安全审计系统HAC产品功能测试报告.doc

安全审计系统HAC产品功能测试报告.doc

《安全审计系统HAC产品功能测试报告.doc》由会员分享，可在线阅读，更多相关《安全审计系统HAC产品功能测试报告.doc（17页珍藏版）》请在冰豆网上搜索。

目录

1 概述 1

1.1 各项功能测试目标 1

1.2 测试范围 1

1.3 测试对象 1

2 测试方案拓扑 2

3 测试计划 5

3.1 测试时间 5

3.2 测试地点 5

3.3 测试人员 5

4 测试内容 6

4.1 功能测试 6

4.1.1 系统基本配置 6

4.1.2 运维管理配置与测试 7

4.1.3 保护资源自动登陆配置与测试 9

4.1.4 运维操作审计测试 10

4.1.5 审计功能测试 12

4.1.6 统计报表功能测试 13

4.1.7 口令保管箱 14

5 测试结论 16

I

1概述

1.1各项功能测试目标

本次产品测试目标如下：

n测试HAC。

n测试各项功能是否正常运行；协议是否正确。

n验证运维安全审计系统HAC产品是否能正常运行。

1.2测试范围

本次产品测试范围如下：

n测试范围在网络系统环境中

nHAC功能

n相关协议

1.3测试对象

测试对象：

HAC1000P一台，系统基本信息如下：

产品型号

HAC1000P

外形

1U机架式

存储容量

500G

网卡

2个千兆以太网口+1个百兆以太网口

支持协议

Telnet、SSH、FTP、SFTP、RDP、Xwindows、WindowsTerminal

系统版本

审计平台版本

电源

单电源

2测试方案拓扑

由于HAC实施审计条件是所有对被保护资源的运维流量均需要流经HAC，所以保证HAC工作正常应具备以下要求：

n当HAC为单臂部署模式时，为了让运维人员访问被保护资源的流量流经HAC，需要在交换机或安全设备上配置安全策略如访问控制列表，确保运维人员不能直接访问被保护资源，只有HAC能访问被保护资源。

nHAC能访问保护资源。

如果HAC到保护资源之间设置了安全策略，需根据所用协议端口开放相关端口。

开放端口根据运维协议和保护资源服务端口而定，具体情况如下：

l采用Telnet协议运维：

需开放HAC到保护资源的23端口（23端口为保护资源Telnet服务端口，如果修改请根据实际进行修改，下同）。

l采用SSH、SFTP协议运维：

需开放HAC到保护资源的22端口。

l采用FTP协议运维：

需开放HAC到保护资源的21端口、20端口和1024以上端口（若FTP采用主动模式，则只需开放21、20端口；若采用被动模式，则需开放21、1024以上端口）。

l采用RDP协议运维：

需开放HAC到保护资源的3389端口。

l采用XWIN协议运维：

需开放HAC到保护资源的UDP177端口和6000以上端口。

l采用VNC协议运维：

需开放HAC到保护资源的5900以上端口（根据VNC服务器的定义，一般为5900以上端口）。

l采用AS400专用客户端运维AS400主机：

需开放HAC到保护资源的449、23端口和8470—8479相关端口（8470—8479是动态协商的，不同主机可能用其中部分端口）。

l采用HTTP协议运维：

需开放HAC到保护资源的相应端口。

l采用HTTPS协议运维：

需开放HAC到保护资源的相应端口。

n运维人员能访问HAC。

如果运维人员和HAC之间设置安全策略，需根据所用协议端口开放相关端口。

具体情况如下：

l开放443端口，目的是运维人员可自行修改密码、查看可访问资源以及进行RDP、XWIN、VNC协议运维。

l采用Telnet协议运维：

需开放运维终端到HAC的23端口。

l采用SSH、SFTP协议运维：

需开放运维终端到HAC的22端口。

l采用FTP协议运维：

需开放运维终端到HAC的21端口和4096以上端口（4096以上端口是由HAC的工作机制决定的）。

l采用RDP协议运维：

需开放运维终端到HAC的3389和443端口。

l采用XWIN协议运维：

需开放运维终端到HAC的7000端口和443端口。

l采用VNC协议运维：

需开放运维终端到HAC的5900端口和443端口。

l采用AS400专用客户端运维AS400主机：

需开放运维终端到HAC的449、23端口和8470—8479相关端口（8470—8479是动态协商的，不同主机可能用其中部分端口）。

l采用HTTP、HTTPS协议运维：

需开放HAC到保护资源的7000和443端口。

n采用VDH进行运维，需开放如下端口：

l运维终端到HAC：

443、3389、8005端口；

lHAC到VDH服务器：

3389、3390端口；

lVDH服务器到保护资源：

开放相应端口（该端口是由VDH服务器上发布的应用决定的，如发布http服务，则需开放80端口）

n系统管理员、运维管理员终端能访问HAC，开放端口为443。

n审计员终端能访问HAC，开放端口为8001、8004。

n审计员终端访问日志备份服务器，进行日志的离线回放，若日志是使用FTP协议备份的，需开放21、1024以上端口；若是使用SFTP协议备份的，需开放22端口。

nHAC密函打印客户端访问HAC，开放端口为：

8003。

nHAC到日志备份服务器，若使用FTP协议备份需开放端口：

21、1024以上（采用被动模式）；若使用SFTP协议备份，需开放22端口。

nHAC到发送邮件服务器，需开放相关端口。

n使用RDP、XWIN、VNC协议运维时，客户端操作系统支持Windows2000/XP/2003/Vista，浏览器支持IE6、IE7、IE8、Maxthon等。

n审计平台客户端支持WindowsXP/2003/Vista/7操作系统。

3测试计划

3.1测试时间

3.2测试地点

3.3测试人员

姓名

角色

职责

刘绍轶

江南科友实施人员

项目测试

4测试内容

4.1功能测试

4.1.1系统基本配置

4.1.1.1审计平台安装与监控功能

1、审计平台安装

测试项目

操作方法

预期结果

实际结果

HAC审计平台安装

将软件安装到Windows（xp，2000，vista）各个版本

安装顺利

2、连接HAC

测试项目

操作方法

预期结果

实际结果

审计平台连接HAC

启动审计平台，设置连接HAC的IP地址及端口，输入审计员口令和密码

能正常连接到指定HAC

3、系统监控

测试项目

操作方法

预期结果

实际结果

查看HAC信息

登录审计平台，打开设备信息窗口

能正确显示设备信息

查看活动用户

打开活动用户窗口

能正确显示活动用户，并能对任意列进行排序

查看活动会话

打开活动会话窗口，选择其中一条会话进行实时监控

能显示目前存在运维会话

查看资源状态

打开资源状态窗口

能正确显示每个资源的连接并发数量，并能对任意列进行排序

4.1.1.2系统管理配置

测试项目

操作方法

预期结果

实际结果

系统信息

通过浏览器进入HAC，可以看到系统静态信息；

静态信息、显示正确

系统配置

1、开启SNMP服务

2、开启NTP服务

3、开关磁盘映射

4、开启关闭日志外发

1、可以被网络管理设备管理。

2、可以防止arp欺骗

3、可以进行时间同步，确保审计的准确性。

4、能成功导入。

5、可以启到windows磁盘映射开关的作用。

6、日志服务器可以接收到HAC外发出的系统日志

网络配置

配置外网、内网、配置默认网关、静态路由

配置正确

系统维护

执行重启、关机、配置备份与恢复

执行正确

版本管理

执行升级

能升级

系统激活

执行系统激活

激活成功

1、管理员管理

测试项目

操作方法

预期结果

实际结果

角色管理

根据管理需求，建立新角色

建立成功

建立管理员

建立管理员，并分配其拥有的角色

建立成功，登录后其角色正确

管理员访问控制

配置管理员的访问控制（只能从设定的Ip进行访问）

访问控制有效，其他地址无法访问

4.1.2运维管理配置与测试

4.1.2.1资源管理

测试项目

操作方法

预期结果

实际结果

创建保护主机及服务

创建一个Linux、Unix保护主机、设置IP地址，并创建telnet、ftp、SSH、Xwindows、VNC服务

在资源列表中能看到此资源。

创建Windows保护主机，设置主机IP地址，创建RDP服务

在资源列表中能看到此资源

创建资源组

可以根据管理需要将一组资源分配到一个资源组

在资源组列表中能看到此资源组

4.1.2.2运维用户管理

测试项目

操作方法

预期结果

实际结果

创建运维用户

创建运维用户，设置口令及认证方式等

在用户列表中能看到此用户

口令强度设置

在系统管理设置口令强度（高、中、低），在创建运维用户或修改口令验证

只有强度符合的操作才能完成

口令认证失败死锁

在系统管理中设置死锁次数

口令错超过此次数，运维用户无法登陆，只有运维管理员能重新激活该用户

口令有效期

设置该运维用户的口令有效期

当口令有效期超过后，运维用户无法登陆

用户激活

设置某运维用户是否激活

激活用户方能使用

创建用户组

选择已建用户分配到此组或建用户组，新建用户时选择该用户组

在用户组列表中看到此用户组及包含的用户

授权

向运维用户授予Linux、Unix、Windows保护主机访问权限

在授权表中能看到此记录

4.1.2.3授权与访问控制

1、授权管理

测试项目

操作方法

预期结果

实际结果

创建授权规则

在授权规则管理中添加相应规则

在授权规则列表可看到此规则

授权

向运维用户授予保护资源的访问权限

在授权表中能看到此记录

2、访问控制

测试项目

操作方法

预期结果

实际结果

访问时间控制

通过设置授权规则中设置访问时间，并在授权时选中此规则

只能在规定的时间中进行访问。

会话时长控制

通过设置授权规则中设置会话时长（如2分钟），并在授权时选中此规则

所有经过此规则授权的用户或者协议均两分钟后退出。

访问IP控制

通过设置授权规则中设置允许访问的IP地址，并在授权时选中此规则

只有允许的地址能够访问

4.1.3保护资源自动登陆配置与测试

1、类Unix保护资源自动登陆配置与测试

测试项目

操作方法

预期结果

实际结果

设备账户管理

选择设备然后添加用户并激活，注意选择是否密码托管和是否勾选管理账户

在账户资源列表中有此记录

设备账户获取

选择添加有管理账户的设备，获取该设备上的其他账户

在账户资源列表中有其他账户信息

设备账户托管

可对账户密码进行重置

系统提示密码重置成功

密码变更通知

填写要发送邮件的地址和主题，勾选密码修改通知，需要配置DNS

在账户密码变更时，可以向指定账户发送电子邮件

设备账户分配

选择对应运维账户设置，将已经存在的设备账户添加到已选账户中保存。

就是将某一资源账户分配给运维账户

在账户资源分配表中可以看到资源账户和运维账户的对应关系

自动登录验证

验证Telnet、SSH、SFTP的自动登录功能

均能正常登录

2、Windows等保护资源自动登陆配置与测试

测试项目

操作方法

预期结果

实际结果

设备账户管理

选择设备分别采用正确、错误的密码添加用户并激活，注意选择是否密码托管。

错误的密码无法添加用户。

正确的密码添加用户成功。

在账户