運維操作審計產(chǎn)品測試方案

歡迎下載 上海卓格計算機信息系統(tǒng)有限公司上海卓格計算機信息系統(tǒng)有限公司 20162016 年年 0404 月月 2626 日日 運維操作審計（堡壘機）產(chǎn)品運維操作審計（堡壘機）產(chǎn)品 驗收報告驗收報告 歡迎下載 目錄目錄 一、一、測試目的測試目的 .4 二、二、測試原則測試原則 .4 三、三、測試環(huán)境測試環(huán)境 .6 3.1測試對象.6 3.2測試地點.6 3.3測試時間.6 3.4測試人員.6 3.5測試環(huán)境.6 3.6測試拓撲示意圖.7 3.7測試準備.7 四、四、測試項目測試項目 .8 4.1產(chǎn)品功能測試.8 4.1.1運維協(xié)議支持.8 4.1.2運維協(xié)議擴展.19 4.1.3運維訪問方式.20 4.1.4事前權(quán)限控制.24 4.1.5事中實時監(jiān)控.26 4.1.6事后審計取證.28 4.1.7報表統(tǒng)計分析.32 歡迎下載 4.1.8產(chǎn)品自身安全.34 4.1.9產(chǎn)品管理維護.36 4.2產(chǎn)品部署方式.38 4.2.1旁路部署.38 4.3產(chǎn)品可用性.38 4.3.1雙機熱備.38 五、五、測試結(jié)論測試結(jié)論.40 參考標準參考標準.40 歡迎下載 一、一、測試目的測試目的 本次測試的主要目的，是測試和驗證運維操作審計產(chǎn)品的各項 功能和性能指標能否滿足中船信息科技的實際需求。 二、二、測試原則測試原則 在本次測試過程中，將根據(jù)客觀、公正、公平的原則，按統(tǒng)一 的標準，從客戶的業(yè)務(wù)需求和實際環(huán)境出發(fā)，對參加測試的廠商的 產(chǎn)品進行有重點、有針對性的測試。為此，在測試過程中應(yīng)堅持以 下原則： 測試環(huán)境一致原則 本次測試，不同廠家的產(chǎn)品，其測試環(huán)境保持一致，即使用相 同的網(wǎng)絡(luò)環(huán)境，采用統(tǒng)一的測試工具，設(shè)置統(tǒng)一的測試參數(shù)進行測 試。在一個產(chǎn)品測試完，下一產(chǎn)品測試前，恢復(fù)測試環(huán)境的初始狀 態(tài)。 測試內(nèi)容一致原則 針對不同廠家產(chǎn)品采用相同的測試內(nèi)容進行測試。并且測試內(nèi) 容一旦確定，所有參加測試的產(chǎn)品必須按其內(nèi)容逐項進行測試。 代表性原則 本次測試并不針對測試的產(chǎn)品所有的功能及性能，而是根據(jù)運 歡迎下載 維操作審計產(chǎn)品的應(yīng)用特點選取具有代表性的功能指標進行測試。 根據(jù)以上原則，為有效實現(xiàn)測試目標，同時便于測試的實施， 對各廠商提供的產(chǎn)品，按照運維協(xié)議支持力度、運維帳戶的統(tǒng)一管 理和用戶認證、運維用戶的權(quán)限控制、運維用戶的操作審計記錄、 設(shè)備自身管理及與第三方集成幾個方面進行測試。 歡迎下載 三、三、測試環(huán)境測試環(huán)境 3.1測試對象 本次測試對象是杭州思福迪信息技術(shù)有限公司的運維操作審計 產(chǎn)品，型號為 Logbase-BH-530 的測試樣機。 3.2測試地點 中船信息科技。 3.3測試時間 2011 年 03 月 10 日。 3.4測試人員 廠商人員：趙新 李春 3.5測試環(huán)境 Windows 服務(wù)器，支持 RDP 和 FTP 服務(wù)，并且需已安裝 Oracle 數(shù)據(jù)庫 Linux、Unix 服務(wù)器，支持 SSH、SFTP 服務(wù) 交換機或路由器若干個 歡迎下載 3.6測試拓撲示意圖 3.7測試準備 按上述測試拓撲屬意圖在網(wǎng)絡(luò)環(huán)境中部署運維操作審計產(chǎn)品 為運維操作審計產(chǎn)品的管理口配置有效 IP，確?？梢赃h程訪 問、管理和日志發(fā)送 驗證提供的 RDP、Telnet 等服務(wù)可以被正常訪問 驗證運維操作審計產(chǎn)品可以訪問提供上述服務(wù)的主機或設(shè)備 歡迎下載 四、四、測試項目測試項目 4.1產(chǎn)品功能測試 4.1.1運維協(xié)議支持 說明：運維操作審計產(chǎn)品應(yīng)該支持常見的各種運維協(xié)議，以便 用戶可以方便地完成日常運維工作。并且能夠以視頻或文本的形式 完整地記錄運維用戶的整個操作過程。 RDP 圖形審計 測試項目測試項目 RDP 操作圖形審計 測試說明測試說明 測試產(chǎn)品是否支持 RDP 協(xié)議，并以視頻方式記錄整個操作過程 測試環(huán)境測試環(huán)境 Logbase-BH-530、開放 RDP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供 RDP 服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供 RDP 服務(wù)的主機并進行操作 2.審計用戶可以回放查看運維用戶整個操作過程的視頻記錄 測試結(jié)果測試結(jié)果 可以通過堡壘主機訪問 windows 服務(wù)器，并且可以記錄、回放整個操作過程 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 歡迎下載 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 RDP 鍵盤操作審計 測試項目測試項目RDP 鍵盤操作審計 測試說明測試說明測試產(chǎn)品是否支持 RDP 協(xié)議，并記錄用戶在鍵盤上的輸入 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 RDP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供 RDP 服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源，并隨意鍵入字符 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供 RDP 服務(wù)的主機并進行操作 2.審計用戶可以查看運維用戶在鍵盤上輸入字符的記錄 測試結(jié)果測試結(jié)果可以記錄操作過程中輸出的鍵盤指令 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 RDP 訪問密碼代填 測試項目測試項目RDP 訪問密碼代填 測試說明測試說明測試產(chǎn)品是否支持 RDP 協(xié)議，并替用戶代填主機的用戶名和密碼 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 RDP 協(xié)議的 windows 服務(wù)器 歡迎下載 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供 RDP 服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶只需輸入運維用戶名和對應(yīng)密碼就可訪問主機，無需輸入主機 的用戶名和密碼 測試結(jié)果測試結(jié)果通過設(shè)置密碼代填功能，可以通過堡壘主機直接訪問 windows 服務(wù)器。 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 Telnet 用戶操作審計 測試項目測試項目Telnet 用戶操作審計 測試說明測試說明測試產(chǎn)品是否支持 Telnet 協(xié)議，并記錄用戶在命令行界面輸入的命令 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 telnet 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供 Telnet 服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供 Telnet 服務(wù)的設(shè)備并進行操作 2.審計用戶可以查看運維用戶輸入命令的審計記錄 測試結(jié)果測試結(jié)果可以記錄下 telnet 操作命令，回放整個操作過程 歡迎下載 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 Telnet 系統(tǒng)返回信息審計 測試項目測試項目Telnet 系統(tǒng)返回信息審計 測試說明測試說明測試產(chǎn)品是否支持 Telnet 協(xié)議，并記錄用戶操作后系統(tǒng)返回的所有信息 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 telnet 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供 Telnet 服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供 Telnet 服務(wù)的設(shè)備并進行操作 2.審計用戶可以查看運維用戶輸入命令后系統(tǒng)返回的所有信息 測試結(jié)果測試結(jié)果可以審計到 telnet 操作后，服務(wù)器的返回信息，并且回放時也可以看到 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 歡迎下載 Telnet 訪問密碼代填 測試項目測試項目Telnet 訪問密碼代填 測試說明測試說明測試產(chǎn)品是否支持 Telnet 協(xié)議，并替用戶代填設(shè)備的用戶名和密碼 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 telnet 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供Telnet服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶只需輸入運維用戶名和對應(yīng)密碼就可訪問主機，無需輸入設(shè)備 的用戶名和密碼 測試結(jié)果測試結(jié)果通過設(shè)置密碼代填功能，可以通過堡壘主機直接訪問 telnet 服務(wù)器。 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 SSH 用戶操作審計 測試項目測試項目SSH 用戶操作審計 測試說明測試說明測試產(chǎn)品是否支持 SSH 協(xié)議，并記錄用戶在命令行界面輸入的命令 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 ssh 協(xié)議的服務(wù)器 前提條件前提條件 歡迎下載 測試步驟測試步驟 1.在產(chǎn)品上添加提供 SSH 服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供 SSH 服務(wù)的主機并進行操作 2.審計用戶可以查看運維用戶輸入命令的審計記錄 測試結(jié)果測試結(jié)果可以審計到 ssh 操作的命令，完整回放整個操作過程 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 SSH 系統(tǒng)返回信息審計 測試項目測試項目SSH 系統(tǒng)返回信息審計 測試說明測試說明測試產(chǎn)品是否支持 SSH 協(xié)議，并記錄用戶操作后系統(tǒng)返回的所有信息 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 SSH 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供 SSH 服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供 SSH 服務(wù)的主機并進行操作 2.審計用戶可以查看運維用戶輸入命令后系統(tǒng)返回的所有信息 測試結(jié)果測試結(jié)果可以審計到 SSH 操作后，服務(wù)器的返回信息，并且回放時也可以看到 歡迎下載 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 SSH 訪問密碼代填 測試項目測試項目SSH 訪問密碼代填 測試說明測試說明測試產(chǎn)品是否支持 SSH 協(xié)議，并替用戶代填設(shè)備的用戶名和密碼 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 SSH 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供SSH服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶只需輸入運維用戶名和對應(yīng)密碼就可訪問主機，無需輸入設(shè)備 的用戶名和密碼 測試結(jié)果測試結(jié)果通過設(shè)置密碼代填功能，可以通過堡壘主機直接訪問 SSH 服務(wù)器。 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 歡迎下載 0SSH 會話克隆 測試項目測試項目SSH 會話克隆 測試說明測試說明 運維人員通常會從多個操作界面對目標服務(wù)器進行維護，因此開啟多個通訊 窗口。該項測試產(chǎn)品支持 SSH 會話克隆功能。 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 SSH 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供SSH服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.通過 SSH 客戶端，Clone 當(dāng)前會話 預(yù)期結(jié)果預(yù)期結(jié)果1. 在新窗口中彈出克隆成功的會話界面 測試結(jié)果測試結(jié)果支持 SSH 回話克隆功能，滿足測試要求 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 1FTP 用戶操作審計 測試項目測試項目FTP 用戶操作審計 測試說明測試說明測試產(chǎn)品是否支持 FTP 協(xié)議，并記錄用戶在命令行界面輸入的命令 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 FTP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 歡迎下載 測試步驟測試步驟 1.在產(chǎn)品上添加提供FTP服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供FTP服務(wù)的主機并進行操作 2.審計用戶可以查看運維用戶輸入命令的審計記錄 測試結(jié)果測試結(jié)果可以審計到 FTP 操作的命令 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 2FTP 系統(tǒng)返回信息審計 測試項目測試項目FTP 系統(tǒng)返回信息審計 測試說明測試說明測試產(chǎn)品是否支持 FTP 協(xié)議，并記錄用戶操作后系統(tǒng)返回的所有信息 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 FTP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供FTP服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供FTP服務(wù)的主機并進行操作 2.審計用戶可以查看運維用戶輸入命令后系統(tǒng)返回的所有信息 測試結(jié)果測試結(jié)果可以審計到 FTP 操作后，服務(wù)器的返回信息 歡迎下載 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 3FTP 訪問密碼代填 測試項目測試項目FTP 訪問密碼代填 測試說明測試說明測試產(chǎn)品是否支持 FTP 協(xié)議，并替用戶代填設(shè)備的用戶名和密碼 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 FTP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供FTP服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶只需輸入運維用戶名和對應(yīng)密碼就可訪問主機，無需輸入設(shè)備 的用戶名和密碼 測試結(jié)果測試結(jié)果支持 FTP 密碼代填功能，滿足測試要求 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 歡迎下載 4SFTP 用戶操作審計 測試項目測試項目SFTP 用戶操作審計 測試說明測試說明測試產(chǎn)品是否支持 SFTP 協(xié)議，并記錄用戶在命令行界面輸入的命令 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 SFTP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加提供SFTP服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供SFTP服務(wù)的主機并進行操作 2.審計用戶可以查看運維用戶輸入命令的審計記錄 測試結(jié)果測試結(jié)果可以審計到 FTP 操作的命令 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 5SFTP 系統(tǒng)返回信息審計 測試項目測試項目SFTP 系統(tǒng)返回信息審計 測試說明測試說明測試產(chǎn)品是否支持 SFTP 協(xié)議，并記錄用戶操作后系統(tǒng)返回的所有信息 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 SFTP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 歡迎下載 測試步驟測試步驟 1.在產(chǎn)品上添加提供SFTP服務(wù)的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品訪問第 1 步添加的資源 4.以審計用戶的身份登錄產(chǎn)品查看運維用戶的操作審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以正常訪問提供SFTP服務(wù)的主機并進行操作 2.審計用戶可以查看運維用戶輸入命令后系統(tǒng)返回的所有信息 測試結(jié)果測試結(jié)果可以審計到 FTP 操作后，服務(wù)器的返回信息 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 4.1.2運維協(xié)議擴展 說明：運維操作審計產(chǎn)品除了支持常見的各種運維協(xié)議以外， 還應(yīng)支持一些特殊協(xié)議，如數(shù)據(jù)庫等。 Oracle 數(shù)據(jù)庫審計 測試項目測試項目Oracle 數(shù)據(jù)庫審計 測試說明測試說明測試產(chǎn)品是否支持 Oracle 數(shù)據(jù)庫的訪問，并記錄用戶的操作 測試環(huán)境測試環(huán)境Logbase-BH-530、oracle 數(shù)據(jù)庫服務(wù)器 前提條件前提條件 歡迎下載 測試步驟測試步驟 1.在已安裝 oracle 數(shù)據(jù)庫客戶端的設(shè)備上修改本地配置文件格式如下: 修改.oracleora90NETWORKADMINtnsnames.ora 文件，添加： test = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = 46)(PORT = 1521) ) (CONNECT_DATA = (SID = logbase23) ) ) 2.通過 plsql 軟件，登錄 test 數(shù)據(jù)庫。 預(yù)期結(jié)果預(yù)期結(jié)果 1.用戶可以正常訪問 Oracle 數(shù)據(jù)庫并執(zhí)行操作 2.審計用戶可以查看運維用戶整個操作過程的審計記錄 測試結(jié)果測試結(jié)果可以通過堡壘主機訪問 oracle 數(shù)據(jù)庫，并記錄操作指令 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 歡迎下載 4.1.3運維訪問方式 說明：運維操作審計產(chǎn)品應(yīng)允許用戶保留原有運維使用習(xí)慣的 同時，提供無需安裝任何客戶端的方式來訪問和管理各種資源。 基于授權(quán)模式的訪問操作 測試項目測試項目測試產(chǎn)品是否支持授權(quán)訪問模式 測試說明測試說明操作人員登錄堡壘機進行維護時，必須經(jīng)過管理人員授權(quán) 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 SSH 協(xié)議的服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加要訪問的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.設(shè)置用戶訪問設(shè)備必須經(jīng)過授權(quán) 4.用戶通過 SSH 方式訪問目標設(shè)備 5.管理員通過授權(quán)界面為其授權(quán) 預(yù)期結(jié)果預(yù)期結(jié)果1. 管理員授權(quán)后用戶才能正常登錄系統(tǒng) 測試結(jié)果測試結(jié)果在訪問需授權(quán)設(shè)備時，需要管理員審核授權(quán)后，才可以正常登錄操作 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 歡迎下載 基于原有命令行界面客戶端的訪問 測試項目測試項目基于原有命令行界面客戶端的訪問 測試說明測試說明測試產(chǎn)品是否支持客戶使用原有的命令行客戶端訪問管理的資源 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 SSH 協(xié)議的服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加要訪問的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.使用 Putty、SecureCRT 軟件直接連接產(chǎn)品，輸入運維用戶的用戶名和密 碼 4.在顯示的命令行界面選擇要管理的主機資源 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以使用 Putty、SecureCRT 直接訪產(chǎn)品，并在選擇管理的主機 資源后進行運維操作 測試結(jié)果測試結(jié)果滿足測試要求 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 基于原有圖形界面客戶端的訪問 測試項目測試項目基于原有圖形界面客戶端的訪問 測試說明測試說明測試產(chǎn)品是否支持客戶使用原有的圖形客戶端訪問管理的資源 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 RDP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 歡迎下載 測試步驟測試步驟 1.在產(chǎn)品上添加要訪問的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.使用 mstsc 軟件直接連接產(chǎn)品，輸入運維用戶的用戶名和密碼 4.在顯示的圖形界面選擇要管理的主機資源 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶可以使用 mstsc 直接訪產(chǎn)品，并在選擇管理的主機資源后進行運 維操作 測試結(jié)果測試結(jié)果支持 windwos 自帶 mstsc 遠程桌面客戶端訪問 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 基于無客戶端的 RDP 訪問 測試項目測試項目基于無客戶端的 RDP 訪問 測試說明測試說明測試產(chǎn)品是否支持客戶無需安裝客戶端即可訪問 RDP 資源 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 RDP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加要訪問的 RDP 主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.使用瀏覽器登錄產(chǎn)品 4.在 Web 界面直接選擇要管理的主機資源 預(yù)期結(jié)果預(yù)期結(jié)果1. 運維用戶可以在 Web 頁面直接訪問 RDP 主機資源，并進行運維操作 測試結(jié)果測試結(jié)果可以通過頁面調(diào)用控件的方式來實現(xiàn)不使用 RDP 客戶端訪問 備注說明備注說明 歡迎下載 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 基于無客戶端的 FTP 訪問 測試項目測試項目基于無客戶端的 FTP 訪問 測試說明測試說明測試產(chǎn)品是否支持客戶無需安裝客戶端即可訪問 FTP 資源 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 FTP 協(xié)議的 windows 服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加要訪問的FTP主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.使用瀏覽器登錄產(chǎn)品 4.在 Web 界面直接選擇要管理的主機資源 預(yù)期結(jié)果預(yù)期結(jié)果1.運維用戶可以在 Web 頁面直接訪問FTP主機資源，并進行運維操作 測試結(jié)果測試結(jié)果可以通過堡壘主機頁面直接訪問 FTP 服務(wù)器進行操作 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 4.1.4事前權(quán)限控制 說明：運維操作審計產(chǎn)品應(yīng)允許管理人員根據(jù)安全策略和工作 職責(zé)對普通運維用戶進行細粒度化的權(quán)限分配，以保證運維人員只 歡迎下載 能操作屬于工作職責(zé)范圍的設(shè)備。同時應(yīng)能對普通運維用戶的操作 進行命令級別的規(guī)范和控制，防止誤操作或惡意操作可能帶來無法 預(yù)料的結(jié)果，并在偵測到用戶輸入敏感命令后發(fā)出告警并同時中斷 會話。 設(shè)備錄入與設(shè)備組管理 測試項目測試項目設(shè)備錄入與設(shè)備組管理 測試說明測試說明測試產(chǎn)品是否支持錄入要管理的設(shè)備并已組的方式管理同類設(shè)備 測試環(huán)境測試環(huán)境 Logbase-BH-530 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加要管理的設(shè)備組 2.在該組內(nèi)添加要管理的多個主機資源 預(yù)期結(jié)果預(yù)期結(jié)果1. 超級管理員能夠以組的方式管理多個設(shè)備，并對用戶進行訪問授權(quán) 測試結(jié)果測試結(jié)果可對主機資源進行分組管理 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 歡迎下載 訪問權(quán)限控制 測試項目測試項目訪問權(quán)限控制 測試說明測試說明測試產(chǎn)品是否可以控制運維用戶可以訪問哪些設(shè)備 測試環(huán)境測試環(huán)境 Logbase-BH-530 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的主機資源 2.通過權(quán)限控制管理界面允許運維用戶訪問第 1 步添加的資源 3.以運維用戶身份登錄產(chǎn)品 預(yù)期結(jié)果預(yù)期結(jié)果1. 運維用戶只能訪問被授權(quán)的資源 測試結(jié)果測試結(jié)果管理員可以對運維用戶授權(quán)，設(shè)置可以訪問的主機資源 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 敏感命令操作控制 測試項目測試項目敏感命令操作控制 測試說明測試說明測試產(chǎn)品是否可以控制運維用戶在命令行界面輸入的命令 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 SSH 協(xié)議的服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的主機資源 2.通過權(quán)限控制管理界面允許運維用戶訪問第 1 步添加的資源 歡迎下載 3.創(chuàng)建安全規(guī)則策略，如果用戶輸入“rm”命令則自動斷開用戶連接 4.以運維用戶身份登錄產(chǎn)品并訪問資源，并在命令行界面輸入“rm”命令 預(yù)期結(jié)果預(yù)期結(jié)果 1.運維用戶在未輸入“rm”命令前可以正常操作，輸入“rm”后連接自動 斷開 測試結(jié)果測試結(jié)果對策略用 rm 指令進行了阻斷，滿足測試要求 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 4.1.5事中實時監(jiān)控 說明：運維操作審計產(chǎn)品應(yīng)允許管理人員實時地監(jiān)控普通運維 人員、特別是例如第三方技術(shù)人員的操作，并且在發(fā)現(xiàn)其企圖執(zhí)行 惡意操作時進行實時阻斷，防止發(fā)生安全事故。 實時視頻監(jiān)控 測試項目測試項目實時視頻監(jiān)控 測試說明測試說明測試產(chǎn)品是否能夠讓超級管理員實時監(jiān)控運維人員的操作 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 windows RDP 的服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 歡迎下載 3.以運維用戶的身份登錄產(chǎn)品并進行運維操作 4.以審計用戶身份登錄產(chǎn)品查看對應(yīng)運維會話的實時視頻 預(yù)期結(jié)果預(yù)期結(jié)果1. 審計用戶能以視頻的方式實時地監(jiān)控運維用戶的所有操作 測試結(jié)果測試結(jié)果可以實時的監(jiān)控通過堡壘主機訪問的 RDP 操作。 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 實時會話阻斷 測試項目測試項目實時會話阻斷 測試說明測試說明測試產(chǎn)品是否能夠讓超級管理員監(jiān)控到危險操作時實時阻斷運維用戶的連接 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 windows RDP 的服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品并進行運維操作 4.以審計用戶身份登錄產(chǎn)品查看對應(yīng)運維會話的實時視頻 5.點擊界面的功能按鈕斷開正在查看的實時視頻 預(yù)期結(jié)果預(yù)期結(jié)果1. 審計用戶能實時地阻斷運維用戶的訪問連接 測試結(jié)果測試結(jié)果可以實時的監(jiān)控通過堡壘主機訪問的 RDP 操作，并且阻斷 備注說明備注說明 歡迎下載 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 4.1.6事后審計取證 說明：運維操作審計產(chǎn)品應(yīng)能讓審計人員對所有的運維用戶的 操作進行快速、方便地搜索，以便在發(fā)生安全事故后分析原因，定 位相關(guān)責(zé)任人。 用戶輸入命令檢索 測試項目測試項目用戶輸入命令檢索 測試說明測試說明測試產(chǎn)品是否能夠檢索用戶輸入的命令 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 ssh 協(xié)議的服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的主機資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品并進行運維操作，輸入特殊命令如“l(fā)s” 4.以審計用戶身份登錄產(chǎn)品并搜索操作包含“l(fā)s”的審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果1. 審計用戶能搜索到對應(yīng)操作的審計記錄 測試結(jié)果測試結(jié)果可以查詢到包含 ls 操作的日志 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 歡迎下載 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 系統(tǒng)返回信息檢索 測試項目測試項目系統(tǒng)返回信息檢索 測試說明測試說明測試產(chǎn)品是否能夠檢索系統(tǒng)返回的信息 測試環(huán)境測試環(huán)境Logbase-BH-530、開放 ssh 協(xié)議的服務(wù)器 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的設(shè)備資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品并進行運維操作，輸入無效命令讓系統(tǒng)返回 的消息中包含“invalid”字符 4.以審計用戶身份登錄產(chǎn)品并搜索包含“invalid”的審計記錄 預(yù)期結(jié)果預(yù)期結(jié)果1. 審計用戶能搜索到對應(yīng)操作的審計記錄 測試結(jié)果測試結(jié)果可以查詢到包含 invalid 字符的返回信息 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 多條件組合檢索 測試項目測試項目多條件組合檢索 測試說明測試說明測試產(chǎn)品是否能夠使用多個條件組合檢索審計信息 歡迎下載 測試環(huán)境測試環(huán)境 Logbase-BH-530 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的設(shè)備資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品并進行運維操作 4.以審計用戶身份登錄產(chǎn)品，并且使用運維用戶名稱、設(shè)備地址、時間多 個條件進行組合搜索 預(yù)期結(jié)果預(yù)期結(jié)果1. 審計用戶能使用多個條件組合起來搜索審計記錄 測試結(jié)果測試結(jié)果支持多條件組合查詢，滿足測試要求 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 歷史視頻回放 測試項目測試項目歷史視頻回放 測試說明測試說明測試產(chǎn)品是否允許審計人員回放運維人員操作的視頻記錄 測試環(huán)境測試環(huán)境 Logbase-BH-530 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的設(shè)備資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品并進行運維操作 4.以審計用戶身份登錄產(chǎn)品查看運維用戶的歷史視頻記錄 預(yù)期結(jié)果預(yù)期結(jié)果 1.審計用戶能查看運維用戶的歷史視頻，并且可以進行快進、慢放、暫停 歡迎下載 等操作 測試結(jié)果測試結(jié)果可以對查詢出來的日志進行操作回放。 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 中船中船思福迪思福迪 結(jié)果確認結(jié)果確認 日日 期期日日 期期 特定指令定位回放 測試項目測試項目特定指令定位回放 測試說明測試說明測試產(chǎn)品是否允許審計人員從特定的命令處開始回放歷史視頻記錄 測試環(huán)境測試環(huán)境 Logbase-BH-530 前提條件前提條件 測試步驟測試步驟 1.在產(chǎn)品上添加允許運維用戶訪問的設(shè)備資源 2.在產(chǎn)品上創(chuàng)建運維用戶，并賦予該用戶訪問第 1 步添加資源的權(quán)限 3.以運維用戶的身份登錄產(chǎn)品并進行運維操作 4.以審計用戶身份登錄產(chǎn)品查看運維用戶的文本審計記錄，然后點擊特定 指令 預(yù)期結(jié)果預(yù)期結(jié)果1. 審計用戶能從特定指令處開始播放歷史視頻記錄 測試結(jié)果測試結(jié)果可以從特定的操作指令開始回放 備注說明備注說明 測試結(jié)論測試結(jié)論 通過 部分通過 未通過 未測試 結(jié)果確認結(jié)果確認中船中船思福迪思福迪 歡迎下載 日日 期期日日 期期 4.1.7報表統(tǒng)計分析 說明：運維操作審計產(chǎn)品應(yīng)能讓審計人員對長期的審計記錄進 行各種報表統(tǒng)計分析，以提供相關(guān)的報表來滿足合規(guī)要求。 系統(tǒng)自帶統(tǒng)計報表 測試項目測試項目系統(tǒng)自帶統(tǒng)計報表 測試說明測試說明測試產(chǎn)品是否自帶豐富的統(tǒng)計報表 測試環(huán)境測試環(huán)境 Logbase-BH-530 前提條件前提條件 測試步驟測試步驟 1.以審計用戶身份登錄產(chǎn)品，然后選擇要統(tǒng)計的報表并運行 預(yù)期結(jié)果預(yù)期結(jié)