麒麟开源堡垒机产品测试方案v0.docx
《麒麟开源堡垒机产品测试方案v0.docx》由会员分享,可在线阅读,更多相关《麒麟开源堡垒机产品测试方案v0.docx(62页珍藏版)》请在冰豆网上搜索。
麒麟开源堡垒机产品测试方案v0
麒麟开源堡垒机系统功能
测试用例
[文档信息]
文档名称
麒麟堡垒机测试方法
文档管理编号
201600192
XX级别
无
文档版本号
V1.0
制作人
James
制作日期
2016-5-4
复审人
李晨
复审日期
扩散X围
全体
扩散批准人
[版本变更记录]
时间
版本
说明
修改人
2016/5/5
V1.0
文档创建
李晨
1.测试背景
传统的运维管理的主要问题总结如下:
⏹数据信息泄露:
没有一个对操作人员的统一权限限制、操作审计的系统,内部数据信息很容易被操作人员通过运维的方式取出,进尔造成信息泄露;
⏹系统密码外泄:
没有统一的密码管理机制,存在很多人员共同使用同一个系统XX的情况,造成系统XX的密码为多人所知,最终,系统密码非常容易外泄露给第三方人员;
⏹系统密码不安全:
根据安全部门统计,目前近40%的入侵是因为系统密码被探测到造成的,静态密码一直被安全公司划为不安全因素之一;
⏹违规恶意操作:
对操作人没没有统一的监控、审计系统,操作人员操作的过程无法进行回溯,容易造成操作人员越权删除、修改数据以及配置系统的情况;
⏹管理制度难落实:
对于操作人员操作过程以及密码修改策略规定这些管理制度,因为没有一个统一的管理平台,无法对操作人员是否执行了这些制度进行审核与管理;
基于以上存在的问题,其根本原因是由于缺少统一的运维管理平台,造成运维管理黑盒化所导致。
同时国家及行业也相继出台了相关的法律法规及管理规X,要求系统运维在访问控制、操作审计等诸多方面做得更加全面有效的管理。
因此建立一个安全、可靠、易用的运维管理平台,成为IT运维的迫切要求。
2.测试目的
通过建设统一运维管理平台的建设,实现对人员、设备、操作的统一管理,及运维管理的白盒透明化,实现了认证、权限、审计、口令的集中管理,最终形成一个完整安全的运维环境,来有效的防止信息泄露、密码丢失、恶意及误操作、不按规X操作等安全事件的产生。
同时将各项运维管理规章制度,能以可监控的方式进行管理落地。
3.测试方案
因考虑运维审计产品的测试,需要多厂商产品的配合对接测试,仅线下测试可使用的离线设备有限,因此本次测试采用现网环境测试的方式。
测试环境以不改变分行现网环境为前提,运维审计测试设备上线部署在分行服务器接入区的网管区域,分配该区域IP地址。
根据实际测试需求,增加测试网络设备、服务器的3A认证配置,并将认证指向到运维审计测试设备中。
4.测试环境
1
2
3
4
4.1测试准备
为运维审计设备申请机柜、电源、IP,以及相应的访问策略。
4.2测试环境
现网部署图如下:
4.3测试设备
测试环境内容如下:
资源分类
资源类型
备注
网络设备
交换机
用于网络连接
集中管理系统
1台
运维审计平台
两台或两台以上
应用发布平台
1台
测试服务器(Windows)
Windows2003Server一台
用于测试RDP协议的审计和作为应用发布服务器测试应用发布的审计
Windows2008Server一台
浏览器:
IE8浏览器
测试服务器(Linux)
Linux系统一台
安装FTP、Web、Telnet、SSH服务用于测试上述服务是否可以审计
测试网络设备
飞塔防火墙一台
用于测试网络设备Telnet、SSH、Https服务
思科防火墙ASA(5500/5500x)
思科ACS
核心交换机(华三/思科)
汇聚交换机(华三/迈普/思科)
接入交换机(华三/迈普/思科)
上联/下联路由器(华三/思科)
3G-VPDN(迈普)
……
运维终端
操作系统:
windowXP、WIN7
浏览器:
IE6-IE10
应急软证书
USBkey
USBkey
用于运维审计双因素登录测试;
运维审计系统主要针对每种协议进行测试,例如:
RDP、TELNET、SSH、FTP、HTTPS。
因为运维审计系统的工作原理是协议代理,所以只要一种资源类型上的协议测试满足,那么不同资源上的相同协议基本也可以测试满足。
这样可以在有限的几台测试设备上搭建所有需测试协议,然后通过运维系统进行针对协议的测试。
4.4测试要求
参测厂商可派1-2名技术人员在现场操作,并提供电子版技术白皮书或用户手册。
必须按照各功能项目的描述、步骤、预期结果等内容进行,不能以片面或歧义的方式理解进行测试。
在整个项目与测试中,保留对本测试方案的最终解释权。
5基本功能测试
5.1内置用户和角色
5.1.1Admin用户
序号
3.1.1
测试名称
admin权限测试
产品型号
测试内容
超级管理员admin拥有权限的测试
特殊要求或配置
无
测试说明
超级管理员拥admin有权限的测试
测试步骤
1.以admin用户登陆系统查看是否具有3.2章至3.11章的所有权限;
2.点击个人信息尝试更该自身密码,退出系统后用新密码重新登录;
3.更改自身个人信息参数,查看能否更改成功。
4.admin建立一个普通管理员,用该管理员登陆系统尝试更改admin用户密码。
预期结果
Admin用户拥有本节测试步骤中所有权限;普通管理员不能更改admin用户的密码。
实际测试结果
备注
5.1.2Password用户
序号
3.1.2
测试名称
密码管理员权限测试
产品型号
测试内容
密码管理员password拥有权限的测试
特殊要求或配置
无
测试说明
测试密码管理员权限
测试步骤
1.使用password用户登录系统,点击相应的系统,点击查看密码项;
2.弹出系统登录对话框后输入系统管理员admin口令登录后即可看到系统当前密码;
3.使用查看到的密码直接登录目标系统可以登录成功;
4.配置正确的密码管理员的,设置从账号自动改密功能,登陆密码管理员查看能否接收到从账号自动改密后的密码(改密码是个加密压缩包)。
预期结果
可以正常查看从账号的密码;正确接收到自动改密后密码
实际测试结果
备注
5.1.3Audit用户
序号
3.1.3
测试名称
审计管理员权限测试
产品型号
测试内容
审计管理员audit拥有权限的测试
特殊要求或配置
无
测试说明
超级管理员拥有权限的测试
测试步骤
1.以audit用户登陆系统查看是否具有3.9章至3.10章的所有权限;
2.尝试删除历史审计日志查看是否成功;
3.点击个人信息尝试更该自身密码,退出系统用新密码后重新登录;
4.更改自身个人信息参数,查看能否更改成功。
预期结果
Audit用户拥有本节测试步骤中所有权限;audit用户拥有删除历史记录的权限。
实际测试结果
备注
备注
5.1.4管理员及部门管理员角色
序号
3.1.4
测试名称
管理员权限测试
产品型号
测试内容
新建管理员拥有权限的测试
特殊要求或配置
无
测试说明
测试步骤
1.以admin用户身份登录系统建立test1管理员角色用户;
2.test1用户登录,查看是否具有3.1章至3.8章的所有权限;
3.点击个人信息尝试更改自身密码,退出系统用新密码后重新登录;
4.更改自身个人信息参数,查看能否更改成功。
5.test1用户登录,尝试更改admin用户密码。
6.以admin用户身份登录系统建立test2部门管理员角色用户同时为test2分配用户组和设备组
7.Test2用户登录,查看是否具有3.1章至3.8章的所有权限,但是只有自己所辖X围内的运维用户和设备组可见可修改。
8.Test2用户登录,重复第3-4步。
预期结果
Admin用户拥有本节测试步骤中所有权限;普通管理员不能更改admin用户的密码。
部门管理员权限相当于管理员仅限于所管辖用户组和设备组内
实际测试结果
备注
5.1.5密码管理员及部门密码管理员角色用户
序号
3.1.5
测试名称
密码管理员权限测试
产品型号
测试内容
新建密码管理员拥有权限的测试
特殊要求或配置
无
测试说明
从运维监管平台找到系统XX密码
测试步骤
1.以管理员身份登录系统建立test3密码管理员角色用户;
2.Test3用户登录,点击相应的系统,点击查看密码项;
3.弹出系统登录对话框后,输入admin用户的密码登录后即可看到系统当前密码;
4.使用查看到的密码直接登录目标系统可以登录成功;
5.配置正确的test3,设置从账号自动改密功能,登陆密码管理员查看能否接收到从账号自动改密后的密码(改密码是个加密压缩包)。
6.以管理员身份登录系统建立test4部门密码管理员角色用户同时为该用户分配运维组
7.Test4用户登录,点击相应的系统,点击查看密码项;
8.弹出系统登录对话框后,输入admin用户的密码登录后即可看到系统当前密码;
9.配置正确的test4的,设置该组内从账号自动改密功能,登陆密码管理员查看能否接收到从账号自动改密后的密码(改密码是个加密压缩包)。
预期结果
可以正常寻找回忘记密码和接收到自动改密后密码的加密秘钥
实际测试结果
密码管理员具有密码恢复和自动改密后密码的加密秘钥接收权限
部门密码管理员权限仅限于所管辖用户组和设备组内
备注
5.1.6审计管理员及部门审计管理员角色用户
序号
3.1.6
测试名称
审计管理员权限测试
产品型号
测试内容
新建审计管理员拥有权限的测试
特殊要求或配置
无
测试说明
测试步骤
1.以管理员身份登录系统建立test5审计管理员角色用户
2.以test5用户登陆系统查看是否具有3.6章至3.7章的所有权限;
3.尝试删除历史审计日志查看是否成功;
4.点击个人信息尝试更该自身密码,退出系统用新密码后重新登录;
5.更改自身个人信息参数,查看能否更改成功。
6.以管理员身份登录系统建立test6部门审计管理员角色用户且分配一个可用的运维组。
7.以test5用户登陆,重复6-8步。
预期结果
Audit用户拥有本节测试步骤中所有权限和删除历史记录的权限。
部门审计管理员权限仅限于所管辖用户组和设备组内
实际测试结果
备注
5.1.7运维用户
序号
3.1.7
测试名称
运维用户权限
产品型号
测试内容
测试运维用户拥有的权限
特殊要求或配置
无
测试说明
测试步骤
1.以管理员身份登录系统建立test普通运维角色用户,并为其分配SSH、RDP、telnet、应用发布等权限;
2.用test用户登陆产品,查看自己拥有设备运维权限是否正确;
3.点击个人信息尝试更该自身密码,退出系统用新密码后重新登录;
4.更改自身个人信息参数,查看能否更改成功
5.点击运维审计功能,查看运维审计结果是否与实际相符。
预期结果
运维用户可以更改自身信息和登录密码;拥有管理员分配服务器的运维权限;对于自己的运维历史记录结果拥有查看功能。
实际测试结果
5.2运维账号管理
5.2.1运维XX编辑管理
序号
3.2.1
测试名称
运维XX管理
产品型号
测试内容
添加、修改、删除、锁定主XX
特殊要求或配置
无
测试说明
添加登录XX
测试步骤
1.点击菜单“资源管理”—“运维XX”,打开运维用户XX列表,点击左下文“添加用户”按钮;
2.“用户名”设置包括数字、字母、特殊字符、大小写;
3.“密码”设置包括成数字、字母、特殊字符;
4.添加用户的基本信息,包括:
电子、手机、工作单位、工作部门等;
5.选择账号是否锁定;
6.单独删除某个账号,同时删除几个账号;
7.账号的批量添加、批量删除;
8.通过excel方式导出、导入;
预期结果
1.正常显示功能界面;
2.用户名可以按照规则添加;
3.密码设置符合密码管理策略要求;
4.可以添加成功用户的基本信息,包括:
电子、手机、工作单位、工作部门等;
5.账户可以选择锁定或非锁定状态;
6.单独删除某个账号成功,同时删除几个账号成功;
7.账号的批量添加、批量删除成功;
8.通过excel方式导出、导入账号成功。
实际测试结果
备注
5.2.2运维账号有效期
序号
3.2.3
测试名称
运维账号有效期
产品型号
测试内容
验证账号有效期
特殊要求或配置
测试说明
测试步骤
1新建运维账号test1,设置生效时间和过期时间,过期时间小于运维系统的系统时间。
2新建运维账号test2,设置生效时间和过期时间,过期时间大于运维系统的系统时间。
3分别用test1和test2,登录验证
预期结果
test1正常登录,test2登录失败并提示
实际测试结果
备注
5.2.3运帷账号定期改密
序号
3.2.4
测试名称
运维账号定期改密
产品型号
测试内容
新建运维行号的改密功能
特殊要求或配置
测试说明
测试步骤
1新建运维账号test1,启用“允许改密”
2使用test1首次登录,密码验证。
3使用admin管理员用户,修改密码策略,设置密码有效期,触发密码修改
4收到改密的,获取改密后的密码
5使用test1再次登录,使用新密码验证。
预期结果
原先密码失效,改密后密码正常登陆
实际测试结果
备注
5.2.4运维账号的其他设置(剪贴板、磁盘映射)
序号
3.2.5
测试名称
运帷账号剪贴板、磁盘映射
产品型号
测试内容
特殊要求或配置
测试说明
测试步骤
1新建运维账号test1,启用“RDP剪贴板”和“RDP磁盘功能”“磁盘映射”默认为*
2添加windows目标服务器资源,添加系统administration从账号,并授权给test1
3test1登陆,访问windows目标服务器,验证剪贴板复制功能和查看网络硬盘
预期结果
访问windows目标服务器,验证剪贴板复制功能成功
查看网络硬盘正确
实际测试结果
备注
5.2.5运维用户组管理
序号
3.1.2
测试名称
运维用户组管理
产品型号
测试内容
添加、修改、删除运维用户组
特殊要求或配置
无
测试说明
添加、修改、删除运维用户组
测试步骤
1.添加、修改、删除用户组;
2.在组内添加、修改、删除用户;
3.查看用户组
预期结果
1.添加、修改、删除用户组成功;
2.在组内添加、修改、删除用户成功。
3.可以分组列表
实际测试结果
备注
5.3运维目标设备管理
5.3.1设备资产管理
序号
3.1.3
测试名称
设备管理
产品型号
测试内容
添加、修改、删除资产;
特殊要求或配置
无
测试说明
添加服务器资源
测试步骤
1.按以下步骤将Linux系统录入系统;
2.点击“资源管理”-“资产管理”,进入设备列表项,点击左下角的“添加”选项;
3.在设备添加页面中建立一个主机名为test的新设备,分别输入“服务器IP”、“主机名”、“设备组”、“登陆方式”、“登陆端口”、“密码修改策略”之后点击提交按钮;
4.添加自定义协议端口;
5.Windows服务器添加方式与linux相同;
6.修改已添加的服务器;
7.删除已添加的服务器;
8.批量添加、删除资产;
9.通过excel方式导出、导入资产。
(模版)
预期结果
1.添加资产成功;
2.配置服务器IP、主机名、设备组、登录方式、登录端口、密码修改策略后添加成功;
3.添加自定义协议端口成功;
4.修改已添加的资产信息成功;
5.删除已添加的资产成功;
6.批量添加、删除资产成功;
7.通过excel方式导出、导入资产成功。
实际测试结果
备注
5.3.2设备资源组管理(分级分组)
序号
3.3.2
测试名称
设备分级分组管理
产品型号
测试内容
管理目标设备资源支持分组分级管理
特殊要求或配置
运维账号的添加测试,目标设备的对运维账号的授权测试,在其他的用例中完成
测试说明
测试步骤
1admin用户登陆,在“资源管理——资产管理——设备目录”,点击新建按钮,添加目录,再次点击新建按钮,将新目录添加在原有目录下,反复多次,建立多层目录
2查看“资源管理——资产管理”菜单,生成的设备目录树
3新建设备asset1,添加到设备组group1
4新建设备asset2,添加到设备组group2
5对运维账号test1和test2,完成授权操作
6登录test1和test2,查看“资源管理——资产管理”菜单的设备目录树及设备列表
预期结果
依据授权设置,设备列表展示正确
实际测试结果
备注
5.3.3设备批量导入
序号
3.3.3
测试名称
设备批量导入
产品型号
测试内容
设备批量导入
特殊要求或配置
仅支持固定CSV的格式
测试说明
测试步骤
1admin用户登录,“资源管理——设备列表”中点击“导出”按钮,生成CSV模板文件
2固定CSV的格式,完成设备信息整理的文件。
3.注意,目前设备组不支持创建,必须先创建设备组才能往设备组内导入设备
4admin用户登录,“资源管理——设备列表”中,点击“导入”按钮,浏览文件,选中设备信息文件,提交
预期结果
实际测试结果
备注
5.3.4系统账号密码托管
序号
3.3.1
测试名称
密码托管
产品型号
测试内容
使用运维账户登陆,对托管密码的资产设备直接进行访问。
特殊要求或配置
无
测试说明
使用运维账户登陆,看能否正常管理已经托密的设备。
测试步骤
1.点击“资源管理”-“资产管理”,进入设备列表项,找到Linux设备,为Linux设备建立一个sshXX,并且将这个XX与test运维XX进行绑定
2.使用testXX登录运维监管系统,可以看到上步建立的ssh系统XX,点击右侧的putty进行登录,可以以ssh方式登录到Linux系统。
而无需输入设备用户和密码。
3.至此表示,账号托管完成。
预期结果
可以正常登陆设备,操作而无需输入设备账号和密码
实际测试结果
备注
5.3.5系统账号的自动改密
序号
3.3.5
测试名称
目标设备系统的账号自动改密
产品型号
测试内容
目标设备系统的账号自动改密
特殊要求或配置
已添加目标设备,设备多种系统类型
已添加运维账号test1
测试说明
测试步骤
1Admin登录,“资源管理——设备列表”中,对应设备添加用户,启用“自动修改密码”和“修改密码主账号”。
并授权给运维账号test1
2不通过运维审计,目标设备主账号原始密码直接登录,
3依据密码策略,触发改密
4不通过运维审计,目标设备主账号使用改密后的密码登录,
预期结果
改密成功正常登录
实际测试结果
备注
5.3.6系统账号组管理
序号
3.1.4
测试名称
系统账号组管理
产品型号
测试内容
添加、修改、删除系统账号(从账号)组
特殊要求或配置
无
测试说明
添加、修改、删除系统账号(从账号)组
测试步骤
1.添加、修改、删除系统账号(从账号)组;
2.在组内添加、修改系统账号(从账号)。
预期结果
1.添加、修改、删除系统账号(从账号)组成功;
2.在组内添加、修改系统账号(从账号)组成功。
实际测试结果
备注
5.4应用发布管理
5.4.1应用资源管理
序号
3.1.5
测试名称
应用资产管理
产品型号
测试内容
添加、修改、删除应用资产
特殊要求或配置
无
测试说明
添加、修改、删除应用资源
测试步骤
1.添加应用发布服务器,包括发布服务器名称、发布服务器IP、描述信息等;
2.在应用发布服务器上添加需要发布的应用程序,包括应用名称、用户名、密码、程序地址、URL等信息;
3.添加需要发布的应用程序,包括应用名称、程序地址、图标等信息;
4.修改应用发布服务器、应用程序;
5.删除应用发布服务器、应用程序。
预期结果
1.添加应用发布服务器成功;
2.在应用发布服务器上添加需要发布的应用程序成功;
3.添加需要发布的应用程序,包括应用名称、程序地址、图标等信息成功;
4.修改应用发布服务器、应用程序成功;
5.删除应用发布服务器、应用程序成功。
实际测试结果
备注
5.4.2应用发布的账号密码托管
序号
测试名称
应用发布托密
产品型号
测试内容
使用运维账户登陆,对托管密码的应用发布系统直接进行访问。
特殊要求或配置
资源设备管理,已添加应用发布前置机
测试的应用发布的系统为B/S架构,使用IE访问
测试说明
使用运维账户登陆,看能否正常管理已经托密的设备。
测试步骤
4.Admin登录
5.点击菜单“资源管理”-“应用发布”,对应应用发布前置机设备,点击“应用发布”按钮。
6.新建用户,填写发布应用的名称XX以及密码,设置前置机的“服务器地址”,调用的“IE”以及“URL地址”。
与test运维XX进行绑定
7.使用testXX登录运维监管系统,登录到应用发布的系统。
而无需输入设备用户和密码。
8.至此表示,账号托管完成。
预期结果
可以正常登陆应用发布,操作而无需输入设备账号和密码
实际测试结果
备注
5.4.3应用发布URL限制
序号
测试名称
应用发布的URL限制
产品型号
测试内容
特殊要求或配置
测试的应用发布的系统为B/S架构,使用IE访问
应用发布以及配置完成,并授权给运维用户test1
测试说明
测试步骤
1test1登录
2访问应用发布的系统
3验证URL地址不可修改
预期结果
URL地址不可修改
实际测试结果
备注
5.4.4应用用户组管理
序号
3.1.6
测试名称
应用用户组管理
产品型号
测试内容
添加、修改、删除应用用户组
特殊要求或配置
无
测试说明
添加、修改、删除应用用户组
测试步骤
1.添加、修改、删除应用用户组;
2.在组内添加、修改删除应用用户。
预期结果
1.添加、修改、删除系统账号(从账号)组成功;
2.在组内添加、修改系统账号(从账号)成功。
实际测试结果
备注
5.5授权管理
5.5.1设备从账号-运维主XX授权
序号
3.2.1
测试名称
运维XX资源授权
产品
升级会员 