运维操作审计堡垒机产品测试方案DOCX 40页.docx
《运维操作审计堡垒机产品测试方案DOCX 40页.docx》由会员分享,可在线阅读,更多相关《运维操作审计堡垒机产品测试方案DOCX 40页.docx(40页珍藏版)》请在冰豆网上搜索。
运维操作审计堡垒机产品测试方案DOCX40页
运维操作审计堡垒机产品测试方案(DOCX40页)
上海卓格计算机信息系统有限公司
2016年04月26日
一、测试目的4
二、测试原则4
三、测试环境6
3.1测试对象6
3.2测试地点6
3.3测试时间6
3.4测试人员6
3.5测试环境6
3.6测试拓扑示意图7
3.7测试准备7
四、测试项目8
4.1产品功能测试8
4.1.1运维协议支持8
4.1.2运维协议扩展19
4.1.3运维访问方式20
4.1.4事前权限控制24
4.1.5事中实时监控26
4.1.6事后审计取证28
4.1.7报表统计分析32
4.1.8产品自身安全34
4.1.9产品管理维护36
4.2产品部署方式38
4.2.1旁路部署38
4.3产品可用性38
4.3.1双机热备38
五、测试结论40
参考标准40
一、测试目的
本次测试的主要目的,是测试和验证运维操作审计产品的各项功能和性能指标能否满足中船信息科技的实际需求。
二、测试原则
在本次测试过程中,将根据客观、公正、公平的原则,按统一的标准,从客户的业务需求和实际环境出发,对参加测试的厂商的产品进行有重点、有针对性的测试。
为此,在测试过程中应坚持以下原则:
●测试环境一致原则
本次测试,不同厂家的产品,其测试环境保持一致,即使用相同的网络环境,采用统一的测试工具,设置统一的测试参数进行测试。
在一个产品测试完,下一产品测试前,恢复测试环境的初始状态。
●测试内容一致原则
针对不同厂家产品采用相同的测试内容进行测试。
并且测试内容一旦确定,所有参加测试的产品必须按其内容逐项进行测试。
●代表性原则
本次测试并不针对测试的产品所有的功能及性能,而是根据运维操作审计产品的应用特点选取具有代表性的功能指标进行测试。
根据以上原则,为有效实现测试目标,同时便于测试的实施,对各厂商提供的产品,按照运维协议支持力度、运维帐户的统一管理和用户认证、运维用户的权限控制、运维用户的操作审计记录、设备自身管理及与第三方集成几个方面进行测试。
三、测试环境
3.1测试对象
本次测试对象是杭州思福迪信息技术有限公司的运维操作审计产品,型号为Logbase-BH-530的测试样机。
3.2测试地点
中船信息科技。
3.3测试时间
2011年03月10日。
3.4测试人员
厂商人员:
赵新李春
3.5测试环境
●Windows服务器,支持RDP和FTP服务,并且需已安装Oracle数据库
●Linux、Unix服务器,支持SSH、SFTP服务
●交换机或路由器若干个
3.6测试拓扑示意图
3.7测试准备
●按上述测试拓扑属意图在网络环境中部署运维操作审计产品
●为运维操作审计产品的管理口配置有效IP,确保可以远程访问、管理和日志发送
●验证提供的RDP、Telnet等服务可以被正常访问
●验证运维操作审计产品可以访问提供上述服务的主机或设备
四、测试项目
4.1产品功能测试
4.1.1运维协议支持
说明:
运维操作审计产品应该支持常见的各种运维协议,以便用户可以方便地完成日常运维工作。
并且能够以视频或文本的形式完整地记录运维用户的整个操作过程。
4.1.1.1RDP图形审计
测试项目
RDP操作图形审计
测试说明
测试产品是否支持RDP协议,并以视频方式记录整个操作过程
测试环境
Logbase-BH-530、开放RDP协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供RDP服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供RDP服务的主机并进行操作
2.审计用户可以回放查看运维用户整个操作过程的视频记录
测试结果
可以通过堡垒主机访问windows服务器,并且可以记录、回放整个操作过程
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.2RDP键盘操作审计
测试项目
RDP键盘操作审计
测试说明
测试产品是否支持RDP协议,并记录用户在键盘上的输入
测试环境
Logbase-BH-530、开放RDP协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供RDP服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源,并随意键入字符
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供RDP服务的主机并进行操作
2.审计用户可以查看运维用户在键盘上输入字符的记录
测试结果
可以记录操作过程中输出的键盘指令
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.3RDP访问密码代填
测试项目
RDP访问密码代填
测试说明
测试产品是否支持RDP协议,并替用户代填主机的用户名和密码
测试环境
Logbase-BH-530、开放RDP协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供RDP服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
预期结果
1.运维用户只需输入运维用户名和对应密码就可访问主机,无需输入主机的用户名和密码
测试结果
通过设置密码代填功能,可以通过堡垒主机直接访问windows服务器。
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.4Telnet用户操作审计
测试项目
Telnet用户操作审计
测试说明
测试产品是否支持Telnet协议,并记录用户在命令行界面输入的命令
测试环境
Logbase-BH-530、开放telnet协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供Telnet服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供Telnet服务的设备并进行操作
2.审计用户可以查看运维用户输入命令的审计记录
测试结果
可以记录下telnet操作命令,回放整个操作过程
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.5Telnet系统返回信息审计
测试项目
Telnet系统返回信息审计
测试说明
测试产品是否支持Telnet协议,并记录用户操作后系统返回的所有信息
测试环境
Logbase-BH-530、开放telnet协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供Telnet服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供Telnet服务的设备并进行操作
2.审计用户可以查看运维用户输入命令后系统返回的所有信息
测试结果
可以审计到telnet操作后,服务器的返回信息,并且回放时也可以看到
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.6Telnet访问密码代填
测试项目
Telnet访问密码代填
测试说明
测试产品是否支持Telnet协议,并替用户代填设备的用户名和密码
测试环境
Logbase-BH-530、开放telnet协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供Telnet服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
预期结果
1.运维用户只需输入运维用户名和对应密码就可访问主机,无需输入设备的用户名和密码
测试结果
通过设置密码代填功能,可以通过堡垒主机直接访问telnet服务器。
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.7SSH用户操作审计
测试项目
SSH用户操作审计
测试说明
测试产品是否支持SSH协议,并记录用户在命令行界面输入的命令
测试环境
Logbase-BH-530、开放ssh协议的服务器
前提条件
测试步骤
1.在产品上添加提供SSH服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供SSH服务的主机并进行操作
2.审计用户可以查看运维用户输入命令的审计记录
测试结果
可以审计到ssh操作的命令,完整回放整个操作过程
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.8SSH系统返回信息审计
测试项目
SSH系统返回信息审计
测试说明
测试产品是否支持SSH协议,并记录用户操作后系统返回的所有信息
测试环境
Logbase-BH-530、开放SSH协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供SSH服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供SSH服务的主机并进行操作
2.审计用户可以查看运维用户输入命令后系统返回的所有信息
测试结果
可以审计到SSH操作后,服务器的返回信息,并且回放时也可以看到
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.9SSH访问密码代填
测试项目
SSH访问密码代填
测试说明
测试产品是否支持SSH协议,并替用户代填设备的用户名和密码
测试环境
Logbase-BH-530、开放SSH协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供SSH服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
预期结果
1.运维用户只需输入运维用户名和对应密码就可访问主机,无需输入设备的用户名和密码
测试结果
通过设置密码代填功能,可以通过堡垒主机直接访问SSH服务器。
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.10SSH会话克隆
测试项目
SSH会话克隆
测试说明
运维人员通常会从多个操作界面对目标服务器进行维护,因此开启多个通讯窗口。
该项测试产品支持SSH会话克隆功能。
测试环境
Logbase-BH-530、开放SSH协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供SSH服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.通过SSH客户端,Clone当前会话
预期结果
1.在新窗口中弹出克隆成功的会话界面
测试结果
支持SSH回话克隆功能,满足测试要求
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.11FTP用户操作审计
测试项目
FTP用户操作审计
测试说明
测试产品是否支持FTP协议,并记录用户在命令行界面输入的命令
测试环境
Logbase-BH-530、开放FTP协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供FTP服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供FTP服务的主机并进行操作
2.审计用户可以查看运维用户输入命令的审计记录
测试结果
可以审计到FTP操作的命令
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.12FTP系统返回信息审计
测试项目
FTP系统返回信息审计
测试说明
测试产品是否支持FTP协议,并记录用户操作后系统返回的所有信息
测试环境
Logbase-BH-530、开放FTP协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供FTP服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供FTP服务的主机并进行操作
2.审计用户可以查看运维用户输入命令后系统返回的所有信息
测试结果
可以审计到FTP操作后,服务器的返回信息
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.13FTP访问密码代填
测试项目
FTP访问密码代填
测试说明
测试产品是否支持FTP协议,并替用户代填设备的用户名和密码
测试环境
Logbase-BH-530、开放FTP协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供FTP服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
预期结果
1.运维用户只需输入运维用户名和对应密码就可访问主机,无需输入设备的用户名和密码
测试结果
支持FTP密码代填功能,满足测试要求
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.14SFTP用户操作审计
测试项目
SFTP用户操作审计
测试说明
测试产品是否支持SFTP协议,并记录用户在命令行界面输入的命令
测试环境
Logbase-BH-530、开放SFTP协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供SFTP服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供SFTP服务的主机并进行操作
2.审计用户可以查看运维用户输入命令的审计记录
测试结果
可以审计到FTP操作的命令
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.1.15SFTP系统返回信息审计
测试项目
SFTP系统返回信息审计
测试说明
测试产品是否支持SFTP协议,并记录用户操作后系统返回的所有信息
测试环境
Logbase-BH-530、开放SFTP协议的windows服务器
前提条件
测试步骤
1.在产品上添加提供SFTP服务的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.以运维用户的身份登录产品访问第1步添加的资源
4.以审计用户的身份登录产品查看运维用户的操作审计记录
预期结果
1.运维用户可以正常访问提供SFTP服务的主机并进行操作
2.审计用户可以查看运维用户输入命令后系统返回的所有信息
测试结果
可以审计到FTP操作后,服务器的返回信息
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.2运维协议扩展
说明:
运维操作审计产品除了支持常见的各种运维协议以外,还应支持一些特殊协议,如数据库等。
4.1.2.1Oracle数据库审计
测试项目
Oracle数据库审计
测试说明
测试产品是否支持Oracle数据库的访问,并记录用户的操作
测试环境
Logbase-BH-530、oracle数据库服务器
前提条件
测试步骤
1.在已安装oracle数据库客户端的设备上修改本地配置文件格式如下:
修改\....\oracle\ora90\NETWORK\ADMIN\tnsnames.ora文件,添加:
test=
(DESCRIPTION=
(ADDRESS_LIST=
(ADDRESS=(PROTOCOL=TCP)(HOST=192.168.0.146)(PORT=1521))
)
(CONNECT_DATA=
(SID=logbase@192.168.1.123)
)
)
2.通过plsql软件,登录test数据库。
预期结果
1.用户可以正常访问Oracle数据库并执行操作
2.审计用户可以查看运维用户整个操作过程的审计记录
测试结果
可以通过堡垒主机访问oracle数据库,并记录操作指令
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.3运维访问方式
说明:
运维操作审计产品应允许用户保留原有运维使用习惯的同时,提供无需安装任何客户端的方式来访问和管理各种资源。
4.1.3.1基于授权模式的访问操作
测试项目
测试产品是否支持授权访问模式
测试说明
操作人员登录堡垒机进行维护时,必须经过管理人员授权
测试环境
Logbase-BH-530、开放SSH协议的服务器
前提条件
测试步骤
1.在产品上添加要访问的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.设置用户访问设备必须经过授权
4.用户通过SSH方式访问目标设备
5.管理员通过授权界面为其授权
预期结果
1.管理员授权后用户才能正常登录系统
测试结果
在访问需授权设备时,需要管理员审核授权后,才可以正常登录操作
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.3.2基于原有命令行界面客户端的访问
测试项目
基于原有命令行界面客户端的访问
测试说明
测试产品是否支持客户使用原有的命令行客户端访问管理的资源
测试环境
Logbase-BH-530、开放SSH协议的服务器
前提条件
测试步骤
1.在产品上添加要访问的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.使用Putty、SecureCRT软件直接连接产品,输入运维用户的用户名和密码
4.在显示的命令行界面选择要管理的主机资源
预期结果
1.运维用户可以使用Putty、SecureCRT直接访产品,并在选择管理的主机资源后进行运维操作
测试结果
满足测试要求
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.3.3基于原有图形界面客户端的访问
测试项目
基于原有图形界面客户端的访问
测试说明
测试产品是否支持客户使用原有的图形客户端访问管理的资源
测试环境
Logbase-BH-530、开放RDP协议的windows服务器
前提条件
测试步骤
1.在产品上添加要访问的主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.使用mstsc软件直接连接产品,输入运维用户的用户名和密码
4.在显示的图形界面选择要管理的主机资源
预期结果
1.运维用户可以使用mstsc直接访产品,并在选择管理的主机资源后进行运维操作
测试结果
支持windwos自带mstsc远程桌面客户端访问
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.3.4基于无客户端的RDP访问
测试项目
基于无客户端的RDP访问
测试说明
测试产品是否支持客户无需安装客户端即可访问RDP资源
测试环境
Logbase-BH-530、开放RDP协议的windows服务器
前提条件
测试步骤
1.在产品上添加要访问的RDP主机资源
2.在产品上创建运维用户,并赋予该用户访问第1步添加资源的权限
3.使用浏览器登录产品
4.在Web界面直接选择要管理的主机资源
预期结果
1.运维用户可以在Web页面直接访问RDP主机资源,并进行运维操作
测试结果
可以通过页面调用控件的方式来实现不使用RDP客户端访问
备注说明
测试结论
☐通过☐部分通过☐未通过☐未测试
结果确认
中船
思福迪
日期
日期
4.1.3.5基于无客户端的FTP访问
测试项目
基于无客户端的FTP访问
测试说明
测试产品是否支持客户无需安装客户端即可访问FTP资源
测试环境
Logbase-BH-530、开放FTP协议的windows服务器
前提条件
测试步骤
1.在产品上添加要访问的FTP主机资源
2.在产品上创建运维用户,并赋予该用户访问第1
升级会员 