运维安全审计系统HAC产品测试方案.docVIP

运维安全审计系统目 录 1 1 1.1 各项功能测试目标 1 1.2 测试范围 1 1.3 测试对象 1 2 测试方案拓扑 2 2.1 测试环境 4 3 测试计划 5 3.1 测试时间 5 3.2 测试地点 5 3.3 测试人员 5 4 测试内容 6 4.1 功能测试 6 4.1.1 系统基本配置 6 4.1.2 运维管理配置与测试 7 4.1.3 保护资源自动登陆配置与测试 9 4.1.4 运维操作审计测试 10 4.1.5 审计功能测试 12 4.1.6 统计报表功能测试 13 5 测试结论 15 概述 目标 测试范围 测试对象 测试对象：HAC产品型号 HAC 外形 U机架式 存储容量 网卡 个千兆网口 支持协议 elnet、、、 系统版本 审计平台版本 电源 单电源 测试方案拓扑 由于HAC实施审计条件是所有对被保护资源的运维流量均需要流经HAC，所以保证HAC工作正常应具备以下要求： 当HAC为单臂部署模式时，为了让运维人员访问被保护资源的流量流经HAC，需要在交换机或安全设备上配置安全策略如访问控制列表，确保运维人员不能直接访问被保护资源，只有HAC能访问被保护资源。 HAC能访问保护资源。如果HAC到保护资源之间设置了安全策略，需根据所用协议端口开放相关端口。开放端口根据运维协议和保护资源服务端口而定，具体情况如下： 采用Telnet协议运维：需开放HAC到保护资源的23端口（23端口为保护资源Telnet服务端口，如果修改请根据实际进行修改，下同）。 采用SSH、SFTP协议运维：需开放HAC到保护资源的22端口。 采用FTP协议运维：需开放HAC到保护资源的21端口、20端口和1024以上端口（若FTP采用主动模式，则只需开放21、20端口；若采用被动模式，则需开放21、1024以上端口）。 采用RDP协议运维：需开放HAC到保护资源的3389端口。 采用XWIN协议运维：需开放HAC到保护资源的UDP177端口和6000以上端口。 采用VNC协议运维：需开放HAC到保护资源的5900以上端口（根据VNC服务器的定义，一般为5900以上端口）。 采用AS400专用客户端运维AS400主机：需开放HAC到保护资源的449、23端口和8470—8479相关端口（8470—8479是动态协商的，不同主机可能用其中部分端口）。采用HTTP协议运维：需开放HAC到保护资源的相应端口。 采用HTTPS协议运维：需开放HAC到保护资源的相应端口。 运维人员能访问HAC。如果运维人员和HAC之间设置安全策略，需根据所用协议端口开相关端口。具体情况如下： 开放443端口，目的是运维人员可自行修改密码、查看可访问资源以及进行RDP、XWIN、VNC协议运维。 采用Telnet协议运维：需开放运维终端到HAC的23端口。 采用SSH、SFTP协议运维：需开放运维终端到HAC的22端口。 采用FTP协议运维：需开放运维终端到HAC的21端口和4096以上端口（4096以上端口是由HAC的工作机制决定的）。 采用RDP协议运维：需开放运维终端到HAC的3389和443端口。 采用XWIN协议运维：需开放运维终端到HAC的7000端口和443端口。 采用VNC协议运维：需开放运维终端到HAC的5900端口和443端口。 采用AS400专用客户端运维AS400主机：需开放运维终端到HAC的449、23端口和8470—8479相关端口（8470—8479是动态协商的，不同主机可能用其中部分端口）。采用HTTPHTTPS协议运维：需开放HAC到保护资源的端口。 采用VDH进行运维，需开放如下端口： 运维终端到HAC：443、3389端口； HAC到VDH服务器：3389端口； VDH服务器到保护资源：开放相应端口（该端口是由VDH服务器上发布的应用决定的，如发布http服务，则需开放80端口） 系统管理员、运维管理员终端能访问HAC，开放端口为443。 审计员终端能访问HAC，开放端口为8001、800。 HAC密函打印客户端访问HAC，开放端口为：8003。 HAC到日志备份服务器，需开放端口：21、1024以上（采用被动模式） HAC到发送邮件服务器，需开放相关端口。 使用RDP、XWIN、VNC协议运维时，客户端操作系统支持Windows 2000/XP/2003/Vista，浏览器支持IE6、IE7、IE8、Maxthon。 审计平台客户端支持Windows XP/2003/Vista操作系统。 计划 时间 测试地点 测试人员 姓名 角色 职责 江南科友实施人员 项目测试 测试内容 功能 系统基本配置 审计平台安装测试项目 操作方法 预期结果 HAC审计平台安