安全审计系统HAC产品功能测试报告

《安全审计系统HAC产品功能测试报告》由会员分享，可在线阅读，更多相关《安全审计系统HAC产品功能测试报告（17页珍藏版）》请在装配图网上搜索。

1、目 录1概述11.1各项功能测试目标11.2测试范围11.3测试对象12测试方案拓扑23测试计划53.1测试时间53.2测试地点53.3测试人员54测试内容64.1功能测试6系统基本配置6运维管理配置与测试7保护资源自动登陆配置与测试9运维操作审计测试10审计功能测试12统计报表功能测试13口令保管箱145测试结论16I1 概述1.1 各项功能测试目标本次产品测试目标如下：n 测试HAC。n 测试各项功能是否正常运行；协议是否正确。 n 验证运维安全审计系统HAC产品是否能正常运行。1.2 测试范围本次产品测试范围如下：n 测试范围在网络系统环境中n HAC功能n 相关协议1.3 测试对象测试

2、对象：HAC 1000P一台，系统基本信息如下：产品型号HAC 1000P外形1U机架式存储容量500G网卡2个千兆以太网口+1个百兆以太网口支持协议Telnet、SSH、FTP、SFTP、RDP、Xwindows、Windows Terminal系统版本审计平台版本电源单电源2 测试方案拓扑由于HAC实施审计条件是所有对被保护资源的运维流量均需要流经HAC，所以保证HAC工作正常应具备以下要求：n 当HAC为单臂部署模式时，为了让运维人员访问被保护资源的流量流经HAC，需要在交换机或安全设备上配置安全策略如访问控制列表，确保运维人员不能直接访问被保护资源，只有HAC能访问被保护资源。n HA

3、C能访问保护资源。如果HAC到保护资源之间设置了安全策略，需根据所用协议端口开放相关端口。开放端口根据运维协议和保护资源服务端口而定，具体情况如下：l 采用Telnet协议运维：需开放HAC到保护资源的23端口（23端口为保护资源Telnet服务端口，如果修改请根据实际进行修改，下同）。l 采用SSH、SFTP协议运维：需开放HAC到保护资源的22端口。l 采用FTP协议运维：需开放HAC到保护资源的21端口、20端口和1024以上端口（若FTP采用主动模式，则只需开放21、20端口；若采用被动模式，则需开放21、1024以上端口）。l 采用RDP协议运维：需开放HAC到保护资源的3389端口

4、。l 采用XWIN协议运维：需开放HAC到保护资源的UDP177端口和6000以上端口。l 采用VNC协议运维：需开放HAC到保护资源的5900以上端口（根据VNC服务器的定义，一般为5900以上端口）。l 采用AS400专用客户端运维AS400主机：需开放HAC到保护资源的449、23端口和84708479相关端口（84708479是动态协商的，不同主机可能用其中部分端口）。l 采用HTTP协议运维：需开放HAC到保护资源的相应端口。l 采用HTTPS协议运维：需开放HAC到保护资源的相应端口。n 运维人员能访问HAC。如果运维人员和HAC之间设置安全策略，需根据所用协议端口开放相关端口。具

5、体情况如下：l 开放443端口，目的是运维人员可自行修改密码、查看可访问资源以及进行RDP、XWIN、VNC协议运维。l 采用Telnet协议运维：需开放运维终端到HAC的23端口。l 采用SSH、SFTP协议运维：需开放运维终端到HAC的22端口。l 采用FTP协议运维：需开放运维终端到HAC的21端口和4096以上端口（4096以上端口是由HAC的工作机制决定的）。l 采用RDP协议运维：需开放运维终端到HAC的3389和443端口。l 采用XWIN协议运维：需开放运维终端到HAC的7000端口和443端口。l 采用VNC协议运维：需开放运维终端到HAC的5900端口和443端口。l 采用

6、AS400专用客户端运维AS400主机：需开放运维终端到HAC的449、23端口和84708479相关端口（84708479是动态协商的，不同主机可能用其中部分端口）。l 采用HTTP、HTTPS协议运维：需开放HAC到保护资源的7000和443端口。n 采用VDH进行运维，需开放如下端口：l 运维终端到HAC：443、3389、8005端口；l HAC到VDH服务器：3389、3390端口；l VDH服务器到保护资源：开放相应端口（该端口是由VDH服务器上发布的应用决定的，如发布http服务，则需开放80端口）n 系统管理员、运维管理员终端能访问HAC，开放端口为443。n 审计员终端能访问

7、HAC，开放端口为8001、8004。n 审计员终端访问日志备份服务器，进行日志的离线回放，若日志是使用FTP协议备份的，需开放21、1024以上端口；若是使用SFTP协议备份的，需开放22端口。n HAC密函打印客户端访问HAC，开放端口为：8003。n HAC到日志备份服务器，若使用FTP协议备份需开放端口：21、1024以上（采用被动模式）；若使用SFTP协议备份，需开放22端口。n HAC到发送邮件服务器，需开放相关端口。n 使用RDP、XWIN、VNC协议运维时，客户端操作系统支持Windows 2000/XP/2003/Vista，浏览器支持IE6、IE7、IE8、Maxthon等

8、。n 审计平台客户端支持Windows XP/2003/Vista/7操作系统。3 测试计划3.1 测试时间3.2 测试地点3.3 测试人员姓名角色职责刘绍轶江南科友实施人员项目测试4 测试内容4.1 功能测试4.1.1 系统基本配置4.1.1.1 审计平台安装与监控功能 1、 审计平台安装测试项目操作方法预期结果实际结果HAC审计平台安装将软件安装到Windows（xp，2000，vista）各个版本安装顺利2、 连接HAC测试项目操作方法预期结果实际结果审计平台连接HAC启动审计平台，设置连接HAC的IP地址及端口，输入审计员口令和密码能正常连接到指定HAC3、 系统监控测试项目操作方法预

9、期结果实际结果查看HAC信息登录审计平台，打开设备信息窗口能正确显示设备信息查看活动用户打开活动用户窗口能正确显示活动用户，并能对任意列进行排序查看活动会话打开活动会话窗口，选择其中一条会话进行实时监控能显示目前存在运维会话查看资源状态打开资源状态窗口能正确显示每个资源的连接并发数量，并能对任意列进行排序4.1.1.2 系统管理配置测试项目操作方法预期结果实际结果系统信息通过浏览器进入HAC，可以看到系统静态信息； 静态信息、显示正确系统配置1、 开启SNMP服务2、 开启NTP服务3、 开关磁盘映射4、 开启关闭日志外发1、 可以被网络管理设备管理。2、 可以防止arp欺骗3、 可以进行时间

10、同步，确保审计的准确性。4、 能成功导入。5、 可以启到windows 磁盘映射开关的作用。6、 日志服务器可以接收到HAC外发出的系统日志网络配置配置外网、内网、配置默认网关、静态路由配置正确系统维护执行重启、关机、配置备份与恢复执行正确版本管理执行升级能升级系统激活执行系统激活激活成功 1、 管理员管理测试项目操作方法预期结果实际结果角色管理根据管理需求，建立新角色建立成功建立管理员建立管理员，并分配其拥有的角色建立成功，登录后其角色正确管理员访问控制配置管理员的访问控制（只能从设定的Ip进行访问）访问控制有效，其他地址无法访问4.1.2 运维管理配置与测试4.1.2.1 资源管理测试项目

11、操作方法预期结果实际结果创建保护主机及服务创建一个Linux、Unix保护主机、设置IP地址，并创建telnet、ftp、SSH、Xwindows、VNC服务在资源列表中能看到此资源。创建Windows保护主机，设置主机IP地址，创建RDP服务在资源列表中能看到此资源创建资源组可以根据管理需要将一组资源分配到一个资源组在资源组列表中能看到此资源组4.1.2.2 运维用户管理测试项目操作方法预期结果实际结果创建运维用户创建运维用户，设置口令及认证方式等在用户列表中能看到此用户口令强度设置在系统管理设置口令强度（高、中、低），在创建运维用户或修改口令验证只有强度符合的操作才能完成口令认证失败死锁在

12、系统管理中设置死锁次数口令错超过此次数，运维用户无法登陆，只有运维管理员能重新激活该用户口令有效期设置该运维用户的口令有效期当口令有效期超过后，运维用户无法登陆用户激活设置某运维用户是否激活激活用户方能使用创建用户组选择已建用户分配到此组或建用户组，新建用户时选择该用户组在用户组列表中看到此用户组及包含的用户授权向运维用户授予Linux、Unix、Windows保护主机访问权限在授权表中能看到此记录4.1.2.3 授权与访问控制1、 授权管理测试项目操作方法预期结果实际结果创建授权规则在授权规则管理中添加相应规则在授权规则列表可看到此规则授权向运维用户授予保护资源的访问权限在授权表中能看到此记

13、录2、 访问控制测试项目操作方法预期结果实际结果访问时间控制通过设置授权规则中设置访问时间，并在授权时选中此规则只能在规定的时间中进行访问。会话时长控制通过设置授权规则中设置会话时长（如2分钟），并在授权时选中此规则所有经过此规则授权的用户或者协议均两分钟后退出。访问IP控制通过设置授权规则中设置允许访问的IP地址，并在授权时选中此规则只有允许的地址能够访问4.1.3 保护资源自动登陆配置与测试1、 类Unix保护资源自动登陆配置与测试测试项目操作方法预期结果实际结果设备账户管理选择设备然后添加用户并激活，注意选择是否密码托管和是否勾选管理账户在账户资源列表中有此记录设备账户获取选择添加有管理

14、账户的设备，获取该设备上的其他账户在账户资源列表中有其他账户信息设备账户托管可对账户密码进行重置系统提示密码重置成功密码变更通知填写要发送邮件的地址和主题，勾选密码修改通知，需要配置DNS在账户密码变更时，可以向指定账户发送电子邮件设备账户分配选择对应运维账户设置，将已经存在的设备账户添加到已选账户中保存。就是将某一资源账户分配给运维账户在账户资源分配表中可以看到资源账户和运维账户的对应关系自动登录验证验证Telnet、SSH、SFTP的自动登录功能均能正常登录2、 Windows等保护资源自动登陆配置与测试测试项目操作方法预期结果实际结果设备账户管理选择设备分别采用正确、错误的密码添加用户并

15、激活，注意选择是否密码托管。错误的密码无法添加用户。正确的密码添加用户成功。在账户资源列表中有此记录。设备账户分配选择对应运维账户设置，将已经存在的设备账户添加到已选账户中保存。就是将某一资源账户分配给运维账户在账户资源分配表中可以看到资源账户和运维账户的对应关系设备账户托管选择对用户的密码进行托管。通过标准rdp客户端验证，原有密码是否可用。托管后，原有密码已经更改，不能登陆远程设备。自动登录验证验证托管前和托管后，windows 域和本地帐户的自动登录功能。用户托管前和托管后均能正常登录。4.1.4 运维操作审计测试4.1.4.1 Telnet协议运维操作测试1、 运维操作测试项目操作方法

16、预期结果实际结果运维操作按照使用手册中的描述进行Telnet协议自动登录运维均能正常运维使用Telnet协议进行非自动登录方式运维使用Telnet协议登录后台不同类型主机2、 事中实时监控测试项目操作方法预期结果实际结果实时监控运维用户Telnet运维后台主机可以图形方式实时看到Telnet操作及响应审计员登录HAC在活动会话窗口中，选择该Telnet会话，进行实时回放3、 事后审计测试项目操作方法预期结果实际结果会话查看在今日会话窗口中，选择Telnet会话，查看详细信息会话概要记录准确，会话过程记录完整选择任意操作命令，查看命令回显命令回显显示正确在查找中，查询任意操作命令能正确定位到该操

17、作命令在下行检索中，查询任意字符串能正确定位到包括该字符串的命令回显会话回放在今日会话窗口中，选择Telnet会话，进行会话回放可以完整回放该Telnet会话回放快进、慢放、拖拉能按要求回放在日志详细信息中，定位到任意命令，进行定位回放可以从定位的命令开始进行回放回放4.1.4.2 SSH协议运维操作测试1、运维操作测试项目操作方法预期结果实际结果运维操作按照使用手册中的描述进行SSH协议自动登录运维均能正常运维使用SSH协议进行非自动登录方式运维使用SSH协议登录后台不同类型主机2、事中实时监控测试项目操作方法预期结果实际结果实时监控运维用户SSH运维后台主机可以图形方式实时看到SSHt操作

18、及响应审计员登录HAC在活动会话窗口中，选择该SSH会话，进行实时回放3、事后审计测试项目操作方法预期结果实际结果会话查看在今日会话窗口中，选择SSH会话，查看详细信息会话概要记录准确，会话过程记录完整选择任意操作命令，查看命令回显命令回显显示正确在查找中，查询任意操作命令能正确定位到该操作命令在下行检索中，查询任意字符串能正确定位到包括该字符串的命令回显会话回放在今日会话窗口中，选择SSH会话，进行会话回放可以完整回放该SSH会话回放快进、慢放、拖拉能按要求回放4.1.4.3 RDP协议运维操作测试1、 运维操作测试项目操作方法预期结果实际结果运维操作按照使用手册中的描述进行RDP协议自动登

19、录运维均能正常运维能进行console的运维。使用RDP协议进行非自动登录方式运维采用上两种方式选择console 进行运维使用不同类型的windows客户端采用RDP协议登录后台不同类型Windows主机2、 事中实时监控测试项目操作方法预期结果实际结果实时监控运维用户通过RDP运维后台主机能正确显示审计员登录HAC在活动会话窗口中，能看到此会话3、 事后审计测试项目操作方法预期结果实际结果会话查看在今日会话窗口中，能看到此会话的概要记录记录正常会话回放在今日会话窗口中，选择RDP会话，进行会话回放可以完整回放该RDP会话支持按时间定位回放按要求进行回放支持快进、慢放、拖拉回放按要求进行回放

20、4.1.5 审计功能测试1、 会话审计测试项目操作方法预期结果实际结果查看今日会话登录审计平台，打开今日会话窗口根据用户名、资源名、协议进行快速查询正确显示今日会话，并能对任意列进行排序会话查询设置各种查询条件，进行会话查询（查询条件包括：用户名、客户IP、资源名、协议、时间段、上下行关键字）正确显示查询结果，并能对任意列进行排序会话统计设置统计类型（包括：时间、用户、资源、用户组、资源组）和单位时间（包括：日、月、年），对一段实际内的会话数量进行统计正确显示统计结果正确显示表格图、直方图、线性图和饼状图会话日志导出开启审计平台日志导出功能，将日志导出，并回放可以将所有协议的日志导出，并能作为

21、证据本地回放。2、 系统自审计测试项目操作方法预期结果实际结果查看今日管理登录HAC，打开今日管理窗口根据模块、管理员进行快速查询正确显示今日管理，并能对任意列进行排序管理查询设置各种查询条件，进行会话查询（查询条件包括：模块名、管理员、时间段）正确显示查询结果，并能对任意列进行排序业务权限打开业务权限窗口根据用户名、资源名进行快速查询正确显示授权信息，并能对任意列进行排序其他审计打开各种审计窗口正确显示各种审计信息，并能对任意列进行排序4.1.6 统计报表功能测试测试项目操作方法预期结果实际结果日常报表打开日常报表窗口，双击任意报表（包括：今日会话、今日管理、用户信息、资源信息、授权信息、规

22、则信息、管理员角色信息）正确显示各类报表选择任意报表，选择报表导出格式，将报表导出能导出任意报表，可导出word或pdf格式创建统计报表选择统计时间段，选择统计类别（包括：用户、资源、用户组、资源组），生成统计报表正确生成各类统计报表选择任意报表，选择报表导出格式，将报表导出能导出任意报表，可导出word或pdf格式创建会话报表设置会话报表的各项条件（包括：显示字段、报表排序规则、查询条件），生成会话报表正确生成会话报表选择会话报表，选择报表导出格式，将报表导出能导出会话报表，可导出word或pdf格式创建管理报表设置管理报表的各项条件（包括：报表排序规则、查询条件），生成管理报表正确生成管理

23、报表选择管理报表，选择报表导出格式，将报表导出能导出管理报表，可导出word或pdf格式4.1.7 口令保管箱测试项目操作方法预期结果实际结果录入口令录入手持保管箱口令可以通过HAC将修改后口令保存入终端密码分发器。查看口令验证指纹查看口令相关人员可以在终端密码分发器中查看由自己录入并维护的口令记录；应急情况下，高级用户可以授权非该口令的持有人员，通过终端密码分发器查看该口令记录。打印口令打印口令相关人员可以操作终端密码分发器将其保管的口令通过串口打印机以密码信封的方式进行打印，该密码信封可用作口令的备份；应急情况下，高级用户可以授权非该口令的持有人员，通过终端密码分发器打印该口令的密码信封。

24、敏感数据加密，敏感操作认证敏感数据加密，敏感操作认证通过外部接口与终端密码分发器进行交互时，终端密码分发器需提供对传输的敏感数据口令信息进行加密保护的功能，而且在进行交互前，终端密码分发器能够对外部接口调用程序的合法性进行验证。数据的安全存储机制数据的安全存储机制要求终端密码分发器的口令均以加密密文的形式保存在安全芯片中，提供在任何物理拆卸试图进行窥窃的行为发生时密钥能够自毁。5 测试结论测试盖章签字甲方单位盖章 乙方单位盖章测试人签字 测试人签字16广州江南科友科技股份有限公司 地址(Add):广州市天河区科韵路16号广州信息港C栋 1003室 电话(Tel):(86 20)85533289 传真(Fax):(86 20)85530160 邮编(P.C):510665 http:/