAC ）功能测试目录1 概述 11.1 各项功能测试目标 11.2 测试范围 11.3 测试对象 12 测试方案拓扑 22.1 测试环境 43 测试计划 53.1 测试时间 53.2 测试地点 53.3 测试人员 54 测试内容 64.1功能测试 64.1.1系统基本配置 64.1.2 运维管理配置与测试 74.1.3 保护资源自动登陆配置与测试 94.1.4 运维操作审计测试 104.1.5 审计功能测试 124.1.6 统计报表功能测试 135 测试结论 151概述1.1各项功能测试目标本次产品测试目标如下：测试HAC。测试各项功能是否正常运行；协议是否正确。验证运维

2、安全审计系统 HAC产品是否能正常运行1.2测试范围本次产品测试范围如下：测试范围在网络系统环境中HAC功能相关协议1.3测试对象测试对象：HAC 1000P 台，系统基本信息如下:产品型号HAC 1000P外形1U机架式存储容量500G网卡2个千兆以太网口 +1个百兆以太网口支持协议Tel net、SSH、FTP、SFTP、RDP、Xwin dows、Win dows Termi nal系统版本审计平台版本电源单电源2测试方案拓扑由于HAC实施审计条件是所有对被保护资源的运维流量均需要流经HAC，所以保证HAC工作正常应具备以下要求：当HAC为单臂部署模式时，为了让运维人员访问被保护资源的流

3、量流经HAC，需要在交换机或安全设备上配置安全策略如访问控制列表，确保运维人员不能直接访问被保护资源，只有HAC能访问被保护资源。HAC能访问保护资源。如果 HAC到保护资源之间设置了安全策略，需根据所用协议端口开放相 关端口。开放端口根据运维协议和保护资源服务端口而定，具体情况如下：采用Telnet协议运维：需开放HAC到保护资源的23端口（23端口为保护资源 Telnet服务端 口，如果修改请根据实际进行修改，下同） 。采用SSH、SFTP协议运维：需开放 HAC到保护资源的22端口。采用FTP协议运维：需开放 HAC到保护资源的21端口、20端口和1024以上端口 （若FTP 采用主动模

4、式，则只需开放 21、20端口；若采用被动模式，则需开放 21、1024以上端口）。 采用RDP协议运维：需开放 HAC到保护资源的3389端口。采用XWIN协议运维：需开放 HAC到保护资源的UDP177端口和6000以上端口。采用 VNC 协议运维：需开放 HAC 到保护资源的 5900 以上端口 （根据 VNC 服务器的定义， 一般为 5900 以上端口）。采用 AS400 专用客户端运维 AS400 主机：需开放 HAC 到保护资源的 449、 23 端口和84708479 相关端口 （84708479 是动态协商的，不同主机可能用其中部分端口）。采用 HTTP 协议运维：需开放 HA

5、C 到保护资源的相应端口。采用 HTTPS 协议运维：需开放 HAC 到保护资源的相应端口。运维人员能访问 HAC 。如果运维人员和 HAC 之间设置安全策略，需根据所用协议端口开放相关 端口。具体情况如下：开放 443 端口，目的是运维人员可自行修改密码、查看可访问资源以及进行RDP、XWIN 、VNC 协议运维。采用 Telnet 协议运维：需开放运维终端到 HAC 的 23 端口。采用 FTP 协议运维：需开放运维终端到 由 HAC 的工作机制决定的） 。采用 RDP 协议运维：需开放运维终端到 采用 XWIN 协议运维：需开放运维终端到 采用 VNC 协议运维：需开放运维终端到采用 S

6、SH、SFTP 协议运维：需开放运维终端到 HAC 的 22 端口。HAC 的 21端口和 4096以上端口（ 4096 以上端口是HAC 的 3389 和 443 端口。HAC 的 7000端口和 443 端口。HAC 的 5900 端口和 443 端口 。采用 AS400 专用客户端运维 AS400 主机：需开放运维终端到 HAC 的 449、 23 端口和84708479 相关端口 （84708479 是动态协商的，不同主机可能用其中部分端口） 。 采用 HTTP 、 HTTPS 协议运维：需开放 HAC 到保护资源的 7000 和 443 端口。采用 VDH 进行运维，需开放如下端口：

7、运维终端到 HAC：443、3389、8005 端口；HAC 到 VDH 服务器： 3389、3390 端口 ；VDH 服务器到保护资源：开放 相应端口 （该端口是由 VDH 服务器上发布的应用决定的，如 发布 http 服务，则需开放 80 端口）系统管理员、运维管理员终端能访问 HAC ，开放端口为 443。 审计员终端能访问 HAC ，开放端口为 8001、 8004。审计员终端访问日志备份服务器，进行日志的离线回放， 若日志是使用 FTP 协议备份的，需开放 21、 1024以上端口；若是使用 SFTP 协议备份的，需开放 22端口。HAC 密函打印客户端访问 HAC ，开放端口为：

8、8003。HAC 到日志备份服务器，若使用 FTP 协议备份需开放端口： 21、1024以上（ 采用被动模式 ）；若使用 SFTP 协议备份，需开放 22 端口。HAC 到发送邮件服务器，需开放 相关端口 。使用 RDP、XWIN 、 VNC 协议运维时，客户端操作系统支持 Windows 2000/XP/2003/Vista ，浏览 器支持 IE6、IE7、 IE8、Maxthon 等。审计平台客户端支持 Windows XP/2003/Vista/7 操作系统。2.1 测试环境HAC1000：P 一个 IP 地址VDH 一个IP地址运维终端：PC机1-2台目标服务器：建议 LINUX,WI

9、NDOWS 1-2台网络中需要运维终端与 HAC1000P路由可达，无网络端口限制。HAC1000与目标服务器路由可达，无网络端口限制。VDH与目标服务器路由可达，无网络端口限制。HAC1000与VDH同网段，无网络端口限制。3测试计划3.1测试时间3.2测试地点3.3测试人员刘绍轶江南科友实施人员项目测试4测试内容4.1功能测试4.1.1系统基本配置审计平台安装与监控功能1、审计平台安装测试项目操作方法预期结果实际结果HAC 审计平台安装将软件安装到 Windows( xp,2000, vista )各个版本安装顺利2、连接HAC测试项目操作方法预期结果实际结果审计平台连接HA

10、C启动审计平台，设置连接HAC 的IP地址及端口，输入审计员 口令和密码能正常连接到指定 HAC3、系统监控测试项目操作方法预期结果实际结果查看HAC信息登录审计平台，打开设备信息 窗口能正确显示设备信息查看活动用户打开活动用户窗口能正确显示活动用户，并能对任意列进行排序查看活动会话打开活动会话窗口，选择其中 一条会话进行实时监控能显示目前存在运维会话查看资源状态打开资源状态窗口能正确显示每个资源的连接并发 数量，并能对任意列进行排序系统管理配置测试项目操作方法预期结果实际结果系统信息通过浏览器进入HAC，可以看到系 统静态信息；静态信息、显示正确系统配置1、开启SNMP服务2、

11、开启NTP服务3、开关磁盘映射4、开启关闭日志外发1、可以被网络管理 设备管理。2、可以防止arp欺骗3、可以进行时间同 步，确保审计的准确 性。4、能成功导入。5、可以启到 windows 磁盘映射开关的作用。6、日志服务器可以 接收到HAC外发出的 系统日志网络配置配置外网、内网、配置默认网关、 静态路由配置正确系统维护执行重启、关机、配置备份与恢复执行正确版本管理执行升级能升级系统激活执行系统激活激活成功1、管理员管理测试项目操作方法预期结果实际结果角色管理根据管理需求，建立新角色建立成功建立管理员建立管理员，并分配其拥有的角色建立成功，登录后其角 色正确管理员访问控制配置管理员的访问控

12、制（只能从设 定的Ip进行访问）访冋控制有效，其他地 址无法访问4.1.2运维管理配置与测试4.121资源管理测试项目操作方法预期结果实际结果创建保护主机及服 务创建一个Linux、Unix保护主机、设 置IP地址，并创建telnet、ftp、SSH、 Xwindows、VNC 服务在资源列表中能看到 此资源。创建 Windows保护主机，设置主机IP地址，创建RDP服务在资源列表中能看到此资源创建资源组可以根据管理需要将一组资源分配到一个资源组在资源组列表中能看到此资源组4.122运维用户管理测试项目操作方法预期结果实际结果创建运维用户创建运维用户，设置口令及认证方式 等在用户列表中能看到此

13、用户口令强度设置在系统管理设置口令强度（高、中、 低），在创建运维用户或修改口令验 证只有强度符合的操作 才能完成口令认证失败死锁在系统管理中设置死锁次数口令错超过此次数，运 维用户无法登陆，只有 运维管理员能重新激 活该用户口令有效期设置该运维用户的口令有效期当口令有效期超过后， 运维用户无法登陆用户激活设置某运维用户是否激活激活用户方能使用创建用户组选择已建用户分配到此组或建用户 组，新建用户时选择该用户组在用户组列表中看到 此用户组及包含的用 户授权向运维用户授予 Linux、Unix、Windows保护主机访问权限在授权表中能看到此 记录4.123授权与访问控制1、授权管理测试项目操作

14、方法预期结果实际结果创建授权规则在授权规则管理中添加相应规则在授权规则列表可看到此规则授权向运维用户授予保护资源的访问权 限在授权表中能看到此 记录2、访问控制测试项目操作方法预期结果实际结果访问时间控制通过设置授权规则中设置访问时间， 并在授权时选中此规则只能在规定的时间中 进行访问。会话时长控制通过设置授权规则中设置会话时长 （如2分钟），并在授权时选中此规 则所有经过此规则授权 的用户或者协议均两 分钟后退出。访问IP控制通过设置授权规则中设置允许访问 的IP地址，并在授权时选中此规则只有允许的地址能够 访问4.1.3保护资源自动登陆配置与测试1、类Unix保护资源自动登陆配置与测试测试

15、项目操作方法预期结果实际结果设备账户管理选择设备然后添加用户并激活，注意选择是否密码托管和是否勾选管理 账户在账户资源列表中有此记录设备账户获取选择添加有管理账户的设备， 获取该 设备上的其他账户在账户资源列表中有其他账户信息设备账户托管可对账户密码进行重置系统提示密码重置成 功密码变更通知填写要发送邮件的地址和主题，勾选 密码修改通知，需要配置 DNS在账户密码变更时，可以向指定账户发送电子邮件设备账户分配选择对应运维账户设置， 将已经存在 的设备账户添加到已选账户中保存。 就是将某一资源账户分配给运维账 户在账户资源分配表中可以看到资源账户和运维账户的对应关系自动登录验证验证Tel net

16、、SSH、SFTP的自动登录功能均能正常登录2、Windows等保护资源自动登陆配置与测试测试项目操作方法预期结果实际结果设备账户管理选择设备分别采用正确、 错误的密码 添加用户并激活，注意选择是否密码 托管。错误的密码无法添加 用户。正确的密码添加 用户成功。在账户资源 列表中有此记录。设备账户分配选择对应运维账户设置， 将已经存在 的设备账户添加到已选账户中保存。 就是将某一资源账户分配给运维账 户在账户资源分配表中可以看到资源账户和运维账户的对应关系设备账户托管选择对用户的密码进行托管。 通过标 准rdp客户端验证，原有密码是否可 用。托管后，原有密码已经 更改，不能登陆远程设 备。自动

17、登录验证验证托管前和托管后，windows域和本地帐户的自动登录功能。用户托管前和托管后 均能正常登录。4.1.4运维操作审计测试 Telnet协议运维操作测试1、运维操作测试项目操作方法预期结果实际结果运维操作按照使用手册中的描述进行Teln et协议自动登录运维均能正常运维使用Telnet协议进行非自动登录方式运维使用Telnet协议登录后台不冋类型主机2、事中实时监控测试项目操作方法预期结果实际结果实时监控运维用户Telnet运维后台主机可以图形方式实时看到Tel net操作及响应审计员登录HAC在活动会话窗口中，选择该Teln et会话，进行实时回放3、事后审计测试项目操

18、作方法预期结果实际结果会话查看在今日会话窗口中，选择Telnet会话，查看详细信息会话概要记录准确， 会话过程记录完整选择任意操作命令，查看命令回显命令回显显示正确在查找中，查询任意操作命令能正确定位到该操作命令在下行检索中，查询任意字符串能正确定位到包括该字符串的命令回显会话回放在今日会话窗口中，选择Telnet会话，进行会话回放可以完整回放该Telnet会话回放快进、慢放、拖拉能按要求回放在日志详细信息中， 定位到任意命令，进 行定位回放可以从定位的命令开 始进行回放回放 SSH协议运维操作测试1、运维操作测试项目操作方法预期结果实际结果运维操作按照使用手册中的描述进行SSH

19、协议自动登录运维均能正常运维使用SSH协议进行非自动登录方式运维使用SSH协议登录后台不冋类型主机2、事中实时监控测试项目操作方法预期结果实际结果实时监控运维用户SSH运维后台主机可以图形方式实时看 到SSHt操作及响应审计员登录HAC在活动会话窗口中，选择该SSH会话，进行实时回放3、事后审计测试项目操作方法预期结果实际结果会话查看在今日会话窗口中，选择SSH会话，查看详细信息会话概要记录准确， 会话过程记录完整选择任意操作命令，查看命令回显命令回显显示正确在查找中，查询任意操作命令能正确定位到该操作 命令在下行检索中，查询任意字符串能正确定位到包括该 字符串的命令回显会话回放在今日会话窗口

20、中，选择SSH会话，进行会话回放可以完整回放该 SSH 会话回放快进、慢放、拖拉能按要求回放 RDP协议运维操作测试1、 运维操作测试项目操作方法预期结果实际结果运维操作按照使用手册中的描述进行RDP协议自动登录运维均能正常运维能进行 con sole 的运维。使用RDP协议进行非自动登录方式运维米用上两种方式选择con sole进行运维使用不冋类型的windows客户端米用RDP协议登录后台不冋类型Windows主机2、事中实时监控测试项目操作方法预期结果实际结果实时监控运维用户通过 RDP运维后台主机能正确显示审计员登录HAC在活动会话窗口中，能看到此会话3、事后审计测试项目

21、操作方法预期结果实际结果会话查看在今日会话窗口中，能看到此会话的概要 记录记录正常会话回放在今日会话窗口中，选择RDP会话，进行会话回放可以完整回放该 RDP 会话支持按时间定位回放按要求进行回放支持快进、慢放、拖拉回放按要求进行回放4.1.5审计功能测试1、会话审计测试项目操作方法预期结果实际结果查看今日会话登录审计平台，打开今日会话窗口 根据用户名、资源名、协议进行快速查 询正确显示今日会话，并 能对任意列进行排序会话查询设置各种查询条件，进行会话查询（查 询条件包括：用户名、客户IP、资源名、 协议、时间段、上下行关键字）正确显示查询结果，并能对任意列进行排序会话统计设置统计类型（包括：时间、用户、资 源、用户组、资源组）和单位时间（包 括：日、月、年），对一段实际内的会 话数量进行统计正确显示统计结果 正确显示表格图、直方 图、线性图和饼状图会话日志导出开启审计平台日志导出功能，将日志导出，并回放可以将