麒麟开源堡垒机产品测试方案v0.docx

1、麒麟开源堡垒机产品测试方案v0麒麟开源堡垒机系统功能测试用例文档信息文档名称麒麟堡垒机测试方法 文档管理编号201600192XX级别无文档版本号V1.0制作人James制作日期2016-5-4复审人李晨复审日期扩散X围全体扩散批准人版本变更记录时间版本说明修改人2016/5/5V1.0文档创建李晨1.测试背景传统的运维管理的主要问题总结如下：数据信息泄露：没有一个对操作人员的统一权限限制、操作审计的系统，内部数据信息很容易被操作人员通过运维的方式取出，进尔造成信息泄露；系统密码外泄：没有统一的密码管理机制，存在很多人员共同使用同一个系统XX的情况 ，造成系统XX的密码为多人所知，最终，系统密

2、码非常容易外泄露给第三方人员；系统密码不安全：根据安全部门统计，目前近40%的入侵是因为系统密码被探测到造成的，静态密码一直被安全公司划为不安全因素之一；违规恶意操作：对操作人没没有统一的监控、审计系统，操作人员操作的过程无法进行回溯，容易造成操作人员越权删除、修改数据以及配置系统的情况；管理制度难落实：对于操作人员操作过程以及密码修改策略规定这些管理制度，因为没有一个统一的管理平台，无法对操作人员是否执行了这些制度进行审核与管理；基于以上存在的问题，其根本原因是由于缺少统一的运维管理平台，造成运维管理黑盒化所导致。同时国家及行业也相继出台了相关的法律法规及管理规X，要求系统运维在访问控制、操

3、作审计等诸多方面做得更加全面有效的管理。因此建立一个安全、可靠、易用的运维管理平台，成为IT运维的迫切要求。2.测试目的通过建设统一运维管理平台的建设，实现对人员、设备、操作的统一管理，及运维管理的白盒透明化，实现了认证、权限、审计、口令的集中管理，最终形成一个完整安全的运维环境，来有效的防止信息泄露、密码丢失、恶意及误操作、不按规X操作等安全事件的产生。同时将各项运维管理规章制度，能以可监控的方式进行管理落地。3.测试方案因考虑运维审计产品的测试，需要多厂商产品的配合对接测试，仅线下测试可使用的离线设备有限，因此本次测试采用现网环境测试的方式。测试环境以不改变分行现网环境为前提，运维审计测试

4、设备上线部署在分行服务器接入区的网管区域，分配该区域IP地址。根据实际测试需求，增加测试网络设备、服务器的3A认证配置，并将认证指向到运维审计测试设备中。4.测试环境1 2 3 4 4.1 测试准备为运维审计设备申请机柜、电源、IP，以及相应的访问策略。4.2 测试环境现网部署图如下：4.3 测试设备测试环境内容如下：资源分类资源类型备注网络设备交换机用于网络连接集中管理系统1台运维审计平台两台或两台以上应用发布平台1台测试服务器（Windows）Windows 2003 Server 一台用于测试RDP协议的审计和作为应用发布服务器测试应用发布的审计Windows 2008 Server 一

5、台浏览器：IE8浏览器测试服务器（Linux）Linux系统一台安装FTP、Web 、Telnet、SSH服务用于测试上述服务是否可以审计测试网络设备飞塔防火墙一台用于测试网络设备Telnet、SSH、Https服务思科防火墙ASA(5500/5500x)思科ACS核心交换机（华三/思科）汇聚交换机（华三/迈普/思科）接入交换机（华三/迈普/思科）上联/下联路由器（华三/思科）3G-VPDN （迈普）运维终端操作系统: window XP、 WIN7浏览器：IE6-IE10应急软证书USBkeyUSBkey用于运维审计双因素登录测试；运维审计系统主要针对每种协议进行测试，例如：RDP、TELN

6、ET、SSH、FTP、HTTPS。因为运维审计系统的工作原理是协议代理，所以只要一种资源类型上的协议测试满足，那么不同资源上的相同协议基本也可以测试满足。这样可以在有限的几台测试设备上搭建所有需测试协议，然后通过运维系统进行针对协议的测试。4.4 测试要求参测厂商可派1-2名技术人员在现场操作，并提供电子版技术白皮书或用户手册。必须按照各功能项目的描述、步骤、预期结果等内容进行，不能以片面或歧义的方式理解进行测试。在整个项目与测试中，保留对本测试方案的最终解释权。5 基本功能测试5.1 内置用户和角色5.1.1 Admin用户序号3.1.1测试名称admin权限测试产品型号测试内容超级管理员a

7、dmin拥有权限的测试特殊要求或配置无测试说明超级管理员拥admin有权限的测试测试步骤1.以admin用户登陆系统查看是否具有3.2章至3.11章的所有权限；2.点击个人信息尝试更该自身密码，退出系统后用新密码重新登录；3.更改自身个人信息参数，查看能否更改成功。4.admin建立一个普通管理员，用该管理员登陆系统尝试更改admin用户密码。预期结果Admin用户拥有本节测试步骤中所有权限；普通管理员不能更改admin用户的密码。实际测试结果备注5.1.2 Password用户序号3.1.2测试名称密码管理员权限测试产品型号测试内容密码管理员password拥有权限的测试特殊要求或配置无测试

8、说明测试密码管理员权限测试步骤1. 使用password用户登录系统，点击相应的系统，点击查看密码项；2.弹出系统登录对话框后输入系统管理员admin口令登录后即可看到系统当前密码；3.使用查看到的密码直接登录目标系统可以登录成功；4.配置正确的密码管理员的，设置从账号自动改密功能，登陆密码管理员查看能否接收到从账号自动改密后的密码（改密码是个加密压缩包）。预期结果可以正常查看从账号的密码；正确接收到自动改密后密码实际测试结果备注5.1.3 Audit用户序号3.1.3测试名称审计管理员权限测试产品型号测试内容审计管理员audit拥有权限的测试特殊要求或配置无测试说明超级管理员拥有权限的测试测

9、试步骤1.以audit用户登陆系统查看是否具有3.9章至3.10章的所有权限；2.尝试删除历史审计日志查看是否成功；3.点击个人信息尝试更该自身密码，退出系统用新密码后重新登录；4.更改自身个人信息参数，查看能否更改成功。预期结果Audit用户拥有本节测试步骤中所有权限；audit用户拥有删除历史记录的权限。实际测试结果备注备注5.1.4 管理员及部门管理员角色序号3.1.4测试名称管理员权限测试产品型号测试内容新建管理员拥有权限的测试特殊要求或配置无测试说明测试步骤1.以admin用户身份登录系统建立test1管理员角色用户；2.test1用户登录，查看是否具有3.1章至3.8章的所有权限；

10、3.点击个人信息尝试更改自身密码，退出系统用新密码后重新登录；4.更改自身个人信息参数，查看能否更改成功。5.test1用户登录，尝试更改admin用户密码。6.以admin用户身份登录系统建立test2部门管理员角色用户同时为test2分配用户组和设备组7.Test2用户登录，查看是否具有3.1章至3.8章的所有权限，但是只有自己所辖X围内的运维用户和设备组可见可修改。8.Test2用户登录，重复第3-4步。预期结果Admin用户拥有本节测试步骤中所有权限；普通管理员不能更改admin用户的密码。部门管理员权限相当于管理员仅限于所管辖用户组和设备组内实际测试结果备注5.1.5 密码管理员及部

11、门密码管理员角色用户序号3.1.5测试名称密码管理员权限测试产品型号测试内容新建密码管理员拥有权限的测试特殊要求或配置无测试说明从运维监管平台找到系统XX密码测试步骤1.以管理员身份登录系统建立test3密码管理员角色用户；2.Test3用户登录，点击相应的系统，点击查看密码项；3.弹出系统登录对话框后，输入admin用户的密码登录后即可看到系统当前密码；4.使用查看到的密码直接登录目标系统可以登录成功；5.配置正确的test3，设置从账号自动改密功能，登陆密码管理员查看能否接收到从账号自动改密后的密码（改密码是个加密压缩包）。6.以管理员身份登录系统建立test4部门密码管理员角色用户同时为

12、该用户分配运维组7.Test4用户登录，点击相应的系统，点击查看密码项；8.弹出系统登录对话框后，输入admin用户的密码登录后即可看到系统当前密码；9.配置正确的test4的，设置该组内从账号自动改密功能，登陆密码管理员查看能否接收到从账号自动改密后的密码（改密码是个加密压缩包）。预期结果可以正常寻找回忘记密码和接收到自动改密后密码的加密秘钥实际测试结果密码管理员具有密码恢复和自动改密后密码的加密秘钥接收权限部门密码管理员权限仅限于所管辖用户组和设备组内备注5.1.6 审计管理员及部门审计管理员角色用户序号3.1.6测试名称审计管理员权限测试产品型号测试内容新建审计管理员拥有权限的测试特殊要

13、求或配置无测试说明测试步骤1.以管理员身份登录系统建立test5审计管理员角色用户2.以test5用户登陆系统查看是否具有3.6章至3.7章的所有权限；3.尝试删除历史审计日志查看是否成功；4.点击个人信息尝试更该自身密码，退出系统用新密码后重新登录；5.更改自身个人信息参数，查看能否更改成功。6.以管理员身份登录系统建立test6部门审计管理员角色用户且分配一个可用的运维组。7.以test5用户登陆，重复6-8步。预期结果Audit用户拥有本节测试步骤中所有权限和删除历史记录的权限。部门审计管理员权限仅限于所管辖用户组和设备组内实际测试结果备注5.1.7 运维用户序号3.1.7测试名称运维用

14、户权限产品型号测试内容测试运维用户拥有的权限特殊要求或配置无测试说明测试步骤1.以管理员身份登录系统建立test普通运维角色用户，并为其分配SSH、RDP、telnet、应用发布等权限；2.用test用户登陆产品，查看自己拥有设备运维权限是否正确；3.点击个人信息尝试更该自身密码，退出系统用新密码后重新登录；4.更改自身个人信息参数，查看能否更改成功5.点击运维审计功能，查看运维审计结果是否与实际相符。预期结果运维用户可以更改自身信息和登录密码；拥有管理员分配服务器的运维权限；对于自己的运维历史记录结果拥有查看功能。实际测试结果5.2 运维账号管理5.2.1 运维XX编辑管理序号3.2.1测试

15、名称运维XX管理产品型号测试内容添加、修改、删除、锁定主XX特殊要求或配置无测试说明添加登录XX测试步骤1.点击菜单“资源管理”“运维XX”，打开运维用户XX列表，点击左下文“添加用户”按钮；2.“用户名”设置包括数字、字母、特殊字符、大小写；3.“密码”设置包括成数字、字母、特殊字符；4.添加用户的基本信息，包括：电子、手机、工作单位、工作部门等；5.选择账号是否锁定；6.单独删除某个账号，同时删除几个账号；7.账号的批量添加、批量删除；8.通过excel方式导出、导入；预期结果1.正常显示功能界面；2.用户名可以按照规则添加；3.密码设置符合密码管理策略要求；4.可以添加成功用户的基本信息

16、，包括：电子、手机、工作单位、工作部门等；5.账户可以选择锁定或非锁定状态；6.单独删除某个账号成功，同时删除几个账号成功；7.账号的批量添加、批量删除成功；8.通过excel方式导出、导入账号成功。实际测试结果备注5.2.2 运维账号有效期序号3.2.3测试名称运维账号有效期产品型号测试内容验证账号有效期特殊要求或配置测试说明测试步骤1新建运维账号test1，设置生效时间和过期时间，过期时间小于运维系统的系统时间。2 新建运维账号test2，设置生效时间和过期时间，过期时间大于运维系统的系统时间。3 分别用test1和test2，登录验证预期结果test1正常登录，test2登录失败并提示实

17、际测试结果备注5.2.3 运帷账号定期改密序号3.2.4测试名称运维账号定期改密产品型号测试内容新建运维行号的改密功能特殊要求或配置测试说明测试步骤1 新建运维账号test1，启用“允许改密”2 使用test1首次登录，密码验证。3 使用admin管理员用户，修改密码策略，设置密码有效期，触发密码修改4 收到改密的，获取改密后的密码5使用test1再次登录，使用新密码验证。预期结果原先密码失效，改密后密码正常登陆实际测试结果备注5.2.4 运维账号的其他设置（剪贴板、磁盘映射）序号3.2.5测试名称运帷账号剪贴板、磁盘映射产品型号测试内容特殊要求或配置测试说明测试步骤1 新建运维账号test1

18、，启用“RDP剪贴板”和“RDP磁盘功能”“磁盘映射”默认为*2 添加windows目标服务器资源，添加系统administration从账号，并授权给test13 test1登陆，访问windows目标服务器，验证剪贴板复制功能和查看网络硬盘预期结果访问windows目标服务器，验证剪贴板复制功能成功查看网络硬盘正确实际测试结果备注5.2.5 运维用户组管理序号3.1.2测试名称运维用户组管理产品型号测试内容添加、修改、删除运维用户组特殊要求或配置无测试说明添加、修改、删除运维用户组测试步骤1.添加、修改、删除用户组；2.在组内添加、修改、删除用户；3.查看用户组预期结果1.添加、修改、删除

19、用户组成功；2.在组内添加、修改、删除用户成功。3.可以分组列表实际测试结果备注5.3 运维目标设备管理5.3.1 设备资产管理序号3.1.3测试名称设备管理产品型号测试内容添加、修改、删除资产；特殊要求或配置无测试说明添加服务器资源测试步骤1.按以下步骤将Linux系统录入系统；2.点击“资源管理”-“资产管理”，进入设备列表项，点击左下角的“添加”选项；3.在设备添加页面中建立一个主机名为test的新设备，分别输入“服务器IP”、“主机名”、“设备组”、“登陆方式”、“登陆端口”、“密码修改策略”之后点击提交按钮；4.添加自定义协议端口；5.Windows服务器添加方式与linux相同；6

20、.修改已添加的服务器；7.删除已添加的服务器；8.批量添加、删除资产；9.通过excel方式导出、导入资产。（模版）预期结果1.添加资产成功；2.配置服务器IP、主机名、设备组、登录方式、登录端口、密码修改策略后添加成功；3.添加自定义协议端口成功；4.修改已添加的资产信息成功；5.删除已添加的资产成功；6.批量添加、删除资产成功；7.通过excel方式导出、导入资产成功。实际测试结果备注5.3.2 设备资源组管理（分级分组）序号3.3.2测试名称设备分级分组管理产品型号测试内容管理目标设备资源支持分组分级管理特殊要求或配置运维账号的添加测试，目标设备的对运维账号的授权测试，在其他的用例中完成

21、测试说明测试步骤1 admin用户登陆，在“资源管理资产管理设备目录”，点击新建按钮，添加目录，再次点击新建按钮，将新目录添加在原有目录下，反复多次，建立多层目录2 查看“资源管理资产管理”菜单，生成的设备目录树3 新建设备asset1，添加到设备组group14新建设备asset2，添加到设备组group25对运维账号test1和test2，完成授权操作6 登录test1和test2，查看“资源管理资产管理”菜单的设备目录树及设备列表预期结果依据授权设置，设备列表展示正确实际测试结果备注5.3.3 设备批量导入序号3.3.3测试名称设备批量导入产品型号测试内容设备批量导入特殊要求或配置仅支持

22、固定CSV的格式测试说明测试步骤1 admin用户登录，“资源管理设备列表”中点击“导出”按钮，生成CSV模板文件2固定CSV的格式，完成设备信息整理的文件。3.注意，目前设备组不支持创建，必须先创建设备组才能往设备组内导入设备4 admin用户登录，“资源管理设备列表”中，点击“导入”按钮，浏览文件，选中设备信息文件，提交预期结果实际测试结果备注5.3.4 系统账号密码托管序号3.3.1测试名称密码托管产品型号测试内容使用运维账户登陆，对托管密码的资产设备直接进行访问。特殊要求或配置无测试说明使用运维账户登陆，看能否正常管理已经托密的设备。测试步骤1.点击“资源管理”-“资产管理”，进入设备

23、列表项，找到 Linux设备，为Linux 设备建立一个sshXX，并且将这个XX与test运维XX进行绑定2.使用testXX登录运维监管系统，可以看到上步建立的ssh系统XX，点击右侧的putty进行登录，可以以ssh方式登录到Linux系统。而无需输入设备用户和密码。3.至此表示，账号托管完成。预期结果可以正常登陆设备，操作而无需输入设备账号和密码实际测试结果备注5.3.5 系统账号的自动改密序号3.3.5测试名称目标设备系统的账号自动改密产品型号测试内容目标设备系统的账号自动改密特殊要求或配置已添加目标设备，设备多种系统类型已添加运维账号test1测试说明测试步骤1Admin登录，“资

24、源管理设备列表”中，对应设备添加用户，启用“自动修改密码”和“修改密码主账号”。并授权给运维账号test12 不通过运维审计，目标设备主账号原始密码直接登录，3 依据密码策略，触发改密4不通过运维审计，目标设备主账号使用改密后的密码登录，预期结果改密成功正常登录实际测试结果备注5.3.6 系统账号组管理序号3.1.4测试名称系统账号组管理产品型号测试内容添加、修改、删除系统账号（从账号）组特殊要求或配置无测试说明添加、修改、删除系统账号（从账号）组测试步骤1.添加、修改、删除系统账号（从账号）组；2.在组内添加、修改系统账号（从账号）。预期结果1.添加、修改、删除系统账号（从账号）组成功；2.

25、在组内添加、修改系统账号（从账号）组成功。实际测试结果备注5.4 应用发布管理5.4.1 应用资源管理序号3.1.5测试名称应用资产管理产品型号测试内容添加、修改、删除应用资产特殊要求或配置无测试说明添加、修改、删除应用资源测试步骤1.添加应用发布服务器，包括发布服务器名称、发布服务器IP、描述信息等；2.在应用发布服务器上添加需要发布的应用程序，包括应用名称、用户名、密码、程序地址、URL等信息；3.添加需要发布的应用程序，包括应用名称、程序地址、图标等信息；4.修改应用发布服务器、应用程序；5.删除应用发布服务器、应用程序。预期结果1.添加应用发布服务器成功；2.在应用发布服务器上添加需要

26、发布的应用程序成功；3.添加需要发布的应用程序，包括应用名称、程序地址、图标等信息成功；4.修改应用发布服务器、应用程序成功；5.删除应用发布服务器、应用程序成功。实际测试结果备注5.4.2 应用发布的账号密码托管序号测试名称应用发布托密产品型号测试内容使用运维账户登陆，对托管密码的应用发布系统直接进行访问。特殊要求或配置资源设备管理，已添加应用发布前置机测试的应用发布的系统为B/S架构，使用IE访问测试说明使用运维账户登陆，看能否正常管理已经托密的设备。测试步骤4.Admin登录5.点击菜单“资源管理”-“应用发布”，对应应用发布前置机设备，点击“应用发布”按钮。6.新建用户，填写发布应用的

27、名称XX以及密码，设置前置机的“服务器地址”，调用的“IE”以及“URL地址”。与test运维XX进行绑定7.使用testXX登录运维监管系统，登录到应用发布的系统。而无需输入设备用户和密码。8.至此表示，账号托管完成。预期结果可以正常登陆应用发布，操作而无需输入设备账号和密码实际测试结果备注5.4.3 应用发布URL限制序号测试名称应用发布的URL限制产品型号测试内容特殊要求或配置测试的应用发布的系统为B/S架构，使用IE访问应用发布以及配置完成，并授权给运维用户test1测试说明测试步骤1 test1登录2 访问应用发布的系统3 验证URL地址不可修改预期结果URL地址不可修改实际测试结果备注5.4.4 应用用户组管理序号3.1.6测试名称应用用户组管理产品型号测试内容添加、修改、删除应用用户组特殊要求或配置无测试说明添加、修改、删除应用用户组测试步骤1.添加、修改、删除应用用户组；2.在组内添加、修改删除应用用户。预期结果1.添加、修改、删除系统账号（从账号）组成功；2.在组内添加、修改系统账号（从账号）成功。实际测试结果备注5.5 授权管理5.5.1 设备从账号-运维主XX授权序号3.2.1测试名称运维XX资源授权产品