搜索
I/16运维安全审计系统测试报告II/16[文档信息]文档名称运维安全审计系统测试方案文档管理编号保密级别文档版本号制作人制作日期复审人复审日期扩散范围扩散批准人[版本变更记录]时间版本说明修改人[文档送呈]单位目的目录III/164/161概述1.1文档目的本文档制定了运维安全审计系统的测试工程和内容,用于运维安全审计系统的测试。1.2测试对象测试对象:运维安全审计系统5/162测试内容2.1系统基本配置与测试2.1.1审计平台安装与监控功能2.1.1.1审计平台安装测试工程操作方法预期结果实际结果审计平台安装将软件安装到Windowsxp,2000,vista)各个版本安装顺利2.1.1.2连接测试工程操作方法预期结果实际结果审计平台连接启动审计平台,设置连接的IP地址及端口,输入审计员口令和密码能正常连接2.1.1.3系统监控测试工程操作方法预期结果实际结果查看信息登录审计平台,打开设备信息窗口能正确显示设备信息查看活动用户打开活动用户窗口能正确显示活动用户,并能对任意列进行排序查看活动会话打开活动会话窗口,选择其中一条会话进行实时监控能显示目前存在运维会话查看资源状态打开资源状态窗口能正确显示每个资源的连接并发数量,并能对任意列进行排序6/162.1.2系统管理配置测试工程操作方法预期结果实际结果系统信息通过浏览器进入,可以看到系统运行时间、版本、网口、内存区使用率、日志区使用率等信息;静态信息显示正确日志区界面错乱管理员管理1、角色管理:根据管理需求,建立新角色2、添加管理员,并分配其拥有的角色3、访问白名单4、管理员证书认证:新增管理员的认证方式为证书认证并配置证书,下载证书并采用证书登录管理页面1、建立成功2、添加成功,登录后其角色正确3、访问控制有效,其他地址无法访问4、证书能下载。证书正确时,成功登录,证书错误时不能登录。非证书用户采用证书不能登录创建用户时,如果用户名过长没有提示为什么不是允许访问地址,白名单有何意义。选择,令牌认证是什么意思?证书无法使用,下载使用,再次登录提示证书错误登录界面没有提示使用那种方式登录网络配置配置外网口、内网口、热备网口地址,配置网关、首选DNS、备选DNS、虚拟网卡、静态路由表配置正确Ping命令无效添加静态路由后设备无法访问外部认证配置LDAP、AD域、Radius认证服务器配置正确未测试7/16全局配置1、NTP配置2、口令复杂度3、每页最大记录数4、邮件服务器可以进行时间同步,确保审计的准确性。可设置密码的复杂度可设置数据信息每页最大行数可设置发送邮件服务器网络不正确,正确的ntp地址报错。口令复杂度,不完善,没有数字、大小写等要求网络配置失效,导致邮件服务器无法使用1、系统维护2、执行重启、配置备份与恢复3、执行升级管理4、执行重新激活1、执行正确2、能升级3、激活成功事件通知添加邮件事件通知前提是先配好邮件服务器)可收到通知邮件无法使用,网络不通2.2运维管理配置与测试2.2.1运维用户管理测试工程操作方法预期结果实际结果创建运维用户创建运维用户,设置口令及认证方式等在用户列表中能看到此用户创建用户时,如果用户名过长没有提示令牌认证?证书认证无效自动密码发送邮箱无效口令复杂度设置在全局配置设置口令复杂度高、中、低),在创建运维用户或修改口令验证只有复杂度符合的操作才能完成当密码强度不足时没有提示8/16口令认证失败死锁在运维配置中设置死锁次数口令错超过此次数,运维用户无法登录,只有运维管理员能重新激活该用户密码有效期设置该运维用户的密码有效期当密码有效期超过后,运维用户无法登录最短15天,无法测试用户激活设置某运维用户是否激活激活用户方能使用创建用户组选择已建用户分配到此组或建用户组,新建用户时选择该用户组在用户组列表中看到此用户组及包含的用户授权管理针对选定用户的资源/组的授权在授权列表可看到此授权访问规则模糊不清运维配置1、磁盘映射2、RDP剪贴板3、RDP登录Console4、自助登录5、运维工单状态1、RDP运维时,能映射本地磁盘2、RDP运维时,能提供剪贴板服务3、RDP运维时,能登录至资源的管理控制台4、SSO运维时,运维用户能手动输入帐户登录资源5、运维时需输入工单要求安装运维工单系统)没有自动登录方式,全是手动登录运维工单管理,没有2.2.2资源管理测试工程操作方法预期结果实际结果创建保护主机及服务创建一个Linux、Unix保护主机、设置IP地址,并创建SSH、sftp、Xwindows、VNC服务在资源列表中能看到此资源。没有Linux、unix、xwindows、vnc选项选项创建Windows保护主机,设置主机IP地址,创建telnet、RDP、ftp服务在资源列表中能看到此资源没有tlnet选项9/16创建资源组可以根据管理需要将一组资源分配到一个资源组在资源组列表中能看到此资源组编辑资源组可针对协议编辑资源组能编辑资源组中某一个协议所包含的所有资源不可以授权管理针对选定资源的用户/组的授权在授权列表可看到此授权2.2.3授权与访问控制2.2.3.1授权规则管理测试工程操作方法预期结果实际结果创建授权规则在授权规则管理中添加相应规则在授权规则列表可看到此规则有授权规则,但是作用不大,仅仅是时间的限制在规则中存在冲突,时间和周的冲突规则仅仅是通话时间生效授权规则验证在满足/不满足授权规则的条件下,访问资源在满足的条件下可访问资源,否则,不能访问简单的通过2.2.3.2授权管理测试工程操作方法预期结果实际结果创建授权创建“用户/组——资源/组”的四种组合方式的授权在授权列表可看到此授权查看授权点击“用户/组”和“资源/组”按钮,查看四种方式的授权在授权表中能查看到四种方式的授权通过资源过滤在创建“用户/组——资源”时,可对资源进行过滤能够准确过滤资源通过10/162.2.3.3访问控制测试工程操作方法预期结果实际结果访问日期区间控制通过设置授权规则中设置访问日期区间,并在授权时选中此规则只能在规定的日期区间中进行访问。通过,但是有冲突会话时长控制通过设置授权规则中设置会话时长如2分钟),并在授权时选中此规则所有经过此规则授权的用户或者协议均两分钟后退出。通过访问IP控制通过设置授权规则中设置允许访问的IP地址,并在授权时选中此规则只有允许的地址能够访问通过2.2.4应用发布管理测试工程操作方法预期结果实际结果创建VDH服务器在应用发布中添加VDH服务器在VDH设备管理可看到此设备没有设备监控VDH服务器在VDH设备管理中通过监控VDH服务器能RDP访问VDH服务器没有设备添加应用发布在应用配置中添加应用协议VDH应用列表中能看到此协议没有设备测试新应用发布运维新应用发布运维过程正常没有设备2.3设备口令管理配置与测试2.3.1统一帐户管理测试工程操作方法预期结果实际结果添加统一帐户在统一帐户管理中添加关联某运维用户的统一帐户在帐户列表能看到此统一帐户11/16设置统一帐户隶属设备在新增统一帐户的隶属设备列表添加保护资源添加成功,被添加资源有此帐户添加失败,被添加资源没有此帐户在使用windowsxp作为控制资源时添加统一账户失败。帐户分配在授权列表中对添加成功的资源进行帐户分配帐户分配列表中有此帐户失败2.3.2设备帐户管理2.3.2.1类Unix保护资源自动登录配置与测试测试工程操作方法预期结果实际结果设备账户管理选择设备然后添加用户并激活,注意选择是否密码托管和是否勾选管理账户在账户资源列表中有此记录没有测试设备账户获取选择添加有管理账户的设备,获取该设备上的其他账户在账户资源列表中有其他账户信息没有测试设备账户托管可对账户密码进行重置系统提示密码重置成功没有测试密码变更通知在口令管理配置编辑要发送邮件的地址和主题,选择激活状态,需要配置DNS在账户密码变更时,可以向指定账户发送电子邮件没有测试账户分配在授权列表中对已经添加资源帐户的资源对运维用户进行帐户分配,就是将某一资源账户分配给运维账户帐户分配列表中有已添加的资源帐户没有测试自动登录验证验证SSH、SFTP的自动登录功能均能正常登录没有测试2.3.2.2Windows保护资源自动登录配置与测试测试工程操作方法预期结果实际结果12/16设备账户管理选择设备分别采用正确、错误的密码添加用户并激活,注意选择是否密码托管。错误的密码无法添加用户。正确的密码添加用户成功。在账户资源列表中有此记录。账户分配在授权列表中对已经添加资源帐户的资源对运维用户进行帐户分配,就是将某一资源账户分配给运维账户帐户分配列表中有已添加的资源帐户设备账户托管选择对用户的密码进行托管。通过标准RDP客户端验证,原有密码是否可用。托管后,原有密码已经更改,不能登录远程设备。自动登录验证验证托管前和托管后,telnet和RDP的自动登录功能。用户托管前和托管后均能正常登录。2.3.2.3Serv-U保护资源自动登录配置与测试测试工程操作方法预期结果实际结果设备账户管理选择设备分别采用正确、错误的密码添加用户,选择ftp专用账户并激活,注意选择是否密码托管。错误的密码无法添加用户。正确的密码添加用户成功。在账户资源列表中有此记录。账户分配在授权列表中对已经添加资源帐户的资源对运维用户进行帐户分配,就是将某一资源账户分配给运维账户帐户分配列表中有已添加的资源帐户设备账户托管选择对用户的密码进行托管。通过标准ftp客户端连接真实服务器验证,原有密码是否可用。托管后,原有密码已经更改,不能登录远程设备自动登录验证验证托管前和托管后,ftp的自动登录功能。用户托管前和托管后均能正常登录。13/162.3.2.4未定义的操作系统保护资源自动登录配置与测试测试工程操作方法预期结果实际结果添加未定义的操作系统在资源管理的操作系统配置添加新的操作系统版本。保护资源以此新增的操作系统版本为操作系统类型操作系统列表有新增的操作系统版本审计平台安装过于复杂,应为审计信息安装到了本地SSO配置配置新增操作系统版本的参数Telnet登录系统提示信息、Telnet登录密码输入提示信息、Telnet登录成功提示信息等)配置正常设备账户管理选择设备然后添加用户并激活若SSO配置正确,添加帐户成功,在账户资源列表中有此记录。若SSO配置错误,无法添加帐户,要修改SSO配置账户分配在授权列表中对已经添加资源帐户的资源对运维用户进行帐户分配,就是将某一资源账户分配给运维账户帐户分配列表中有已添加的资源帐户自动登录验证验证telnet的自动登录功能。用能正常登录。2.3.2.5密函打印审批测试工程操作方法预期结果实际结果密函打印申请在管理页面新建一个有密函打印申请与密函打印审批权限的管理员帐户,认证方式为证书认证,并用usb-key登录专用的密函打印客户端进行密函打印申请密函打印客户端的申请中窗口显示此申请密函打印审批在管理页面的密函打印审批窗口,勾选“列出可审批申请”选项,选择需审批的条目,点击“批准”或“拒绝”按钮,即批准或拒绝该申请密函打印客户端的可打印窗口显示已批准打印的申请,不可打印窗口显示拒绝打印的申请14/16密函打印登录密函打印客户端进行密函打印能预览打印密函2.3.2.6托管通知测试工程操作方法预期结果实际结果托管通知在口令管理配置启用托管通知功能,配置接收人邮箱及邮件主题前提是先配好邮件服务器)重置托管帐号密码后,能收到托管通知邮件,邮件内容包括被修改帐号的服务器、IP地址、被修改帐号、原密码、新密码2.4运维操作审计测试2.4.1Telnet协议运维操作测试1、运维操作测试工程操作方法预期结果实际结果运维操作使用Telnet协议进行运维操作均能正常运维使用Telnet协议登录后台不同类型主机2、事中实时监控测试工程操作方法预期结果实际结果实时监控运维用户Telnet运维后台主机可以图形方式实时看到Telnet操作及响应在活动会话窗口中,选择该Telnet会话,进行实时回放3、事后审计测试工程操作方法预期结果实际结果会话查看在今日会话窗口中,选择Telnet会话,查看详细信息会话概要记录准确,会话过程记录